Przetworzone do postaci cyfrowej informacje o charakterystycznych punktach linii papilarnych palców pracowników stanowią dane osobowe w rozumieniu ustawy o ochronie danych osobowych. Zdaniem generalnego inspektora ochrony danych osobowych stosowanie systemów biometrycznych, w tym czytników linii papilarnych, do kontroli czasu pracy pracowników jest co do zasady niedopuszczalne. Katalog danych osobowych, których pracodawca może żądać od pracownika, określa art. 221 k.p. Nie ma w nim mowy o danych osobowych pracownika w postaci linii papilarnych. GIODO w swoich decyzjach nakazujących usunięcie danych osobowych obejmujących przetworzone do postaci cyfrowej informacje o charakterystycznych punktach linii papilarnych palców pracowników oraz zaprzestanie zbierania takich danych wskazuje, że przetwarzanie takich danych nie jest dopuszczalne, nawet jeśli pracownik wyrazi na to zgodę. Brak równowagi w relacji pracownik – pracodawca stawia bowiem pod znakiem zapytania dobrowolność zgody. Oznacza to, że zgoda pracownika nie będzie stanowiła okoliczności legalizującej pobranie od pracownika innych danych niż wskazane w art. 221 k.p. Ponadto przy przetwarzaniu danych osobowych należy się kierować zasadą proporcjonalności wyrażoną w art. 26 ust. 1 pkt 3 ustawy o ochronie danych osobowych. Zasada ta oznacza obowiązek przetwarzania prawidłowych danych przez administratorów w sposób odpowiedni do celów, dla jakich zostały zgromadzone. Przetwarzanie danych biometrycznych wiąże się z ryzykiem naruszenia swobód i podstawowych praw obywatelskich. Ryzyko to musi być proporcjonalne do celu, któremu służy. Wykorzystanie danych biometrycznych do kontroli czasu pracowników jest zdaniem GIODO nieproporcjonalne do zamierzonego celu ich przetwarzania i w konsekwencji niedopuszczalne. Stanowisko GIODO jest podzielane w orzecznictwie NSA (np. wyrok z 1 grudnia 2009 r. I OSK 249/09).