Zbieranie odcisków palców jako ewidencja czasu pracy - wyrok NSA

6. września 2011 r. Naczelny Sąd Administracyjny wydał wyrok (sygn. I OSK 1476/10), z którego wynika, że wyrażona na życzenie pracodawcy pisemna zgoda pracownika na pobranie i przetworzenie jego danych osobowych, w tym przypadku danych biometrycznych - charakterystycznych punktach linii papilarnych palców pracowników przetwarzanych w celu ewidencji czasu pracy, narusza prawa pracownika i swobodę wyrażenia przez niego woli. Zdaniem NSA "brak równowagi w relacji pracodawca-pracownik stawia pod znakiem zapytania dobrowolność w wyrażeniu zgody na pobieranie i przetworzenie danych osobowych (biometrycznych)", wykracza poza zamknięty katalog danych możliwych do przetwarzania przez pracodawcę na gruncie art. 221 Kodeksu pracy, a rozszerzenie tego katalogu przez dopuszczenie zastosowania art. 23 ust. 1 pkt 1 ustawy o ochronie danych osobowych "prowadziłoby do naruszenia zasady adekwatności wyrażonej w art. 26 ust. 1 pkt 3 ustawy o ochronie danych osobowych".

Treść orzeczenia wraz z uzasadnieniem opublikowano już na stronach Centralnej Bazy Orzeczeń Sądów Administracyjnych. Tam też można przeczytać na temat stanu faktycznego i argumentacji pojawiającej się przed sądem pierwszej instancji. A sprawa trafiła do sądu po tym, jak Generalny Inspektor Ochrony Danych Osobowych przeprowadził kontrole w jednym z urzędów skarbowych, a po zebraniu materiału dowodowego stwierdził, że

Naczelnik Urzędu Skarbowego jako administrator danych, naruszył przepisy o ochronie danych osobowych i uchybienia te polegały na:

1. przetwarzaniu z naruszeniem przepisów prawa danych osobowych obejmujących przetworzone do postaci cyfrowej informacje o charakterystycznych punktach linii papilarnych palców pracowników Urzędu Skarbowego w Z. w celu ewidencji czasu pracy (art. 26 ust. 1 pkt 1 ustawy),

2. nieuwzględnieniu w polityce bezpieczeństwa, w opisie struktury zbioru danych wskazującym zawartość poszczególnych pól informacyjnych i powiązań między nimi, systemu informatycznego o nazwie "[...]" (§ 4 pkt 3 rozporządzenia w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych),

3. niedopełnieniu wobec kandydatów do pracy w prowadzonym naborze wewnętrznym na wolne stanowiska pracy: poborcy skarbowego w Dziale egzekucji oraz od referenta do inspektora w Referacie podatku dochodowego od osób fizycznych, obowiązku informacyjnego, o którym mowa w art. 24 ust. 1 pkt 3 ustawy o ochronie danych osobowych, tj. nieinformowania w/w osób o prawie dostępu do treści swoich danych oraz ich poprawiania.

NSA rozpatrywał skargę kasacyjną Naczelnika Urzędu Skarbowego w Z. od wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 18 czerwca 2010 r. sygn. akt II SA/Wa 151/10.

Przeczytaj również:

Opcje przeglądania komentarzy

Wybierz sposób przeglądania komentarzy oraz kliknij "Zachowaj ustawienia", by aktywować zmiany.

a kiedyś był wyrok I OSK 249/09

Olgierd's picture

O którym miałem przyjemność pisać przeszło 1,5 roku temu.
--
pozdrawiam serdecznie, Olgierd

I odniosłeś się

VaGla's picture

I odniosłeś się wówczas do mojego tekstu pt. Wykorzystanie danych biometrycznych do kontroli czasu pracy pracowników (I OSK 249/09) :)
--
[VaGla] Vigilant Android Generated for Logical Assassination

Czy to znaczy, że zdjęcia

Czy to znaczy, że zdjęcia na kartach dostępu, używanych do rejestracji czasu pracy oraz kontroli dostępu, są przetwarzanymi niezgodnie z prawem danymi osobowymi pracowników?

Powtórzę to, co napisałem

Powtórzę to, co napisałem na blogu Olgierda.

