Stosowanie biometrii w pracy nie będzie proste. Trzeba będzie uzyskać zgodę pracownika i przetwarzać jego dane w odpowiednim celu
Dziś piąty z cyklu artykułów przygotowywanych we współpracy z kancelarią Raczkowski Paruch, w których szczegółowo omawiamy zagadnienia związane z ochroną danych pracowników i kandydatów do pracy.
Poprzednie artykuły z cyklu ukazały się w tygodniku Kadry i Płace:
● 12 października – „Monitorowanie pracowników. Co można dziś i co przyniesie jutro” (DGP nr 198/2017),
● 26 października – „Zgoda pracownika na przetwarzanie danych – teraz i w przyszłości” (DGP nr 208/2017),
● 2 listopada – „Konflikt w firmie pozwoli związkowi zawodowemu pozyskać dodatkowe dane pracowników” (DGP nr 212/2017),
● 9 listopada – „RODO, czyli (r)ewolucja w podejściu do transgranicznego przetwarzania danych” (DGP nr 217/2017).
Technologie biometryczne od dawna cieszą się zainteresowaniem pracodawców. Są bowiem ogólnodostępne oraz nie wymagają znacznych nakładów finansowych i organizacyjnych. Ich rozwoju oraz upowszechnienia w otaczającej rzeczywistości nie da się zatrzymać. Przykładowo, laptopy, tablety czy smartfony posiadają już czytniki linii papilarnych do biometrycznej kontroli dostępu. Jednakże sytuacja, w której po tego typu narzędzie sięga pracodawca, może wywoływać (zwłaszcza u pracowników) opór z co najmniej dwóch powodów. Po pierwsze, jego źródłem może być skojarzenie z postrzeganiem pracowników jak podejrzanych – ze względu na powszechne stosowanie biometrii w dziedzinie ochrony porządku publicznego. Po drugie, wraz z rozwojem postępu technologicznego wzrasta obawa o możliwość właściwego zabezpieczenia przez pracodawcę tego typu danych.
Mimo tych obaw być może już wkrótce pracodawcy uzyskają możliwość przetwarzania danych biometrycznych pracowników. We wrześniu Ministerstwo Cyfryzacji przedstawiło bowiem projekt ustawy – przepisy wprowadzające ustawę o ochronie danych osobowych, a w jego art. 5 zaproponowało odpowiednie zmiany do kodeksu pracy. [ramka 1]
RAMKA 1
Nie tylko linie papilarne
Po 25 maja 2018 r. obowiązującą definicję danych biometrycznych wyznaczało będzie RODO, czyli ogólne rozporządzenie o ochronie danych osobowych (nr 2016/679 z 27 kwietnia 2016 r.). Zgodnie z pkt 14 art. 4 RODO „dane biometryczne” oznaczają dane osobowe, które wynikają ze specjalnego przetwarzania technicznego, dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej oraz umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby, takie jak wizerunek twarzy lub dane daktyloskopijne. Definicja ta jest spójna z wcześniejszym stanowiskiem Grupy Roboczej art. 29 (WP 193) zawartym w opinii w sprawie zmian sytuacji w dziedzinie technologii biometrycznych z 27 kwietnia 2012 r. Co więcej, zgodnie z art. 9 RODO dane biometryczne zostały zaliczone do tzw. szczególnej kategorii danych, odnośnie do których zakaz przetwarzania zostaje uchylony m.in. na podstawie zgody osoby, której dane dotyczą, udzielonej na ich przetwarzanie w jednym lub kilku konkretnych celach.
Warto też zwrócić uwagę na motyw 51 preambuły RODO. Wyjaśnia on, że fotografie są objęte definicją danych biometrycznych tylko wówczas, gdy są przetwarzane specjalnymi metodami technicznymi, umożliwiającymi jednoznaczną identyfikację osoby fizycznej lub potwierdzenie jej tożsamości. We wspomnianej opinii Grupa Robocza art. 29 wskazała, że twarz może służyć nie tylko do określenia tożsamości, ale również charakterystycznych cech fizjologicznych i psychologicznych, takich jak pochodzenie etniczne, emocje i samopoczucie. Zdolność do wyodrębniania takiej ilości danych z obrazu oraz to, że zdjęcie można wykonać z pewnej odległości bez wiedzy osoby fotografowanej, wskazuje na wagę kwestii związanych z ochroną danych, mogących powstać wskutek stosowania nowych technologii. Obecnie bowiem możliwe jest dokonywanie identyfikacji przy użyciu szeregu różnych kamer, punktów widzenia i w różnych warunkach oświetlenia.
