Linie papilarne mogą służyć do kontroli czasu pracy

Takie jednoznaczne stanowisko w tej kontrowersyjnej kwestii zajął Wojewódzki Sąd Administracyjny w Warszawie w wyroku z 27 listopada 2008 r. wydanym wskutek skargi spółki z o.o. LG Electronics z Mławy. WSA uchylił w nim dwie decyzje generalnego inspektora ochrony danych osobowych (GIODO) oparte na odmiennym założeniu.

Precedensowy wyrok

GIODO wydał już wprawdzie kilka decyzji w stosunku do innych pracodawców wykorzystujących tego rodzaju dane biometryczne tak samo jak LG, nakazując usunięcie przetworzonych cyfrowo danych o charakterystycznych punktach linii papilarnych pracowników. Jednakże skargi pracodawców na tamte decyzje nie dotarły do sądów administracyjnych. Wyrok ma więc walor precedensu.

W decyzji zaskarżonej do WSA GIODO utrzymał w mocy swoją wcześniejszą decyzję wydaną po przeprowadzeniu kontroli w mławskiej LG. Uznał, że firma ta w sposób nielegalny pobiera, utrwala i przetwarza dane biometryczne w postaci odcisków linii papilarnych pracowników w celu kontrolowania, poprzez czytniki, wejść i wyjść.

Faktem jest, że dotyczyło to tylko tych pracowników, którzy w oświadczeniach wyrazili na to zgodę. Mimo to generalny inspektor stwierdził, że praktyka ta nie tylko nie ma uzasadnienia w przepisach, lecz jest wręcz sprzeczna z prawem pracy.

Firma – jak argumentował GIODO – może się domagać od pracownika tylko danych osobowych wskazanych wyczerpująco w art. 221 § 1 i § 2 kodeksu pracy. Katalog ten nie obejmuje danych biometrycznych. Innych zaś danych osobowych ma prawo żądać – zapisano w art. 221 § 4 k.p. – tylko wówczas gdy obowiązek ich podania wynika z odrębnych przepisów. Żadne zaś przepisy nie nakazują pracownikowi udostępniania swych linii papilarnych czy tęczówki oka, która również, po zeskanowaniu, może być użyta do takich samych celów jak odcisk palca. Spółka LG zwróciła się do GIODO o ponowne rozpatrzenie sprawy, ale ten nie zmienił kwestionowanej decyzji. *Dwa systemy *

W skardze wniesionej do wojewódzkiego sądu administracyjnego LG zarzuciła naruszenie art. 221 k. p. przez błędną interpretację oraz art. 23 ust. 1 ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych wskutek jego niezastosowania. Przepis ten dopuszcza przetwarzanie danych osobowych m.in. wówczas gdy osoba, której one dotyczą wyrazi na to zgodę.

LG domagała się uchylenia obu decyzji GIODO wydanych w tej sprawie. Przekonywała, że w art. 221 k.p. wskazano dane, które zatrudniony ma obowiązek udostępnić pracodawcy. Nie można z tego wyprowadzić wniosku, że pracodawcy nie wolno zbierać i przetwarzać także danych biometrycznych pracownika, jeżeli ten na to się zgodzi.

Pełnomocnik LG zaznaczył, że pracownicy nie byli zmuszani do składania oświadczeń. W firmie tej bowiem stworzone zostały dwa systemy kontroli wejść i wyjść – nowoczesny, wykorzystujący czytniki linii papilarnych, oraz tradycyjny, przewidziany dla tych, którzy zgody na udostępnienie linii papilarnych do tych celów nie wyrazili. Pełnomocnik GIODO powoływał się na nadrzędność kodeksu pracy nad ustawą z 1997 r. o ochronie danych osobowych.

Sąd za postępem technicznym

WSA przekonały argumenty LG. Obie decyzje GIODO zostały uchylone.
_ Najistotniejsze w tej sprawie jest to _– mówił sędzia Jacek Frączyk – _ że decyzję przewidzianą w art. 18 ustawy z 1997 r. można wydać, gdy w rachubę wchodzą dane osobowe i gdy nie ma legalnej podstawy do ich przetwarzania. W tej sprawie druga z tych przesłanek nie została spełniona. _

Jak tłumaczył sędzia, prawne podstawy do przetwarzania danych osobowych wskazano w art. 23 ustawy. Każda z nich jest samoistna. Jedną z nich, wymienioną na pierwszym miejscu, jest zgoda osoby, której dane dotyczą. Jej istnienie w tej sprawie w kontekście oświadczeń złożonych przez pracowników nie może budzić wątpliwości.

Sędzia stwierdził, że prawidłowości oświadczeń w tym postępowaniu kwestionować nie można. Dopóki nie zostały odwołane czy zakwestionowane na gruncie prawa cywilnego, stanowią legalną podstawę do przetwarzania danych osobowych.
_ Podważanie ich byłoby ryzykowne również w aspekcie postępu technicznego _– zaznaczył sędzia.

Sprawa ta nie skończy się raczej na tym werdykcie. Można się bowiem spodziewać skargi kasacyjnej generalnego inspektora do Naczelnego Sądu Administracyjnego (sygn. II SA/ Wa 903/08).

Izabela Lewandowska

Szeroki zakres ochrony

Pojęcie danych osobowych zostało zdefiniowane w art. 6 ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych. Są nimi wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Jest nią osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań.