DIS/DEC- 1261/46988/09 dot. DIS-K-421/138/09 - Decyzja GIODO z 15 grudnia 2009 r. nakazująca usunięcie przedsiębiorcy danych biometrycznych - odcisków palców -ze zbioru prowadzonego w celu ewidencji czasu pracowników.

Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. - Kodeks postępowania administracyjnego (Dz. U. z 2000 r. Nr 98, poz. 1071 z późn. zm.), art. 12 pkt 2, art. 18 ust. 1 pkt 1 i pkt 6, art. 22 w związku z art. 26 ust. 1 pkt 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.), po przeprowadzeniu postępowania administracyjnego w sprawie przetwarzania danych osobowych przez Panią L prowadzącą działalność gospodarczą pod firmą "P,

Inspektorzy, upoważnieni przez Generalnego Inspektora Ochrony Danych Osobowych, przeprowadzili kontrolę u Pani L (dalej: Przedsiębiorca), w celu ustalenia zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych (sygn. akt DIS-K-421/102/09), tj. ustawą z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.), zwaną dalej również ustawą, oraz rozporządzeniem Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024), zwanym dalej rozporządzeniem. W toku kontroli odebrano od pracowników Przedsiębiorstwa ustne wyjaśnienia, skontrolowano systemy informatyczne oraz dokonano oględzin pomieszczeń, w których odbywa się przetwarzanie danych osobowych. Stan faktyczny został szczegółowo opisany w protokole kontroli, który został podpisany przez Przedsiębiorcę.

Na podstawie tak zgromadzonego materiału dowodowego ustalono, że w procesie przetwarzania danych osobowych Przedsiębiorca, jako administrator danych, naruszył przepisy o ochronie danych osobowych. Uchybienia te polegały na przetwarzaniu z naruszeniem przepisów prawa, danych osobowych obejmujących przetworzone do postaci cyfrowej informacje o charakterystycznych punktach linii papilarnych palców pracowników Przedsiębiorstwa w celu ewidencji czasu pracy (art. 26 ust. 1 pkt 1 ustawy).

W związku z powyższym, w dniu 30 października 2009 r. Generalny Inspektor Ochrony Danych Osobowych wszczął z urzędu postępowanie administracyjne w niniejszej sprawie w celu wyjaśnienia okoliczności sprawy (sygn. DIS-K-421/138/09/40091).

W odpowiedzi na zawiadomienie o wszczęciu postępowania administracyjnego, pismem z dnia 3 listopada 2009 r., Przedsiębiorca złożył wyjaśnienia, w których poinformował m.in., że:

Po zapoznaniu się z całością materiału dowodowego zebranego w sprawie, Generalny Inspektor Ochrony Danych Osobowych zważył, co następuje:

Zgodnie z treścią art. 26 ust. 1 pkt 1 ustawy, administrator danych przetwarzający dane powinien dołożyć szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a w szczególności jest obowiązany zapewnić, aby dane te były przetwarzane zgodnie z prawem. Zakres danych jaki może być pozyskiwany przez pracodawcę od pracownika, zatrudnionego na podstawie umowy o pracę określa art. 22¹ § 1 Kodeksu pracy, zgodnie z którym pracodawca ma prawo żądać od osoby ubiegającej się o zatrudnienie podania danych osobowych obejmujących: 1) imię (imiona) i nazwisko, 2) imiona rodziców, 3) datę urodzenia, 4) miejsce zamieszkania (adres do korespondencji), 5) wykształcenie, 6) przebieg dotychczasowego zatrudnienia. Ponadto zgodnie z § 2 cytowanego przepisu pracodawca ma także prawo żądać od pracownika podania, niezależnie od danych osobowych, o których mowa w § 1, także: 1) innych danych osobowych pracownika, a także imion i nazwisk oraz dat urodzenia dzieci pracownika, jeżeli podanie takich danych jest konieczne ze względu na korzystanie przez pracownika ze szczególnych uprawnień przewidzianych w prawie pracy, 2) numeru PESEL pracownika nadanego przez Rządowe Centrum Informatyczne Powszechnego Elektronicznego Systemu Ewidencji Ludności (RCI PESEL). Nadto, stosownie do art. 22¹ § 4 ustawy - Kodeks pracy pracodawca może żądać podania innych danych osobowych niż określone w § 1 i 2, jeżeli obowiązek ich podania wynika z odrębnych przepisów. Stosowanie do art. 23 ust. 1 ustawy, przetwarzanie danych jest dopuszczalne tylko wtedy, gdy: 1) osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych, 2) jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa, 3) jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą, 4) jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego, 5) jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą. Natomiast zgodnie z art. 6 ustawy, za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej (art. 6 ust. 1 ustawy). Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne (art. 6 ust. 1 ustawy).