Niestety, ta linia wyroków sądów administracyjnych wydaje mi się całkiem absurdalna, a w każdym razie argumentacja, jaką stosują sądy. Jak twierdzi sąd: "wyrażona na życzenie pracodawcy pisemna zgoda pracownika na pobranie i przetworzenie jego danych osobowych w opisanym zakresie narusza prawa pracownika i swobodę wyrażenia przez niego woli. Za tak sformułowanym stanowiskiem przemawia zależność pracownika od pracodawcy."

Idąc dalej tym tropem, każde oświadczenie woli skierowane przez pracownika do pracodawcy jest nieskuteczne. Przecież pracownik jest zależny od pracodawcy nie tylko, przy wyrażaniu zgody na przetwarzanie danych osobowych. Ale także, a może nawet głównie, przy zawieraniu samej umowy o pracę, prawda? Umowa ta więc "narusza prawa pracownika i swobodę wyrażenia przez niego woli". To samo z innymi "komunikacjami" na linii pracownik-pracodawca. Chciałbym usłyszeć kontrargumenty sądu na tak postawioną sprawę.

Ciekawe jest też to, że GIODO w swoich interpretacjach dopuszcza przetwarzanie przez pracodawcę odcisków palców pracowników, ale nie w celu ewidencji czasu pracy, ale w celu zabezpieczenia dostępu do szczególnie chronionych pomieszczeń - np. skarbca banku, kancelarii tajnej itp. Jaka tu jest różnica i dlaczego takie przetwarzanie nie narusza już praw pracownika, to nie wiem.

Kolejnym absurdem jest jeden z wcześniejszych wyroków z tej linii. Tam pracodawca dawał pracownikowi wyraźny wybór - albo karta magnetyczna/chipowa, albo odcisk palca. Nie było żadnych reperkusji związanych z używaniem karty. Sąd jednak także zabrał pracownikom możliwość decydowania o wygodzie - ma być karta i już.

Jest jeszcze wiele innych

Jest jeszcze wiele innych aspektów, przez które nie powinno się używać odcisków palca np: http://biometria.edu.pl/jak-oszukac-odcisk-palca czy http://biometria.edu.pl/paszport-biometryczny-latwy-do-podrobienia . Odcisk palca po prostu łatwiej jest "zmanipulować" niż dane na karcie chipowej.

Ale akurat tym chyba sąd

Ale akurat tym chyba sąd się nie zajmował. W końcu sąd nie ocenia czy to jest skuteczne, a to, czy to jest legalne.

Piotr VaGla Waglowski

VaGla
Piotr VaGla Waglowski - prawnik, publicysta i webmaster, autor serwisu VaGla.pl Prawo i Internet. Ukończył Aplikację Legislacyjną prowadzoną przez Rządowe Centrum Legislacji. Radca ministra w Departamencie Oceny Ryzyka Regulacyjnego a następnie w Departamencie Doskonalenia Regulacji Gospodarczych Ministerstwa Rozwoju. Felietonista miesięcznika "IT w Administracji" (wcześniej również felietonista miesięcznika "Gazeta Bankowa" i tygodnika "Wprost"). Uczestniczył w pracach Obywatelskiego Forum Legislacji, działającego przy Fundacji im. Stefana Batorego w ramach programu Odpowiedzialne Państwo. W 1995 założył pierwszą w internecie listę dyskusyjną na temat prawa w języku polskim, Członek Założyciel Internet Society Poland, pełnił funkcję Członka Zarządu ISOC Polska i Członka Rady Polskiej Izby Informatyki i Telekomunikacji. Był również członkiem Rady ds Cyfryzacji przy Ministrze Cyfryzacji i członkiem Rady Informatyzacji przy MSWiA, członkiem Zespołu ds. otwartych danych i zasobów przy Komitecie Rady Ministrów do spraw Cyfryzacji oraz Doradcą społecznym Prezesa Urzędu Komunikacji Elektronicznej ds. funkcjonowania rynku mediów w szczególności w zakresie neutralności sieci. W latach 2009-2014 Zastępca Przewodniczącego Rady Fundacji Nowoczesna Polska, w tym czasie był również Członkiem Rady Programowej Fundacji Panoptykon. Więcej >>