
W dobie rozwoju nowych technologii weryfikacja osoby lub użytkownika przy pomocy tokenów, PIN-ów, kodów i kluczy stała się przeżytkiem. Pracownicy zapominali haseł, gubili klucze i stwarzali zagrożenie udostępnienia poufnych informacji osobom nieuprawnionym. Dlatego sporą popularność zyskały (i nadal zyskują) nowoczesne metody identyfikacji i weryfikacji, które wykorzystują techniki biometryczne. Te zaś wiążą się z przetwarzaniem informacji wymagających szczególnej ochrony (tzw. dane wrażliwe). Przetwarzanie tego typu danych bywa dla pracodawców kłopotliwe, bo zasadniczo jest przez prawo zakazane i może mieć miejsce tylko w wyjątkowych przypadkach.
W praktyce problematycznym okazuje się już samo ustalenie, czy w ogóle mamy do czynienia z danymi biometrycznymi. A jeśli tak, to kiedy ich wykorzystywanie jest możliwe. Takie dylematy mają zarówno pracodawcy, jak i twórcy systemów oraz aplikacji służących weryfikacji osób (użytkowników). Jak zmierzyć się z tym problemem? Na dobry początek warto zastanowić się, czy w ogóle mamy do czynienia z danymi biometrycznymi. A jeśli tak, to kiedy prawo umożliwia ich wykorzystywanie.
Czym jest biometria?
Biometria to nauka, która zajmuje się badaniem zmienności organizmów. Jest też techniką dokonywania pomiarów istot żywych. Stosuje się ją często do automatycznego rozpoznawania ludzi na podstawie ich indywidualnych cech fizycznych czy behawioralnych.
Wśród przykładowych sposobów wykorzystania technik biometrycznych znajdziemy:
- zastosowanie czytników linii papilarnych,
- systemy rozpoznawania tęczówki oka (rejestrujące obraz tęczówki),
- badania dna oka (siatkówki),
- analizy kształtu ucha lub kształtu i rozmieszczenia zębów,
- badania rozkładu temperatur na twarzy,
- badania DNA,
- systemy rozpoznawania zapachu ciała,
- systemy rozpoznawania głosu,
- techniki weryfikacji podpisów odręcznych,
- analizę tembru głosu,
- dynamikę posługiwania się klawiaturą,
- geometrię ruchu kursorem myszy,
- systemy rozpoznające emocje.
Co to są dane biometryczne?
W myśl definicji z Rodo:
„Dane biometryczne” oznaczają dane osobowe, które wynikają ze specjalnego przetwarzania technicznego, dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej oraz umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby, takie jak wizerunek twarzy lub dane daktyloskopijne.
Z danymi biometrycznymi będziemy mieć do czynienia, jeśli wszystkie elementy definicji będą spełnione. I tak na przykład wizerunek osoby fizycznej (utrwalony w postaci fotografii czy nagrania) w wielu przypadkach nie będzie daną biometryczną. Dopiero jego specjalne przetworzenie techniczne, umożliwiające lub potwierdzające jednoznaczną identyfikację danej osoby decyduje o zakwalifikowaniu tego typu informacji do danych biometrycznych.
Przepisy nie mówią o tym, w jaki sposób powinien odbywać się proces identyfikacji. Nie ma znaczenia czy ustalenie tożsamości będzie polegało na porównaniu”próbki”(czyli zebranych za pomocą techniki biometrycznej informacji) z bazą zgromadzonych danych różnych osób, czy też z danymi, które dotyczą jednej, konkretnej osoby. Istotne jest to, aby system umożliwiał lub potwierdzał jednoznaczną identyfikację osoby fizycznej.
Kiedy pracodawca może przetwarzać dane biometryczne ?
Rodo kataloguje dane biometryczne w ramach zbioru danych szczególnych kategorii. Oznacza to, że informacje te mają charakter sensytywny i wymagają szczególnej ochrony. Ich przetwarzanie jest zakazane, ale może mieć miejsce w wyjątkowych sytuacjach wskazanych w obowiązujących przepisach prawa.
