Holenderski organ właściwy do spraw ochrony danych osobowych (Autoriteit Persoonsgegevens) nałożył karę na spółkę, która wykorzystywała odciski palców swoich pracowników w celu potwierdzenia ich obecności w pracy i rejestracji ich czasu pracy. Kwota jest znaczna – 725 000 euro (ponad 3 300 000 zł). Co ciekawe, regulator zanonimizował informacje dotyczące ukaranego. Co jeszcze bardziej ciekawe, decyzja w tej sprawie została wydana już 4 grudnia 2019 r., zaś – z niewiadomych względów – organ dopiero teraz poinformował o niej opinię publiczną. Spółka odwołała się od decyzji.
Wątpliwa praktyka
W toku prowadzonego postępowania organ nadzorczy ustalił, że spółka od stycznia 2017 roku korzysta z trzech urządzeń służących do pobierania i weryfikacji odcisków palców pracowników. Dane uzyskiwane z tych urządzeń przesyłane są do specjalnego programu, za pośrednictwem którego możliwe jest zweryfikowanie obecności pracownika w zakładzie pracy oraz wgląd w jego godziny pracy. Wszystkie pobrane odciski palców są na stałe przechowywane w programie. Regulator ustalił, że spółka przetwarza łącznie prawie tysiąc czterysta wzorów odcisków palców, w tym ponad trzysta dotyczy byłych pracowników.
Brak podstaw
Organ nadzorczy podkreślił w decyzji, że odciski palców są danymi szczególnej kategorii. Ich przetwarzanie – stosownie do art. 9 RODO – jest co do zasady zabronione. Regulator wskazał także, że holenderskie ustawodawstwo w zakresie ochrony danych osobowych przewiduje dwa wyjątki od zakazu wynikającego z art. 9 RODO. Jednym z nich jest zgoda osoby, której dane dotyczą. Drugim natomiast jest konieczność przetwarzania danych szczególnej kategorii w celu uwierzytelnienia lub bezpieczeństwa. W badanej sprawie – zdaniem organu – spółka nie spełniła żadnej z tych przesłanek.
Jak wynika z treści decyzji, spółka nie była w stanie wykazać, że pozyskała zgody pracowników na przetwarzanie ich danych osobowych w zakresie linii papilarnych palców. W toku postępowania regulator ustalił, że początkowo pracownicy odmówili udzielania zgody na pozyskanie przez spółkę tych danych osobowych. Ponadto, z informacji uzyskanych od samych pracowników wynika, że w ich ocenie pobieranie ich odcisków palców było obowiązkowe. Pomimo, że ukarana spółka stała na stanowisku, że wszystkie osoby zatrudnione wyraziły dobrowolną zgodę, organ był odmiennego zdania. Dodatkowo, poddał on w wątpliwość fakt ewentualnej dobrowolności wyrażenia zgody w takich okolicznościach.
W uzasadnieniu decyzji holenderski regulator wskazał także, że na konieczność przetwarzania danych szczególnej kategorii w celu uwierzytelnienia lub bezpieczeństwa można powołać się jedynie w przypadku, gdy budynki lub systemy informatyczne muszą być zabezpieczone w specjalny sposób. Co więcej, administrator skutecznie może powołać się na tę przesłankę jedynie w sytuacji, gdy nie ma możliwości w danym przypadku zastosowania innych rozwiązań technicznych i organizacyjnych, które w mniejszym stopniu ingerują w sferę prywatności pracowników.
Co ciekawe, organ nadzorczy – tytułem przykładu – odwołał się w treści uzasadnienia do art. 29 holenderskiej ustawy o ochronie danych osobowych, wskazując, że dostęp do garaży w warsztacie samochodowym nie jest działalnością, dla której przetwarzanie danych biometrycznych jest konieczne i proporcjonalne.
Spójne stanowisko UODO
Decyzja holenderskiego organu nadzorczego jest spójna ze stanowiskiem Urzędu Ochrony Danych Osobowych w zakresie oceny zgody na przetwarzanie danych szczególnej kategorii (danych biometrycznych) w kontekście pracowniczym. Od lat UODO (zaś wcześniej GIODO) stoi na stanowisku, że zgoda na przetwarzanie danych osobowych (w szczególności danych szczególnej kategorii) w relacji pracowniczej jest wątpliwa ze względu na cechę podporządkowania w relacji pracownik – pracodawca. Urząd podkreślał, że pozyskiwanie przez pracodawcę danych biometrycznych (odcisk palca) jest niedopuszczalne w przypadku, gdy istnieją inne rozwiązania, które w mniejszym stopniu będą ingerować w prawo do prywatności pracownika. Warto zastanowić się czy takie generalne i bezwzględne stanowisko organów nadzorczych jest do końca słuszne. Wydaje się bowiem, że przy zastosowaniu odpowiednich procedur możliwe jest zagwarantowanie pracownikom pełnej swobody w zakresie decyzji o udzieleniu bądź nieudzieleniu zgody na przetwarzanie ich danych osobowych w konkretnym celu (np. weryfikacja obecności pracownika w pracy poprzez odcisk palca, w miejsce tradycyjnej karty magnetycznej). Kwestia braku swobody pracownika w relacji z pracodawcą też nie jest tak jednoznaczna. Ponadto, w wielu przypadkach zastosowanie technologii związanych z przetwarzaniem danych osobowych może być wygodniejsze również dla samych pracowników. Jakieś granice korzystania z danych są konieczne, ale tak rygorystyczne mogą po prostu hamować rozwój i prowadzić do zacofania technologicznego. Czas i sądy pokażą kto ma rację.
Źródła:
treść decyzji: