Od 25 maja obowiązuje RODO, czyli Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).

RODO wprowadza po raz pierwszy pojęcie, tzw. danych biometrycznych. Żeby odpowiedzieć na pytanie o dane biometryczne, wyjaśnienia wymaga czym jest biometria, aby móc znaleźć dla niej zastosowanie w obrocie gospodarczym dokonywanym przez przedsiębiorców. 

Biometrię w dużym skrócie można określić jako technikę stosowaną do pomiaru istot żywych. Według RODO dane biometryczne: 

oznaczają dane osobowe, które wynikają ze specjalnego przetwarzania technicznego, dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej oraz umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby, takie jak wizerunek twarzy lub dane daktyloskopijne” (art. 4 pkt 12 RODO). 

Dane biometryczne zgodnie z art. 9 ust. 1 RODO są danymi szczególnych kategorii, czyli takimi, których przetwarzanie jest zabronione w celu jednoznacznej identyfikacji osoby, której dotyczą. Można je przetwarzać wyłącznie w przypadku znalezienia oparcia w jednej z przesłanek znajdujących się w ust. 2 wspomnianego artykułu, czyli np. na podstawie zgody, w celu dochodzenia roszczeń, czy też w celu wypełnienia obowiązków i wykonywania szczególnych praw przez administratora lub osobę, której dane dotyczą, w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej, o ile jest to dozwolone prawem Unii lub prawem państwa członkowskiego, lub porozumieniem zbiorowym na mocy prawa państwa członkowskiego przewidującymi odpowiednie zabezpieczenia praw podstawowych i interesów osoby, której dane dotyczą. 

RODO w swoim opisie odnośnie danych biometrycznych jest dosyć skąpe, gdyż do takich danych biometrycznych należą przykładowo: odcisk palca, kształt małżowiny usznej, czerwień wargowa, zapach, DNA, tęczówka oka, siatkówka oka czy też rozkład temperatury na twarzy. Do danych biometrycznych mogą należeć także dane wyinterpretowane z zachowania człowieka (tzw. dane behawioralne) – np. rozstaw chodu, głos, czy też sposób pisania. Łatwo wyobrazić sobie doskonałą anonimizację człowieka w życiu społecznym, gdzie np. podpis zostaje zastąpiony przez losowo sporządzony odręczny tekst, gdyż to nie jego treść, ale sposób wykonania będzie potwierdzał tożsamość danej osoby. 

Zanim jednak do tego dojdzie, przyjdzie nam się zmierzyć z początkami biometrii, takimi jak rozpoznawanie twarzy (przez pewien czas funkcja działająca w jednym z portali społecznościowych). Do rozpoznawania twarzy potrzebne jest posiadanie wizerunku danej osoby w bazie danych.  

Biorąc pod uwagę powyższe, nasuwa się pytanie: czy przedsiębiorca posiadający monitoring przetwarza dane biometryczne? 

Rozważając przypadek skorzystania z usług podmiotu zewnętrznego (np. firmy ochrony zapewniającej monitoring), umowa o monitoring miejsca jest umową, na podstawie której dochodzi do powierzenia przetwarzania danych. W związku z tym w umowie tej powinny znaleźć się postanowienia dotyczące ochrony danych osobowych. Wśród tych postanowień powinien zostać wskazany cel przetwarzania. Częstym błędem, z którym można się zetknąć jest stwierdzenie, że umowa dotyczy przetwarzania danych biometrycznych. Jak wyżej podkreślono, biometria dotyczy technicznego aspektu przetwarzania, którym nie jest wyłącznie nagranie twarzy danej osoby. W przypadku zawarcia umowy o monitoring, celem przetwarzania powinno być najczęściej zapewnienie bezpieczeństwa osób i mienia. Możliwą jest sytuacja, w której firma świadcząca usługi monitoringu wizyjnego może przetwarzać dane biometryczne, jednakże byłoby to ciężkie do osiągnięcia ze względu na konieczność stosunkowo szybkiego usuwania danych z nagrań z monitoringu, co praktycznie wyklucza możliwość stworzenia bazy danych, za pomocą której można by skutecznie przetwarzać dane biometryczne. 