Podejmując więc decyzję o wprowadzeniu czy też unowocześnieniu stosowanego w zakładzie pracy monitoringu, pracodawcy powinni zachować ostrożność i zdawać sobie sprawę z tego, że dodawanie nowych zdolności przetwarzania danych do istniejącego systemu (np. rozpoznawanie twarzy w systemie CCTV) może zmienić cel lub cele pierwotnego systemu. W efekcie konieczne byłoby dokonanie ponownej oceny wpływu tej zmiany na ochronę praw i wolności pracowników oraz uzyskanie wyraźnej ich zgody na taką formę przetwarzania danych osobowych (mimo że nie będzie ona wymagana na prowadzenie monitoringu jako takiego).
Planowane zmiany
Jeżeli projektowane zmiany wejdą w życie w niezmienionym kształcie, wówczas na mocy par. 2 art. 222 k.p. dopuszczalnym stanie się przetwarzanie przez pracodawcę danych biometrycznych pracownika. Do tego jednak trzeba będzie spełnić dwa warunki. Pierwszy z nich – jak się wydaje – ogranicza zakres przedmiotowy tych danych do celu, dla którego będą one mogły być wykorzystywane. Wydaje się, gdyż nie jest do końca jasne, jak należy rozumieć sformułowanie, że dopuszczalne do przetwarzania przez pracodawcę będą tylko dane osobowe pracownika dotyczące stosunku pracy. Zgodnie z niezmienioną definicją dane osobowe zawsze dotyczą przecież osoby, tj. podmiotu danych.
Drugi warunek to zgoda pracownika wyrażona w oświadczeniu złożonym w postaci papierowej lub elektronicznej. Propozycję tę, wedle której pracownik może – ale nie musi – zgodzić się na przetwarzanie danych biometrycznych, należy ocenić pozytywnie. Oznacza to bowiem, że przetwarzanie bez tej zgody będzie stanowiło naruszenie prawa. Co więcej, zgodnie z projektowanym art. 222 par. 3 k.p. brak zgody nie może być podstawą niekorzystnego traktowania pracownika, a także nie może powodować wobec niego jakichkolwiek negatywnych konsekwencji – zwłaszcza nie może być przyczyną rozwiązania stosunku pracy przez pracodawcę (zarówno za wypowiedzeniem, jak i bez niego). W sformułowaniu tego przepisu można upatrywać dążenia ustawodawcy do stworzenia gwarancji dobrowolności zgody. Regulację tę będzie dodatkowo uzupełniało rozporządzenie ministra właściwego do spraw informatyzacji określające sposób gromadzenia danych biometrycznych, które ma też zapewniać ochronę przetwarzanych danych biometrycznych odpowiednią do zagrożeń (art. 222 par. 6).
Warto też zauważyć, że w projekcie zmiany do kodeksu pracy określona została postać zgody, której nie należy mylić z formą zgody w cywilistycznym znaczeniu formy oświadczenia woli. Wydaje się, że jest to zabieg celowy. Postać elektroniczna nie jest w mojej ocenie tożsama z formą elektroniczną, o której mowa w art. 781 kodeksu cywilnego – do zachowania której wymagane jest złożenie oświadczenia woli w postaci elektronicznej i opatrzenie go kwalifikowanym podpisem elektronicznym. Wyrażenie zgody w postaci elektronicznej może bowiem oznaczać zaznaczenie odpowiedniego okienka wyboru w systemie elektronicznym, postacią papierową zaś będzie np. wydruk skanu dokumentu zawierającego oświadczenie pracownika o wyrażeniu zgody. [ramka 2]
RAMKA 2
Dotychczasowa i przyszła wykładnia
Dopuszczalność stosowania czytników linii papilarnych do rejestracji czasu pracy pracowników była dotąd konsekwentnie kwestionowana przez organ nadzorczy (generalnego inspektora ochrony danych osobowych). Jego stanowisko wspierało też orzecznictwo sądowe, akcentujące iluzoryczność zgody pracownika na taką praktykę. Koncentrując się na braku równowagi między stronami stosunku pracy, wskazywano, że zgoda jako jedyna przesłanka uchylająca zakaz przetwarzania danych biometrycznych jest niewystarczająca. Bynajmniej dla wielu podmiotów nie stanowiło to przeszkody w posługiwaniu się w praktyce czytnikami linii papilarnych nie tylko do kontroli dostępu, ale również do rejestracji czasu pracy.
