Czy pracodawca ma prawo przetwarzać dane biometryczne swoich pracowników?

Epoka list obecności podpisywanych przez pracowników na portierni lub bramie zakładu pracy przechodzi powoli do lamusa. Wydaje się, że zastosowanie terminali biometrycznych do rejestracji wejść i wyjść pracowników znacznie upraszcza i przyspiesza proces rozliczania czasu pracy. Zastosowanie urządzeń biometrycznych do identyfikacji pracowników skutecznie bowiem eliminuje możliwość manipulowania godzinami wejścia i wyjścia. Ponadto pozwala na tworzenie miesięcznych planów pracy uwzględniających pracę zmianową, urlopy, zwolnienia lekarskie, spóźnienia, przerwy w pracy czy wyjścia służbowe. Jednym słowem bardzo ułatwia pracę i nie ma znaczenia czy pracowników jest dziesięciu, stu czy więcej. Pojawia się jednakże pytanie czy pracodawca ma prawo przetwarzać dane biometryczne swoich pracowników, np. skanować ich linie papilarne, w celu rejestracji godzin ich wejścia i wyjścia z zakładu pracy?

Zakres danych osobowych pracowników, jakich może żądać zatrudniający, określa art. 22¹ ustawy z dnia 26 czerwca 1974 roku – Kodeks pracy[1]. Są to imię (imiona) i nazwisko, imiona rodziców, data urodzenia, miejsce zamieszkania (adres do korespondencji), wykształcenie, przebieg dotychczasowego zatrudnienia. Pracodawca może żądać także numeru PESEL oraz innych informacji, w tym imion i nazwisk oraz dat urodzenia dzieci, jeżeli od ich podania zależy korzystanie przez pracownika ze szczególnych uprawnień. Innych danych pracodawca może żądać jedynie wówczas, gdy ich udostępnienie nakazują odrębne przepisy.

Warto także zauważyć, iż w art. 22¹ § 5 kodeks pracy w zakresie w nim nieuregulowanym odsyła do przepisów ustawy z dnia 29 sierpnia 1997 roku o ochronie danych osobowych[2]. Przepisy tej ustawy w art. 23 ust. 1 określają na jakiej podstawie można legalnie zbierać i dalej przetwarzać dane osobowe, wymieniając zgodę osoby, której dane dotyczą, czy istnienie przepisu prawa, który zezwala na przetwarzanie danych osobowych w określonym celu. Jednak w przypadku pozyskiwania danych osobowych pracownika, innych niż wskazane wyżej, m.in. linii papilarnych, zdaniem GIODO[3], nie można powoływać się na jego zgodę, jako podstawę prawną. Aby zgoda osoby mogła być uznana za podstawę prawną musi być wyrażona w sposób dobrowolny. Jednak w relacji zachodzącej między pracodawcą a pracownikiem trudno jest mówić o takiej dobrowolności, gdyż brak jest tu równowagi podmiotowej – stosunek nadrzędności pracodawcy nad pracownikiem, często może sprzyjać wymuszeniu zgody. Stanowisko GIODO poparł również Naczelny Sąd Administracyjny w wyroku z dnia 1 grudnia 2009 roku o sygn. akt I OSK 249/09, stwierdzając, że „wyrażona na prośbę pracodawcy pisemna zgoda pracownika, na pobranie i przetworzenie jego danych osobowych, narusza prawa pracownika i swobodę wyrażenia przez niego woli. (…) Brak równowagi w relacji pracodawca pracownik stawia pod znakiem zapytania dobrowolność w wyrażeniu zgody na pobieranie i przetworzenie danych osobowych (biometrycznych). Z tego względu ustawodawca ograniczył przepisem art. 22¹ kodeksu pracy katalog danych, których pracodawca może żądać od pracownika”.

A zatem jedyną podstawą do gromadzenia odcisków linii papilarnych może być przepis prawa. Skoro jednak nie ma regulacji zezwalających pracodawcom na żądanie od podwładnych danych biometrycznych, jak linii papilarnych, obrazu tęczówki oka czy kodu DNA, to ich gromadzenie jest zabronione, nawet za zgodą pracownika.

Dodatkowym argumentem przemawiającym za tym, że pracodawca nie może pobierać i przetwarzać odcisków linii papilarnych w celu rejestracji godzin wejścia i wyjścia pracowników do i z zakładu pracy jest także stanowisko w tej sprawie Grupy Roboczej ds. Ochrony Danych Ustanowionej na Mocy Art. 29[4]. Uznała ona – w dokumencie roboczym w sprawie biometrii z dnia 1 sierpnia 2003 roku – że ryzyko naruszenia swobód i fundamentalnych praw obywatelskich musi być proporcjonalne do celu, któremu służy. Oznacza to, że przy wykorzystywaniu danych osobowych należy kierować się zasadą proporcjonalności wyrażoną w art. 26 ust. 1 pkt 3 Uodo[5]. Nie można zatem uznać, aby wykorzystywanie danych biometrycznych do kontroli czasu pracy pracowników było proporcjonalne do zamierzonego celu ich przetwarzania. Czas pracy można bowiem kontrolować za pośrednictwem innych środków, mniej ingerujących w czyjąś prywatność.