W toku dokonywania czynności kontrolnych ustalono, iż od pracowników Przedsiębiorstwa pozyskiwane są dane biometryczne w postaci sumy kontrolnej obrazów - liczby powstałej z przetworzenia odcisków do trzech palców. Sumy kontrolne odcisków palców przetwarzane są w systemie informatycznym o nazwie K - Systemie wspomagającym zarządzanie zasobami ludzkimi przy realizacji czasu pracy Przedsiębiorstwa W systemie informatycznym o nazwie "K" nie są przetwarzane obrazy odcisków palca. Jednocześnie ustalono, iż do sumy kontrolnej zostało przypisane imię i nazwisko pracownika.

W toku kontroli ustalono, iż podstawą prawną przetwarzania przez Przedsiębiorcę sum kontrolnych odcisków palców pracowników jest art. 23 ust. 1 pkt 1 ustawy, tj. zgoda wyrażona w formie pisemnej na oświadczeniu o następującej treści: "Oświadczam, że na podstawie art. 23 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U z 2002 r. Nr 101, poz. 926 z późn. zm.) wyrażam zgodę na przetwarzanie przez Przedsiębiorstwo, moich danych osobowych w postaci wzoru biometrycznego odcisku palców, celem ich wykorzystania do testowania programów K - Systemu wspomagającego zarządzanie zasobami ludzkimi przy realizacji czasu pracy Przedsiębiorstwa. Niniejszą zgodę składam dobrowolnie i oświadczam, że zostałem poinformowany o uprawnieniach przysługujących mi na podstawie ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.), a zwłaszcza o prawie dostępu do treści swoich

danych i ich poprawiania, a także o tym, że dane te nie będą udostępniane jakiemukolwiek odbiorcy lub innemu administratorowi". Każdy pracownik pomimo wyrażenia zgody na przetwarzanie ww. danych posiada kartę na kod kreskowy. Dane osobowe w systemie informatycznym o nazwie "K", w tym sumy kontrolne odcisków palców pracowników przetwarzane są w celu ewidencji czasu pracy, identyfikacji pracownika (wejścia na teren Przedsiębiorstwa osób upoważnionych), potwierdzenia tożsamości pracownika (zafałszowania rzeczywiście przepracowanego czasu pracy przy pomocy innych osób), pobrania i zdania kluczy do pomieszczeń oraz sprzętu służbowego, w celu testowania programu "K". Pracownik ma prawo wyboru czy będzie korzystał z karty na kod kreskowy, czy też z czytnika odcisków palców w postaci sumy numerycznej. Ustalono także, iż pracownik może jednocześnie korzystać z czytnika linii papilarnych oraz karty na kod kreskowy.

W toku oględzin ustalono, iż w portierni znajdują się trzy czytniki linii papilarnych oraz dwa czytniki kodów kreskowych. Po przyłożeniu palca do czytnika lub odczytaniu kodu kreskowego z karty na ekranie monitora wyświetlane jest wizerunek osoby identyfikującej się, imię i nazwisko, czas ostatniego odczytu. W sytuacji gdy jest to autoryzacja osoby wychodzącej wyświetlany jest również czas pracy.

Biorąc za podstawę definicję danych osobowych sformułowaną w powołanym art. 6 ustawy, należy uznać, że dane osobowe pracowników Przedsiębiorstwa, przetworzone do postaci zapisu cyfrowego (dane biometryczne w postaci sumy kontrolnej obrazów - liczby powstałej z przetworzenia odcisków palców), stanowią dane osobowe w rozumieniu powołanego przepisu. W wyniku zestawienia sumy kontrolnej zarejestrowanej w systemie informatycznym z palcem pracownika przyłożonym do urządzenia skanującego, a także pozostałymi informacjami, możliwa jest identyfikacja tej osoby.

