Logowanie odciskiem palca
Logowanie odciskiem palca, wejście do pomieszczenia na podstawie skanowana tęczówki oka? Takie środki bezpieczeństwa w miejscach pracy widzimy na filmach, ale czy zawsze ich stosowanie jest legalne przez podmioty zajmujące się przetwarzaniem danych osobowych w ramach swojej działalności?
Dane biometryczne a RODO* Logowanie odciskiem palca ?
Co do zasady na gruncie RODO* zabronione jest przetwarzanie danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej (art. 9 ust 1 RODO*). Zabronione ale czy również prawnie niemożliwe? Jak do tego ma się logowanie odciskiem palca ?
Biometria
Jest techniką rozpoznania konkretnej osoby dzięki jej unikalnym cechom fizycznym oraz behawioralnym. „Dane biometryczne” oznaczają dane osobowe, które wynikają ze specjalnego przetwarzania technicznego, dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej oraz umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby, takie jak wizerunek twarzy lub dane daktyloskopijne (art. 4 pkt 14 RODO*).
Dane biometryczne – czyli linie papilarne, (kiedy następuje logowanie odciskiem palca) to szczególna kategoria danych osobowych i ich przetwarzanie jest możliwe, ale opiera się na szczególnych zasadach, wyliczonych w art. 9 ust. 2 RODO*.
Zasady przetwarzania danych osobowych w postaci linii papilarnych? Wśród nich znajdują się m.in.:
- wyraźna zgoda na przetwarzanie tych danych osobowych w jednym lub kilku konkretnych celach wyrażona przez osobę, której dane dotyczą – zgoda ta nie może być wymuszona, osoba ta musi posiadać możliwość wyboru;
- przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej, a osoba, której dane dotyczą, jest fizycznie lub prawnie niezdolna do wyrażenia zgody;
- przetwarzanie jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń lub w ramach sprawowania wymiaru sprawiedliwości przez sądy…
Ponadto przetwarzanie takich danych, jakie pozyskuje funkcja logowanie odciskiem palca. Wymaga spełnienia jeszcze wielu innych warunków. Należy też odpowiedzieć na pytanie czy w danym przypadku jest to niezbędny środek zabezpieczenia? Czy jest adekwatny do celów przetwarzania, a może inne zabezpieczenia będą wystarczające i bardziej odpowiednie? Czy ma podstawę prawą do zastosowania?
Przykładowo, przetwarzanie przez pracodawcę danych biometrycznych pracowników nie może służyć do prowadzenia ewidencji czasu pracy. Pracodawca będzie legalnie przetwarzał dane biometryczne swoich pracowników, tylko wówczas, gdy wynikać to będzie właśnie ze szczególnych przesłanek określonych w RODO* oraz znajdzie podstawę w obowiązujących przepisach prawa.
Zgodnie z art. 221b Kodeksu Pracy, Pracodawca w oparciu o zgodę osoby ubiegającej się o pracę lub pracownika może legalnie przetwarzać dane biometryczne wyłącznie w przypadku, gdy przekazanie tych danych osobowych następuje z inicjatywy osoby ubiegającej się o zatrudnienie lub pracownika. Przetwarzanie danych biometrycznych pracownika jest dopuszczalne także wtedy, gdy podanie takich danych jest niezbędne ze względu na kontrolę dostępu do szczególnie ważnych informacji, których ujawnienie może narazić pracodawcę na szkodę, lub dostępu do pomieszczeń wymagających szczególnej ochrony.
*Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. U. UE. L. z 2016 r. Nr 119, str. 1 z późn. zm.).