Biometria w pracy

Dodano | przez rodo-online.eu

Biometria w pracy

            W obecnych czasach przy coraz bardziej rozwijających się technologiach biometria w codziennym życiu zaczyna odgrywać coraz większą rolę. Zgodnie z definicją biometria to nauka, która zajmuje się badaniem cech behawioralnych lub fizycznych ludzi i następnie na podstawie tego umożliwia identyfikację tożsamości konkretnej osoby. Możemy się z nią spotkać np. robiąc zakupy, ale też coraz częściej wkracza w obszar sfery zawodowej czyli umożliwia kontrolę pracownika w firmie. Tego typu technologia daje duże szanse, ale niesie ze sobą również różnego rodzaju niebezpieczeństwa. Należy zwrócić uwagę, że dane biometryczne zaliczane są do grupy danych wrażliwych, które zgodnie z RODO nie powinny być udostępnianie i podlegają szczególnej ochronie. W poniższym artykule zwrócimy szczególną uwagę na wykorzystywanie tego typu rodzaju danych przez pracodawców w firmach.

            Według Rozporządzenia o Ochronie Danych Osobowych dane biometryczne pozyskiwane są na skutek zaawansowanego przetwarzania technicznego. Przetwarzanie to obejmuje cechy fizyczne, behawioralne czy też fizjologiczne co umożliwia zidentyfikowanie konkretnej osoby. Jako przykłady można podać identyfikację osoby na podstawie twarzy, odciska palca, głosu, tego jak ktoś się podpisuje czy też chodzi.

            Zgodnie z zaleceniami Prezesa Urzędu Ochrony Danych Osobowych oraz art. 221b Kodeksu pracy dane biometryczne pracownika mogą być przetwarzanie w dwóch przypadkach:

  1. Obecny lub potencjalny pracownik wyraża świadomą i dobrowolną zgodę na przetwarzanie jego danych. Musi mieć również możliwość wycofania tej zgody w każdym momencie.
  2. Przetwarzanie danych pracownika wynika z konieczności zapewnienia bezpieczeństwa dostępu do bardzo kluczowych dla firmy informacji, których wyciek mógłby zaszkodzić poważnie firmie. Podobnie sprawa ma się z zapewnieniem bezpieczeństwa kluczowym pomieszczeniom np. laboratoria. 

Warto podkreślić, że pracodawca nie ma prawa wykorzystywać biometrii do ewidencjonowania rejestracji czasu pracy. Jest to niezgodne z obecnie obowiązującym w Polsce prawem.

Jeżeli jednak w innym kraju europejskim przepisy prawne danego państwa stanowią inaczej wówczas dopuszcza się przetwarzanie danych biometrycznych pracownika w kwestii czasu pracy. Wynika to z indywidualnych preferencji danego państwa. Wówczas dodatkowo takie państwo może ewentualnie opierać się na art. 9 ust. 2 lit. b RODO.

Przed wprowadzeniem w firmie identyfikacji biometrycznej pracowników należy przeanalizować kilka kwestii. Czy tego rodzaju przetwarzanie danych ma więcej pozytywnych stron niż zagrożeń jakie rodzi tego typu metoda uwierzytelniania. Warto się zastanowić czy można cel przetwarzania danych osiągnąć w prostszy, tańszy i bezpieczniejszy sposób. Jeżeli jest to możliwe należy zrezygnować z biometrii. Należy mieć na uwadze, że jest to przetwarzanie danych dużego ryzyka.

Jeżeli jednak firma podejmie decyzje, że decyduje się wprowadzić w firmie biometrię do uwierzytelniania powinna kierować się zasadą minimalizacji pozyskiwanych danych. Tutaj należy się powołać na art. 5 RODO w związku z tym przetwarzanie powinno być stosowne, adekwatne i ograniczać się do realizacji konkretnych celów. Dodatkowo motyw 39 RODO wskazuje, że tego typu przetwarzania dopuszczalne jest tylko wtedy gdy nie da się tego uzyskać w prostszy sposób. Nie powinno się nadmiernie przetwarzać i gromadzić tego typu danych. Kluczowe znaczenie przed lub w trakcie wprowadzania weryfikacji biometrycznej ma przeprowadzenie przez administratora przy wsparciu Inspektora Ochrony Danych Osobowych analizy ryzyka oraz oceny skutków dla ochrony danych (DPIA).