Z perspektywy relacji pracownik-pracodawca dopuszczalność przetwarzania danych biometrycznych istnieje w następujących dwóch sytuacjach (podstawa prawna: art 21[1b] Kodeksu pracy):
1. Osoba ubiegająca się o zatrudnienie lub pracownik wyraził zgodę na przetwarzanie jego danych biometrycznych, ale wyłącznie w przypadku, gdy przekazanie tych danych następuje z inicjatywy osoby ubiegającej się o zatrudnienie lub pracownika;
2. Podanie takich danych jest niezbędne ze względu na kontrolę dostępu do szczególnie ważnych informacji, których ujawnienie może narazić pracodawcę na szkodę, lub dostępu do pomieszczeń wymagających szczególnej ochrony.
Ponadto, do przetwarzania danych osobowych biometrycznych mogą być dopuszczone wyłącznie osoby posiadające pisemne upoważnienie wydane przez pracodawcę. Takie osoby zobowiązane są do zachowania pozyskanych informacji w tajemnicy.
Mamy zatem do czynienia z dwiema sytuacjami, które uprawniają pracodawcę do legalnego przetwarzania danych biometrycznych. Pierwszą z nich jest zgoda, która powinna mieć charakter dobrowolny, jednoznaczny, świadomy i uprzedni. Drugą jest niezbędność przetwarzania z uwagi na kontrolę dostępu do szczególnie ważnych informacji oraz pomieszczeń.
Udzielenie zgody powinno wynikać z inicjatywy pracownika (odmienna regulacja niż przy danych zwykłych). Pracodawca nie powinien więc „karać pracownika” za to, że ten nie zgodził się na przetwarzanie danych biometrycznych. Np.: nie chce zamienić karty magnetycznej na rejestrację czasu pracy przy użyciu odcisku palca lub systemu rejestrującego obraz jego tęczówki oka.
Jakie negatywne konsekwencje niesie niezgodne z prawem przetwarzanie danych biometrycznych?
Nielegalne przetwarzanie danych biometrycznych pracownika może skutkować zarówno naruszeniem przepisów o ochronie danych osobowych, jak i przepisów z zakresu prawa pracy. A co za tym idzie może zakończyć się nałożeniem pieniężnej kary administracyjnej przez Prezesa UODO i grozić postępowaniem cywilnym lub karnym. Co więcej, pracownik, który uzna, że jego inwigilacja i kontrola idzie za daleko oraz przekracza granice udzielonych zgód może także złożyć skargę do Państwowej Inspekcji Pracy i wystąpić do sądu pracy.
Podsumowanie
Zastosowanie w środowisku pracy nowych technologii może wiązać się z przetwarzaniem danych osobowych, w tym danych biometrycznych. Sprzyja temu popularność systemów rejestrujących czas pracy i analizujących wydajność pracy, które mają zwiększyć zyski firm. Część pracodawców sięga nawet po narzędzia, za pomocą których monitoring wykracza poza granice obowiązków służbowych…
Projektowaniu i wdrażaniu tego typu rozwiązań każdorazowo powinna towarzyszyć analiza pod kątem zgodności z obowiązującymi regulacjami. W tym również z zasadami Rodo, wśród których znajdziemy m.in. : legalność, minimalizację, spełnienie obowiazków informacyjnych, ograniczenie przetwarzania. I nie chodzi tu wyłącznie o zgodność z paragrafem. Przede wszystkim istotne jest ozachowanie balansu pomiędzy korzyściami płynącymi dla pracodawcy, a dobrami osobistymi pracownika. Każdorazowo nie należy zapominać, że za danymi osobowymi zawsze stoi człowiek. A prawo, w tym Rodo, mają służyć ochronie jednego najważniejszych dóbr – prawa do prywatności.