Temat numeru
Zakaz przetwarzania danych biometrycznych W związku z rozwojem technologii i możliwościami wykorzystywania danych biometrycznych do rejestracji czasu pracy (np. przetworzonych do postaci cyfrowej informacji o charakterystycznych punktach linii papilarnych palców pracowników), na gruncie polskiego prawa pojawiły się uzasadnione wątpliwości, czy takie praktyki nie naruszają praw zatrudnionych. Pracodawcy, po uprzednim uzyskaniu pisemnej zgody pracowników, przetwarzali ich dane biometryczne w postaci charakterystycznych punktów linii papilarnych w celu ewidencji czasu pracy. Zgodnie z utrwaloną linią orzecznictwa Naczelnego Sądu Najwyższego (zob. m.in. wyrok NSA z dnia 1.12.2009r, I OSK 249/09 oraz wyrok NSA z dnia 06.09.2011r., I OSK 1476), wyrażona na życzenie pracodawcy pisemna zgoda pracownika na pobranie i przetwarzanie danych biometrycznych narusza jego prawa i nie daje podstawy do legalnego ich przetwarzania. Zależność zatrudnionego od pracodawcy powoduje brak dobrowolności w wyrażeniu takiej zgody. W ocenie Sądu poszerzenie katalogu danych, których może żądać pracodawca w oparciu o zgodę pracownika, naruszałoby zasadę proporcjonalności wyra-
42
żoną m.in. w art. 26 ust. 1 pkt 3 ustawy o ochronie danych osobowych. Wykorzystywanie danych biometrycznych do kontroli czasu pracy jest nieproporcjonalne do zamierzonego celu ich przetwarzania.
szeniem prawa. Dane te są bowiem ściśle związane z wykonywaniem obowiązków służbowych w ramach stosunku pracy. Zakaz podawania tych danych do informacji publicznej prowadziłoby
Przykłady naruszenia bezpieczeństwa danych: • Niewłaściwe zabezpieczenie zbioru danych przed ich udostępnieniem osobom nieupoważnionym (np. przechowywanie dokumentów personalnych w szafach bez zamków oraz na otwartych półkach i regałach); • Drukowanie materiałów zawierających dane osobowe na ogólnodostępnych w firmie drukarkach (osoba drukująca materiały odbiera je z urządzenia dopiero po jakimś czasie - leżą one na drukarce i potencjalnie każdy może się z nimi zapoznać); • Przesyłanie danych osobowych drogą elektroniczną w formie niezaszyfrowanej; • Niewłaściwe parametry systemów IT (kontrole GIODO potwierdzają, że stosowane w firmach systemy informatyczne nie odnotowywały daty pierwszego wprowadzenia danych, jak i identyfikatora osoby); • Stosowanie zbyt łatwych haseł dostępu – hasła powinny być odpowiednio skomplikowane, trudne do złamania, czyli składające się np. z wielkich i małych znaków oraz liter i cyfr. Hasła takie należy także zmieniać (np. co 30 dni), a system powinien o tym przypominać użytkownikowi.
Dane osobowe w Internecie Publikacja na stronie internetowej firmy danych osobowych pracownika tj. imienia, nazwiska, stanowiska, adresu e-mailowego czy służbowego numeru telefonu nie jest naru-
GRUDZIEŃ 2012 www.prevent-magazine.pl
do nieproporcjonalnego ograniczenia interesów pracodawcy, co potwierdził wyrok Sądu Najwyższego z dnia 19 listopada 2003 r., sygn. akt I PK 590/02, OSNP 2004/20/351. Warto podkreślić, iż umieszczenie wizerunku pracownika na identyfikatorach czy też
Zdjęcia: Fotolia, autor
wykonywania określonego zawodu lub prowadzenia określonej działalności gospodarczej.