Nierzadko pracodawcy w celu realizacji swoich potrzeb biznesowych korzystają (lub chcieliby korzystać) z technologii umożliwiających rozpoznawanie twarzy. Dla pracodawców może to być potrzebne z punktu widzenia bezpieczeństwa organizacji, kontroli dostępu do ważnych informacji lub pomieszczeń wymagających szczególnej ochrony, czy nawet monitorowania obecności pracowników w miejscu pracy. Upowszechnienie tego typu urządzeń cyfrowych w miejscu pracy często nie idzie jednak w parze ze świadomością pracodawcy wpływu takiego przetwarzania na prywatność osoby, której dane dotyczą. Pojawia się więc pytanie: czy stosowanie przez pracodawców w swoich organizacjach technologii rozpoznawania twarzy jest zgodne z prawem?
Technologia rozpoznawania twarzy polega na automatycznym przetwarzaniu obrazów cyfrowych zawierających twarze w celu identyfikacji lub weryfikacji osób za pomocą szablonów twarzy (Wytyczne dotyczące rozpoznawania twarzy wydane przez Komitet Konsultacyjny Konwencji o Ochronie Osób w Związku z Automatycznym Przetwarzaniem Danych Osobowych). Wizerunek naszej twarzy w takim przypadku będzie zaliczał się do tzw. danych biometrycznych. Dane biometryczne oznaczają dane osobowe, które wynikają ze specjalnego przetwarzania technicznego, dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej oraz umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby, takie jak wizerunek twarzy lub dane daktyloskopijne (art. 4 pkt 14 RODO). Przez specjalne przetwarzanie techniczne należy rozumieć wykorzystanie takich metod i środków, których celem jest dokonanie analizy cech biometrycznych i doprowadzenie do identyfikacji osoby fizycznej.
Przepisy RODO wprost zabraniają przetwarzania danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej. Ich przetwarzanie jest dozwolone jedynie w ograniczonych przypadkach określonych w art. 9 ust. 2 RODO. Wśród przesłanek legalizujących takie przetwarzanie możemy wyróżnić m.in. wyraźną zgodę osoby, której dane dotyczą, lub przepis prawa, który reguluje niezbędność do wypełnienia obowiązków i wykonywania szczególnych praw przez administratora lub osobę, której dane dotyczą, w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej, o ile jest to dozwolone prawem Unii lub prawem państwa członkowskiego, lub porozumieniem zbiorowym na mocy prawa państwa członkowskiego przewidującymi odpowiednie zabezpieczenia praw podstawowych i interesów osoby, której dane dotyczą.
Warto jednak zauważyć, że podstawa przetwarzania opierająca się na zgodzie pracownika w kontekście zatrudnienia może być trudna do obronienia. Głownie z uwagi na relację zależności między pracodawcą a pracownikiem, gdzie występuje cecha podporządkowania (art. 22 § 1 Kodeksu pracy). Istnieje ryzyko, że zgoda nie będzie wyrażona dobrowolnie, gdyż pracownik może obawiać się negatywnych konsekwencji ze strony pracodawcy w przypadku ewentualnej odmowy.
Kodeks pracy również reguluje przetwarzanie danych biometrycznych. Ustawodawca dopuszcza ich przetwarzanie jedynie w wyjątkowych sytuacjach. Zgodnie z art. 221b § 1-2 Kodeksu pracy zgoda pracownika może być uznana za podstawę przetwarzania danych osobowych szczególnych kategorii, jeśli to pracownik samodzielnie inicjuje ich przekazanie. Zgoda nie jest jednak wymagana w sytuacjach, w których podanie takich danych jest niezbędne ze względu na kontrolę dostępu do szczególnie ważnych informacji, których ujawnienie może narazić pracodawcę na szkodę, lub kontrolę dostępu do pomieszczeń wymagających szczególnej ochrony.
