Prezes Urząd Ochrony Danych Osobowych Mirosław Wróblewski w komentarzu dla Forsal.pl jednoznacznie wskazał, że odcisk palca to dana biometryczna należąca do szczególnej kategorii danych osobowych, objętych co do zasady zakazem przetwarzania na mocy RODO. Stanowisko to podzielają zarówno Ministerstwo Rodziny, Pracy i Polityki Społecznej, jak i Państwowa Inspekcja Pracy. W ocenie Naczelnego Sądu Administracyjnego, zgoda pracownika nie legalizuje pobierania odcisków palców w celu ewidencji obecności. W relacji pracodawca–pracownik trudno bowiem mówić o pełnej dobrowolności, a ryzyko naruszenia praw i wolności musi pozostawać proporcjonalne do celu przetwarzania danych.

Urząd Ochrony Danych Osobowych: Biometria nie do ewidencji czasu pracy

W ocenie prezesa UODO Mirosława Wróblewskiego, odcisk palca jest daną biometryczną. Odcisk palca niewątpliwie należy do tzw. danych biometrycznych, tj. unikalnych informacji o cechach fizycznych, fizjologicznych lub behawioralnych człowieka. Ogólne rozporządzenie o ochronie danych osobowych (RODO) w art. 9 ust. 1 wprowadza zaś zakaz przetwarzania takich danych, jako należących do szczególnej kategorii – powiedział Wróblewski. Dodał, że istnieją wyjątki od tego zakazu.

W przypadku stosunków pracy wyjątek opisany został w art. 9 ust.2 lit. B, który stanowi, że ust. 1 nie ma zastosowania, jeżeli „przetwarzanie jest niezbędne do wypełnienia obowiązków i wykonywania szczególnych praw przez administratora lub osobę, której dane dotyczą, w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej, o ile jest to dozwolone prawem Unii lub prawem państwa członkowskiego, lub porozumieniem zbiorowym na mocy prawa państwa członkowskiego przewidującymi odpowiednie zabezpieczenia praw podstawowych i interesów osoby, której dane dotyczą”.

Prezes UODO zauważył, że zakres danych osobowych, jakie pracodawca może pozyskiwać w związku z zatrudnieniem został określony w art. 221 Kodeksu pracy. Zgodnie z § 1 tego artykułu, pracodawca ma prawo żądać od osoby ubiegającej się o zatrudnienie podania danych osobowych obejmujących: imię (imiona), nazwisko, datę urodzenia, dane kontaktowe wskazane przez taką osobę, wykształcenie oraz przebieg dotychczasowego zatrudnienia. Zakres danych osobowych, jakie pracodawca może pozyskiwać od pracownika jest szerszy. Został on określony w § 3 powołanego przepisu i obejmuje, poza danymi, o których mowa w § 1, również inne dane osobowe pracownika, jak: adres zamieszkania, a także imiona i nazwiska oraz daty urodzenia dzieci pracownika, jeżeli podanie takich danych jest konieczne ze względu na korzystanie przez pracownika ze szczególnych uprawnień przewidzianych w prawie pracy, numer PESEL oraz numer rachunku płatniczego, jeżeli pracownik nie złożył wniosku o wypłatę wynagrodzenia do rąk własnych. Wróblewski dodał także, że w art. 22 (1b) Kodeksu pracy dopuszczono przetwarzanie danych biometrycznych przez pracodawców, gdy jest to niezbędne ze względu na kontrolę dostępu do szczególnie ważnych informacji, których ujawnienie może narazić pracodawcę na szkodę, lub dostępu do pomieszczeń wymagających szczególnej ochrony.

Nie ma więc w prawie krajowym ani unijnym podstaw prawnych do przetwarzania takich danych w celu ewidencjonowania czasu pracy. O ile samo ewidencjonowanie czasu pracy jest prawnym obowiązkiem pracodawcy, to ma on dużą swobodę w wyborze konkretnego sposobu rejestrowania godzin wejścia do zakładu i opuszczania go. Zbieranie w tym celu akurat odcisków palców byłoby naruszeniem zasady minimalizacji danych, gdyż dla osiągnięcia tego celu możliwe jest stosowanie metod wymagających zbierania mniejszej ilości i mniej wrażliwych danych osobowych – podsumował Wróblewski.

