Biometria w miejscu pracy – kiedy i jak pracodawca może ją stosować zgodnie z prawem?

Dynamiczny rozwój technologii sprawił, że dane biometryczne stały się powszechnie wykorzystywane w wielu usługach – od odblokowywania smartfonów po systemy bezpieczeństwa w firmach. Jednak to, co stanowi o ich innowacyjności, niesie także ryzyko naruszenia prywatności, co wymaga uregulowania ich przetwarzania w zgodzie z RODO i innymi przepisami.

RODO definiuje dane biometryczne jako dane osobowe uzyskane w wyniku zaawansowanego przetwarzania technicznego, które dotyczą cech fizycznych, fizjologicznych lub behawioralnych, pozwalając na jednoznaczną identyfikację osoby fizycznej. Przykłady to wizerunek twarzy czy odciski palców. Jednak współczesne technologie wykraczają daleko poza tę definicję, pozwalając na automatyczne rozpoznawanie tożsamości z wykorzystaniem cech takich jak barwa głosu, styl chodzenia czy dynamika pisania.

Ponadto, dane biometryczne mogą obejmować cechy fizyczne, takie jak tęczówka oka, geometria dłoni, a nawet DNA. To stawia wyzwania przed ustawodawcami i przedsiębiorstwami, które muszą balansować między korzyściami płynącymi z tych technologii a koniecznością ochrony praw osób fizycznych.

Przepisy prawa i stanowisko Prezesa UODO – jak chronić dane biometryczne?

Zgodnie z art. 22^1b Kodeksu pracy, zgoda na wykorzystanie danych biometrycznych przez pracodawcę musi wynikać z inicjatywy osoby ubiegającej się o zatrudnienie lub pracownika. Jednocześnie Kodeks pracy dopuszcza przetwarzanie takich danych w sytuacjach, gdy jest to niezbędne do zapewnienia kontroli dostępu do szczególnie istotnych informacji, których ujawnienie mogłoby narazić pracodawcę na szkodę, lub do pomieszczeń wymagających szczególnej ochrony.

Prezes Urzędu Ochrony Danych Osobowych jednoznacznie wskazuje, że przetwarzanie danych biometrycznych pracowników przez pracodawcę nie może służyć ewidencji czasu pracy. Kodeks pracy również nie przewiduje podstawy prawnej umożliwiającej wykorzystywanie danych biometrycznych w tym celu. Pracodawca może legalnie przetwarzać dane osobowe pracowników wyłącznie wtedy, gdy istnieją szczególne przesłanki określone w RODO oraz gdy takie działanie znajduje oparcie w obowiązujących przepisach prawa. Dodatkowo, przetwarzanie danych wrażliwych (sensytywnych) musi opierać się na wyraźnej podstawie prawnej, która nie tylko określa cele przetwarzania, ale także zapewnia odpowiednie zabezpieczenia dla praw i interesów osób, których dane dotyczą.

Prezes Urzędu Ochrony Danych Osobowych wskazuje, że pracodawca może legalnie przetwarzać dane biometryczne pracowników tylko w dwóch ściśle określonych przypadkach.

Pierwszy przypadek dotyczy sytuacji, gdy pracownik lub osoba ubiegająca się o zatrudnienie wyrazi dobrowolną i świadomą zgodę na przetwarzanie swoich danych biometrycznych. Taka zgoda musi być udzielona bez jakiegokolwiek przymusu, a pracownik ma prawo w każdej chwili ją odwołać, bez ryzyka negatywnych konsekwencji.

Drugi przypadek obejmuje przetwarzanie danych biometrycznych w sytuacjach, gdy jest to absolutnie konieczne do zapewnienia kontroli dostępu do szczególnie ważnych informacji, których ujawnienie mogłoby narazić pracodawcę na szkodę, lub do pomieszczeń w zakładzie pracy, które wymagają szczególnej ochrony.

Z powyższego wynika, że wykorzystywanie danych biometrycznych pracownika do rejestracji czasu pracy stanowiłoby naruszenie zarówno przepisów Kodeksu pracy, jak i RODO. Takie przetwarzanie nie spełniałoby wymogów legalności określonych w obowiązujących regulacjach prawnych.

