Niewykluczone, że zlecający usługę będzie musiał sam pozyskać dane biometryczne osób u niego niezatrudnionych. Wygląda na to, że nowe prawo skomplikuje niejeden biznes.
14 października zakończyły się konsultacje publiczne w sprawie projektu ustawy o ochronie danych osobowych, który został przygotowany przez Ministerstwo Cyfryzacji (MC). A wraz z nim towarzyszącego mu projektu ustawy – przepisy wprowadzające ustawę o ochronie danych osobowych. Obie te regulacje mają na celu dostosowanie naszych krajowych aktów prawnych do rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej: ogólne rozporządzenie o ochronie danych osobowych albo RODO).
Unijna regulacja ma być stosowana w państwach członkowskich już od 25 maja 2018 r. Do tego czasu u nas powinny też wejść w życie nowe przepisy ustawowe. I choć przewidują one m.in., że przetwarzanie danych biometrycznych pracowników będzie wyraźnie dopuszczalne, to zarazem narzucają konieczność ich odpowiedniej ochrony przez administratorów. I tu problem mogą mieć usługodawcy, którzy są podwykonawcami u kilkunastu różnych podmiotów – zwłaszcza ci realizujący usługi o charakterze outsourcingowym. Może bowiem się okazać, że staną przed koniecznością wyrażenia zgody na udostępnienie danych biometrycznych swoich pracowników podmiotom, które np. kontrolę dostępu do pomieszczeń i obiektów z wykorzystaniem tradycyjnych środków zastąpią czytnikami biometrycznymi. W takiej sytuacji pojawia się pytanie, kto będzie administratorem danych biometrycznych wykonawców zlecenia i kto będzie brał za nie odpowiedzialność? A także, jakie ryzyko niesie ze sobą pozostawianie danych biometrycznych w wielu różnych miejscach?
RODO utrudni działalność firmom outsourcingowym. Nie wiadomo bowiem, kto po wejściu w życie nowych przepisów będzie zobowiązany do pobierania zgód na przetwarzanie danych biometrycznych od pracowników świadczących usługi w podmiotach trzecich.
Kto ochroni dane
Nie ma wątpliwości, że RODO oraz projektowane polskie przepisy skomplikują funkcjonowanie firm outsourcingowych. W nowych regulacjach trudno bowiem znaleźć odpowiedź na pytanie, kto będzie zobowiązany pobierać zgody na przetwarzanie danych biometrycznych od pracowników świadczących usługi w podmiotach trzecich oraz kto będzie miał obowiązek ochrony tych danych? Miłosz Mazewski, radca prawny w departamencie ochrony własności intelektualnej i danych osobowych krakowskiego oddziału Kancelarii Chałas i Wspólnicy, uważa, że w takiej sytuacji istotne znaczenie będzie miało to, kto będzie administratorem danych biometrycznych umożliwiających dostęp do budynku. Zdaniem eksperta w przypadku firm z sektora outsourcingu, administratorem danych osobowych będzie właściciel lub zarządca budynku, który organizuje bądź umożliwia dostęp do pracy. To on decyduje bowiem o celach i sposobach przetwarzania danych osobowych. Natomiast podmiot wykonujący usługi outsourcingowe na zlecenie właściciela budynku, np. czynności sprzątania, w tym zakresie uzyskuje dostęp do budynku i z tego względu będzie on podmiotem przetwarzającym dane osobowe. – Oznacza to, że administrator budynku w ramach umowy z firmą sprzątającą powinien upoważnić i zobowiązać ją do przetwarzania danych osobowych biometrycznych umożliwiających wstęp do budynku. Takim przetwarzaniem byłoby pobieranie, gromadzenie, przekazywanie przez firmę danych biometrycznych do administratora danych. I to właśnie administrator byłby odpowiedzialny za uzyskanie zgody od osób, których dane biometryczne miałyby zostać pobrane – wyjaśnia mec. Miłosz Mazewski. Podobnie uważa Edyta Jagiełło, radca prawny, starszy prawnik, szef działu ochrony danych osobowych pracowników w kancelarii Raczkowski Paruch. – Podmiot zewnętrzny powinien posiadać własną podstawę przetwarzania tych danych, czyli zgodę osób sprzątających wyrażoną jemu bezpośrednio. W żadnym wypadku pracodawca nie będzie też mógł nakazać swoim pracownikom, żeby przekazali dane biometryczne kontrahentowi pracodawcy – dodaje mec. Jagiełło.
