Urząd Ochrony Danych Osobowych (UODO) w ostatnich stanowiskach wskazuje, że linie papilarne to dane biometryczne, których przetwarzanie podlega surowym restrykcjom. Kiedy zatem ich stosowanie w miejscu pracy jest w pełni legalne?

Kontrola dostępu do pomieszczeń a przepisy prawa

Zgodnie z regulacjami Kodeksu pracy, przetwarzanie danych biometrycznych pracowników jest dopuszczalne wyłącznie wtedy, gdy jest to niezbędne ze względu na kontrolę dostępu do pomieszczeń wymagających szczególnej ochrony lub do informacji, których ujawnienie mogłoby narazić pracodawcę na szkodę.

Gdzie biometria jest legalna? Wyłącznie przy wejściach do stref ograniczonego dostępu, takich jak serwerownie, archiwa, działy finansowo-księgowe czy laboratoria. Natomiast wykorzystywanie czytników linii papilarnych na głównych drzwiach wejściowych do biura (dla wszystkich pracowników) lub w celu ewidencji czasu pracy jest niezgodne z prawem. Narusza to bowiem unijną zasadę minimalizacji danych, ponieważ cel ten można osiągnąć mniej inwazyjnymi metodami.

Warto pamiętać, że pobranie danych biometrycznych na podstawie zgody pracownika jest możliwe wyłącznie wtedy, gdy to pracownik wyjdzie z taką inicjatywą. Wymuszenie zgody przez pracodawcę uznaje się za wadliwe z uwagi na nierówność stron w stosunku pracy.

Wzmożone kontrole UODO i sankcje finansowe

Kwestia ta staje się kluczowa w obliczu zintensyfikowanych kontroli prowadzonych obecnie przez UODO. Urząd weryfikuje legalność systemów biometrycznych w miejscach pracy, sprawdzając m.in. posiadanie obowiązkowych analiz ryzyka (DPIA).

Konsekwencje uchybień są dotkliwe. Zgodnie z przepisami RODO, za nielegalne przetwarzanie danych biometrycznych grożą administracyjne kary pieniężne do 20 milionów euro lub do 4% rocznego światowego obrotu. W polskich realiach uchybienia te skutkują karami rzędu kilkunastu lub kilkudziesięciu tysięcy złotych oraz nakazem natychmiastowego usunięcia bazy danych i demontażu urządzeń.

Dlatego też już teraz warto zrealizować audyt wdrożonych rozwiązań i upewnić się, że stosowane procedury są w pełni zgodne z aktualną linią orzeczniczą UODO.