            Jeżeli pracodawca oceni, że wprowadzenie biometrii jest niezbędne i zgodne z przepisami powinien następnie określić operacje przetwarzania związane z wprowadzeniem biometrii. 

Jeżeli chodzi o dostęp do pomieszczeń lub określonych zagadnień w firmie można wyodrębnić następujące obszary:

  1. Weryfikacja tożsamości pracownika przy użyciu cech biometrycznych
  2. Autoryzacja pracownika – weryfikacja tożsamości podczas uzyskiwania dostępu do zabezpieczonych stref lub danych
  3. Zbieranie i archiwizowanie danych osobowych – zapisanie wymaganych informacji w systemie biometrycznym
  4. Obróbka danych w celu wykrywania oszustw – badanie zapisów w celu zapobiegania nieuprawnionemu dostępowi
  5. Zapis dodatkowych informacji – rejestrowanie danych, takich jak godziny dostępu czy miejsce lokalizacji
  6. Archiwizowanie i udostępnianie danych w uzasadnionych sytuacjach – np. w celu badania incydentów lub wypełnienia obowiązków prawnych

Tego typu operacje muszą być zgodne z Rozporządzeniem o Ochronie Danych Osobowych oraz pokrywać się z zasadą minimalizacji danych oraz proporcjonalności przetwarzania.

Można wymienić następujące techniki służące realizacji powyższych operacji:

  1. Kontrola udostępnianych informacji – potwierdzenie danych przekazanych przez użytkownika
  2. Tokeny urządzeniowe
  3. Wykorzystywanie kluczy lub certyfikatów – cyfrowa weryfikacja tożsamości za pomocą unikalnych identyfikatorów
  4. Analiza behawioralna – ocena typowych schematów zachowań
  5. Ocena cech biometrycznych czyli np.:
    1. Podpis
    1. Odcisk palca czy też dłoni
    1. Tęczówka oka
    1. Głos

Aby uzyskać wysoki poziom weryfikacji przez biometrie można łączyć różna metody przedstawione powyżej. Należy dostosować metody do organizacji, celu przetwarzania czy też jej zasobów. 

Aby przetwarzanie danych biometrycznych było bezpieczne i adekwatne powinny być zapewnione odpowiednie gwarancje takie jak np.:

  1. Powiadamianie osób, których dane dotyczą- oznacza, że osoba musi wiedzieć, że jej dane są przetwarzane
  2. Powinna istnieć możliwość zerwania powiązania wzorca biometrii od danej osoby
  3. Zapewnić fakt, że dane są przetwarzane tylko do realizacji konkretnego celu przetwarzania
  4. Dane biometryczne powinny być odpowiednio zabezpieczone przez ich wyciekiem np. przez ich szyfrowanie
  5. Bazy biometryczne nie powinny być łączone ani mieszane ze sobą
  6. Dane powinny być usuwane po zrealizowaniu określonego wcześniej celu
  7. Powinna być wykonane DPIA, a dane bezpieczeństwo danych z perspektywy RODO powinno być już uwzględnione i zapewnione w momencie rozpoczęcia projektu danego systemu

Jak wynika z powyżej przedstawionych treści kwestia biometrii w miejscu pracy nie jest tak jednoznaczna i prosta. Każdy pracodawca przed jej wprowadzeniem w firmie powinien dokładnie przeanalizować plusy i minusy jej wprowadzenia oraz ocenić ryzyko. Warto podkreślić, że pracodawca jako administrator danych powinien przeprowadzić ocenę ryzyka- DPIA. W tym przypadku kluczową rolę odgrywa Inspektor Ochrony Danych Osobowych, który wspiera administratora przy wszystkich kwestiach związanych z ochroną danych osobowych w firmie. Tego typu wsparcie jest szczególnie ważne przy przetwarzaniu danych wrażliwych. Warto podkreślić, że specjaliści z GRUPA ELKA świadczą outsourcing funkcji Inspektora Ochrony Danych Osobowych oraz mogą wesprzeć Państwa Organizację również w kwestiach cyberbezpieczeństwa.