Z kolei jak zauważa dr Paweł Litwiński, adwokat z Instytutu Allerhanda oraz partner w Barta Litwiński Kancelaria Radców Prawnych i Adwokatów, dopuszczalna jest jednak także inna sytuacja. – Pracodawca firmy sprzątającej będzie mógł udostępnić dane biometryczne innym podmiotom, w szczególności wtedy, gdy będzie to niezbędne do wykonania umowy, jaką pracodawca zawrze ze swoim kontrahentem – stwierdza dr Litwiński. Czyli jeżeli pracodawca zawrze umowę np. o świadczenie usług utrzymania czystości, gdzie warunkiem będzie korzystanie z systemu biometrycznej kontroli dostępu, wówczas pracodawca będzie mógł zebrać dane biometryczne od pracowników oraz uzyskać zgody (uwaga – muszą być one dobrowolne) i udostępnić te dane swojemu kontrahentowi.
Administrator nie zawsze ten sam
Co ciekawe, w określonych sytuacjach administratorem danych biometrycznych pracowników może stać się nie tylko kontrahent, ale również firma świadcząca dla niego usługi. Przykład? Instalatorzy i serwisanci czytników biometrycznych. Jak tłumaczy nam dr Maciej Kawecki, koordynator reformy ochrony danych osobowych w Ministerstwie Cyfryzacji, jeśli przykładowo pracodawca zawrze umowę o świadczenie usług utrzymania sprzętu identyfikacji biometrycznej, której nie da się wykonać bez uzyskania dostępu do biometrii, wówczas pracodawca będzie mógł zebrać dane biometryczne od pracowników oraz uzyskać od nich dobrowolne zgody, a następnie udostępnić takie dane podmiotowi, który zajmuje się obsługą techniczną takiego sprzętu. – W tym przypadku w stosunku do pracodawcy taki podmiot jest niejako podwykonawcą. Jednakże za wszystkie działania takich podmiotów pracodawca ponosi odpowiedzialność jak za swoje własne – podkreśla dr Kawecki.
Podwyższone ryzyko
Jak już wspomniano, na administratorach danych osobowych pracowników ciążyć będzie obowiązek odpowiedniej ich ochrony. Ale nie tylko. Otóż bowiem każdy z podmiotów przetwarzający dane osobowe – w tym biometryczne – będzie musiał zastosować adekwatne środki ochrony przed utratą i ujawnieniem tych danych osobom nieuprawnionym. Dotyczy to więc zarówno administratora danych (np. właściciela budynku), jak i podmiotu przetwarzającego (pracodawcy wykonującego zlecenie dla właściciela budynku). – Przetwarzanie danych biometrycznych przez wiele różnych podmiotów sprawia, że naturalnie zwiększa się ryzyko utraty tych danych. Wystarczy przecież, by chociaż jeden z nich nie chronił ich w sposób należyty lub padnie ofiarą ataku hakerskiego – zauważa mecenas Miłosz Mazewski.
