Czy pracodawca może zbierać odciski palców pracowników? Ważna decyzja PUODO

Na początku 2025 roku Prezes Urzędu Ochrony Danych Osobowych (PUODO) nałożył karę finansową na przedsiębiorcę z branży hotelarsko-gastronomicznej. Sprawa dotyczyła przetwarzania danych biometrycznych pracowników – odcisków palców, bez odpowiedniej podstawy prawnej oraz braku współpracy z organem nadzorczym. To ważne ostrzeżenie dla pracodawców, którzy powinni pamiętać o obowiązkach wynikających z RODO oraz przepisów prawa pracy.

Na czym polegało naruszenie przepisów w opisywanej sprawie?

Postępowanie rozpoczęło się w 2021 roku, kiedy to jedna z pracownic z sektora hotelarsko-gastronomicznego zgłosiła do PUODO podejrzenie nielegalnego przetwarzania jej danych biometrycznych. Firma wykorzystywała odciski palców personelu, najprawdopodobniej w celu ewidencji czasu pracy. Organ nadzorczy kilkakrotnie wzywał przedsiębiorcę do wyjaśnień i udostępnienia wymaganej dokumentacji, jednak do maja 2024 roku firma nie odpowiedziała na żadne wezwania.

W efekcie PUODO uznał, że doszło do rażącego naruszenia obowiązku współpracy z organem nadzorczym, który jest jednym z podstawowych wymogów RODO, i nałożył na przedsiębiorcę administracyjną karę pieniężną w wysokości 18 941 zł. W decyzji podkreślono, że utrudnianie postępowania osłabia skuteczność ochrony danych osobowych i wymaga zdecydowanej reakcji.

Czy pracodawca może legalnie zbierać odciski palców pracowników?

Dane biometryczne, takie jak odciski palców, są szczególną kategorią danych osobowych chronioną przez RODO (art. 9 ust. 1), co oznacza, że ich przetwarzanie jest co do zasady zabronione, z bardzo ograniczonymi wyjątkami.

W środowisku pracy dopuszcza się przetwarzanie takich danych tylko wtedy, gdy jest to niezbędne do kontroli dostępu do szczególnie chronionych obszarów (np. laboratoria, strefy z danymi wrażliwymi), zgodnie z art. 221b § 1 Kodeksu pracy. Natomiast zbieranie odcisków palców w celu zwykłej ewidencji czasu pracy nie spełnia tych warunków i jest niezgodne z przepisami.

Jakie konsekwencje grożą za brak współpracy z PUODO?

Brak odpowiedzi na wezwania organu nadzorczego oraz niewykonanie obowiązków współpracy w trakcie postępowania to poważne naruszenie RODO. PUODO podkreśla, że takie zachowanie osłabia system ochrony danych osobowych i jest traktowane bardzo poważnie.

Kara finansowa nałożona na przedsiębiorcę ma zarówno charakter sankcyjny, jak i prewencyjny, ma zniechęcać innych administratorów danych do lekceważenia swoich obowiązków. Dodatkowo firmy, które ignorują wezwania PUODO, narażają się nie tylko na kary finansowe, ale również na utratę zaufania klientów i pracowników oraz uszczerbek na reputacji.

Co powinni zrobić pracodawcy, aby uniknąć takich problemów?

• Sprawdzić, czy przetwarzanie danych biometrycznych jest niezbędne i czy istnieje do tego odpowiednia podstawa prawna zgodna z RODO i Kodeksem pracy.

• Odpowiednio udokumentować cały proces przetwarzania danych, w tym prowadzić polityki ochrony danych, klauzule informacyjne, analizy ryzyka i zgody pracowników.

• Niezwłocznie odpowiadać na wezwania PUODO i współpracować z organem nadzorczym w przypadku wszczęcia postępowania kontrolnego.

• Konsultować się z prawnikiem specjalizującym się w ochronie danych osobowych i prawie pracy w sytuacji jakichkolwiek wątpliwości dotyczących legalności stosowanych rozwiązań, takich jak czytniki linii papilarnych czy systemy rozpoznawania twarzy.

Przygotowała:

Paulina Wojtczuk
Operations & HR Manager