Zasady przetwarzania przez pracodawcę danych biometrycznych
Wykorzystywanie odcisku palca lub skanu siatkówki oka do ewidencjonowania czasu pracy albo sprawdzania obecności pracownika jest zabronione. Nie mieści się bowiem w dozwolonych warunkach przetwarzania danych biometrycznych. Za naruszenie tego zakazu grożą kary pieniężne w wysokości nawet do 20 000 000 euro lub 4% przychodów przedsiębiorstwa.
Dane biometryczne należą do szczególnej kategorii danych osobowych, w której znajdują się również: dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, dane genetyczne, dane dotyczące zdrowia, seksualności lub orientacji seksualnej osoby, której one dotyczą.
1. Definicja danych biometrycznych
Dane biometryczne to dane osobowe, które:
- dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej,
- umożliwiają lub potwierdzają jednoznaczną identyfikację danej osoby,
- wynikają ze specjalnego przetwarzania technicznego.
Katalog cech, które można zaliczyć do kategorii danych biometrycznych, ma charakter otwarty. Do grupy cech biometrycznych fizycznych i fizjologicznych należą m.in. linie papilarne, wygląd siatkówki lub tęczówki oka, owal twarzy, kształt małżowiny usznej, geometria ręki, układ naczyń krwionośnych dłoni, głos i jego barwa, DNA. Cechami biometrycznymi behawioralnymi są natomiast m.in. charakter pisma, dynamika pisania czy sposób poruszania się.
Przepisy wprost zaliczają do danych biometrycznych wizerunek twarzy i dane daktyloskopijne (art. 4 pkt 14 RODO).
Także fotografia danej osoby może być kwalifikowana jako dana biometryczna, jednak tylko wtedy, gdy zostanie poddana przetwarzaniu specjalnymi metodami technicznymi umożliwiającymi jednoznaczną identyfikację osoby fizycznej lub potwierdzenie jej tożsamości (motyw 51 preambuły RODO).