Czym są dane biometryczne?

Pojęcie danych osobowych nie budzi większych wątpliwości, zwłaszcza mając na uwadze fakt, iż od pewnego czasu, na mocy ogólnego rozporządzenia o ochronie danych (RODO) są one chronione w szczególny sposób. Tymczasem dane biometryczne stanowią szczególny rodzaj danych osobowych. Są to cechy fizyczne, fizjologiczne lub behawioralne, które można jednoznacznie przypisać konkretnej osobie. Ich znajomość pozwala więc na bezbłędną identyfikację każdego człowieka. Biometryka wykorzystywana jest powszechnie w celach ochronnych – przykładowo, chcąc wyrobić paszport, zostaną od nas pobrane odciski palców. Niemniej jednak tego rodzaju dane muszą zostać odpowiednio zabezpieczone, gdyż ich wyciek może okazać się brzemienny w skutkach. Dane biometryczne, w przeciwieństwie do danych takich jak adres zamieszkania czy numer telefonu, są niezmienne. Dlatego też coraz częściej wykorzystywane są na przykład przez producentów urządzeń elektronicznych. Zostaną one uruchomione wyłącznie po zidentyfikowaniu potencjalnego użytkownika, lecz nie za pomocą haseł czy PIN-u, a odcisków palców lub skanu tęczówki oka. Takie rozwiązanie wydaje się bardzo praktyczne, przez co budzi zainteresowanie pracodawców. Tymczasem instytucje zajmujące się zagadnieniem ochrony danych osobowych rygorystycznie podchodzą do tematu gromadzenia i przetwarzania danych biometrycznych. Pracodawca ma prawo pobierać je wyłącznie w określonym celu – jeśli są one niezbędne do kontrolowania dostępu do ważnych informacji, których wyciek może narazić przedsiębiorcę na straty lub odpowiedzialność karną. Jednocześnie pracownik musi wyrazić zgodę na pobranie oraz przetwarzanie tego rodzaju danych.


Jakie są rodzaje danych biometrycznych?

Dane biometryczne można podzielić na:

  • fizyczne,

  • fizjologiczne,

  • behawioralne.

Przypisane są one do konkretnej osoby, umożliwiając jej identyfikację. Dane biometryczne pozyskuje się z:

  • linii papilarnych,

  • siatkówki oka,

  • kształtu twarzy,

  • tonu głosu,

  • sposobu zachowania,

  • charakteru pisma,

  • kształtu ucha.

Niemniej jednak w zakładach pracy najczęściej do identyfikowania zatrudnionych wykorzystuje się skan siatkówki oka lub kształtu twarzy. Cała procedura trwa zaledwie kilka sekund – urządzenie skanuje twarz pracownika, a następnie przetwarza pozyskane dane.

Czy dane biometryczne mogą być wykorzystywane do ewidencji czasu pracy?