Wytyczne hiszpańskiego organu nadzorczego

Hiszpańska Agencja Ochrony Danych (AEPD) niedawno pochyliła się nad problematyką wykorzystywania danych biometrycznych w zarządzaniu czasem pracy, publikując przewodnik dotyczący kontroli frekwencji za pomocą systemów biometrycznych. W swoim opracowaniu agencja przeanalizowała prawne możliwości zastosowania takich systemów przez administratorów danych.

AEPD podkreśliła, że rejestracja czasu pracy i kontrola dostępu w celach służbowych mogą potencjalnie odbywać się na podstawie art. 9 ust. 2 lit. b RODO, który umożliwia zniesienie ogólnego zakazu przetwarzania danych szczególnej kategorii, o ile istnieje odpowiedni przepis krajowy. Warunkiem koniecznym jest jednak funkcjonowanie w danym państwie członkowskim regulacji z mocą ustawy, która wprost zezwala na takie wykorzystanie danych biometrycznych.

Jeśli pracodawca planuje wykorzystać biometrię do zarządzania czasem pracy, musi spełnić jedną z przesłanek legalności przetwarzania danych szczególnej kategorii, zgodnie z RODO oraz krajowym ustawodawstwem. Tylko wtedy takie przetwarzanie może być uznane za zgodne z prawem.

Hiszpańska Agencja Ochrony Danych podkreśliła również, że zgoda pracownika nie może stanowić podstawy prawnej do przetwarzania danych biometrycznych w celu zarządzania czasem pracy. Wynika to z braku równowagi pomiędzy osobą, której dane dotyczą, a pracodawcą, który dokonuje przetwarzania. W takiej relacji trudno uznać zgodę za w pełni dobrowolną, co wyklucza możliwość jej wykorzystania jako podstawy do legalizacji tego rodzaju działań.

W praktyce oznacza to, że pracodawca, chcąc wykazać zgodność przetwarzania danych biometrycznych z przepisami prawa, nie może opierać się na zgodzie uzyskanej od pracownika. Zamiast tego konieczne jest oparcie się na innych przesłankach prawnych, które spełniają wymagania RODO i regulacji krajowych, zapewniając jednocześnie odpowiednią ochronę praw i interesów osób, których dane są przetwarzane.

Identyfikacja i uwierzytelnianie w świetle przepisów europejskich

Choć pojęcia identyfikacji i uwierzytelniania nie zostały bezpośrednio zdefiniowane w RODO, znajdują one szczegółowe omówienie w innych aktach prawnych, takich jak rozporządzenie eIDAS (UE nr 910/2014). Zgodnie z tym rozporządzeniem, uwierzytelnianie to proces elektroniczny umożliwiający jednoznaczną identyfikację osoby fizycznej, co ma kluczowe znaczenie w transakcjach elektronicznych.

Identyfikacja behawioralna, stosowana m.in. w bankowości internetowej, polega na analizie unikalnych cech behawioralnych, takich jak styl pisania, sposób korzystania z urządzeń czy dynamika ruchów. Proces ten pozwala na wyodrębnienie jednej osoby spośród wielu i jednoznaczne jej zidentyfikowanie. Dane biometryczne, które są podstawą takiej identyfikacji, przechowywane są w postaci wzorca (szablonu) biometrycznego.

OFERTA PROMOCYJNA

Czas na audyt wewnętrzny ISO 27001

Zastanawiasz się, czy Twój system zarządzania bezpieczeństwem jest skuteczny? Podczas krótkiej rozmowy, poznasz ofertę i otrzymasz rabat

WYBIERZ TERMIN ROZMOWY

Wzorzec biometryczny z kolei, będący zapisem cechy biometrycznej, np. twarzy lub odcisku palca, działa jak unikalny identyfikator osoby. Aby był skuteczny, musi być wystarczająco wyraźny i zróżnicowany, by umożliwić jednoznaczną identyfikację różnych osób. Jak zauważa Agencja Ochrony Danych, taki wzorzec sam w sobie stanowi dane osobowe, co oznacza, że podlega przepisom ochrony danych osobowych. W kontekście systemów biometrycznych wzorce te odgrywają kluczową rolę w zapewnianiu precyzyjnego uwierzytelniania i bezpieczeństwa użytkowników.

