Firma będzie mogła pozyskiwać np. odciski palców pracowników, ale tylko na potrzeby ochrony dostępu do informacji lub specjalistycznych pomieszczeń.

Tak wynika z rządowego projektu ustawy o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia 2016/679 (tzw. RODO). Zakłada on odmienną formułę pozyskiwania danych biometrycznych pracowników od tej przewidzianej w poprzedniej wersji zmian (przepisy wprowadzające ustawę o ochronie danych osobowych). Pierwotnie zakładano, że informacje takie będzie można zdobywać za zgodą samych zatrudnionych. Jeśli więc firma chciałaby zainstalować w swojej siedzibie czytniki linii papilarnych lub tęczówki oka, to musiałaby wystąpić do zatrudnionych o zgodę na przetwarzanie takich danych. Przepisy nie ograniczały też wprost celu pozyskiwania np. odcisków palców. Dlatego możliwe byłoby stosowanie wspomnianych czytników do ewidencji czasu pracy zatrudnionych.

Ostatnia wersja projektu zakłada, że dane wrażliwe podwładnych (genetyczne, o stanie zdrowia, pochodzeniu etnicznym) będzie można zdobywać jedynie w przypadku, gdy jest to niezbędne do realizacji obowiązku wynikającego z przepisów – czyli gdy dana firma ma konkretną podstawę prawną do takiego działania. Wyjątek dotyczy właśnie danych biometrycznych. Pracodawca będzie mógł je pozyskiwać także w sytuacji, gdy ich podanie jest niezbędne ze względu na kontrolę dostępu do szczególnie ważnych informacji (których ujawnienie może narazić pracodawcę na szkodę) lub do pomieszczeń wymagających szczególnej ochrony. Podsumowując, zatrudniający nie będzie musiał prosić zatrudnionych o zgodę na przekazanie takich danych, ale będzie mógł je przetwarzać tylko do wskazanych w przepisach celów (a nie np. na potrzeby ewidencji czasu pracy).

– To racjonalne rozwiązanie. Instalowanie czytników danych biometrycznych to dość kosztowna inwestycja. Gdyby można było je stosować w firmach wyłącznie za zgodą zatrudnionych, to mogłoby się okazać, że pracownicy początkowo udzielili zgody na pozyskanie danych biometrycznych, a następnie ją cofnęli. Pracodawca poniósłby wówczas stratę – bo wprowadził czytniki, których nie może używać – wskazuje dr Dominika Dörre-Kolasa, radca prawny i partner w kancelarii Raczkowski Paruch.

Ostatnia wersja projektu eliminuje takie ryzyko po stronie firm. Ale to wywołuje inne wątpliwości. Odciski palców lub struktura tęczówki oka to dane bardzo wrażliwe. Tymczasem zgodnie z projektem w celu ochrony dostępu firma będzie mogła żądać takich danych od pracowników nie pytając ich o zgodę. Oczywiście zatrudniony zawsze może odmówić ich przekazania, ale w praktyce musi wtedy liczyć się z możliwością utraty etatu. Może być to więc bardzo trudna decyzja dla podwładnych, w szczególności jeśli zależy im na zdobyciu lub utrzymaniu danego miejsca pracy.

– Projektowane przepisy chronią jednak pracowników. Wskazują, że pozyskiwanie danych biometrycznych będzie możliwe tylko, gdy jest to niezbędne i szczególnie uzasadnione. To istotne ograniczenia, pracodawca musi mieć ważne powody do przetwarzania wspomnianych informacji – uważa mec. Dörre-Kolasa.

Eksperci wskazują jednak także na praktyczne wątpliwości związane z ostatnią wersją projektu.

– Regulacja dotycząca pozyskiwania danych biometrycznych nie odzwierciedla potrzeb firm. Z opinii generalnego inspektora ochrony danych osobowych wynika, że obecnie pracodawca nie może ich pozyskiwać od zatrudnionych. Projektowane przepisy mu to umożliwią, ale nie w satysfakcjonującym zakresie – zatrudniający chcieliby stosować czytniki biometryczne w celu ograniczenia dostępu np. do siedziby firmy, a nie tylko specjalistycznych pomieszczeń – podsumowuje Katarzyna Ziółkowska, radca prawny z firmy doradczej C&C Chakowski & Ciszek.

Etap legislacyjny

Projekt przed przyjęciem przez rząd