Zgodnie z RODO, używanie monitoringu miejsca przez administratora powinno opierać się na jego prawnie uzasadnionym interesie. W związku z monitorowaniem miejsca, jedyną powinnością administratora, związaną z takim przetwarzaniem, jest zrealizowanie w miejscach objętych monitoringiem obowiązku informacyjnego. Inaczej jest w przypadku monitoringu wprowadzonego w zakładzie pracy, gdzie polski Kodeks pracy nakłada na pracodawcę dodatkowe obowiązki. 

Skoro nie w monitoringu, w takim razie gdzie użyć biometrii? Biometria może znaleźć zastosowanie w miejscu pracy, a powinna być szczególnie interesująca, dla przedsiębiorców zatrudniających wielu pracowników. Za użyciem biometrii przemawiają cele bezpieczeństwa, jednakże najistotniejszym jest wprowadzanie rozwiązań zwiększających efektywność funkcjonowania przedsiębiorców. Potwierdzenie rozpoczęcia i zakończenia pracy przez przyłożenie palca do czytnika, zamiast podbijania fizycznego nośnika informacji, w postaci karty pracy, jest tylko jednym z przykładów. 

W przypadku prowadzenia zakładu pracy biometria może zostać zastosowana wyłącznie po uzyskaniu zgody pracowników na jej stosowanie. Zgoda nie musi zostać wyrażona przez wszystkich pracowników – można wyobrazić sobie sytuację, w której część pracowników potwierdza przybycie oraz opuszczenie zakładu pracy poprzez przejście przez bramki, które ich rozpoznają na podstawie tęczówki oka, natomiast pracownicy, którzy na takie rozwiązanie nie wyrazili zgody, ciągle podpisują listę obecności. Zgoda powinna być odebrana na piśmie, indywidualnie od każdego pracownika, który akceptowałby ułatwienie potwierdzenia przybycia do zakładu pracy. Dodatkowo, zgoda na używanie biometrii, jest zgodą na przetwarzanie danych wrażliwych, a więc musi być ona wyraźna, co znaczy, że nie można domniemywać, że pracownik udzielił zgody w sytuacji, w której np. zaczął korzystać z urządzenia identyfikującego go za pomocą tęczówki oka. 

Przy wprowadzaniu tego typu rozwiązań pamiętać należy o tym, że osoby, które nie wyraziły zgody na używanie wobec nich biometrii, nie mogą być z tego tytułu dyskryminowane i ponosić jakichkolwiek negatywnych konsekwencji. Przykładowo, wejście do zakładu pracy dla osób, które wyraziły zgodę na stosowanie wobec nich biometrii i pracowników, którzy takiej zgody nie wyrazili, powinno znajdować się w tym samym miejscu w budynku lub w miejscu, które nie powoduje, że dostanie się na teren zakładu pracy jest bardziej uciążliwe (np. wyrażający zgodę na biometrię dostają się do pracy za pomocą windy, natomiast osoby, które takiej zgody nie wyraziły muszą użyć schodów). W takiej sytuacji mogłoby dojść do naruszenia zasady dobrowolności pozyskania zgody, a tym samym do jej odebrania w sposób niezgodny z prawem. 

Podsumowując, jeśli administrator chce stosować monitoring wizyjny, wówczas nie wolno jako celu przetwarzania w obowiązku informacyjnym (czy umowie z podmiotem zewnętrznym) podawać przetwarzania danych biometrycznych. Nie powinno się także jako kategorii danych do przetwarzania wskazywać danych biometrycznych, gdyż samo utrwalenie wizerunku, nie czyni go jeszcze daną biometryczną.  

Pracodawca, który chce uskutecznić funkcjonowanie zakładu pracy i planuje w tym celu przetwarzać dane biometryczne pracowników, nie może zrobić tego bez odebrania od nich zgody na przetwarzanie takich danych, w konkretnym, wyraźnie wskazanym celu.