Jednocześnie zasady dotyczące przetwarzania danych osobowych określone w art. 5 ust. 1 RODO wymagają m.in. aby przetwarzanie danych osobowych było proporcjonalne do celu, w jakim zostały one zebrane. Technologia rozpoznawania twarzy powinna być zatem stosowana wyłącznie w sytuacjach, w których jest to absolutnie konieczne. Pracodawca musi wykazać, że nie istnieje inna, mniej inwazyjna, metoda osiągnięcia tego samego celu. Jeśli istnieją zaś alternatywne, mniej oddziałujące na jednostkę, sposoby realizacji zamierzonego celu, one powinny być preferowane.
Jeśli zatem pracodawca postanowił w organizacji stosować technologię rozpoznawania twarzy w celu kontroli obecności pracownika w miejscu pracy, to śmiało można stwierdzić, że wybrany środek nie jest jedynym za pomocą, którego ten cel może zrealizować. Wykorzystanie danych biometrycznych pracowników w tym celu narusza zasady przetwarzania danych, w szczególności zasady legalności, ograniczenia celu oraz minimalizacji danych. Taki pracodawca powinien zastąpić biometryczny system monitorowania innymi ,mniej inwazyjnymi środkami, takimi jak na przykład karty dostępu.
Pracodawcy, którzy naruszają przepisy dotyczące ochrony danych osobowych poprzez niewłaściwe stosowanie technologii rozpoznawania twarzy, mogą zostać ukarani karą pieniężną przez organ nadzorczy do spraw ochrony danych osobowych. W Europie miały już miejsce przypadki, w których organy nadzorcze nałożyły kary za nieuprawnione użycie tej technologii.
Przykładem jest decyzja Włoskiego Urzędu Ochrony Danych Osobowych, który nałożył karę w wysokości 120 tysięcy euro na pracodawcę, który wykorzystywał system rozpoznawania twarzy do kontroli obecności pracowników (Biuletyn z dnia 26 czerwca 2024 r. – FSE 2.0, Włoski Urząd Ochrony Danych: Włoski Urząd Ochrony Danych jest w toku… – Włoski Urząd Ochrony Danych (garanteprivacy.it)).
Ponadto Włoski Urząd Ochrony Danych nałożył sankcje na pięć powiązanych ze sobą firm również za bezprawne korzystanie z narzędzi do rozpoznawania twarzy pracowników. Wysokość kar była zróżnicowana w zależności od roli poszczególnych podmiotów w procesie przetwarzania, od 70 tysięcy euro dla administratora do kilku tysięcy euro dla podmiotów przetwarzających (Biuletyn informacyjny z dnia 28.03.24 r. – Zatrudnienie: nr Gwaranta Prywatności do korzystania z… – Garante Prywatność (garanteprivacy.it).
W powyższych postępowaniach włoski organ nadzorczy podkreślił zagrożenia dla praw pracowniczych jakie wiąże się ze stosowaniem systemów rozpoznawania twarzy w świetle przepisów i gwarancji przewidzianych zarówno w prawie krajowym, jak i europejskim. Zdaniem organu przetwarzanie danych biometrycznych przez pracodawców w rozpoznawanych sprawach było niezgodne z prawem. Żaden bowiem przepis prawa nie nakładał obowiązku lub nie uprawniał pracodawców do takiego przetwarzanie. Przypomniał również, że nawet zgoda wyrażona przez pracowników nie może być uznana za odpowiednią przesłankę zgodności z prawem przedmiotowego przetwarzania ze względu na asymetrię relacji między pracodawcą a pracownikiem. Firmy powinny zatem stosować mniej inwazyjne systemy do kontroli obecności pracowników w miejscu pracy.
Technologia rozpoznawania twarzy może przynieść korzyści, takie jak poprawa bezpieczeństwa, jednak jej użycie w kontekście pracowniczym wymaga bardzo ostrożnego podejścia. Niezbędne jest zachowanie równowagi między interesami pracodawcy a prawami pracowników, przy jednoczesnym przestrzeganiu obowiązujących przepisów prawnych w zakresie ochrony danych osobowych.