#Bezpieczeństwo biznesu #Kontrola dostępu

RODO a systemy kontroli dostępu Cz.1. Biometria w zatrudnieniu

Piotr Powązka


Administratorzy danych osobowych muszą mieć świadomość, że przetwarzanie danych biometrycznych wiąże się nie tylko z dużym ryzykiem dla podmiotu danych, ale i wizerunkowym dla nich samych w przypadku naruszenia danych. Trzeba też znać wymagania RODO ze względu na przetwarzanie szczególnych kategorii danych.

Wykorzystanie w systemach kontroli dostępu danych biometrycznych (odciski palców, tęczówka oka, układ żył) jako danych identyfikujących osobę zatrudnioną zyskuje wśród pracodawców na popularności – wydaje się szybkim i nowoczesnym rozwiązaniem w zakresie zapewnienia bezpieczeństwa lub zapobiegania nadużyciom. Postrzeganą akceptację danych biometrycznych zwiększyło ich wykorzystanie do użytku osobistego (np. w celu korzystania z funkcji smartfonów, ewidencji czasu pracy czy dostępu do placówek użyteczności publicznej, np. siłowni). Tradycyjna niechęć do systemów biometrycznych była i pozostaje związana z ochroną praw osób. Nowe systemy i ich rozwój budzi wiele obaw. Dotyczą one m.in. możliwości niejawnego gromadzenia, przechowywania i przetwarzania materiału zawierającego informacje szczególnie chronione, a te czynności mogą naruszyć najintymniejsze sfery prywatności osób fizycznych.

Od początku stosowania technologii i systemów biometrycznych poważny problem stanowi potencjalne ich nadużywanie. Wraz z rosnącym potencjałem technicznym nowych systemów (dotyczy to zwłaszcza rozpoznawania twarzy) ryzyko wykorzystywania danych w sposób niezgodny z ich pierwotnym celem rośnie. Stosowanie takich technologii musi odbywać się z należytym poszanowaniem zasad legalności, konieczności, proporcjonalności i minimalizacji danych, określonych w RODO. Mimo że korzystanie z tych technologii może być postrzegane jako szczególnie skuteczne, administratorzy powinni ocenić ich wpływ na podstawowe prawa i wolności oraz rozważyć zastosowanie mniej „inwazyjnych” środków do osiągnięcia legalnego celu ich przetwarzania.

KONIECZNE ELEMENTY BIOMETRII

Aby mówić o przetwarzaniu danych biometrycznych, muszą być spełnione następujące warunki:

  • dane dotyczą osoby fizycznej,
  • umożliwiają jednoznaczne zidentyfikowanie tej osoby (samodzielnie lub w powiązaniu z innymi informacjami),
  • stosowane jest adekwatne przetwarzanie techniczne.

Nie ma przy tym znaczenia, że ani czytnik linii papilarnych, ani skaner źrenicy oka nie zapisują wzoru daktyloskopijnego, a wynikiem pomiaru/skanu jest zapis cyfrowy, stanowiący jakąś sumę kontrolną. Nie jest przy tym istotne, że z tego zapisu matematycznego nie można odtworzyć odcisku palca czy skanu źrenicy.

W swoim artykule nt. stosowania monitoringu wizyjnego w nr. 6/2019 poruszyłem kwestie kluczowych zasad RODO oraz wymogów, jak badanie NIEZBĘDNOŚCI, PROPORCJONALNOŚCI I LEGALNOŚCI (art. 5 RODO) czy analizy ryzyka i uwzględniania ochrony danych w fazie projektowania oraz domyślnej ochrony danych, o których mowa w art. 25 RODO. Mają one zastosowanie również w przypadku stosowania rozwiązań biometrycznych w kontroli dostępu. Przywołane poprzednio wytyczne EROD wywołały wiele dyskusji, wątpliwości i nowego spojrzenia nt. monitoringu również przez rodzime UODO. Warto zatem śledzić rozwój wydarzeń, gdyż UODO już zapowiada aktualizację swoich zaleceń dla administratorów, w tym prawdopodobnie inne podejście do podglądu obrazów z kamer na żywo bez zwyczajowej rejestracji na nośniku danych.

