Czy klient Pracodawcy spoza Unii Europejskiej, może zażądać danych biometrycznych pracowników poprzez aplikację na prywatnych telefonach pracowników?

Odpowiedź:

W opisywanej sytuacji klient ma prawo wnioskować w zakresie zwartej umowy o wskazywane dane osobowe, ale obie strony, zarówno Klient, jak i Pracodawca przetwarzając dane biometryczne muszą działać zgodnie i w oparciu o przepisy dotyczące ochrony danych osobowych, w tym min. posiadać podstawę prawną przetwarzania. Warunki na jakich dochodzi do przetwarzania określonych danych osobowych powinny być ujęte w zawartej pomiędzy stronami umowie.

Postaram się w miarę możliwości odnieść do poruszanego problemu w poniższym uzasadnieniu, chociaż uzasadnienie mojej odpowiedzi może być – z uwagi na skomplikowany i wielkoaspektowy poziom zapytania niewystarczające lub nietrafne w obliczu innych elementów lub szczególnych okoliczności, nie zawartych w pytaniu.

Uzasadnienie odpowiedzi:

Poruszony w Pańskim zapytaniu problem dotyczy kliku aspektów prawnych, które źródło mają w zgodnym z prawem przetwarzaniu danych biometrycznych, należących do szczególnej kategorii danych osobowych, zwanych również danymi wrażliwymi lub sensytywnymi. Przetwarzanie danych osobowych zwykłej lub szczególnej kategorii, a do tej należą dane biometryczne, zawsze odbywać się powinno w oparciu o właściwą podstawę prawną, przy czym, dane szczególnej kategorii podlegają ścisłej ochronie a zgodnie z art. 9 ust 1 RODO ich przetwarzanie jest co do zasady zabronione.

Cytowany artykuł RODO w ust.2 pkt. b) zawiera przesłanki, w jakiej sytuacji może dochodzić do przetwarzania danych sensytywnych. Okolicznością tą może być niezbędność do wypełnienia obowiązków i wykonywania szczególnych praw w przedmiotowej sytuacji przez Firmę „lub osobę, której dane dotyczą, w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej, o ile jest to dozwolone prawem Unii lub prawem państwa członkowskiego, lub porozumieniem zbiorowym na mocy prawa państwa członkowskiego przewidującymi odpowiednie zabezpieczenia praw podstawowych i interesów osoby, której dane dotyczą”.

Polski ustawodawca na gruncie prawa pracy odniósł się do przetwarzania danych biometrycznych wskazując w art. 22 1b w § 1przesłankę zgody osoby ubiegającej się o zatrudnienie lub pracownika, która stanowić może podstawę przetwarzania przez pracodawcę danych szczególnych, z zastrzeżeniem, że takie przetwarzanie odbywać się może wyłącznie w przypadku, przekazania tych danych z inicjatywy osoby ubiegającej się o zatrudnienie lub pracownika. W § 2 cytowanego przepisu, mowa o dopuszczalności przetwarzania danych biometrycznych pracownika, wyłącznie w sytuacji, gdy podanie takich danych jest niezbędne ze względu na kontrolę dostępu do szczególnie ważnych informacji, których ujawnienie może narazić pracodawcę na szkodę, lub dostępu do pomieszczeń wymagających szczególnej ochrony. Poza tym należy zauważyć, że informacje zaliczane do danych szczególnych, w tym dane biometryczne, podlegają szczególnej ochronie, gdyż kontekst ich przetwarzania może powodować poważne ryzyko dla podstawowych praw i wolności, a o wyjątkowej pozycji przedmiotowych danych mówią również motywy RODO 51-56. Przetwarzanie danych biometrycznych odbywać się może wyłącznie w wyjątkowych sytuacjach i takie stanowisko prezentuje również polski organ nadzorczy Prezes Urzędu Ochrony Danych Osobowych (por. decyzja ZSZZS.440.768.2018 Decyzje Prezesa UODO - UODO i Aktualności - UODO).

Dodatkowo wypada wskazać, że oprócz zgodnego z prawem przetwarzania danych uwzględnione powinny być pozostałe zasady dyktowane przez rozporządzenie, czyli minimalizacja danych, ograniczenie celu oraz przechowywania, integralność i poufność.

Każda zaś czynność związana z przetwarzaniem, powinna być komunikowana osobom, których te dane dotyczą w sposób wyczerpujący, a treść przekazana prostym, jasnym i zrozumiałym językiem. Forma przekazywania informacji na temat przetwarzania danych jest dowolna, a zatem można zrealizować ten obowiązek zarówno komunikacją wewnętrzną, jak i wielowarstwowymi informacjami np. na stronie internetowej w komunikacie lub dodatkowej (na potrzeby konkretnego procesu) klauzuli informacyjnej. Jest to obowiązek administratora danych, w tym przypadku Pańskiej firmy i jako obowiązek wynikający z RODO powinny zostać dopełnione.

Podkreślenia również wymaga fakt, że w przypadku przesyłania danych za pomocą NFC, istnieje ryzyko, że mogą one zostać przechwycone przez osoby trzecie, co dodatkowo jeszcze

potęguje potrzebę weryfikacji stosowanych zabezpieczeń i celowości przetwarzania danych biometrycznych.

Dodatkowo pojawia się również kwestia transferu danych poza terytorium EOG i wywiązywanie się z przepisów rozdziału V RODO dotyczącego danych osobowych do państw trzecich lub organizacji międzynarodowych.

Na koniec chciałabym także zwrócić uwagę, na wykorzystywanie telefonu prywatnego w celach służbowych, bez wyraźnej podstawy prawnej takiego przetwarzania, chyba, że wyrażona została wcześniej przez Pana lub innych pracowników firmy odpowiednia zgoda.

Reasumując przytoczone przez Pana okoliczności sprawy nasuwają szereg wątpliwości co do prawidłowego stosowania przepisów i funkcjonowania systemu ochrony danych osobowych w organizacji, polegające m.in. na nie spełnieniu wszystkich zasad rozporządzenia, nieprawidłowym wyborze lub braku podstaw prawnych przetwarzania danych osobowych, nieprawidłowym wypełnieniu obowiązku informacyjnego i kwestii oceny w zakresie transferu danych.