Skaner odcisków palców w biurze. Czy Twoja firma ma alternatywę? Bo powinna.

Nowy system kontroli dostępu. Integrator pokazuje slajdy: nowoczesny, bezpieczny, nikt nie zgubi karty, czas wejść rejestruje się sam. Na ostatnim slajdzie skaner linii papilarnych. Prezes kiwa głową. HR kiwa głową. Nikt nie pyta o RODO, bo przecież to „tylko odcisk palca”, a nie jakieś wrażliwe dane.

Tylko że odcisk palca to nie jest „tylko odcisk palca”. To dane biometryczne. A dane biometryczne w RODO to nie jest ten sam poziom co imię i nazwisko, PESEL albo nawet numer konta. To jest osobna kategoria – art. 9 RODO. Z osobnym, znacznie surowszym reżimem prawnym. I ten reżim sprawia, że skaner linii papilarnych w typowym biurze wymaga solidnej podstawy prawnej, której większość firm po prostu nie ma.

Ten tekst jest dla Ciebie, jeśli Twoja firma ma, planuje albo właśnie rozważa biometryczny system kontroli dostępu lub rejestracji czasu pracy. I dla Ciebie, jeśli sprzedajesz albo wdrażasz takie systemy bo odpowiedzialność za to, co instalujesz u klienta, nie kończy się na fakturze.

Dlaczego odcisk palca to nie jest zwykła dana

Większość danych osobowych, jeśli wycieknie, można zmienić. Adres? można się przeprowadzić. Hasło? można zresetować. Numer karty bankowej? bank wyda nową w trzy dni.

Odcisku palca nie zmienisz. Nigdy. Masz ich dziesięć i to jest Twój dożywotni zasób. Jeśli wzorzec biometryczny, który firma wyekstrahowała z Twojego odcisku i zapisała w bazie, wycieknie to nie ma procedury naprawczej. Nie ma „zresetuj dane biometryczne”. Jest tylko fakt, że Twój identyfikator biologiczny jest gdzieś na dark webie.

Dlatego RODO w art. 9 wrzuca dane biometryczne przetwarzane w celu jednoznacznej identyfikacji osoby do tej samej kategorii co dane o zdrowiu, przekonaniach religijnych, orientacji seksualnej i przynależności do związków zawodowych. Domyślna odpowiedź na pytanie „czy mogę przetwarzać te dane” brzmi: nie. Chyba że zachodzi jeden z enumeratywnie wymienionych wyjątków z art. 9 ust. 2.

Zanim jednak do nich przejdziemy to jest jedno pytanie, które warto zadać wcześniej.

Ale czy to są na pewno dane z art. 9?

Uczciwie: część prawników twierdzi, że nie zawsze.

Art. 9 RODO obejmuje dane biometryczne przetwarzane w celu jednoznacznej identyfikacji osoby fizycznej. I tu pojawia się rozróżnienie, które robi karierę w kancelariach obsługujących integratorów: różnica między identyfikacją a weryfikacją.

Identyfikacja (1:N) — system dostaje odcisk palca i przeszukuje całą bazę wzorców, żeby ustalić, kto to jest. Klasyczne zastosowanie biometryczne, bez wątpienia art. 9.

Weryfikacja (1:1) — pracownik przykłada palec i jednocześnie podaje kartę albo PIN. System nie szuka w bazie tylko sprawdza, czy ten konkretny palec pasuje do wzorca przypisanego do tej konkretnej karty. Pytanie brzmi nie „kto to jest?”, tylko „czy to na pewno ten, za kogo się podaje?”. Cel jest różny. A skoro cel jest różny, może art. 9 nie wchodzi?

To rozróżnienie zostało zasygnalizowane m.in. w AI Act, który inaczej traktuje systemy identyfikacji i weryfikacji biometrycznej. Część prawników buduje na tym argument, że czytnik działający wyłącznie w trybie weryfikacji 1:1 nie przetwarza danych biometrycznych „w celu jednoznacznej identyfikacji” i tym samym wypada z art. 9.

Brzmi elegancko. Jest jedno „ale”.

PUODO tego entuzjazmu nie podziela. Urząd w swoich stanowiskach traktuje dane pobrane ze wzorca linii papilarnych jako dane biometryczne z art. 9 niezależnie od trybu operacyjnego systemu.

Czy prawnicy broniący tezy o weryfikacji mają rację? Może. Czy ta teza wygra w NSA po kilku latach postępowania z PUODO? Możliwe. Pytanie jest inne: czy chcesz być tą firmą, która jako pierwsza to sprawdzi z aktywną decyzją PUODO, kosztami postępowania i perspektywą kilku lat niepewności w tle? Jeśli tak – zadbaj przynajmniej o to, żeby DPIA i dokumentacja były nieskazitelne. Jeśli nie – działasz jak gdyby art. 9 obowiązywał i szukasz właściwej podstawy.