BIOMETRIA A KWESTIE PRACOWNICZE

W kwestiach pracowniczych polskie i zagraniczne regulacje Kodeksu pracy (KP) w niektórych przypadkach przewidują możliwość stosowania biometrii. Art. 22(1b) „Przetwarzanie danych biometrycznych ubiegającego się o pracę lub pracownika” stanowi:

§ 1. Zgoda osoby ubiegającej się o zatrudnienie lub pracownika może stanowić podstawę przetwarzania przez pracodawcę danych osobowych, o których mowa w art. 9 przetwarzanie szczególnych kategorii danych osobowych ust. 1 rozporządzenia 2016/679, wyłącznie w przypadku, gdy przekazanie tych danych osobowych następuje z inicjatywy osoby ubiegającej się o zatrudnienie lub pracownika. Przepis art. 221a zgoda ubiegającego się o zatrudnienie lub pracownika na przetwarzanie danych § 2 stosuje się odpowiednio.
§ 2. Przetwarzanie danych biometrycznych pracownika jest dopuszczalne także wtedy, gdy podanie takich danych jest niezbędne ze względu na kontrolę dostępu do szczególnie ważnych informacji, których ujawnienie może narazić pracodawcę na szkodę, lub dostępu do pomieszczeń wymagających szczególnej ochrony.
§ 3. Do przetwarzania danych osobowych, o których mowa w § 1, mogą być dopuszczone wyłącznie osoby posiadające pisemne upoważnienie do przetwarzania takich danych wydane przez pracodawcę. Osoby dopuszczone do przetwarzania takich danych są obowiązane do zachowania ich w tajemnicy.

Wymóg, aby administratorzy danych będący pracodawcami wdrażali odpowiednie środki techniczne i organizacyjne (art. 32 ust. 1 RODO) nie oznacza, że pracodawca od razu wdroży system kontroli dostępu i ewidencji czasu pracy z identyfikacją biometryczną. Trzeba bardzo ostrożnie podchodzić do wymogów prawnych i zagrożeń oraz skrupulatnie stosować zasady ochrony danych w tym zakresie. Urząd Ochrony Danych Osobowych w swoim poradniku dotyczącym zatrudnienia opublikowanym w 2018 r. kategorycznie zabronił stosowania biometrii w zakresie ewidencji czasu pracy. Z moich doświadczeń wynika, że niektórzy pracodawcy decydują się na takie rozwiązania wbrew obowiązującym przepisom. Już 11 lat temu, a zatem jeszcze w czasach dyrektywy 95/46/WE, kiedy dane biometryczne nie były uważane za szczególne dane osobowe, NSA w wyroku z 1 grudnia 2009 r. (sygn. I OSK 249/09) orzekł:
Brak równowagi w relacji pracodawca – pracownik stawia pod znakiem zapytania dobrowolność wyrażenia zgody na pobieranie i przetworzenie danych osobowych (biometrycznych). Z tego względu ustawodawca ograniczył przepisem art. 22 Kodeksu pracy katalog danych, których pracodawca może żądać od pracownika. Uznanie faktu wyrażenia zgody jako okoliczności legalizującej pobranie od pracownika innych danych niż wskazane w art. 22 Kodeksu pracy stanowiłoby obejście tego przepisu.
– Ryzyko naruszenia swobód i fundamentalnych praw obywatelskich musi być proporcjonalne do celu, któremu służy. Skoro zasada proporcjonalności jest głównym kryterium przy podejmowaniu decyzji dotyczących przetwarzania danych biometrycznych, to stwierdzić należy, że wykorzystanie danych biometrycznych do kontroli czasu pracy pracowników jest nieproporcjonalne do zamierzonego celu ich przetwarzania.[…]

Pracodawcy na swoją obronę podnoszą kwestie nadużyć pracowników, polegających na potwierdzaniu obecności osób przez kolegów, co naraża firmy na straty i inne zagrożenia. Próbują również przy okazji ewidencji sprawdzać, poprzez monitoring wizyjny, autoryzujących się w czytniku pracowników. Jednak tu również często występuje problem z zasadą proporcjonalności.

