Pracodawca może pobierać od pracownika tylko te dane, które zostały wyszczególnione w art. 22 Kodeksu pracy (dane personalne, adres, wykształcenie, przebieg zatrudnienia, PESEL). Gromadzenie innych informacji jest dopuszczalne tylko, gdy pozwalają na to szczególne przepisy. Z tego powodu pracodawcy często powołują się na ustawę o ochronie danych osobowych, która pozwala na przetwarzanie informacji za zgodą osoby i podsuwają pracownikom stosowne oświadczenia do podpisania.
Pracodawca nie ma prawa przetwarzać danych biometrycznych
Pracownik nie musi wyrażać zgody na przetwarzanie danych biometrycznych takich, jak np. odcisk palca czy skanu siatkówki oka. Pracodawca, który tego wymaga lub przetwarza takie informacje, łamie prawo.
Takie działanie jest nieprawidłowe i pracownik może bez żadnych konsekwencji odmówić podpisania zgody na przetwarzanie, np. odcisku jego palca czy skanu siatkówki oka. Nawet gdyby taką zgodę udało się uzyskać, pracodawca (a tym samym i działający w jego imieniu informatycy) nie ma prawa przetwarzać cech biometrycznych.
Wynika to z jednoznacznego stanowiska GIODO oraz sądów, według którego pobieranie od pracownika zgody na przetwarzanie danych innych niż z art. 22 Kodeksu pracy jest obejściem tego przepisu i narusza podstawowe prawa pracownicze.
Dane biometryczne pracowników mogą być jednak pobierane w innym celu niż związany ze stosunkiem pracy. Przykładowo, pracodawca może zabezpieczyć dostęp do niektórych pomieszczeń za pomocą identyfikacji biometrycznej. Możliwe jest także np. pobranie danych biometrycznych od pracownika, który ma wykonywać czynności administratora sieci w firmie, która jest klientem pracodawcy i stosuje zabezpieczenia biometryczne.
Oczywiście wskazane wyżej obostrzenia w pobieraniu danych biometrycznych nie obejmują osób innych niż pracownicy, np. zatrudnionych na podstawie umów cywilnoprawnych (wystarczy ich zgoda).
Wybierając sprzęt i tworząc procedury należy pamiętać o wskazanych wyżej uwarunkowaniach. Zapisywanie wzorców danych biometrycznych do porównywania powinno odbywać się na centralnym serwerze, a nie np. na poszczególnych kartach chipowych (identyfikatorach) użytkowników. Centralny rejestr danych osobowych łatwiej bowiem zabezpieczyć zgodnie z regułami wynikającymi z ustawy o ochronie danych osobowych.
Porównywanie danych pobieranych podczas identyfikacji ze wzorcem powinno następować w możliwie szybki sposób, nie pozwalający na „podejrzenie” transmisji lub jej przekierowanie.
Wreszcie wysoce wątpliwie prawnie jest stosowanie czytników „ukrytych” (np. w klamce drzwi), ponieważ istnieje ryzyko pobrania i przetwarzania danych osobowych od osób, które nie wyraziły na to uprzednio zgody (np. klient).
Zobacz także:
Tagi: giodo, dane osobowe
Zaloguj się, aby dodać komentarz
Nie masz konta? Zarejestruj się »