Na podstawie ustalonego stanu faktycznego, w oparciu o obowiązujące przepisy prawa należy stwierdzić, że przetwarzanie danych osobowych pracowników w zakresie, ww. sum kontrolnych odbywa się bez podstawy prawnej. Stosownie bowiem do art. 22¹ § 1 i § 2 Kodeksu pracy, pracodawca może żądać od pracownika podania danych tylko w takim zakresie, jaki został wskazany w powołanym przepisie. Przepis art. 22¹ § 1 i § 2 Kodeksu pracy dopuszcza żądanie od pracownika podanie wyłącznie danych zaliczanych do określonego w tym przepisie katalogu informacji. Pozostałe informacje o pracowniku ustawodawca uznał generalnie za niedostępne dla pracodawcy. Wprowadził jeden wyjątek (art. 22¹ § 4 Kodeksu pracy), tj. pracodawca może żądać podania innych danych osobowych niż określone w art. 22¹ § 1 i § 2 Kodeksu pracy, jeżeli obowiązek ich podania wynika z odrębnych przepisów. Do przedmiotowego stanu faktycznego nie znajdują zastosowania przepisy prawa, które zezwalałyby na przetwarzanie w celu prowadzenia ewidencji czasu pracy innych danych osobowych, niż wymienione w art. 22¹ § 1 i § 2 Kodeksu pracy. Jednocześnie należy podkreślić, że powołane przepisy Kodeksu pracy zostały wprowadzone w ramach dostosowania wskazanego aktu prawnego do art. 51 ust. 1 Konstytucji Rzeczypospolitej Polskiej, zgodnie z którymi nikt nie może być obowiązany inaczej niż na podstawie ustawy do ujawnienia informacji dotyczących jego osoby. W świetle powyższych rozważań, złożenie przez pracownika oświadczenia, którego treścią jest wyrażenie zgody na rejestrację czasu pracy za pomocą czytnika palców, nie stanowi przesłanki legalizującej przetwarzanie danych osobowych pracowników.

Ponadto należy wskazać, że powoływanie zgody wyrażonej przez pracowników, jako przesłanki legalizującej przetwarzanie danych biometrycznych, w sytuacji, gdy przepisy prawa wskazują katalog danych, które mogą być przez pracodawcę przetwarzane, prowadzi do obchodzenia prawa regulującego te kwestie w sposób jednoznaczny poprzez poszukiwanie innych podstaw do przetwarzania danych niż te, które ustawodawca uznał za jedynie dopuszczalne (por. wyrok Naczelnego Sądu Administracyjnego w Warszawie z dnia 1 grudnia 2009 r. sygn. I OSK 249/09).

Złożenie przez pracownika oświadczenia, którego treścią jest wyrażenie zgody na przetwarzanie danych osobowych w postaci linii papilarnych, nie stanowi przesłanki legalizującej przetwarzanie danych osobowych pracowników. Pracownik nie inicjuje bowiem podania tych danych, lecz zwraca się o nie pracodawca. Pracodawca dla kontroli czasu pracy pracownika chce taką daną od niego pozyskać. Jednocześnie należy zwrócić uwagę, że jedną z podstawowych cech stosunku pracy jest podporządkowanie pracownika pracodawcy w zakresie dotyczącym pracy (art. 22 § 1 k.p.). Zatem, swoboda pracownika w zakresie podjęcia decyzji o wyrażeniu zgody na przetwarzanie danych biometrycznych w zakresie linii papilarnych, o które zwraca się pracodawca, może być ograniczona z uwagi na nierówność stron stosunku pracy.

