Dane biometryczne są zaliczane do szczególnej kategorii danych osobowych. Ich przetwarzane jest więc co do zasady zabronione, chyba że wystąpi jedna z podstaw przetwarzania, o których mowa w art. 9 ust. 2 RODO. Konieczne jest więc ustalenie, jak to się ma do utrwalania wizerunku w nagraniach z monitoringu wizyjnego.
Marcin Sarna
Agnieszka Kręcisz-Sarna
Wizerunkiem pracownika jest m.in. utrwalona twarz danej osoby, ale także charakterystyczna sylwetka czy sposób chodzenia. Danymi biometrycznymi są takie dane osobowe, które wynikają ze specjalnego przetwarzania technicznego, dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej oraz umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby (art. 4 pkt 14 RODO). Poza tym z motywu 51 preambuły RODO wynika, że fotografia czy nagranie wideo mieści się w zakresie „danych biometrycznych” jedynie w przypadku, gdy jest wykonana specjalnymi metodami technicznymi, dającymi możliwość jednoznacznej identyfikacji osoby fizycznej lub potwierdzenia jej tożsamości.
Do uznania wizerunku za daną biometryczną nie wystarczy więc samo stwierdzenie, że wizerunek pozwala na ustalenie tożsamości osoby fizycznej. Samo to oznacza bowiem jedynie tyle, że mamy do czynienia ze zwykłą daną osobową. Kwalifikacja wizerunku jako danej biometrycznej zależy natomiast od przyjętej specjalnej technologii przetwarzania wizerunku.
W zakładzie pracy zastosowana została specjalna technika pozwalająca na jednoznaczną identyfikację pracownika, np. w celu dostępu do określonych pomieszczeń. W takim przypadku wizerunek pracownika jest daną biometryczną.
Administrator chce wprowadzić na terenie zakładu monitoring wizyjny wraz z funkcją automatycznego rozpoznawania twarzy. Celem przetwarzania będzie ochrona mienia pracodawcy, bezpieczeństwo pracowników, kontrola produkcji, zachowanie tajemnicy informacji.
Sam wizerunek, który nie służy do ustalania tożsamości za pomocą specjalnych technologii, może być przetwarzany np. na podstawie art. 6 ust. 1 lit. f RODO (tj. na uzasadnionym interesie administratora danych osobowych). Właśnie ten przepis podawany jest najczęściej jako podstawa prawna przetwarzania danych w ramach monitoringu wizyjnego.
Na przesłankę z art. 6 ust. 1 lit. f RODO nie może powoływać się podmiot publiczny, jeżeli przetwarza te dane w związku z realizacją swoich zadań.
Jeśli jednak w ramach monitoringu zostanie zastosowana np. funkcja automatycznego rozpoznawania twarzy, wówczas konieczne jest powołanie się na jedną z przesłanek przetwarzania danych z art. 9 ust. 2 RODO. Jednak nie tylko to będzie wyzwaniem dla administratora danych.
Rada dla ADO
Jeżeli chcesz przetwarzać dane biometryczne pracownika, to musisz:
· uzyskać te dane wyłącznie z inicjatywy pracownika albo
· wykazać, że podanie danych biometrycznych jest niezbędne ze względu na kontrolę dostępu do szczególnie ważnych informacji, których ujawnienie mogłoby narazić Cię na szkodę lub
· wykazać, że podanie danych biometrycznych jest konieczne z uwagi na kontrolę dostępu do pomieszczeń wymagających szczególnej ochrony.
· Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.Urz. UE.L nr 119, str. 1) – art. 6, art. 9.
· Ustawa z 26 czerwca 1974 r. − Kodeks pracy (tekst jedn.: Dz.U. z 2020 r. poz. 1320) – art. 221b.
Przechowywanie danych w chmurze polega na zapisywaniu i zarządzaniu danymi na zdalnych serwerach, które są dostępne przez internet. Zamiast przechowywać pliki na lokalnych dyskach twardych lub serwerach, użytkownicy mogą korzystać z infrastruktury dostarczanej przez dostawców usług chmurowych. Jest to wygodne i efektywne rozwiązanie, które zapewnia dostęp do danych z dowolnego miejsca, elastyczność, skalowalność oraz wysoki poziom bezpieczeństwa i niezawodności.
© Portal Poradyodo.pl