Nawet wyraźna zgoda zazwyczaj nie może być uznana za legalną podstawę przetwarzania danych biometrycznych osób w miejscach pracy. Uzyskanie ważnej (dobrowolnie wyrażonej) zgody zatrudnionego jest na ogół trudne ze względu na nieodłączny związek z podporządkowaniem się pracownika względem pracodawcy, a więc nierównowagi sił. Ponadto, zakładając, że pracownicy rzeczywiście mogliby swobodnie wyrażać zgodę (lub nie wyrażać jej), sytuacja, że pewien odsetek pracowników nie wyraża zgody na przetwarzanie ich danych biometrycznych, zazwyczaj nie pozwala pracodawcy na osiągnięcie zamierzonego celu (nawet gdy środek jest uzasadniony względami bezpieczeństwa, ważne jest, aby miał akceptację wszystkich pracowników).

W pierwszej kolejności pracodawca powinien zastanowić się nad alternatywnymi środkami, które nie wymagają przetwarzania danych biometrycznych, a pozwalają osiągnąć ten sam cel w sposób mniej kontrowersyjny (tzn. są odpowiedniejsze). Powinien zdecydowanie rozważyć połączenie różnych mniej inwazyjnych rozwiązań, np. osobistego kodu dostępu i osobistego identyfikatora np. do zabezpieczenia dostępu do systemu kasowego sklepu przed kradzieżą. Ponieważ nie zawsze jest to łatwe zadanie, zaleca się dokładne udokumentowanie tej oceny, jej uzasadnienia i wyniku.

Jeżeli przetwarzanie danych biometrycznych nadal wydaje się bardziej odpowiednie do osiągnięcia zamierzonego celu, pracodawca musi dokładnie ocenić jego legalność zgodnie z art. 6 i 9.2. RODO. Przykładem może być tu kontrola dostępu do niektórych pomieszczeń czy elementów infrastruktury krytycznej, dla której analiza wykaże niezbędność dodatkowej ochrony dostępu.

Artykuł 9 ust. 2. RODO zawiera inne wyjątki, które pozwalają na przetwarzanie danych biometrycznych, a pracodawca powinien sprawdzić, czy któryś z nich może zastosować. Gdy brak wyjątków na mocy art. 9 ust. 2 lub prawa krajowego dotyczącego ochrony danych osobowych, zgoda zatrudnionego może wydawać się jedyną opcją dla pracodawcy. W ograniczonych przypadkach można opierać się na zgodzie jako na legalnej podstawie, pod warunkiem że pracodawca zaoferuje pracownikom alternatywne rozwiązania i wiarygodną gwarancję, że nie wystąpią działania odwetowe w razie niewyrażenia zgody. Jeżeli pracownicy czują się w jakikolwiek sposób zmuszeni do wyrażenia zgody, nie będzie ona ważna i w konsekwencji przetwarzanie danych będzie niezgodne z prawem.

Naruszenie przepisów ochrony danych przez pracodawcę w Holandii

W Holandii zapadł w 2019 r. wyrok sądu w sprawie pracodawcy, który wprowadził oparty na odciskach palców system autoryzacji, pozwalający kontrolować dostęp pracowników do systemu kasowego. Zastąpił on poprzedni system kontroli dostępu (KD) oparty na osobistym kodzie dostępu. Pracodawca ogłosił, że ma ku temu przesłanki:

  • musi zapobiegać oszustwom i kradzieżom przez pracowników,
  • musi chronić wrażliwe dane dostępne za pośrednictwem systemu kasjerskiego (tj. dane finansowe i dane osobowe pracowników i klientów).

