Czasopisma logo

Monitor Prawa Pracy

nr 12/2008

Problematyka przetwarzania danych biometrycznych pracowników

Krzysztof Malik
Autor jest absolwentem Prawa na Wydziale Prawa i Administracji Uniwersytetu Jagiellońskiego. Pracę magisterską obronił w Katedrze Prawa Pracy i Polityki Społecznej, pod kierunkiem prof. dr hab. Krzysztofa Barana, z zakresu ograniczania wolności pracy oraz legalności umowy o zakazie konkurencji pomiędzy uczelnią a nauczycielem akademickim. Jest laureatem III edycji prestiżowego konkursu „Law Games” organizowanego przez kancelarię Wierzbowski Eversheds.
Abstrakt

Niniejsze opracowanie zostało poświęcone coraz bardziej popularnemu problemowi, a mianowicie przetwarzaniu danych biometrycznych pracowników. Z jednej strony prezentowane są obawy pracowników wspieranych przez instytucje państwowe, iż dane biometryczne nie powinny być wykorzystywane przez pracodawców, a jeśli już, to wyłącznie w uzasadnionych przypadkach, którymi na pewno nie są ewidencja czasu pracy czy też akceptacja wejścia i wyjścia na teren zakładu pracy. Z drugiej zaś strony, swoje racje przedstawiają pracodawcy, dla których wykorzystywanie danych biometrycznych pracowników jest stosunkowo tanim, niezawodnym i bezpiecznym sposobem kontroli.

Wstęp

Niewątpliwie w ostatnich 2 latach zaobserwować można rosnącą popularność wykorzystywania danych biometrycznych1. Bez względu na cel wykorzystywania tych danych (np. ewidencja czasu pracy czy weryfikacja dostępu do miejsc ściśle chronionych w zakładzie pracy) zainteresowanie byłoby zapewne jeszcze większe, gdyby nie prezentowane w mediach negatywne stanowiska Rzecznika Praw Obywatelskich (RPO) czy Generalnego Inspektora Ochrony Danych Osobowych (GIODO)2. Do większego upowszechnienia wykorzystywania danych biometrycznych przyczyniłaby się zapewne także rzetelna kampania informacyjna.

Przetwarzanie danych biometrycznych jako przyszłość identyfikacji pracowników

Dotychczas stosowane metody identyfikacji tożsamości pracowników, jak np. karty chipowe, karty magnetyczne, legitymacje czy hasła, wykorzystują wiedzę osoby rozpoznawanej lub powierzone jej przez pracodawcę przedmioty. Takie rozwiązania choć niewątpliwie stosunkowo tanie i proste w zastosowaniu są jednak podatne na nadużycia i nakładają na pracownika obowiązek chronienia udostępnianych przez pracodawcę haseł czy służących do identyfikacji przedmiotów i nieudostępniania ich osobom nieuprawnionym. W odróżnieniu od dotychczas stosowanych rozwiązań technologia wykorzystująca dane biometryczne bazuje na informacjach pochodzących bezpośrednio od pracownika. Wykorzystanie takich informacji w celach sprzecznych z interesem stron stosunku pracy jest bardziej skomplikowane i czasochłonne, niemniej jednak nie jest niemożliwe3.

Z perspektywy pracownika kolejną zaletą korzystania z czytników danych biometrycznych w celu ewidencji czasu pracy jest wywieranie na pracodawcy presji w celu zmiany organizacji pracy w taki sposób, aby nie przekraczała ona kodeksowego wymiaru czasu pracy. Dane dotyczące czasu pracy pracowników zgromadzone przy wykorzystaniu danych biometrycznych są podstawą wypłaty wynagrodzenia za pracę w nadgodzinach, którą pracodawcy trudno będzie zakwestionować.

Z drugiej strony wydaje się, iż pracodawcy nie dostrzegają bardzo istotnej wady czytników danych biometrycznych, jaką jest ich dokładność, czyli trafność weryfikacji tożsamości. Trafność czytników danych biometrycznych określa się dwoma współczynnikami: FRR (False Reject Rate), czyli liczba zdarzeń, w których uprawniona osoba nie została pozytywnie zaaprobowana przez czytnik, a w efekcie nastąpiła bezpodstawna odmowa dostępu, oraz współczynnik FAR (False Accept Rate) określający liczbę zdarzeń, w których dostęp uzyskała osoba nieuprawniona4.

Z oczywistych względów żaden pracodawca nie prowadzi, a tym bardziej nie upublicznia informacji o wysokości tych współczynników. Niemniej jednak, zdaniem producentów czytników5 danych biometrycznych, wysokość współczynników6 FAR i FRR na poziomie 1% oznacza wysoką dokładność urządzenia. W skali małych i średnich przedsiębiorstw 1% margines błędu nie ma większego znaczenia. Błąd tej skali jest już jednak poważnym problemem w przypadku dużych przedsiębiorstw. W praktyce współczynnik FRR na poziomie 1% oznacza, że w przedsiębiorstwie zatrudniającym 1000 pracowników każdego dnia 10 osób nie zostało wpuszczonych na teren zakładu pracy, czyli mimo zgłoszenia gotowości do pracy nie mogą jej świadczyć. Co więcej, jeśli dany czytnik charakteryzuje się współczynnikiem FAR na poziomie 1%, na terenie zakładu może przebywać 10 osób, które nie są do tego uprawnione!

Przetwarzanie danych osobowych przez pracodawców a dane biometryczne

W świetle art. 3 ustawy z 29.8.1997 r. o ochronie danych osobowych7, ustawa ta ma zastosowanie do pracodawców i zbieranych przez nich danych osobowych dotyczących zarówno osób zatrudnionych (bez względu na charakter zatrudnienia), jak i osób ubiegających się o pracę8. Zgodnie z Ochrona DanychU pracodawca przetwarzający dane osobowe tych osób staje się ich administratorem9.

Ustawa za dane osobowe uznaje wszelkie informacje dotyczące osoby fizycznej, które umożliwiają określenie jej tożsamości10. Informacje umożliwiające identyfikację danej osoby nie muszą [...]