Odciski palców pracownika umożliwia rejestrację czasu jego pracy. System ewidencji, wykorzystujący linie papilarne okazał się dużo szybszy i efektowniejszy, niż tradycyjny, wykorzystujący karty magnetyczne. Tysiące polskich pracodawców, którzy przetwarzają dane biometryczne – czy to za zgodą pracowników, czy bez – robią to nielegalnie. Co ciekawe, system ten wprowadziło też wiele podmiotów publicznych, takich jak szpitale, czy urzędy. W praktyce, ani GIODO, ani sądy nie wymierzają za naruszenie przepisów stosownych kar, ograniczając się jedynie do żądania zaniechania takiego postępowania.
Sprawiedliwy system wynagrodzeń za nadgodziny/ Gwarancja płatnych nadgodzin
System rejestracji czasu pracy (RCP) za pomocą odcisków linii papilarnych stał się w ostatnich latach bardzo popularny. Uniemożliwia on bowiem „podbicie” cudzej karty. Otrzymany przy wejściu i wyjściu obraz unikalnych linii papilarnych pracownika jest przetwarzany na kod binarny. Do kodu zaś przypisane jest imię i nazwisko pracownika.
System korzystający z odcisków palców pozostawia daleko w tyle karty magnetyczne. Pozwala na wzmożoną kontrolę pracowników, a ponadto jest szybszy w obsłudze. Tam, gdzie pracownikom dano wybór takiej formy rejestracji, często zostawał on przyjęty przez większość. I choć Generalny Inspektor Ochrony Danych Osobowych oraz sądy administracyjne zarzucają, że zgoda na pobieranie danych biometrycznych przez pracodawców jest poniekąd wymuszona, druga strona sporu widzi tę sytuację nieco inaczej. Podwładni czasem sami wymuszają na zwierzchnikach wprowadzenie dokładnego systemu obliczania czasu pracy, również tego opartego na biometrii. Odpowiednie urządzenia rejestrują bowiem szczegółowo nadgodziny i nie pozwalają na pozostawienie ich bez wynagrodzenia.
„Polskie prawo nie idzie z duchem czasu”
Firmy na potrzeby realizacji stosunku pracy nie mogą przetwarzać danych biometrycznych pracowników, gdyż nie zezwalają na to obowiązujące przepisy prawa – przypomina dr Wojciech Rafał Wiewiórowski, Generalny Inspektor Ochrony Danych Osobowych.
Katalog danych, jakie pracodawcy mogą pozyskiwać od pracowników na potrzeby zatrudnienia, określony został w przepisie art. 221 Kodeksu pracy. Są to m.in. imię i nazwisko, imiona rodziców, data urodzenia, miejsce zamieszkania, wykształcenie, przebieg dotychczasowego zatrudnienia, numer PESEL. O inne dane osobowe można poprosić tylko wówczas, jeżeli wynika to z odrębnych przepisów.
GIODO powołuje się na fakt, iż żaden z przepisów nie zezwala na przetwarzanie przez pracodawcę danych uzyskanych za pomocą odcisku palca. Podkreśla też, że w relacjach pracodawca – pracownik zgoda na przetwarzanie danych nigdy nie będzie w pełni dobrowolna. Nie może ona zatem stanowić przesłanki zezwalającej na przetwarzanie danych wrażliwych, jakimi są odciski palców.
Stanowisko GIODO jest zbieżne z linią orzeczniczą polskich sądów administracyjnych. W kwestii systemów rejestrujących czas pracy przy wykorzystaniu danych biometrycznych zapadło kilka wyroków, m.in. SA/Wa 719/11 i IOS 249/09. NSA podał w wątpliwość dobrowolność zgody pracownika, złożonej na żądanie pracodawcy. Stwierdził, że pracodawca posługujący się taką zgodą, by zalegalizować wykorzystanie danych wrażliwych podwładnego, obchodzi przepis art. 23 ust. 1 pkt. 1 ustawy o ochronie danych osobowych. Co więcej, uznał, że wykorzystanie tych szczególnych danych do kontroli czasu pracy pracowników jest nieproporcjonalne do zamierzonego celu ich przetwarzania.
Polskie prawo nie idzie z duchem czasu – komentują sytuację przedsiębiorcy. Z jednej strony bowiem zadaniem pracodawcy jest dokładne zarejestrowanie czasu pracy, by płacić za nadgodziny i zapewniać wymagany odpoczynek. Z drugiej zaś – nie może on legalnie zastosować nowoczesnych metod, które to umożliwiają.
W praktyce pracodawcy są bezkarni
Zjawisko przetwarzania przez polskich pracodawców danych biometrycznych pracowników przyjęło już ogromną skalę. Coraz częściej zwierzchnicy decydują się na system RCP wykorzystujący odciski palców, bo jest to po prostu wygodne. Ryzyko poniesienia odpowiedzialności za naruszenie przepisów jest tak naprawdę niewielkie. Dotychczas jedynie trzy takie sprawy zakończyły się wyrokiem sądu. Pozwani pracodawcy nie ponieśli kar pieniężnych, zostali jedynie wezwani do usunięcia bazy danych, zaprzestania ich zbierania i przygotowania nowej polityki bezpieczeństwa.
Kontroli czynności związanych z rejestracją czasu pracy dokonują inspektorzy pracy. Państwowa Inspekcja Pracy popiera stanowisko GIODO. Udzieliła nawet okręgowym inspekcjom instrukcji, jak ma wyglądać procedura w przypadku stwierdzenia nadużycia danych biometrycznych pracowników. Inspektor pracy występuje do pracodawcy z żądaniem zaniechania działań naruszających art. 221 Kodeksu pracy. Poza tym okręgowa inspekcja zawiadamia o stwierdzonym naruszeniu GIODO.
Należy również zaznaczyć, że bezprawne działania dotyczą przede wszystkim identyfikacji pracowników przy użyciu danych biometrycznych celem rejestracji czasu pracy. Generalny Inspektor Ochrony Danych Osobowych w niektórych przypadkach przewiduje wykorzystanie linii papilarnych pracowników, jeśli służy ono realizacji innych celów niż wynikające ze stosunku pracy. Na przykład wówczas, gdy chodzi o zabezpieczenie poufnych informacji czy systemów i pozyskiwanie danych biometrycznych obejmuje tylko wybrane z zatrudnionych osób.
Kompromis, czy dura lex?
Czy tak lekkie traktowanie przez organy administracji publicznej problemu wykorzystywania danych biometrycznych przez pracodawców, doprowadzi do zmiany przepisów? Długotrwałe nieprzestrzeganie w praktyce określonej normy prawnej prowadzi z czasem do odebrania jej mocy. Czy argumenty pracodawców, apelujących o przyzwolenie na nowoczesne metody rejestracji czasu pracy przeważą w tym sporze? Właściwie czy to w ogóle spór? (Nie licząc pojedynczych spraw.) Pracodawcy wdrażają bezprawnie system, organy administracji nie egzekwują stosowania obowiązujących przepisów. A pracownicy? Nie protestują, ale może dlatego, że nie zdają sobie do końca sprawy, jakie konsekwencje może nieść przekazywanie bez ważnego celu odcisku swoich unikalnych linii papilarnych.
Artykuł na podstawie opracowania autorstwa Katarzyny Sawczuk
Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.
Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.