Szef nie może pobierać od pracowników odcisku ich linii papilarnych, żeby kontrolować czas pracy, nawet jeżeli oni sami się na to zgodzili - orzekł Naczelny Sąd Administracyjny.

Sprawa dotyczyła jednego z urzędów skarbowych, w którym pracownikom dano do wyboru, czy chcą rejestrować swój czas pracy przez przyłożenie karty magnetycznej, czy własnego palca. Wszyscy wybrali rejestrację czasu pracy za pomocą odcisków linii papilarnych. Otrzymany w ten sposób obraz był następnie przetwarzany na kod binarny. Do kodu było przypisywane imię i nazwisko pracownika.

Takie praktyki zakwestionował generalny inspektor ochrony danych osobowych. Stwierdził, że narusza to art. 221 kodeksu pracy (kp). Z przepisu tego wynika, że pracodawca może żądać od pracownika podania danych tylko w takim zakresie, jaki został wskazany w tym przepisie (są to m.in. imię i nazwisko, imiona rodziców, data urodzenia, miejsce zamieszkania, wykształcenie, przebieg dotychczasowego zatrudnienia, numer PESEL). Jest wprawdzie jeden wyjątek, na podstawie którego pracodawca może żądać innych danych osobowych, jeżeli wynika to z odrębnych przepisów, ale - jak stwierdził GIODO - żaden z nich nie zezwala na przetwarzanie danych uzyskanych za pomocą odcisku palca.

Naczelnik urzędu skarbowego argumentował, że pracownicy sami się na to zgodzili. Urząd działał więc w zgodzie z art. 23 ust. 1 pkt 1 ustawy o ochronie danych osobowych (w skrócie: uodo), który uznaje przetwarzanie danych za dopuszczalne, gdy osoba, której dane dotyczą, wyrazi na to zgodę. Naczelnik uznał więc, że przetwarzanie danych biometrycznych w jego urzędzie skarbowym było legalne.

Nie zgodził się z nim ani Wojewódzki Sąd Administracyjny w Warszawie (wyrok z 18 czerwca 2010 r., sygn. akt II SA/Wa 151/10) ani rozpatrujący skargę kasacyjną Naczelny Sąd Administracyjny (wyrok z 6 września 2011 r., sygn. akt I OSK 1476/10).

NSA stwierdził, że "wyrażona na życzenie pracodawcy pisemna zgoda pracownika na pobranie i przetworzenie jego danych osobowych w opisanym zakresie narusza prawa pracownika i swobodę wyrażenia przez niego woli. Za tak sformułowanym stanowiskiem przemawia zależność pracownika od pracodawcy. Generalnie więc brak równowagi w relacji pracodawca-pracownik stawia pod znakiem zapytania dobrowolność w wyrażeniu zgody na pobieranie i przetworzenie danych osobowych (biometrycznych)".

Zdaniem NSA nie wolno rozszerzać katalogu danych określonych w art. 221 kp poprzez zastosowanie art. 23 ust. 1 pkt 1 uodo także z innego powodu - prowadziłoby to do naruszenia zasady adekwatności. Zasada ta została wprowadzona do art. 26 ust. 1 pkt 3 uodo z dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (Dz.Urz. UE L 95.281.31 ze zm.). Z zasady adekwatności wynika obowiązek przetwarzania prawidłowych danych przez administratorów w sposób odpowiedni do celów, dla jakich zostały zgromadzone.

Identycznie NSA orzekł również w wyroku z 1 grudnia 2009 r. (sygn. akt I OSK 249/09).