W tym świetle projektowany art. 222 par. 2 k.p. zdaje się nie rozwiązywać w pełni problemu legalności przetwarzania danych biometrycznych przez pracodawcę. Możliwą do zaproponowania jest jednak taka jego wykładnia, zgodnie z którą zgodę pracownika oceniać będzie trzeba przez pryzmat celu, w jakim pracodawca dane te będzie wykorzystywał, tj. czy ich przetwarzanie będzie dotyczyło stosunku pracy. Gdy będziemy mieć do czynienia z taką właśnie sytuacją, udzielenie przez pracownika zgody będzie w pełni skuteczne.
W kontekście powyższej regulacji można jednak zastanawiać się, czy uzasadnionym jest uzależnianie od zgody każdego pracownika przetwarzania danych biometrycznych nawet wtedy, gdy wprowadzenie wzmożonej kontroli dostępu do określonych pomieszczeń czy też sfer w zakładzie pracy może być uzasadnione interesem publicznym.
Należy również pamiętać o tym, że zgodnie z art. 7 RODO (czyli ogólnego rozporządzenia o ochronie danych osobowych), osoba, której dane dotyczą ma prawo w dowolnym momencie wycofać zgodę. Pracodawcy powinni więc wdrożyć środki techniczne, dzięki którym możliwe jest zaprzestanie stosowania danych biometrycznych w ich systemach w takim przypadku, a także wtedy gdy zdezaktualizuje się cel, dla którego dane zostały pozyskane i są przetwarzane.
W łączności z przepisami UE
Zgodnie z treścią art. 88 RODO projektowane zmiany do kodeksu pracy stanowią względem tego rozporządzenia bardziej szczegółowe przepisy. A to oznacza, że ich wprowadzenie i stosowanie nie może odbywać się w oderwaniu od przepisów RODO. Należy zwrócić uwagę na to, że wyznacza ono zasady przetwarzania danych osobowych, wymagające ich łącznego poszanowania, które zostały ujęte jako obowiązki administratora danych – a więc w odniesieniu do danych osobowych pracowników są one adresowane do pracodawcy (art. 5 RODO). Wartą podkreślenia jest zwłaszcza zasada ograniczenia przechowywania danych. Polega ona na tym, że dane osobowe (tu: biometryczne) mogą być legalnie przechowywane w formie umożliwiającej identyfikację osoby, której dotyczą, przez okres nie dłuższy, niż jest to niezbędne do realizacji celów ich przetwarzania. Pracodawca powinien zatem określić okres przechowywania danych biometrycznych – a ten nie powinien być dłuższy, niż jest to konieczne do realizacji celów, do których dane dotyczące stosunku pracy zostały zgromadzone. Co za tym idzie, obowiązkiem pomiotu zatrudniającego będzie zapewnienie trwałego usunięcia danych lub profili uzyskanych na ich podstawie po upływie takiego uzasadnionego okresu.
Należy przy tym wyraźnie zaznaczyć różnicę między ogólnymi danymi osobowymi, które mogą być niezbędne przez dłuższy czas, a danymi biometrycznymi, które nie będą mieć już zastosowania, np. gdy osoba, której one dotyczą, utraci dostęp do konkretnego obszaru, zakończy pracę u pracodawcy czy też cofnie zgodę na ich przetwarzanie. Z dniem zakończenia stosunku pracy pracodawca powinien zapewnić, aby dane biometryczne pracownika stosowane do kontroli dostępu do zakładu pracy zostały usunięte (co nie zmienia oczywiście faktu, że wiele danych byłego pracownika nadal jest przetwarzanych). Po przyłożeniu palca do czytnika linii papilarnych system nie powinien ich już rozpoznawać. Nie będzie jednak prawidłową sytuacja, w której system odmówi dostępu, ale linie papilarne zostaną przez niego rozpoznane.
Równie istotna z praktycznego punktu widzenia jest zasada proporcjonalności przetwarzania danych biometrycznych do celu – można je bowiem stosować tylko wtedy, gdy dotyczą stosunku pracy. Pracodawca, decydując się na ich pozyskanie od pracowników, powinien dokonać ścisłej oceny konieczności i proporcjonalności przetwarzanych danych oraz tego, czy zamierzony cel można osiągnąć w sposób w mniejszym stopniu ingerujący w prywatność. Innym czynnikiem, który należy rozważyć, jest spodziewana skuteczność systemu pod względem spełnienia tego drugiego warunku – z uwzględnieniem szczególnych cech technologii biometrycznej, którą planuje się zastosować.