Słowniczek

Dane biometryczne pracowników

Dane biometryczne pracowników to dane osobowe wynikające ze specjalnego przetwarzania technicznego, dotyczące cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej, umożliwiające lub potwierdzające jednoznaczną identyfikację — np. odciski palców, skan siatkówki oka, geometria dłoni, rozpoznawanie twarzy, próbki głosu czy wzorzec pisma. RODO klasyfikuje dane biometryczne jako szczególną kategorię danych (art. 9), których przetwarzanie jest co do zasady zakazane, z wyjątkami. W kontekście HR dane biometryczne najczęściej wykorzystywane są w systemach kontroli dostępu (rejestracja czasu pracy, dostęp do pomieszczeń). Kodeks pracy (art. 22¹b) dopuszcza przetwarzanie danych biometrycznych pracownika wyłącznie gdy jest to niezbędne ze względu na kontrolę dostępu do szczególnie ważnych informacji lub pomieszczeń wymagających szczególnej ochrony. Przed wdrożeniem biometrii wymagana jest DPIA.

Co do zasady nie — sam cel ewidencji czasu pracy nie uzasadnia biometrii (są mniej inwazyjne metody: karty, PIN). Biometria dopuszczalna tylko do kontroli dostępu do szczególnie ważnych informacji/pomieszczeń. UODO wielokrotnie kwestionował biometrię w RCP.

Gdy jest niezbędna ze względu na kontrolę dostępu do: szczególnie ważnych informacji (tajemnica przedsiębiorstwa, dane wrażliwe), pomieszczeń wymagających szczególnej ochrony (serwerownia, laboratorium, skarbiec). Wymaga DPIA i proporcjonalności.

Wyjątkowo — tylko dla kontroli dostępu do pomieszczeń o szczególnej ochronie. Stosowanie FRT (facial recognition) do ogólnej kontroli obecności lub monitoringu nastroju pracowników jest nielegalne. UODO i europejskie organy ochrony danych są krytyczne wobec FRT.

DPIA przed wdrożeniem, minimalizacja danych (przechowywać wzorce, nie surowe dane), szyfrowanie, kontrola dostępu do systemu biometrycznego, informacja dla pracowników, wpis do RCP, regularna ocena proporcjonalności i alternatyw.

Usunąć niezwłocznie — brak podstawy prawnej do dalszego przetwarzania. Wzorce biometryczne muszą być trwale usunięte z systemu w dniu ustania stosunku pracy. Potwierdzenie usunięcia powinno być udokumentowane.

Powiązane pojęcia

Inspektor Ochrony Danych (IOD)

Monitoring pracowników

Naruszenie ochrony danych osobowych

Obowiązek informacyjny RODO

Ocena skutków dla ochrony danych (DPIA)