Odciski palców pracowników – na jakiej podstawie przetwarzać te dane
Tak, w takiej sytuacji przetwarzane są dane biometryczne – na podstawie art. 9 ust. 2 lit. a (zgoda podmiotu danych) albo lit. b RODO (jeżeli jest to niezbędne do wypełnienia obowiązków i wykonywania szczególnych praw przez administratora lub osobę, której dane dotyczą, w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej, o ile jest to dozwolone prawem UE lub prawem państwa członkowskiego, lub porozumieniem zbiorowym na mocy prawa państwa członkowskiego przewidującymi odpowiednie zabezpieczenia praw podstawowych i interesów osoby, której dane dotyczą).
Logowanie za pomocą odcisków placów wiąże się z przetwarzaniem danych
W przypadku zabezpieczeń biometrycznych wzorce odcisków palców, siatkówki oka, twarzy, itp. zapisywane są na nośnikach danych (telefon, komputer), które są własnością pracodawcy. Należy zatem przyjąć, że pracodawca gromadzi te dane (poprzez zapis wzorca) oraz przechowuje zapisane w pamięci urządzenia. Są one również wykorzystywane w celu odblokowania urządzenia.
Jaka podstawa przetwarzania
Gdy pracodawca jedynie przedstawia kilka różnych możliwości, a pracownik wybiera jedną z nich - wykorzystującą biometrię - uznać należy, że wyraża on zgodę na przetwarzanie danych osobowych (odcisk palca) przez pracodawcę, na potrzeby tej usługi. Zgoda może bowiem przybrać formę "wyraźnego działania potwierdzającego". Wybór danej formy zabezpieczenia, jest bez wątpienia takim wyraźnym działaniem.
Podstawą przetwarzania będzie w tym przypadku art. 9 ust. 2 lit. a RODO, czyli zgoda osoby, której dane dotyczą. Zgoda zaś może być wyrażona również w sposób dorozumiany, np. poprzez określoną inicjatywę pracownika (zob. art. 4 pkt 11 RODO).
Od powyższego należy odróżnić przypadek, gdy administrator, po przeprowadzeniu analizy ryzyka wprowadza domyślny poziom ochrony danych osobowych uznając za jego element wykorzystanie biometrii. W tym bowiem przypadku, przetwarzanie danych pracownika dokonywane jest w celu realizacji obowiązku ciążącego na pracodawcy, a wynikającego z RODO.
Pracodawca, jako administrator danych, zobligowany jest do wprowadzenia w zakładzie pracy adekwatnych środków bezpieczeństwa danych osobowych (art. 32 RODO).
Możliwe jest uznanie, na podstawie przeprowadzonej analizy, że zabezpieczenia biometryczne są konieczne i niezbędne do tej ochrony. W takim przypadku dane te są przetwarzane na mocy art. 9 ust. 2 lit. b w zw. z art. 32 RODO.
- Udostępnienie danych osobowych na żądanie zakładu ubezpieczeń – w jakich przypadkach
- Weryfikacja niekaralności w Krajowym Rejestrze Karnym i Rejestrze Sprawców Przestępstw na Tle Seksualnym – czy dotyczy także niepełnoletnich
- Udostępnienie danych osobowych właścicieli lokali – kiedy spółdzielnia musi to zrobić
- Przenoszenie baz danych – czy konieczna umowa powierzenia przetwarzania
- Inspektor ochrony danych dla urzędu i samorządowych jednostek organizacyjnych
- Dostęp do danych osobowych dla pełnomocnika
Wideo: Przegląd orzecznictwa (sierpień – listopad 2022 r.) – cz. III – decyzje zagranicznych organów nadzorczych
Poznaj najważniejsze orzeczenia zagranicznych organów nadzorczych. W podsumowaniu poruszamy zagadnienia związane m.in. z geolokalizacją, prawem dostępem do danych, cyberatakiem na gminę czy rozpoznawaniem twarzy.