W kontekście identyfikacji behawioralnej w środowisku pracy pojawiają się dwa kluczowe pytania: jakie korzyści może ona przynieść organizacji i pracodawcy oraz czy te korzyści istotnie przewyższają ryzyka związane z wprowadzeniem takiego systemu? Odpowiedzi na te pytania musi poszukać każda organizacja rozważająca wdrożenie systemów identyfikacji behawioralnej.

Przed podjęciem decyzji warto dokładnie przeanalizować, czy cel przetwarzania danych biometrycznych nie może zostać osiągnięty za pomocą narzędzi, które są już dostępne w organizacji. Przykładem może być ocena aktualnych systemów dostępowych – może się okazać, że możliwe jest ich udoskonalenie bez konieczności wprowadzania biometrii, co pozwoli ograniczyć ryzyko związane z przetwarzaniem danych wrażliwych.

Należy pamiętać, że przetwarzanie danych biometrycznych, zaliczanych do kategorii wysokiego ryzyka, powinno być ostatecznością. Takie operacje są uzasadnione wyłącznie wtedy, gdy nie ma możliwości ich zastąpienia innymi, mniej inwazyjnymi procesami, lub gdy alternatywne rozwiązania skutkowałyby znacząco gorszymi efektami. Rozważenie wszystkich dostępnych opcji oraz dokładna analiza ryzyk i korzyści są kluczowe przed podjęciem decyzji o wdrożeniu tego typu technologii.

Zasada minimalizacji danych i określenie celu przetwarzania

Hiszpański organ nadzorczy przypomina, że w kontekście przetwarzania danych biometrycznych należy ściśle przestrzegać zasady minimalizacji danych, która stanowi jeden z fundamentów RODO. Zgodnie z art. 5 RODO, przetwarzane dane muszą być adekwatne, stosowne i ograniczone wyłącznie do tego, co jest absolutnie niezbędne do realizacji określonych celów. Motyw 39 RODO dodatkowo podkreśla, że dane osobowe powinny być przetwarzane wyłącznie wtedy, gdy cel przetwarzania nie może zostać osiągnięty w rozsądny sposób przy użyciu innych, mniej inwazyjnych metod. W przypadku danych biometrycznych, które należą do szczególnej kategorii danych osobowych, wymóg ten ma szczególne znaczenie, aby ograniczyć ryzyko nadmiernego gromadzenia i przetwarzania informacji wrażliwych.

Zgodnie z zasadą minimalizacji, przetwarzane dane muszą być ograniczone wyłącznie do informacji niezbędnych do osiągnięcia celów przetwarzania. W przypadku zarządzania czasem pracy przetwarzanie danych biometrycznych nie jest konieczne, dlatego pracodawca powinien poszukiwać alternatywnych, mniej inwazyjnych metod, które pozwolą na realizację tych samych celów. Wszelkie decyzje o dodatkowym przetwarzaniu danych, w tym danych biometrycznych, muszą być starannie uzasadnione. Kluczowym krokiem w tym procesie jest przeprowadzenie analizy ryzyka oraz oceny skutków dla ochrony danych (DPIA). Analiza ta powinna uwzględniać wymogi niezbędności i proporcjonalności, aby upewnić się, że wybrane rozwiązania nie naruszają praw i wolności osób, których dane dotyczą, i są odpowiednie do realizacji zamierzonych celów.

Hiszpański organ nadzorczy przypomina również, że administrator danych, wybierając technologię biometryczną, musi przestrzegać zasady minimalizacji danych już na etapie projektowania systemu, zgodnie z art. 25 ust. 1 RODO. Nawet jeśli zniesienie zakazu przetwarzania szczególnych kategorii danych jest uzasadnione i zgodne z prawem, należy podejść do wyboru systemu z rozwagą, zapewniając, że w ramach operacji przetwarzania nie będą gromadzone zbędne dane osobowe. Pracodawca jako administrator danych ma obowiązek ocenić, czy zakres przetwarzanych danych biometrycznych jest adekwatny i proporcjonalny do zamierzonego celu. Nadmiarowość danych względem celu, w jakim zostały zebrane, stanowi naruszenie zasady minimalizacji i może prowadzić do konsekwencji prawnych oraz reputacyjnych. Wybór technologii biometrycznej powinien być więc poprzedzony szczegółową analizą potrzeb i ryzyk, uwzględniającą zarówno aspekty prawne, jak i techniczne.

