Wszystko o podstawach przetwarzania danych biometrycznych

Podstawy przetwarzania danych biometrycznych

Objaśnienie

zgoda osoby, której dane dotyczą

Zgoda na przetwarzanie danych biometrycznych musi być:

• wyraźna (w postaci oświadczenia lub wyraźnego działania potwierdzającego),
• konkretna (odnosić się do jednego lub kilku konkretnie określonych celów przetwarzania),
• jednoznaczna,
• dobrowolna,
• świadoma.

Przykładowo, trudno uznać za dobrowolną zgodę na przetwarzanie danych biometrycznych od rodziców dzieci w celu weryfikacji uiszczenia opłaty za posiłek w stołówce szkolnej. Wszak uczniowie, których rodzice nie zgodzili się na przetwarzanie danych biometrycznych, musieli przepuszczać w kolejce po posiłek pozostałych uczniów. Więcej na ten temat przeczytasz tutaj>>

W przypadku pracowników zgoda na przetwarzanie danych biometrycznych musi być udzielone z inicjatywy pracownika, a nie pracodawcy.

Przeczytaj także: Dane biometryczne a ewidencja czasu pracy

Pobierz wzór zgody na przetwarzanie danych osobowych szczególnej kategorii.

prawo pracy, zabezpieczenie społeczne i ochrona socjalna

Przetwarzanie takich danych musi być niezbędne do wypełnienia obowiązków i wykonywania szczególnych praw przez administratora lub podmiot danych, w dziedzinie:

• prawa pracy,
• zabezpieczenia społecznego,
• ochrony socjalnej.

Muszą jednak pozwalać na to:

• przepisy prawa UE lub krajowego albo
• porozumienia zbiorowe zawierane na podstawie przepisów prawa krajowego, a przepisy te zapewniają odpowiednie zabezpieczenia praw podstawowych i interesów osoby, której dane dotyczą.

W polskim prawie pracy pracodawca może przetwarzać dane biometryczne pracownika, gdy ich podanie jest konieczne ze względu na kontrolę:

• dostępu do szczególnie ważnych informacji, których ujawnienie może narazić pracodawcę na szkodę,
• dostępu do pomieszczeń wymagających szczególnej ochrony (art. 22^1b § 2 Kodeksu pracy).

Przeczytaj także:

• Biometria? Tak, ale nie w celu rejestracji czasu pracy
• Monitoring a dane biometryczne
• Czy można stosować monitoring z funkcją rozpoznawania twarzy
• Odciski palców pracowników – na jakiej podstawie przetwarzać te dane
• Dane biometryczne a rejestracja czasu pracy

ochrona żywotnych interesów

Przetwarzanie danych biometrycznych musi być niezbędne do ochrony żywotnych interesów:

• podmiotu danych,
• innej osoby fizycznej.

Stosowanie takiej podstawy jest możliwe tylko wówczas, gdy podmiot danych jest fizycznie lub prawnie niezdolny do wyrażenia zgody na przetwarzanie danych.

cele polityczne, światopoglądowe, religijne lub związkowe

Dane biometryczne mogą być przetwarzane przez:

• fundację,
• stowarzyszenie,
• inny niezarobkowy podmiot

o celach politycznych, światopoglądowych, religijnych lub związkowych. Takie rozwiązanie może być zastosowane, gdy:

• przetwarzania dokonuje się w ramach uprawnionej działalności tych podmiotów prowadzonej z zachowaniem odpowiednich zabezpieczeń,

• przetwarzanie dotyczy wyłącznie członków lub byłych członków tego podmiotu bądź osób utrzymujących z nim stałe kontakty w związku z jego celami,
• dane biometryczne nie są ujawniane na zewnątrz bez zgody osób, których dotyczą.

oczywiste upublicznienie

Przetwarzanie może dotyczyć danych osobowych biometrycznych upublicznionych w sposób oczywisty przez podmiot danych

działalność sądów

Przetwarzanie danych biometrycznych ma być niezbędne do:

• ustalenia,
• dochodzenia,
• obrony roszczeń,
• w ramach sprawowania wymiaru sprawiedliwości przez sądy.

interes publiczny

Przetwarzanie danych biometrycznych ma być niezbędne ze względów związanych z ważnym interesem publicznym, na podstawie prawa UE lub krajowego, jeśli służące temu celowi działania:

• są proporcjonalne do wyznaczonego celu,
• nie naruszają istoty prawa do ochrony danych oraz
• przewidują odpowiednie i konkretne środki ochrony praw podstawowych i interesów osoby, której dane dotyczą.

ochrona zdrowia

Przetwarzanie musi służyć celom ochrony zdrowia i odbywać się na podstawie prawa lub umowy z pracownikiem służby zdrowia, i jednocześnie być niezbędne do:

• celów profilaktyki zdrowotnej lub medycyny pracy,
• oceny zdolności pracownika do pracy,
• diagnozy medycznej,
• zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego,
• leczenia,
• zarządzania systemami i usługami opieki zdrowotnej.

Jednocześnie szczególne kategorie danych muszą być przetwarzane przez:

• (lub na odpowiedzialność) pracownika podlegającego obowiązkowi zachowania tajemnicy zawodowej na mocy prawa Unii lub prawa państwa członkowskiego albo przepisów ustanowionych przez właściwe organy krajowe bądź
• inną osobę również podlegającą obowiązkowi zachowania tajemnicy zawodowej na mocy wskazanych przepisów.

zdrowie publiczne

Przetwarzanie danych biometrycznych musi być niezbędne ze względów związanych z interesem publicznym w dziedzinie zdrowia publicznego (np. służyć zapewnieniu wysokich standardów jakości i bezpieczeństwa opieki zdrowotnej oraz produktów leczniczych lub wyrobów medycznych). Poza tym musi odbywać się na podstawie przepisów prawa unijnego lub krajowego.

cele archiwalne, statystyczne i naukowe

Przetwarzanie danych biometrycznych musi być niezbędne do celów:

• archiwalnych (w interesie publicznym),
• badań naukowych lub historycznych albo statystycznych,

Działania związane z przetwarzaniem muszą:

• być prowadzone na podstawie przepisów prawa unijnego lub krajowego oraz
• być proporcjonalne do wyznaczonego celu,
• nie naruszać istoty prawa do ochrony danych,
• przewidywać odpowiednie, konkretne środki ochrony praw podstawowych i interesów podmiotu danych.