Nowe technologie, takie jak np. rozpoznawanie twarzy, identyfikowanie osób za pomocą odcisków palca czy skanu siatkówki oka, interesują mnie szczególnie mocno. To co nowe jest zawsze dla prawa pewnego rodzaju zagadką – chociaż RODO to akt prawny, który nie ma być zaskakiwany i wyprzedzany przez technologię. Dlatego rozporządzenie reguluje postępowanie z danymi biometrycznymi.
Zabezpiecza przy tym w szczególny sposób prawa osób, których te dane dotyczą. Dzieje się tak m.in. dlatego, że dane biometryczne zostały uznane za dane szczególnej kategorii – podobnie jak np. dane o stanie zdrowia albo o orientacji seksualnej. Tym samym dane te są objęte ochroną w wyższym stopniu niż zwykłe dane.
Czym jest ta cała biometria?
Biometria, najogólniej rzecz ujmując, to taka technologia, która umożliwia jednoznaczną identyfikację osoby na podstawie indywidualnych cech jej organizmu. Dane biometryczne to takie dane, które dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby i, za pomocą specjalnych środków technicznych, umożliwiają identyfikację osoby, której dane dotyczą.
Dzięki możliwości rozpoznawania ludzi za pomocą danych biometrycznych możliwe jest zabezpieczanie dostępu do różnego rodzaju urządzeń, takich jak telefony komórkowe lub komputery, odblokowywane za pomocą czytnika odcisków palca lub skanera twarzy. Nie ma również przeszkód aby autoryzować w ten sposób osoby, które korzystają z bankomatów albo mają prawo wstępu do ważnych pomieszczeń.
Jakie są podstawy przetwarzania danych biometrycznych?
Dane biometryczne są danymi szczególnej kategorii. Oznacza to, że w RODO mamy generalny zakaz ich przetwarzania – na szczęście są od tego dość liczne wyjątki.
Dane szczególnej kategorii (a więc również dane biometryczne) mogą być przetwarzane między innymi w następujących sytuacjach (wyróżniłem tu te sytuacje, które występują najczęściej w związku z prowadzoną działalnością gospodarczą):
osoba, której dane dotyczą, wyraziła wyraźną zgodę na przetwarzanie tych danych osobowych – najprostszą sytuacją jest taka, gdy osoba, której dane biometryczne mają być przetwarzane, wyraża na to zgodę. Zgoda ma być wyraźna – mamy tu więc wyższe wymogi niż te, które odnoszą się do zwykłej zgody na przetwarzanie danych osobowych. Oznacza to, że taka zgoda nie powinna wynikać z okoliczności a być po prostu oświadczeniem takiej osoby – nie musi być ono pisemne, ale zaleca się aby miało taką formę aby możliwe było wykazanie, że rzeczywiście została ona udzielona – np. w formie elektronicznej albo właśnie pisemnej.
przetwarzanie jest niezbędne do wypełnienia obowiązków i wykonywania szczególnych praw przez administratora lub osobę, której dane dotyczą, w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej, o ile jest to dozwolone prawem Unii lub prawem państwa członkowskiego, lub porozumieniem zbiorowym na mocy prawa państwa członkowskiego przewidującymi odpowiednie zabezpieczenia praw podstawowych i interesów osoby, której dane dotyczą – możemy przetwarzać dane biometryczne w sytuacji gdy wynika to np. z przepisów prawa pracy. To ważne, bo w polskim prawie takie właśnie sytuacje są przewidziane i mamy tego rodzaju uregulowania w naszym Kodeksie Pracy. Szczegóły poniżej.
przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej, a osoba, której dane dotyczą, jest fizycznie lub prawnie niezdolna do wyrażenia zgody – tutaj też sytuacja jest prosta – przetwarzamy dane biometryczne po to aby chronić czyjeś życie i zdrowie. W praktyce polskiego przedsiębiorcy zdarza się to jednak niezmiernie rzadko.
przetwarzanie dotyczy danych osobowych w sposób oczywisty upublicznionych przez osobę, której dane dotyczą – tu nasuwa się jedno pytanie – w jaki sposób upublicznić dane biometryczne? Chodzi tu o takie działanie, gdy osoba jest świadoma, że jej dane będą przetwarzane jako dane biometryczne. Zostawienie odcisku palca na ławce w parku albo umożliwienie zeskanowania naszej twarzy kamerze monitoringu nie jest świadomym upublicznieniem tych danych,
przetwarzanie jest niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego, leczenia lub zarządzania systemami i usługami opieki zdrowotnej (…) – dane biometryczne mogą być przetwarzane w celach ochrony zdrowia.