Kroki przetwarzania danych biometrycznych – od celu do operacji

Po określeniu celu gromadzenia danych i upewnieniu się, że wykorzystanie biometrii jest niezbędne oraz zgodne z obowiązującymi przepisami prawa, pracodawca powinien precyzyjnie wskazać, jakie operacje przetwarzania będą realizowane w ramach wdrożonego systemu biometrycznego.

W przypadku, gdy celem przetwarzania jest kontrola dostępu, operacje te mogą obejmować:

1. Identyfikację pracownika – potwierdzenie tożsamości za pomocą wzorca biometrycznego.
2. Gromadzenie i przechowywanie danych osobowych – zapisanie niezbędnych danych w systemie biometrii.
3. Uwierzytelnianie pracownika – weryfikacja tożsamości w procesie dostępu do chronionych obszarów lub informacji.
4. Rejestrację dodatkowych danych – zapisywanie informacji, np. dotyczących godzin dostępu czy lokalizacji.
5. Przetwarzanie danych w celu wykrywania nadużyć – analizowanie zapisów w celu zapobiegania nieautoryzowanemu dostępowi.
6. Przechowywanie i udostępnianie danych w uzasadnionych przypadkach – np. w celu analizy incydentów lub spełnienia obowiązków prawnych.

Każda z tych operacji powinna być szczegółowo opisana i uzasadniona, aby zapewnić zgodność z zasadami RODO, w tym zasadami celowości, minimalizacji i proporcjonalności przetwarzania danych osobowych.

Wszystkie wymienione operacje przetwarzania danych biometrycznych mogą być realizowane przy użyciu szerokiego zakresu technik, w zależności od potrzeb organizacji oraz dostępnych technologii. Te techniki obejmują:

1. Sprawdzanie udostępnianych informacji – weryfikacja danych dostarczanych przez użytkownika.
2. Używanie kluczy lub certyfikatów – cyfrowe uwierzytelnianie przy pomocy unikalnych identyfikatorów.
3. Fizyczne tokeny – np. karty dostępu czy urządzenia USB.
4. Analiza behawioralna – ocena charakterystycznych wzorców zachowania, takich jak dynamika pisania na klawiaturze czy sposób korzystania z myszy.
5. Automatyczna analiza urządzeń wejścia/wyjścia – monitorowanie ruchów myszy, dotyków na ekranie czy innych interakcji.
6. Analiza biometryczna:
• podpisu odręcznego,
• odcisków palców,
• odcisków dłoni,
• głosu,
• wizerunku twarzy,
• tęczówki oka.

Możliwe jest również zastosowanie multibiometrii, czyli łączenia różnych systemów biometrycznych, co pozwala na zwiększenie dokładności i bezpieczeństwa operacji. Tego rodzaju rozwiązania mogą być realizowane zarówno z minimalnym udziałem człowieka, jak i w bardziej interwencyjnych procesach.

Wybór odpowiednich technik powinien być uzależniony od celu przetwarzania, rodzaju chronionych zasobów oraz wymogów dotyczących ochrony danych i minimalizacji ryzyka.

OFERTA PROMOCYJNA

Czas na wdrożenie ISO 27001

Zastanawiasz się, jak skutecznie przygotować firmę do certyfikacji? Podczas krótkiej rozmowy, poznasz ofertę i otrzymasz rabat

WYBIERZ TERMIN ROZMOWY

Środki techniczne i organizacyjne w systemach biometrii – kluczowe wymogi RODO

Kontrola oparta na systemach biometrycznych musi uwzględniać weryfikację zastosowania odpowiednich środków technicznych i organizacyjnych. Ich wdrożenie na etapie projektowania ma kluczowe znaczenie dla zapewnienia i wykazania zgodności przetwarzania danych z wymogami RODO.

