GDPR.pl – ochrona danych osobowych w UE, RODO, IOD

Surowa kara za pobieranie odcisków palców

Surowa kara za pobieranie odcisków palców

Holenderski organ właściwy do spraw ochrony danych osobowych (Autoriteit Persoonsgegevens) nałożył karę na spółkę, która wykorzystywała odciski palców swoich pracowników w celu potwierdzenia ich obecności w pracy i rejestracji ich czasu pracy. Kwota jest znaczna – 725 000 euro (ponad 3 300 000 zł). Co ciekawe, regulator zanonimizował  informacje dotyczące ukaranego. Co jeszcze bardziej ciekawe, decyzja w tej sprawie została wydana już 4 grudnia 2019 r., zaś – z niewiadomych względów – organ dopiero teraz poinformował o niej opinię publiczną. Spółka odwołała się od decyzji.

Wątpliwa praktyka

W toku prowadzonego postępowania organ nadzorczy ustalił, że spółka od stycznia 2017 roku korzysta z trzech urządzeń służących do pobierania i weryfikacji odcisków palców pracowników. Dane uzyskiwane z tych urządzeń przesyłane są do specjalnego programu, za pośrednictwem którego możliwe jest zweryfikowanie obecności pracownika w zakładzie pracy oraz wgląd w jego godziny pracy. Wszystkie pobrane odciski palców są na stałe przechowywane w programie. Regulator ustalił, że spółka przetwarza łącznie prawie tysiąc czterysta wzorów odcisków palców, w tym ponad trzysta dotyczy byłych pracowników.

Brak podstaw

Organ nadzorczy podkreślił w decyzji, że odciski palców są danymi szczególnej kategorii. Ich przetwarzanie – stosownie do art. 9 RODO – jest co do zasady zabronione. Regulator wskazał także, że holenderskie ustawodawstwo w zakresie ochrony danych osobowych przewiduje dwa wyjątki od zakazu wynikającego z art. 9 RODO. Jednym z nich jest zgoda osoby, której dane dotyczą. Drugim natomiast jest konieczność przetwarzania danych szczególnej kategorii w celu uwierzytelnienia lub bezpieczeństwa. W badanej sprawie –  zdaniem organu –  spółka nie spełniła żadnej z tych przesłanek.

Jak wynika z treści decyzji, spółka nie była w stanie wykazać, że pozyskała zgody pracowników na przetwarzanie ich  danych osobowych w zakresie linii papilarnych palców. W toku postępowania regulator ustalił, że początkowo pracownicy odmówili udzielania zgody na pozyskanie przez spółkę tych danych osobowych. Ponadto, z informacji uzyskanych od samych pracowników wynika, że w ich ocenie pobieranie ich odcisków palców było obowiązkowe. Pomimo, że ukarana spółka stała na stanowisku, że wszystkie osoby zatrudnione wyraziły dobrowolną zgodę, organ był odmiennego zdania. Dodatkowo, poddał on w wątpliwość fakt ewentualnej dobrowolności wyrażenia zgody w takich okolicznościach.

W uzasadnieniu decyzji holenderski regulator wskazał także, że na konieczność przetwarzania danych szczególnej kategorii w celu uwierzytelnienia lub bezpieczeństwa można powołać się jedynie w przypadku, gdy budynki lub systemy informatyczne muszą być zabezpieczone w specjalny sposób. Co więcej, administrator skutecznie może powołać się na tę przesłankę jedynie w sytuacji, gdy nie ma możliwości w danym przypadku zastosowania innych rozwiązań technicznych i organizacyjnych, które w mniejszym stopniu ingerują w sferę prywatności pracowników.

Co ciekawe, organ nadzorczy – tytułem przykładu – odwołał się w treści uzasadnienia do art. 29 holenderskiej ustawy o ochronie danych osobowych, wskazując, że dostęp do garaży w warsztacie samochodowym nie jest działalnością, dla której przetwarzanie danych biometrycznych jest konieczne i proporcjonalne.

Spójne stanowisko UODO

Decyzja holenderskiego organu nadzorczego jest spójna ze stanowiskiem Urzędu Ochrony Danych Osobowych w zakresie oceny zgody na przetwarzanie danych szczególnej kategorii (danych biometrycznych) w kontekście pracowniczym. Od lat UODO (zaś wcześniej GIODO) stoi na stanowisku, że zgoda na przetwarzanie danych osobowych (w szczególności danych szczególnej kategorii) w relacji pracowniczej jest wątpliwa ze względu na cechę podporządkowania w relacji pracownik – pracodawca. Urząd podkreślał, że pozyskiwanie przez pracodawcę danych biometrycznych (odcisk palca) jest niedopuszczalne w przypadku, gdy istnieją inne rozwiązania, które w mniejszym stopniu będą ingerować w prawo do prywatności pracownika. Warto zastanowić się czy takie generalne i bezwzględne stanowisko organów nadzorczych jest do końca słuszne. Wydaje się bowiem, że przy zastosowaniu odpowiednich procedur możliwe jest zagwarantowanie pracownikom pełnej swobody w zakresie decyzji o udzieleniu bądź nieudzieleniu zgody na przetwarzanie ich danych osobowych w konkretnym celu (np. weryfikacja obecności pracownika w pracy poprzez odcisk palca, w miejsce tradycyjnej karty magnetycznej). Kwestia braku swobody pracownika w relacji z pracodawcą też nie jest tak jednoznaczna. Ponadto, w wielu przypadkach zastosowanie technologii związanych z przetwarzaniem danych osobowych może być wygodniejsze również dla samych pracowników. Jakieś granice korzystania z danych są konieczne, ale tak rygorystyczne mogą po prostu hamować rozwój i prowadzić do zacofania technologicznego. Czas i sądy pokażą kto ma rację.

Źródła:

https://www.autoriteitpersoonsgegevens.nl/nl/nieuws/boete-voor-bedrijf-voor-verwerken-vingerafdrukken-werknemers?fbclid=IwAR0qYAxfZaeVgZBmqoceNf0JeuXQdiELAUzYr2EopmDeR5_rYbz0OnW3W28

treść decyzji:

https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/boetebesluit_vingerafdrukken_personeel.pdf