przetwarzanie jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń lub w ramach sprawowania wymiaru sprawiedliwości przez sądy – w tym miejscu robi się ciekawie. Możemy bowiem przetwarzać dane biometryczne w sytuacji gdy jest to niezbędne do dochodzenia roszczeń przed sądem lub chcielibyśmy w inny sposób dochodzić roszczeń (np. w drodze mediacji). Jeśli ktoś więc porysował nam samochód i zostawił przy tym odcisk palca na klamce, nie ma przeszkód abyśmy powołali to jako dowód przed sądem.
Inne przesłanki nie są dla nas tak istotne – dotyczą bowiem działalności instytucji publicznych, zapobieganiu chorobom zakaźnym czy też celom historycznym. Skupmy się więc na tym co mamy.
Biometria a Kodeks pracy
I teraz przechodzimy do kluczowej części tego artykułu. Skoro jedną z przesłanek przetwarzania danych biometrycznych, są przepisy prawa pracy, sprawdźmy co na ten temat napisano właśnie w Kodeksie pracy. W praktyce bowiem większość sytuacji gdy polscy przedsiębiorcy przetwarzają dane biometryczne na innej podstawie niż zgoda osoby, której dane dotyczą, dotyczy właśnie danych pracowników, które są przetwarzane zgodnie z Kodeksem pracy.
Mówi on, że przetwarzanie danych biometrycznych pracownika jest dopuszczalne nie tylko na podstawie odebranej od pracownika zgody, ale także gdy podanie takich danych jest niezbędne ze względu na kontrolę dostępu do szczególnie ważnych informacji, których ujawnienie może narazić pracodawcę na szkodę, lub dostępu do pomieszczeń wymagających szczególnej ochrony.
Pracodawca musi mieć więc na terenie zakładu pracy takie miejsca, które są szczególnie chronione. To mogą być pomieszczenia w których są przechowywane bardzo ważne informacje, których utrata naraziłaby go na straty. Tego rodzaju dane mogą być w posiadaniu banków, szpitali, ale także firm technologicznych czy produkcyjnych, które chronią swoje wynalazki, badania technologiczne i inne istotne (drogie, tzn. dużo warte) kwestie związane ze swoją własnością intelektualną. Nie tylko o informacje tu jednak chodzi. Szczególnie chronionymi pomieszczeniami mogą być też np. miejsca gdzie prowadzone są jakieś badania albo przechowywane szczególnie cenne rzeczy (np. dzieła sztuki).
Co ze zgodą na biometrię?
Jeżeli mamy takie miejsce na terenie zakładu pracy, możemy wprowadzić weryfikację osób wchodzących za pomocą biometrii. W takiej sytuacji nie musimy odbierać osobnej zgody od tych osób na przetwarzanie danych osobowych. Podstawą do ich przetwarzania jest prawie uzasadniony interes administratora danych, podobnie jak w przypadku monitoringu.
Czy jeśli szczególnie istotne informacje znajdują się tylko w niektórych pomieszczeniach, można zabezpieczyć dostęp do całego budynku na podstawie danych biometrycznych?
Kodeks pracy nie zabrania takiej możliwości, musimy mieć jednak na uwadze zasadę minimalizacji znaną z RODO. Jeżeli więc dostęp do tych szczególnie wrażliwych informacji ma jedynie kilku pracowników, znajdują się one w małej części pomieszczeń, a my chcemy na tej podstawie wprowadzić wejścia na podstawie biometrii do całego budynku, to nie będzie to prawidłowe rozwiązanie.
Natomiast jeżeli ważne informacje są przechowywane w większej (choć nie wszystkich) liczbie pomieszczeń, a dostęp do nich ma zdecydowana większa ilość pracowników (niekoniecznie wszyscy) to moim zdaniem możemy wprowadzić weryfikację wchodzących pracowników na podstawie biometrii. Uwaga! Dotyczy to osób, które u nas pracują, a nie np. gości – tutaj zbieranie danych biometrycznych byłoby moim zdaniem przesadą.
Przetwarzanie danych biometrycznych jest obwarowane wieloma wymogami prawnymi. Jeśli masz jakieś dodatkowe pytania, możesz śmiało się ze mną skontaktować, pisząc na kontakt@bytelaw.pl, albo korzystając z formularza kontaktowego tutaj.