A właściwej podstawy szukamy dalej.

Art. 9 ust. 2 — szukanie wyjątku

Lista wyjątków z art. 9 ust. 2 RODO jest zamknięta. Nie można jej rozszerzać przez analogię. Przejdźmy przez te, które pracodawcy najczęściej próbują stosować:

Zgoda pracownika (lit. a). Nie działa sama z siebie. Zgoda w relacji pracownik–pracodawca nie jest dobrowolna. Pracownik, który odmówi skanowania odcisku palca, może się bać konsekwencji zawodowych. PUODO wypowiadał się w tej kwestii przy okazji spraw dotyczących biometrii w szkołach i miejscach pracy: zgoda w środowisku zależności hierarchicznej to za słaba podstawa dla danych szczególnej kategorii. Zaraz jednak zobaczymy, kiedy zgoda może działać, bo jest wyjątek od tej reguły.

Niezbędność dla stosunku pracy (lit. b). Nie działa. Art. 9 ust. 2 lit. b mówi o przetwarzaniu niezbędnym do wykonania praw i obowiązków wynikających z prawa pracy ale tylko w zakresie, w jakim zezwala na to prawo krajowe lub ponadzakładowy układ zbiorowy. Polskie przepisy prawa pracy nie dają pracodawcy uprawnienia do pobierania danych biometrycznych od pracowników w celu rejestracji czasu pracy ani kontroli dostępu. Nie ma takiej normy. Brak normy = brak wyjątku.

Względy bezpieczeństwa publicznego i interes publiczny (lit. g, i, j). Nie dotyczy. Firma prywatna kontrolująca wejście do biura nie realizuje interesu publicznego w rozumieniu tych przepisów.

To nie ma żadnej możliwości?

Jest. Kodeks pracy w art. 22¹b daje pracodawcy możliwość przetwarzania danych biometrycznych pracownika ale pod warunkami, które całkowicie odwracają typową logikę wdrożenia.

Żeby to miało sens prawny, muszą być spełnione trzy warunki jednocześnie:

• Po pierwsze — realna alternatywa musi istnieć. Nie „teoretycznie można dostać kartę, ale trzeba poprosić kierownika i uzasadnić”. Karta, PIN, aplikacja która jest dostępna dla każdego, bez pytań, bez tłumaczenia się. Jeśli pracownik musi uzasadniać, dlaczego nie chce dawać odcisku palca, alternatywa jest pozorna.
• Po drugie — inicjatywa musi być po stronie pracownika. Formularz przy podpisywaniu umowy z checkboxem „wyrażam zgodę na biometrię” to nie jest inicjatywa pracownika. To pracodawca, który wbudował zgodę w pakiet dokumentów startowych. PUODO od lat wskazuje, że zgoda zebrana w momencie nawiązywania stosunku pracy jest z definicji podejrzana co do dobrowolności.
• Po trzecie — zgoda musi być odwoływalna bez konsekwencji. Jeśli pracownik może w każdej chwili wycofać się z biometrii i przejść na kartę bez żadnych komentarzy ze strony przełożonego to jest dobrowolność. Jeśli wycofanie wyróżnia pracownika w negatywny sposób to zgoda była fikcją.

Wdrożenie, które spełnia te trzy warunki, jest możliwe. Wymaga jednak przemyślanego projektu: system domyślnie oparty na karcie lub PIN, biometria jako dobrowolna opcja komfortu, którą pracownik sam aktywuje i może w każdej chwili dezaktywować. W praktyce większość instalacji biometrycznych w Polsce wygląda odwrotnie: biometria jest domyślna, a alternatywa jeśli w ogóle istnieje – jest utrudniona lub stygmatyzowana. I dlatego większość wdrożeń nadal nie ma ważnej podstawy prawnej.

Zasada minimalizacji — czyli czy naprawdę musisz wiedzieć, kto ma jaki palec

Nawet jeśli uda Ci się skonstruować poprawną podstawę z art. 22¹b KP — zostaje jeszcze zasada minimalizacji danych z art. 5 ust. 1 lit. c RODO. Dane muszą być adekwatne i ograniczone do tego, co niezbędne dla celu przetwarzania.

Cel: rejestracja czasu pracy lub kontrola dostępu. Czy do tego celu niezbędne jest przetwarzanie danych biometrycznych, skoro kartę zbliżeniową wyrabia się za 5 zł, PIN działa od lat 70., a aplikacja mobilna kosztuje tyle co subskrypcja? Żadne z tych rozwiązań nie wymaga danych szczególnej kategorii.