Później do systemu KD dodał inną funkcjonalność – rejestrację czasu pracy. Argumentował, że jako administrator danych jest zobowiązany do wdrożenia odpowiednich środków technicznych i organizacyjnych (zgodnie z art. 32 ust. 1 RODO). W tym względzie uznano, że poprzedni system oparty na kodach osobowych nie jest już odpowiedni w obecnych czasach i istnieje ryzyko, że może zostać ominięty lub zhakowany. Ponadto pracodawca stwierdził, że korzystanie z danych biometrycznych staje się powszechnie akceptowane i że są one szeroko stosowane, np. w celu uzyskania dostępu do funkcji smartfonów. W tej sytuacji pracownik odmówił podania swoich odcisków palców, twierdząc, że narzucony system narusza jego prawa do ochrony danych osobowych.

DECZYJA SĄDU: w rozpatrywanej sprawie przetwarzanie danych biometrycznych pracowników zostało narzucone jednostronnie (pracownicy nie mieli wyboru), więc nie można było powoływać się na zgodę jako na legalną podstawę. Nie można było również powołać się na krajowy wyjątek w niderlandzkiej ustawie o ochronie danych, tj. gdy przetwarzanie jest konieczne do celów uwierzytelnienia lub bezpieczeństwa:

  • interes przedsiębiorstwa (tj. zapobieganie oszustwom i kradzieżom przez pracowników) nie stanowi przesłanki „niezbędnej do celów uwierzytelniania” (tu sąd odniósł się do przykładu elektrowni jądrowych jako elementów infrastruktury krytycznej i zagrożeń z tym związanych),
  • przetwarzanie nie jest proporcjonalne, ponieważ w sklepie nie były zainstalowane inne zabezpieczenia, tzn. nie było systemów alarmowych, nie było sejfu ani nadzoru kamer,
  • pracodawca nie wykazał w wystarczającym stopniu, dlaczego nie uwzględniono innych, mniej naruszających prywatność identyfikatorów, np. połączenia karty i kodu osobistego.

Sąd orzekł, że pracodawca nie może narzucić systemu autoryzacji opartego na odciskach palców, ponieważ w danych okolicznościach narusza to przepisy RODO i holenderską ustawę o ochronie danych.
Holenderski urząd ochrony danych, Autoriteit Persoonsgegevens, nałożył na inne przedsiębiorstwo grzywnę w wysokości aż 725 tys. euro za naruszenie ogólnego rozporządzenia UE o ochronie danych. Organ ochrony danych stwierdził, że nienazwana firma wymagała od swoich pracowników skanowania odcisków palców w celu sprawdzania ich obecności, a więc prowadzenia ewidencji czasu pracy. W tym przypadku, takie wykorzystanie informacji biometrycznych nie spełnia wymogów określonych w rozporządzeniu o ochronie danych osobowych.

