Za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Czy danymi osobowymi są też dane biometryczne?
Według generalnego inspektora danych osobowych przetworzone w postaci cyfrowej informacje o charakterystycznych punktach linii papilarnych palców pracowników stanowią dane osobowe (decyzja z 22 lutego 2008 r.). W związku z tym wątpliwości budzi występującą w niektórych firmach praktyka wykorzystania danych biometrycznych do kontroli czasu pracy pracowników. Pracodawcy stoją na stanowisku, że taki sposób kontroli sprzyja pracownikom, bowiem zwalnia ich z obowiązku kłopotliwego pamiętania o kartach wejścia. Niemniej jednak w ocenie GIODO powyższe praktyki naruszają nie tylko regulacje kodeksu pracy, odnoszące się do dopuszczalnego zakresu udostępniania pracodawcy danych osobowych, ale także zasadę adekwatności, zgodnie z którą zbierane mogą być jedynie dane osobowe adekwatne dla celu, który może być osiągnięty. Innymi słowy, kontrola czasu pracy nie uzasadnia wykorzystania tak istotnych danych jak dane biometryczne pracowników, ponieważ cel ten można zrealizować innymi sposobami. Naczelny Sąd Administracyjny podzielił stanowisko GIODO, zgodnie z którym wykorzystanie danych biometrycznych jako narzędzia kontroli czasu pracy jest niedopuszczalne. W wyroku z 1 grudnia 2009 r. (I OSK 249/09) stwierdził, że zbierania danych biometrycznych nie legalizuje nawet zgoda pracownika na pobieranie takich danych, ponieważ brak równowagi w relacji pracodawca – pracownik przemawia za brakiem elementu dobrowolności w wyrażeniu takiej zgody.