W dobie nowoczesnych technologii coraz więcej przedsiębiorców sięga po zaawansowane systemy kontroli dostępu czy rejestracji czasu pracy, które opierają się na danych biometrycznych. Jednak stosowanie takich rozwiązań – np. skanów odcisków palców – wiąże się z bardzo poważnymi obowiązkami wynikającymi z przepisów o ochronie danych osobowych. Ich ignorowanie może kosztować przedsiębiorcę nie tylko utratę reputacji, ale też wysoką karę finansową. Sprawdź, czego unikać i jak działać zgodnie z prawem 📌
Dane biometryczne a RODO – kiedy wolno je przetwarzać?
Dane biometryczne, takie jak odciski palców, skany siatkówki oka czy geometria twarzy, są szczególną kategorią danych osobowych. Oznacza to, że ich przetwarzanie jest co do zasady zabronione, chyba że zachodzi jedna z nielicznych przesłanek legalizujących to przetwarzanie.
Zgodnie z art. 9 ust. 1 RODO:
„Zabrania się przetwarzania danych osobowych ujawniających […] dane biometryczne w celu jednoznacznego zidentyfikowania osoby fizycznej.”
Jednak art. 9 ust. 2 RODO przewiduje wyjątki, w których takie dane można przetwarzać – m.in. gdy osoba, której dane dotyczą, wyraziła wyraźną zgodę na ich przetwarzanie do określonych celów lub gdy przetwarzanie jest niezbędne do wykonania obowiązków i wykonywania szczególnych praw administratora lub osoby, której dane dotyczą, w dziedzinie prawa pracy.
⚠️ Uwaga! Zgoda pracownika na przetwarzanie danych biometrycznych w relacji pracodawca–pracownik musi być całkowicie dobrowolna, a więc nie może być warunkiem zatrudnienia, wypłaty wynagrodzenia czy korzystania z zaplecza socjalnego.
Przykład nr 1 – kara za brak współpracy i zbieranie danych bez podstawy
Pani Joanna, zatrudniona jako recepcjonistka w hotelu „Wrzosowa Polana” w okolicach Rybnika, zauważyła, że do systemu rejestracji czasu pracy musi codziennie przykładać palec do czytnika. Nikt nie zapytał jej o zgodę, nie wyjaśnił celu tego działania ani nie przekazał informacji o ochronie jej danych osobowych. Zgłosiła sprawę do Urzędu Ochrony Danych Osobowych.
UODO wezwał właściciela hotelu do złożenia wyjaśnień – zapytał m.in. o podstawę prawną, okres przechowywania danych, sposób zabezpieczenia systemu. Pracodawca całkowicie zignorował wezwania. Nie odpowiadał na pisma, nie stawił się na wezwanie urzędników, nie przekazał żadnej dokumentacji.
W związku z brakiem współpracy oraz podejrzeniem kontynuacji nielegalnego przetwarzania danych, Prezes UODO nałożył na niego karę w wysokości 18.900 zł. Kara była konsekwencją nie tyle samego przetwarzania danych biometrycznych, co braku współpracy z organem nadzorczym, co narusza art. 58 ust. 1 lit. e i f RODO.
Przykład nr 2 – zgodne z prawem stosowanie danych biometrycznych
Firma produkcyjna „TechMet” z Krosna wdrożyła system kontroli dostępu oparty na odciskach palców. Zanim jednak to zrobiła:
- przeprowadziła analizę ryzyka oraz ocenę skutków dla ochrony danych (DPIA),
- poinformowała pracowników o celu przetwarzania oraz ich prawach,
- zapewniła alternatywny sposób logowania (karta RFID),
- uzyskała dobrowolne i wyraźne zgody od tych pracowników, którzy chcieli korzystać z czytnika biometrycznego.
Dzięki temu kontrola UODO zakończyła się brakiem naruszeń, a firma otrzymała pochwałę za dobre praktyki w zakresie ochrony danych osobowych.
Co grozi za nielegalne zbieranie danych biometrycznych?
Nieprawidłowe przetwarzanie danych biometrycznych – bez zgody lub innej podstawy prawnej – może skutkować:
✔ karą administracyjną do 20 mln euro lub 4% rocznego obrotu (zgodnie z art. 83 ust. 5 RODO),
✔ nakazem zaprzestania przetwarzania danych,
✔ obowiązkiem usunięcia danych,
✔ roszczeniami cywilnymi ze strony pracowników,
✔ postępowaniem karnym w przypadku naruszenia praw pracowniczych.
Jak uniknąć kary? Zasady dla przedsiębiorcy 🧑💼
- Zastanów się, czy dane biometryczne są naprawdę niezbędne.
- W wielu przypadkach można zastosować inne środki (np. karty dostępu).
- Zawsze przeprowadź analizę DPIA, jeśli planujesz przetwarzać dane biometryczne.
- Informuj pracowników o celach i zakresie przetwarzania – spełnij obowiązek informacyjny z art. 13 RODO.
- Zadbaj o możliwość wyrażenia dobrowolnej zgody – i jej brak nie może wpływać negatywnie na sytuację pracownika.
- Zabezpiecz system technicznie i organizacyjnie, aby dane nie trafiły w niepowołane ręce.
- Współpracuj z UODO – brak reakcji na wezwania to prosta droga do wysokiej kary.
Podsumowanie
Zbieranie danych biometrycznych w miejscu pracy to temat wymagający ostrożności i precyzji. Nawet jeśli celem pracodawcy jest poprawa bezpieczeństwa lub efektywności pracy, nie może on działać poza granicami prawa. Brak reakcji na wezwania UODO może zostać potraktowany jako świadome utrudnianie kontroli, co samo w sobie stanowi poważne naruszenie. Zawsze warto działać przejrzyście, zgodnie z zasadami RODO i w dialogu z pracownikami.
Podstawa prawna
- art. 9 ust. 1 i ust. 2 – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (RODO) – zakaz i wyjątki dla przetwarzania danych biometrycznych,
- art. 58 ust. 1 lit. e i f – RODO – uprawnienia organu nadzorczego do żądania informacji i dostępu do danych,
- art. 83 ust. 5 – RODO – wysokość kar administracyjnych za poważne naruszenia przepisów,
- art. 22 § 1 i 1a – Kodeks pracy – zakres danych osobowych, jakich może żądać pracodawca od pracownika,
- art. 13 – RODO – obowiązek informacyjny administratora wobec osoby, której dane dotyczą.
Tematy porad zawartych w poradniku
- dane biometryczne pracownika
- zgoda na odcisk palca w pracy
- kara za brak współpracy z UODO
- kontrola UODO u pracodawcy
- przetwarzanie danych w RODO