Zgodnie z piśmiennictwem dotyczącym omawianej problematyki "Wydaje się, że dopuszczenie przetwarzania danych na podstawie zgody, w sytuacji, gdy przepisy ograniczają zakres przetwarzania danych, pozbawia sensu wspomniane ograniczenie, w szczególności wówczas, gdy osoba, której dane dotyczą, pozostaje w układzie podległości względem podmiotu, któremu zgoda ma być udzielona" (P. Fajgielski, Zgoda na przetwarzanie danych w: G. Sibiga, X. Konarski (red.), Ochrona danych osobowych. Aktualne problemy i nowe wyzwania, Oficyna a Wolters Kluwer business 2007, s. 47).

Należy podkreślić ponadto, że konsekwencją prezentowanego przez Przedsiębiorcę stanowiska, zgodnie z którym dopuszczalne jest rozszerzenie zakresu zbieranych przez pracodawcę danych o pracownikach o dane biometryczne w postaci charakterystycznych punktów linii papilarnych przetworzonych na kod cyfrowy w celu rejestracji czasu pracy, jest naruszenie zasady adekwatności, wyrażonej w art. 26 ust. 1 pkt 3 ustawy.

Przetwarzanie danych biometrycznych z pewnością nie jest niezbędne dla osiągnięcia celu, jakim jest rejestracja czasu pracy. Czas pracy pracownika może być przez pracodawcę kontrolowany za pomocą innych środków, mniej ingerujących w prywatność osoby zatrudnionej. Z ustaleń kontroli wynika, że system informatyczny o nazwie "K" umożliwia rejestrację czasu pracy z wykorzystaniem czytnika linii papilarnych lub poprzez użycie karty z kodem kreskowym. Zatem, w Przedsiębiorstwie istnieją alternatywne formy rejestracji czasu pracy.

Należy zwrócić uwagę, iż wprowadzenie do krajowej ustawy o ochronie danych osobowych wskazanej zasady jest wynikiem implementacji postanowień Dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 25 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (Dz. Urz. UE L Nr 21 z dnia 23 listopada 1995 r., str. 31), która w art. 6 ust. 1 lit. c) ustanawia zasadę proporcjonalności, polegającą na nałożeniu na administratorów danych obowiązku przetwarzania danych prawidłowych, stosownych oraz nie nadmiernych ilościowo w stosunku do celów, dla których zostały zgromadzone i/lub dalej przetworzone. Na gruncie przepisów powołanej dyrektywy, wydawane są opinie Grupy Roboczej art. 29 będącej organem konsultacyjnym składającym się z przedstawicieli organów ochrony danych państw członkowskich, działających w sposób niezależny, mających m.in. za zadanie badanie wszelkich kwestii dotyczących stosowania krajowych środków przyjętych na mocy ww. dyrektywy, aby przyczynić się w ten sposób do jednolitego stosowania tych środków.

W "Dokumencie Roboczym w Sprawie Biometrii" przyjętym przez ww. Grupę w dniu 1 sierpnia 2003 r. wskazano, że "ocena poszanowania zasady proporcjonalności legalności jest niezbędna i musi być wykonywana z uwzględnieniem ryzyka dotyczącego swobód i fundamentalnych praw obywatelskich, chodzi zwłaszcza o ustalenie, czy poszukiwany cel nie mógł być osiągnięty w sposób mniej intruzyjny. Proporcjonalność była determinującym kryterium w prawie wszystkich decyzjach dotyczących przetwarzania danych biometrycznych, podjętych dotychczas przez organy zajmujące się ochroną danych".

W świetle powyższych rozważań, złożenie przez pracownika oświadczenia, którego treścią jest wyrażenie zgody na rejestrację czasu pracy za pomocą czytnika palców, nie stanowi przesłanki legalizującej przetwarzanie danych osobowych pracowników.

Wobec powyższego, Generalny Inspektor Ochrony Danych Osobowych rozstrzygnął jak w sentencji.

Decyzja jest ostateczna. Na podstawie art. 21 ust. 1 ustawy o ochronie danych osobowych oraz art. 129 § 2 Kodeksu postępowania administracyjnego, strona niezadowolona z niniejszej decyzji może zwrócić się do Generalnego Inspektora Ochrony Danych Osobowych (adres: ul. Stawki 2, 00-193 Warszawa) z wnioskiem o ponowne rozpatrzenie sprawy, w terminie 14 dni od dnia doręczenia niniejszej decyzji.