Banki, a także inne placówki finansowe (zwłaszcza instytucje płatnicze) będą mogły przetwarzać np. odciski palców, głos, obraz tęczówki i sieci żył palców niektórych pracowników – bez ich zgody. Pozwolą im na to zaproponowane przez Ministerstwo Cyfryzacji przepisy, których celem jest dostosowanie do rozporządzenia Parlamentu Europejskiego i Rady z 27 kwietnia 2016 r., znanego w Polsce jako RODO.
Jeśli proponowane zmiany wejdą w życie, niektóre instytucje finansowe będą mogły przetwarzać tego typu dane zatrudnionych bez ich zgody.
Rozporządzenie Parlamentu Europejskiego i Rady z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE – znane powszechnie w Polsce jako RODO – wprowadza w sposób wyraźny nowe kategorie szczególnych danych osobowych (podlegających dodatkowym rygorom). Taką kategorią są dane biometryczne, które do tej pory w polskim prawie (ale również w poprzedniej unijnej regulacji – dyrektywie 95/46/WE z 1995 r.) nie były w wyraźny sposób uregulowane. [ramka]
Ramka. Definicja z RODO
Dane biometryczne – zgodnie z ich szeroką definicją zawartą w RODO – oznaczają dane osobowe, które wynikają ze specjalnego przetwarzania technicznego, dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej oraz umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby, takie jak wizerunek twarzy lub dane daktyloskopijne. Danymi biometrycznymi może być już chociażby samo zdjęcie twarzy, pod warunkiem jednak, że przetwarzane jest specjalnymi metodami technicznymi i pozwala w sposób jednoznaczny zidentyfikować osobę.
Dotychczas nieliczne obowiązujące w tym zakresie przepisy (jak choćby skąpa regulacja ustawy z 13 lipca 2016 r. o dokumentach paszportowych, t.j. Dz.U. z 2016 r. poz. 758) nie odpowiadały na pytania, jakie pojawiały się w praktyce w związku z przetwarzaniem danych biometrycznych. Częściowo tę lukę starał się usunąć generalny inspektor danych osobowych (dalej: GIODO) i sądy administracyjne. Swoje rozstrzygnięcia opierali w dużej mierze o zasadę proporcjonalności, nakazując w pierwszej kolejności stosowanie jak najmniej inwazyjnych środków – wykluczając tym samym zasadność przetwarzania danych biometrycznych chociażby przez pracodawców np. w celu kontroli czasu pracy czy dostępu na teren zakładu. Wejście w życie RODO stanowi więc dużą zmianę już poprzez samo wyraźne wprowadzenie definicji danych biometrycznych, jak również określenie zasad dotyczących ich przetwarzania.
RODO nie jest jednak w tym zakresie regulacją wyczerpującą – w art. 9 ust. 4 akt ten przewiduje bowiem możliwość wprowadzania przez państwa członkowskie dalszych warunków w odniesieniu do przetwarzania danych biometrycznych. Z poszczególnych motywów RODO wynika również, że mogą to być zarówno dodatkowe wyjątki od ogólnego zakazu przetwarzania szczególnych kategorii danych, jak i dalsze ograniczenia w przetwarzaniu tych danych.
Polski ustawodawca najprawdopodobniej skorzysta ze wskazanej powyżej możliwości. Odstępstwa w zakresie zasad przetwarzania danych biometrycznych lub pewne ich doprecyzowanie zaproponowano bowiem w opublikowanym we wrześniu projekcie ustawy – przepisy wprowadzające ustawę o ochronie danych osobowych. Przy czym poza ogólnymi regulacjami, dotyczącymi przetwarzania danych biometrycznych pracowników przez wszystkich pracodawców (przewidujących konieczność uzyskania w tym celu zgody pracownika w formie pisemnej lub elektronicznej), projekt ten zakłada również określone rozwiązania obejmujące jedynie wybrane grupy przedsiębiorców. W jego uzasadnieniu podkreślono przy tym, że biometryczne środki kontroli dostępu do pomieszczeń są często szybsze i bardziej skuteczne, w związku z czym nie powinno dziwić zainteresowanie ich wprowadzeniem tam, gdzie istotna jest jednoznaczna weryfikacja osób.