Prezes Urzędu Ochrony Danych Osobowych konsekwentnie stoi na stanowisku, że wykorzystywanie danych biometrycznych do ewidencjonowania czasu pracy jest niedopuszczalne. Jasno wybrzmiało to m.in. w poradniku dla przedsiębiorców dotyczącym ochrony danych osobowych w miejscu pracy, opublikowanym przez Urząd Ochrony Danych Osobowych w październiku 2018 r. W rozdziale 4.3.2 dokumentu podkreślono, że nawet dobrowolna zgoda pracownika na przekazanie danych biometrycznych nie może stanowić podstawy ich przetwarzania w celu rejestrowania czasu pracy.

Taką interpretację potwierdza również linia orzecznicza sądów administracyjnych. W wyroku z 6 września 2011 r. (sygn. I OSK 1476/10) Naczelny Sąd Administracyjny jednoznacznie uznał, że pracodawca nie ma prawa wykorzystywać odcisków palców do ewidencji czasu pracy — nawet za zgodą zatrudnionego. Sąd wskazał, że praktyka ta narusza zasadę niezbędności i proporcjonalności przetwarzania danych oraz przepisy Kodeksu pracy.

Ministerstwo Rodziny, Pracy i Polityki Społecznej: Zgoda pracownika nie rozwiązuje problemu

Ministerstwo rodziny, pracy i polityki społecznej także podziela pogląd prezesa UODO. Resort w swojej odpowiedzi dla Forsal.pl przypomniał m.in. stanowisko GIODO (byłego organu państwowego za nadzór nad przetwarzaniem danych osobowych i ochronę praw obywateli w tym zakresie), w którego ocenie gromadzenie przez firmę odcisków linii papilarnych zatrudnionych w celu kontroli czasu pracy jest zabronione.

Są to też informacje nieadekwatne do celu, jaki pracodawca zamierza osiągnąć przy ich wykorzystaniu. Czas pracy można bowiem kontrolować za pośrednictwem innych środków, mniej ingerujących w czyjąś prywatność – wskazał resort w odpowiedzi. W ocenie resortu „żądanie udostępnienia linii papilarnych lub wzoru tęczówki oka dla celów prowadzenia ewidencji czasu pracy jest zbyt daleko posuniętą ingerencją we wrażliwe dane o człowieku i nie powinna być dopuszczona”.

Resort wskazał, że można rozważyć wprowadzenie urządzeń skanujących linie papilarne lub tęczówkę oka jako narzędzie kontrolujące i ograniczające dostęp do pewnych pomieszczeń do których wstęp ma ograniczona grupa pracowników ze względu na konieczność zachowania tajemnicy i bezpieczeństwa (skarbiec w banku, laboratoria, działy badawczo – rozwojowe, etc.).

W przesłanej odpowiedzi ministerstwo przekazało, że możliwość stosowania badań psychologicznych, wariograficznych czy biometrycznej kontroli czasu pracy jest uzależniania od uzyskania zgody pracownika w tym względzie. Jednakże uzyskanie i przetwarzanie innych danych osobowych, niż te, które można żądać na podstawie przepisów prawa jest uwarunkowana dobrowolną zgodą osoby, której te dane dotyczą. 

Resort zwrócił także uwagę na to, że dobrowolna zgoda ma w ramach stosunku pracy często charakter iluzoryczny z uwagi na to, że pracodawca jest silniejszą stroną stosunku pracy.Zgoda jest często wymuszana z obawy pracownika przed utratą pracy, pominięciem w awansach, uznaniem pracownika za nielojalnego. Rzadkie byłyby zatem przypadki, w których pracownik takiej zgody by odmówił. Także w procesie rekrutacji odmowa wyrażenia zgody na przeprowadzenie np. badań psychologicznych powoduje, że szanse zatrudnienia są redukowane do minimum – wskazał resort w odpowiedzi. 