Czy wyciek tego typu danych jest niebezpieczny? – Oczywiście – stwierdza Edyta Jagiełło. Wyjaśnia, że coraz więcej aplikacji zamiast hasła wprowadza odcisk palca jako środek logujący do systemu. I choć obowiązek szyfrowania tych danych powinien uczynić je bezużytecznymi dla cyberprzestępców to – jak podkreślała wielokrotnie na łamach DGP dr Edyta Bielak-Jomaa, generalny inspektor ochrony danych osobowych – tylko do czasu, aż przestępcy będą potrafili odtwarzać te dane. Zdaniem GIODO ważne jest też to, że przy dzieleniu się z kilkoma podmiotami swoimi danymi biometrycznymi, zwiększa się ryzyko, że któryś z nich użyje tych danych w nielegalnym celu.

OPINIA EKSPERTA

A co, jeśli ktoś sprząta w kilku firmach, albo jest tylko na zastępstwie?
Dr Edyta Bielak-Jomaa, generalny inspektor ochrony danych osobowych
Wydaje się, że Ministerstwo Cyfryzacji, przedstawiając zmiany w kodeksie pracy określające zasady przetwarzania danych biometrycznych, zatraca ducha unijnej reformy. Z jednej strony rozluźnia bowiem restrykcyjne zasady dopuszczające przetwarzanie tych danych, z drugiej zaś zdaje się nie dostrzegać, jak bardzo złożone są relacje na rynku zatrudnienia. Umiejscowienie rozwiązań dotyczących przetwarzania danych biometrycznych w kodeksie pracy powoduje, że odnoszą się one wyłącznie do pracowników, czyli osób zatrudnionych na podstawie umowy o pracę, powołania, wyboru, mianowania lub spółdzielczej umowy o pracę. Rodzi się więc pytanie, jaka byłaby podstawa prawna przetwarzania danych biometrycznych pozostałych osób, które pracują dla danego podmiotu. Wysoce wątpliwa jest także zgoda, jaka od pracowników miałaby być pozyskiwana na przetwarzanie danych biometrycznych. Pod znakiem zapytania stoi bowiem jej dobrowolność, co jest warunkiem niezbędnym, by uznać ją za przesłankę zezwalającą na wykorzystywanie danych. Przepisy proponowane przez resort cyfryzacji nie wskazują też konkretnych celów, dla których pracodawcy mieliby przetwarzać dane biometryczne. Posługują się jedynie bardzo ogólnym sformułowaniem, że można to robić, gdy dane te dotyczą stosunku pracy. Wydaje się, że przy takim podejściu gubi się jedna z podstawowych zasad RODO – zasada proporcjonalności.
Biorąc ją pod uwagę, rozwiązania oparte na biometrii – zwłaszcza w kontekście zatrudnienia – należałoby tymczasem wprowadzać wyjątkowo. Jedynie wówczas, gdy istnieje wyraźne uzasadnienie dla takiego działania, a zakładanego celu nie można by osiągnąć, wdrażając inne, mniej ingerujące w naszą prywatność, rozwiązania.
Poważnego namysłu wymagałoby też ustalenie tego, na jakiej podstawie prawnej miałyby być przetwarzane dane biometryczne osób zatrudnionych np. przez firmę sprzątającą, które świadczą swoją pracę w miejscu należącym do innego podmiotu, a także, który z nich byłby administratorem danych, kto miałby dbać o usuwanie danych po ustaniu zatrudnienia lub świadczenia usługi i kto byłyby za to odpowiedzialny? Rodzi się też pytanie, jak należałoby postępować w przypadku choroby pracownika i oddelegowania do pracy w określonym miejscu pracownika na zastępstwo? A co w sytuacjach, gdy konkretny pracownik sprząta w kilku instytucjach, z których każda stosuje system oparty na innych danych biometrycznych? Myślę, że tego typu pytania można by mnożyć. Udzielenie konkretnych odpowiedzi wymagałoby przeanalizowania poszczególnych przypadków, które mogą być tak różne, jak różne mogą być relacje łączące pracodawców z osobami, których oni zatrudniają i firmami, na rzecz których świadczą usługi. Przed nami zatem potrzeba dogłębnej analizy i dyskusji co do kształtu krajowych rozwiązań w tym zakresie.