Ewidencja czasu pracy umożliwia ustalenie, w jakich godzinach zatrudniony przebywał w zakładzie. Stanowi ona podstawowy dokument, za pomocą którego pracownicy działu kadr i płac rozliczają nadgodziny, urlopy czy wyjścia prywatne w godzinach pracy. Tradycyjnym sposobem rejestrowania czasu pracy jest sporządzanie list obecności, na których każdy pracownik składa podpis, przychodząc do pracy oraz wychodząc z niej. Niemniej jednak automatyzacja procesów umożliwia szybsze i efektywniejsze rejestrowanie czasu pracy. Przedsiębiorcy mogą korzystać ze specjalnych programów, kompatybilnych z systemami kadrowo-płacowymi, do których następuje bezpośrednie przekazanie danych. Elektroniczny obieg dokumentów umożliwia szybsze przetwarzanie pozyskanych informacji. Ewidencjonowanie czasu pracy w nowoczesny sposób zapobiega nadużyciom, a jednocześnie pozwala sprawować kontrolę nad pracownikami. Pracodawcy coraz częściej rozważają wykorzystanie biometrii do rejestrowania czasu pracy. Bardzo popularne stało się logowanie biometryczne, za pomocą którego zatrudnieni mogą uzyskać dostęp do informacji. Warto jednak podkreślić, że o ile takie rozwiązanie znajduje uzasadnienie prawne, o tyle biometria nie może być wykorzystywana do ewidencjonowania czasu pracy. Kwestia ta regulowana jest w RODO – zgodnie z rozporządzeniem, pobranie danych biometrycznych następuje wyłącznie z inicjatywy właściciela oraz za jego zgodą. Ponadto mogą one być przetwarzane tylko w sytuacji, gdy wymaga tego zapewnienie ochrony dostępu do ważnych informacji lub szczególnie zabezpieczonych pomieszczeń. Dlatego też dane biometryczne najczęściej pobierane są od pracowników pełniących istotne funkcje w przedsiębiorstwie, którzy odpowiadają za ochronę konkretnych informacji oraz mienia. Pracodawca nie może rozszerzyć przysługujących mu uprawnień związanych z pobieraniem danych biometrycznych do celów ewidencjonowania czasu pracy. Ponadto, przetwarzając dane takie jak biometryka głosu czy biometryka twarzy, musi on zapewnić ich odpowiednią ochronę. Wyciek tego rodzaju danych naraża bowiem nie tylko pracodawcę, lecz przede wszystkim pracownika, który je udostępnił. Warto natomiast rozważyć możliwość identyfikacji pracowników, którzy zobowiązani są ewidencjonować czas pracy, w inny sposób. Składanie podpisów za kolegów czy przysłowiowe „odbijanie karty” członkom zespołu można wyeliminować, wybierając system rejestracji czasu pracy potwierdzający tożsamość pracownika za pomocą zdjęcia. Fotografia nie mieści się bowiem w katalogu danych biometrycznych, zatem pracodawca ma prawo przetwarzać ją do celów ewidencyjnych. Zabronione jest natomiast rozpowszechnianie zdjęć pracowników bez ich zgody.

Dane biometryczne a RODO

RODO to akt prawny, który precyzyjnie reguluje kwestię pobierania i przetwarzania danych biometrycznych. Instytucje europejskie zajmujące się ich ochroną wskazują na konieczność przestrzegania przepisów nie tylko ze względu na ewentualną odpowiedzialność karną, lecz przede wszystkim w kontekście bezpieczeństwa właścicieli danych biometrycznych. Co istotne, RODO nie wskazuje zamkniętego katalogu danych biometrycznych – przepisy precyzują natomiast, że za ich pomocą możliwe jest zidentyfikowanie konkretnej osoby. Rozporządzenie kwalifikuje dane biometryczne jako dane osobowe wymagające szczególnej ochrony. Dopuszcza się ich pobieranie oraz przetwarzanie jedynie w przypadku, gdy:

  • jest to konieczne do wypełnienia obowiązków i praw administratora danych,

  • właściciel danych wyraził zgodę na ich pobranie,

  • dane zostały w sposób oczywisty upublicznione przez właściciela,

  • istnieją ważne przesłanki związane z interesem publicznym,

  • jest to niezbędne celem działania sądów.

Konieczność bezpiecznego pobierania i przetwarzania danych biometrycznych to temat, którym zajmuje się również Urząd Ochrony Danych Osobowych. Przypomina on między innymi, że zgodnie z RODO dane tego rodzaju nie mogą być wykorzystywane do ewidencjonowania czasu pracy. Ich pobranie i wykorzystanie następuje wyłącznie w celu ochrony ważnych informacji lub pomieszczeń. Katalog sytuacji, w których można przetwarzać dane biometryczne, pozostaje otwarty, lecz w razie jakichkolwiek wątpliwości to pracodawca będzie musiał udowodnić zasadność ich wykorzystania. Spoczywa na nim także ciężar dowodowy w kontekście udzielenia przez pracownika zgody na pobranie danych, dlatego warto sporządzić stosowny dokument w formie pisemnej. Pracownik musi też zostać poinformowany, dlaczego pobiera się od niego dane biometryczne. Ma on prawo wycofać zgodę na ich przetwarzanie w dowolnym momencie.