Dla wybranych
Taką wyjątkową kategorią podmiotów są banki, które mają otrzymać prawo do żądania od pracownika danych biometrycznych, w szczególności w postaci odcisków palców, głosu, obrazu tęczówki i sieci żył palców. Bank nie będzie więc musiał w związku z tym uzyskiwać osobnej zgody od pracowników na przetwarzanie ich danych biometrycznych. Nie dotyczy to jednak wszystkich osób zatrudnionych w tych instytucjach, lecz tych, które mają mieć dostęp do określonych pomieszczeń lub informacji – w celu kontroli tego dostępu. Szczególne środki w postaci biometrii służyć mają więc ochronie nie tylko pomieszczeń, w których przechowywane mogą być chociażby pieniądze czy inne depozyty, ale również ochronie informacji – często cenniejszych niż niejeden depozyt.
Należy zwrócić uwagę, że takie uregulowanie oznacza, iż zastosowanie biometrii może służyć również kontroli zdalnego dostępu pracownika do informacji przetwarzanych przez bank – np. gdy pracuje on w placówce z dala od centrali i musi za pomocą komputera zalogować się do systemu bankowego. Do uwierzytelniania przy logowaniu będzie można wówczas wykorzystywać także dane biometryczne. Uwaga, uprawnienia instytucji finansowych w tym zakresie nie obejmą natomiast osób dopiero ubiegających się o zatrudnienie – projekt nie daje bowiem podstawy prawnej, by zbierać ich dane biometryczne.
Inne instytucje
Takie same uprawnienia jak banki nabyć mają również instytucje płatnicze (czyli podmioty wykonujące usługi płatnicze, w tym wpłaty i wypłaty gotówki, czy transakcje płatnicze, jak np. PayU lub Dotpay) oraz instytucje pieniądza elektronicznego (podmioty emitujące pieniądz elektroniczny – tych na razie nie ma w Polsce zarejestrowanych). Wyraźnym ograniczeniem w przypadku obu tych kategorii przedsiębiorców jest jednak to, że przetwarzanie danych biometrycznych będzie mogło mieć miejsce jedynie przez okres zatrudnienia pracownika w danym podmiocie. Z momentem jego zakończenia dane te powinny ulec trwałemu usunięciu. Przy czym projekt przewiduje natomiast wydanie rozporządzenia, które precyzować będzie kwestie związane z wykorzystywaniem biometrii przez banki. Z racji tego, że omawiany dokument jeszcze nie trafił do Sejmu, czasu na dostosowanie do wymogów RODO może być bardzo niewiele.
Skutki regulacji
Wejście w życie projektu ustawy spowoduje, że banki, instytucje płatnicze oraz instytucje pieniądza elektronicznego uzyskają wyraźną podstawę prawną do przetwarzania biometrycznych danych osobowych dużej części swoich pracowników. Obok tego podmioty te dodatkowo nabyć mają prawo do gromadzenia tego rodzaju danych również w stosunku do własnych klientów – dla celów prowadzonej działalności bankowej i w celu identyfikowania tożsamości oraz uwierzytelniania dokonywanych czynności. Podmioty te uzyskają więc daleko idące uprawnienia i potencjalnie mogą być w przyszłości właścicielami bardzo rozbudowanych baz danych biometrycznych. Obok nich w Polsce szerszą bazą dysponować będą prawdopodobnie jedynie organy paszportowe. Z pewnością więc będzie to dodatkowy powód, by nowy organ ochrony danych osobowych objął banki po wejściu w życie RODO szczególnym zainteresowaniem.