Czytniki biometryczne nie zawsze legalne

Data: 15-12-2013 r.

Pracodawca może pobierać od pracownika tylko te dane, które zostały wyszczególnione w art. 22 Kodeksu pracy (dane personalne, adres, wykształcenie, przebieg zatrudnienia, PESEL). Gromadzenie innych informacji jest dopuszczalne tylko gdy pozwalają na to szczególne przepisy.

Z tego powodu pracodawcy często powołują się na ustawę o ochronie danych osobowych, która pozwala na przetwarzanie informacji za zgodą osoby, i podsuwają pracownikom stosowne oświadczenia do podpisania.

 

Takie działanie jest nieprawidłowe i pracownik może bez żadnych konsekwencji odmówić podpisania zgody na przetwarzanie, np. odcisku jego palca czy skanu siatkówki oka. Nawet gdyby taką zgodę udało się uzyskać, pracodawca (a tym samym i działający w jego imieniu informatycy) nie ma prawa przetwarzać cech biometrycznych.

Ze względu na zależność pracownika od pracodawcy i brak równowagi w tych relacjach nie ma mowy o dobrowolności w wyrażeniu zgody na pobieranie i przetworzenie danych biometrycznych.

Wynika to z jednoznacznego stanowiska GIODO oraz sądów, według którego pobieranie od pracownika zgody na przetwarzanie danych innych niż z art. 22 kp jest obejściem tego przepisu i narusza podstawowe prawa pracownicze. Ryzyko naruszenia swobód i fundamentalnych praw obywatelskich musi być proporcjonalne do celu, któremu służy. Tymczasem wykorzystanie danych biometrycznych do kontroli czasu pracy pracowników jest zdaniem sądów nieproporcjonalne do zamierzonego celu ich przetwarzania.

Dane biometryczne pracowników mogą być jednak pobierane w innym celu niż związany ze stosunkiem pracy. Przykładowo, pracodawca może zabezpieczyć dostęp do niektórych pomieszczeń za pomocą identyfikacji biometrycznej. Możliwe jest także np. pobranie danych biometrycznych od pracownika, który ma wykonywać czynności administratora sieci w firmie, która jest klientem pracodawcy i stosuje zabezpieczenia biometryczne.

Oczywiście wskazane wyżej obostrzenia w pobieraniu danych biometrycznych nie obejmują osób innych niż pracownicy, np. zatrudnionych na podstawie umów cywilnoprawnych (wystarczy ich zgoda).

Wybierając sprzęt i tworząc procedury należy pamiętać o wskazanych wyżej uwarunkowaniach. Zapisywanie wzorców danych biometrycznych do porównywania powinno odbywać się na centralnym serwerze, a nie np. na poszczególnych kartach chipowych (identyfikatorach) użytkowników. Centralny rejestr danych osobowych łatwiej bowiem zabezpieczyć zgodnie z regułami wynikającymi z ustawy o ochronie danych osobowych.

Porównywanie danych pobieranych podczas identyfikacji ze wzorcem powinno następować w możliwie szybki sposób, nie pozwalający na „podejrzenie” transmisji lub jej przekierowanie.

Wreszcie wysoce wątpliwie prawnie jest stosowanie czytników „ukrytych” (np. w klamce drzwi), ponieważ istnieje ryzyko pobrania i przetwarzania danych osobowych od osób, które nie wyraziły na to uprzednio zgody (np. klient).

Marcin Sarna


Zobacz także:

Zaloguj się, aby dodać komentarz

Nie masz konta? Zarejestruj się »

Opinie czytelników

data:

Fajny artykuł! U nas czytniki biometryczne są po prostu rzadkością, a szkoda, bo na zachodzi to powoli standard. Są firmy, które poza tradycyjnymi zabezpieczeniami oferują również te biometryczne (przykład http://dobre-zamki.pl/sklep/15-bez-klucza). Drzwi bez klucza są zatem możliwe.

Ocena użytkownika:
3
Zgłoś naruszenie regulaminu

Zobacz także

Jak zatrzeć ślady po przeglądaniu Internetu?

pobierz

Wzór Polityki Bezpieczeństwa w ochronie danych osobowych

pobierz

Konfiguracja bezpieczeństwa. Windows 10

pobierz

10 sprytnych trików na szybkie obliczenia w Excelu

pobierz

Polecane artykuły

Array ( [docId] => 34347 )
Array ( [docId] => 34347 )