Państwowa Inspekcja Pracy: Brak podstaw prawnych do skanowania odcisków palców

Departament Prawny Głównego Inspektoratu Pracy Państwowej Inspekcji Pracy w komentarzu dla Forsal.pl także podkreślił, że odcisk palca należy do danych biometrycznych, podlegających szczególnej ochronie jako tzw. dane wrażliwe. Zgodnie art. 9 ust. 2 lit b RODO przetwarzanie danych biometrycznych w dziedzinie prawa pracy jest dopuszczalne, gdy jest to niezbędne do wypełnienia obowiązków i wykonywania szczególnych praw przez administratora lub osobę, której dane dotyczą, o ile jest to dozwolone prawem Unii lub prawem państwa członkowskiego, lub porozumieniem zbiorowym na mocy prawa państwa członkowskiego przewidującymi odpowiednie zabezpieczenia praw podstawowych i interesów osoby, której dane dotyczą.

Departament w odniesieniu do art. 221b k.p., wskazał, że „przetwarzanie danych biometrycznych pracownika w celu rejestracji czasu pracy nie znajduje podstaw w obowiązujących przepisach, co oznacza, że pracodawca nie może skanować czy pobierać danych biometrycznych pracowników w celu rejestracji godzin przyjścia i wyjścia z zakładu, nawet za zgodą takiego pracownika”.

Departament podkreślił, że pobieranie danych biometrycznych od pracowników nie może służyć celowi, jakim jest ewidencja czasu pracy, a jedynie ograniczeniu dostępu do miejsc, w stosunku, do których pracodawca może wymagać specjalnych uprawnień ze względu na tajemnice przedsiębiorstwa bądź ograniczony zakres osób o fachowych umiejętnościach mogących dostać się na pewien chroniony obszar. Pracodawca - zgodnie z zasadą rozliczalności - nie byłby w stanie wykazać, dlaczego stosuje monitoring danych biometrycznych dla celów związanych z obecnością w pracy. Trzeba także pamiętać, że dane biometryczne to dane szczególnej kategorii i mogą być przetwarzane tylko w enumeratywnie wymienionych sytuacjach, wśród których nie ma kwestii odnotowywania obecności pracownika w pracy. Dodatkowo wskazać należy, że ewentualna zgoda pracownika na pobranie odcisku palca w celu weryfikacji czasu pracy może nie być uznana za dobrowolną i nie powinna stanowić samodzielnej podstawy przetwarzania tych danych, co znajduje potwierdzenie w orzecznictwie – wskazał Departament Prawny Głównego Inspektoratu Pracy Państwowej Inspekcji Pracy.

Naczelny Sąd Administracyjny: Zasada proporcjonalności ponad technologiczną wygodą

Departament przytoczył także wyrok NSA ws. dobrowolności wyrażenia zgody na pobieranie i przetwarzanie danych osobowych. Jak wskazał Naczelny Sąd Administracyjny w wyroku z 1 grudnia 2009 r. (sygn. I OSK 249/09), (…) brak równowagi w relacji pracodawca - pracownik stawia pod znakiem zapytania dobrowolność wyrażenia zgody na pobieranie i przetwarzanie danych osobowych (biometrycznych). Z tego względu ustawodawca ograniczył przepisem art. 22 Kodeksu pracy katalog danych, których pracodawca może żądać od pracownika. Uznanie faktu wyrażenia zgody jako okoliczności legalizującej pobranie od pracownika innych danych niż wskazane w art. 22 Kodeksu pracy, stanowiłoby obejście tego przepisu. Dodatkowo NSA podkreślił, że (…) ryzyko naruszenia swobód i fundamentalnych praw obywatelskich musi być proporcjonalne do celu, któremu służy. Skoro zasada proporcjonalności, jest głównym kryterium przy podejmowaniu decyzji dotyczących przetwarzania danych biometrycznych, to stwierdzić należy, że wykorzystanie danych biometrycznych do kontroli czasu pracy pracowników jest nieproporcjonalne do zamierzonego celu ich przetwarzania. Pracodawca może monitorować pocztę elektroniczną swoich pracowników, ale musi pamiętać, że uprawnienie to dotyczy tylko służbowej poczty elektronicznej. Ma takie prawo, jeżeli jest to niezbędne do zapewnienia organizacji pracy umożliwiającej pełne wykorzystanie.