To jest test proporcjonalności: czy mniej inwazyjna metoda osiągnie ten sam cel? Jeśli tak to bardziej inwazyjna nie przejdzie. W przypadku kontroli dostępu i RCP alternatywa prawie zawsze istnieje. I właśnie dlatego art. 22¹b KP wymaga, żeby biometria była wyborem pracownika a nie decyzją pracodawcy podyktowaną wygodą wdrożenia.

Alternatywy, które działają — i nie łamią prawa

Karty zbliżeniowe (RFID/NFC). Standard. Można zgubić, można zapomnieć ale nie można wyciec z bazy w sposób nieodwracalny. Przy zgubieniu: dezaktywacja w systemie, nowa karta.

Kody PIN lub karty PIN. Proste, tanie, sprawdzone. Można pożyczyć PIN współpracownikowi ale to problem organizacyjny, nie prawny.

Aplikacja mobilna z geolokalizacją. Dla pracowników mobilnych lub hybrydowych. Wymaga osobnej analizy RODO (lokalizacja to też dane wrażliwe kontekstowo), ale nie jest danymi szczególnej kategorii z art. 9.

Karty + PIN (two-factor). Wyższy poziom bezpieczeństwa niż biometria w codziennym zastosowaniu i bez danych szczególnej kategorii.

Żadne z tych rozwiązań nie oferuje tego, co integrator sprzedaje jako główną zaletę biometrii: „nikt nie może się podszyć”. To prawda. Ale to samo można osiągnąć kartą z fotografią i weryfikacją wizualną przez ochronę — co w dużej części obiektów i tak już funkcjonuje.

Szybki audyt Twojego systemu biometrycznego

Lecisz po liście. Jeśli którekolwiek pasuje to masz co naprawiać.

• System biometryczny jest domyślny. Pracownik nie wybiera go z własnej inicjatywy.
• Alternatywa dla biometrii istnieje tylko na papierze albo wymaga formalnego wniosku.
• Zgoda na biometrię była zbierana przy podpisywaniu umowy o pracę.
• W dokumentach nie ma wskazania konkretnego wyjątku z art. 9 ust. 2 ani art. 22¹b KP.
• Nikt nie sprawdzał, czy cel można osiągnąć mniej inwazyjną metodą.
• Nie przeprowadzono DPIA — a przy biometrii jest ona obowiązkowa.
• Wzorce biometryczne są przechowywane u dostawcy systemu bez umowy powierzenia.
• Pracownicy, którzy odmówili skanowania, musieli to uzasadniać przełożonemu.
• Integrator zapewniał, że „RODO jest spełnione” — ale nie ma tego na piśmie i nie ma analizy prawnej.

Każdy z tych punktów to osobne ryzyko – administracyjne, pracownicze i cywilne.

DPIA — obowiązek, o którym nikt nie mówi przy podpisywaniu kontraktu

Przy wdrożeniu biometrycznego systemu kontroli dostępu lub RCP ocena skutków dla ochrony danych (DPIA) jest obowiązkowa. Mówią o tym wytyczne PUODO, lista rodzajów operacji wymagających DPIA i art. 35 RODO.

DPIA to nie formularz do odfajkowania. To udokumentowany proces: opis operacji, ocena niezbędności i proporcjonalności, identyfikacja ryzyk, środki minimalizacji.

W praktyce większość wdrożeń biometrycznych DPIA nie ma. Albo ma dokument pod tym tytułem, który sprowadza się do trzech zdań i checkboksa „ryzyko akceptowalne”. To nie jest DPIA. To jest alibi.

Co zrobić, jeśli system już działa

Trzy kroki. W tej kolejności.

• Krok 1 — audyt podstawy prawnej. Czy biometria jest dobrowolna i z inicjatywy pracownika, czy domyślna? Czy istnieje realna alternatywa? Czy zgoda była zbierana przy podpisywaniu umowy? Odpowiedzi na te pytania powiedzą Ci, czy masz art. 22¹b KP, czy masz problem.
• Krok 2 — DPIA. Nawet jeśli system działa od roku. DPIA możesz zrobić retrospektywnie i powinieneś, zanim zrobi ją za Ciebie organ nadzorczy w ramach postępowania.
• Krok 3 — decyzja. Jeżeli po audycie i DPIA wychodzi, że warunki z art. 22¹b KP nie są spełnione to masz dwie opcje: przebudować system tak, żeby biometria stała się realnie dobrowolną opcją pracownika, albo przejść na rozwiązanie bez danych z art. 9. Im szybciej, tym mniej kosztownie.

Strategia „zobaczymy, czy ktoś się poskarży” działa raz. Po pierwszej decyzji PUODO nie ma już zbyt wiele do oddania.