Zgodnie z art. 24 i art. 25 ust. 1 RODO, zastosowane środki powinny być adekwatne do charakteru, zakresu, kontekstu i celów przetwarzania oraz odpowiednio dostosowane do zarządzania ryzykiem. Co więcej, zgodnie z art. 25 ust. 2 RODO, środki te muszą domyślnie gwarantować ochronę danych osobowych, niezależnie od poziomu ryzyka związanego z ich przetwarzaniem. W przypadku przetwarzania danych biometrycznych, które wiąże się z wysokim ryzykiem naruszenia praw i wolności osób, szczególne znaczenie ma przeprowadzenie oceny skutków dla ochrony danych (DPIA), zgodnie z art. 35 RODO. DPIA pozwala na identyfikację potencjalnych zagrożeń, ocenę ich wpływu oraz określenie działań minimalizujących ryzyko, co jest niezbędne przy wdrażaniu systemów biometrycznych.

Hiszpański organ nadzorczy wskazuje zestaw podstawowych gwarancji, które powinny zostać wdrożone podczas przetwarzania danych w systemach biometrycznych. Obejmują one:

1. Informowanie osób, których dane dotyczą – Osoby fizyczne muszą być świadome, że ich dane biometryczne są przetwarzane oraz znać związane z tym ryzyka.
2. Możliwość unieważnienia powiązania tożsamości – System biometryczny powinien umożliwiać rozłączenie wzorca biometrycznego od konkretnej osoby fizycznej, aby ograniczyć ryzyko niewłaściwego wykorzystania danych.
3. Ograniczenie celu przetwarzania – Wdrożenie mechanizmów technicznych gwarantujących, że wzorce biometryczne nie będą wykorzystywane do celów innych niż jasno określony cel przetwarzania.
4. Szyfrowanie danych – Wzorce biometryczne muszą być szyfrowane, aby zapewnić ich poufność, integralność i dostępność oraz chronić przed nieautoryzowanym dostępem.
5. Unikanie łączenia baz danych biometrycznych – Korzystanie z formatów i technologii, które uniemożliwiają integrację różnych baz biometrycznych i ujawnienie niezweryfikowanych danych.
6. Usuwanie danych po ustaniu celu przetwarzania – Dane biometryczne muszą być niezwłocznie usuwane, gdy przestaną być potrzebne do realizacji celu, dla którego zostały zebrane.
7. Ochrona danych już w fazie projektowania – Uwzględnienie zasad ochrony danych osobowych na każdym etapie projektowania i wdrażania systemu biometrycznego.
8. Ocena skutków dla ochrony danych (DPIA) – Przeprowadzenie szczegółowej analizy ryzyk i środków zabezpieczających przed rozpoczęciem przetwarzania, aby zapewnić zgodność z przepisami i ochronę praw osób, których dane dotyczą.

Podsumowanie

Wykorzystanie systemów biometrycznych przez pracodawcę zawsze wiąże się z przetwarzaniem danych wysokiego ryzyka, obejmujących szczególne kategorie danych osobowych. Przed przystąpieniem do takiego przetwarzania kluczowe jest przeprowadzenie i udokumentowanie pozytywnej oceny skutków dla ochrony danych (DPIA). Ocena ta powinna wykazać realizację dwóch podstawowych przesłanek: niezbędności oraz proporcjonalności przetwarzanych danych biometrycznych.

Po spełnieniu wymogów zgodności z przepisami RODO, pracodawca zobowiązany jest do zapewnienia odpowiedniego bezpieczeństwa danych poprzez wdrożenie właściwych środków technicznych i organizacyjnych.

Prezes Urzędu Ochrony Danych Osobowych jednoznacznie wskazuje, że przetwarzanie danych biometrycznych pracowników nie może być wykorzystywane do ewidencji czasu pracy. Zgodnie z obowiązującymi przepisami, takie przetwarzanie jest dopuszczalne jedynie w sytuacjach, gdy pracodawca wykaże jego konieczność w celu:

1. Kontroli dostępu do szczególnie ważnych informacji, których ujawnienie mogłoby narazić organizację na szkody.
2. Zapewnienia dostępu do pomieszczeń wymagających szczególnej ochrony.

Przestrzeganie tych zasad pozwala na zgodne z prawem i bezpieczne korzystanie z technologii biometrycznych w miejscu pracy.