Kara UODO nałożona na szkołę za stosowanie biometrii w stołówce

Prezes UODO nałożył karę finansową w wysokości 20 tys. zł na Szkołę Podstawową nr 2 w Gdańsku za niezgodne z prawem przetwarzanie danych biometrycznych. (Maksymalna wysokość kary, jaką można nałożyć na podmiot publiczny zgodnie z ograniczeniem, jakie przewiduje krajowa Ustawa o Ochronie Danych Osobowych z 10 maja 2018 r., to 100 tys. zł) UODO w swej decyzji z 18 lutego 2020 r. stwierdza:
Należy zauważyć, iż przetwarzanie danych biometrycznych nie jest niezbędne dla osiągnięcia celu, jakim jest identyfikacja uprawnienia dziecka do odebrania obiadu. Wyżej wymienioną identyfikację Szkoła może przeprowadzić za pomocą innych środków, mniej ingerujących w prywatność dziecka korzystającego z usług stołówki szkolnej.
[…] Zgodnie z zasadami wydawania obiadów umieszczonymi na stronie stołówki prowadzonej przez Szkołę – uczniowie, którzy nie posiadają identyfikacji biometrycznej, przepuszczają wszystkich i oczekują na końcu kolejki (pkt 3), oraz gdy wszyscy uczniowie z identyfikacją biometryczną wejdą do stołówki, rozpoczyna się wpuszczanie pojedynczo uczniów bez identyfikacji biometrycznej […] To przejaw dyskryminacji.
[…] Realizując tę usługę, Szkoła może przetwarzać tylko te dane osobowe ucznia, które są niezbędne do świadczenia usług stołówki szkolnej. Wskazać należy, że przepisy prawa powszechnie obowiązującego wskazują rodzaj danych, jakie Szkoła może pozyskiwać od swoich uczniów. Żaden z nich nie zezwala Szkole na przetwarzanie (pozyskiwanie i gromadzenie) danych biometrycznych (których przetwarzanie jest co do zasady zakazane w art. 9 ust. 1 RODO) uczniów w celu realizacji tego zadania.
W takiej sytuacji zgoda Rodzica nie może być przesłanką legalizującą przetwarzanie danych biometrycznych, ponieważ zgoda stanowi podstawę legalizującą przetwarzanie danych osobowych jedynie wtedy, gdy nie istnieją inne przesłanki na te przetwarzanie. […]

Szkoła wyszła z założenia, że nie zbiera danych biometrycznych. Patrząc jednak na KONIECZNE ELEMENTY BIOMETRII wspomniane wyżej, była to błędna teza:

  • specjalne rozwiązanie techniczne, czyli skaner odcisków palca, przetworzył dane w sposób matematyczny,
  • jest możliwość zidentyfikowania osoby fizycznej i porównanie w bazie danych.

Identyczne zdanie miał organ w Szwecji, przy czym tam sprawa dotyczyła rozpoznawania twarzy i obecności dzieci.
Przetwarzania danych biometrycznych nie można traktować pobłażliwie, zwłaszcza w kontekście zatrudnienia czy szkolnictwa, gdzie ważna zgoda pracownika nie jest zazwyczaj dobrym rozwiązaniem. Wraz z rozwojem technologii i np. umieszczaniem odcisków palców podczas identyfikacji elektronicznej jest to prawdopodobnie jedynie wierzchołek góry lodowej problemów. Zapewne będziemy świadkami wielu innych przypadków wykorzystywania lub utraty danych biometrycznych oraz wytycznych w tym zakresie.

Piotr Powązka
Absolwent Uniwersytetu Ekonomicznego we Wrocławiu. Ma kilkunastoletnie doświadczenie korporacyjne w sektorach finansowym i technologicznym. Zaangażowany w przekształcanie prywatności i praktyk handlowych poprzez budowanie zrównoważonej wartości biznesowej, propaguje nowe standardy w umowach oraz kulturę ery zaufania i współpracy. Wspiera organizacje w zakresie transformacji cyfrowej, ochrony danych osobowych i prywatności, zarządzania kontraktami, zgodności i kontroli wewnętrznej oraz modelowania procesów biznesowych. Jego publikacje obejmują m.in. tematy cen transferowych, kryptowalut, smart contracts, ochronę danych osobowych czy zarządzanie umowami. Członek The International Association of Privacy Professionals (IAPP) oraz Członek Rady The International Association for Contract & Commercial Management.

 

ERATRUST
ul. Postępu 10/34,
02-676 Warszawa
biuro@eratrust.pl
RODO a systemy kontroli dostępu Cz.1. Biometria w zatrudnieniu

Głos Branży – Safe City / Smart

Zostaw komentarz

Serwis wykorzystuje pliki cookies. Korzystając ze strony wyrażasz zgodę na wykorzystywanie plików cookies.