Biometria w HR 2025 – podstawa prawna dla czytników linii papilarnych po wytycznych 2024 r.
zespół BazaPrawa | 4 czerwca 2025
Dlaczego rok 2025 zmienia zasady gry?
We wrześniu 2024 r. Urząd Ochrony Danych Osobowych (UODO) wydał zaktualizowane wytyczne dotyczące przetwarzania danych biometrycznych w zatrudnieniu. Dokument doprecyzował, że zgoda pracownika rzadko będzie uznana za "dobrowolną" w kontekście odwrotnego stosunku sił. Jednocześnie UODO wskazało na możliwość stosowania art. 221b §1 Kodeksu pracy, ale tylko w ściśle określonych przypadkach i przy zapewnieniu alternatywnych metod rejestracji czasu pracy.
1. Podstawy prawne przetwarzania biometrii w HR
| Podstawa | Kiedy można ją zastosować? | Przykłady zgodnych zastosowań |
|---|---|---|
| Art. 9 ust. 2 lit. b RODO – niezbędność do wykonywania obowiązków z prawa pracy | gdy odcisk palca chroni dostęp do stref o podwyższonym ryzyku (np. serwerownia) | kontrola dostępu do pomieszczeń z danymi wrażliwymi |
| Art. 221b §1 Kodeksu pracy – zgoda + bezpieczeństwo mienia, dostęp do informacji wymagających szczególnej ochrony | czas pracy z użyciem czytnika, ale tylko z alternatywą kart zbliżeniowych | rejestracja wejść/wyjść w magazynie z lekami |
| Art. 9 ust. 2 lit. a RODO – wyraźna zgoda | marginalnie, przy fakultatywnych benefitach | szybkie logowanie do automatu wydającego narzędzia |
Uwaga: sam "komfort HR" nigdy nie stanowi wystarczającej podstawy do przetwarzania biometrii.
2. Scenariusze – dozwolone vs. ryzykowne w 2025 r.
| Scenariusz | Ocena zgodności | Dlaczego? |
|---|---|---|
| Kontrola dostępu do pomieszczeń z dokumentacją medyczną | ✅ dozwolony | spełnia przesłankę art. 9(2)(b) – ochrona danych szczególnej kategorii |
| Rejestracja czasu pracy wszystkich pracowników biurowych bez alternatywy | ❌ ryzykowny | brak realnej dobrowolności, naruszenie zasady minimalizacji |
| Fingerprint do otwierania drzwi kantyny | ❌ ryzykowny | cel nieproporcjonalny do wagi danych biometrycznych |
| Dostęp do sejfu z kluczem głównym serwerowni | ✅ dozwolony | wysoki poziom bezpieczeństwa, brak innej równie skutecznej metody |
3. Minimalne wymogi techniczne i organizacyjne (checklist)
- Template zamiast obrazu linii papilarnych – brak możliwości rekonstrukcji.
- Szyfrowanie AES-256 w spoczynku i transmisji.
- Logi dostępu przechowywane nie dłużej niż 12 miesięcy.
- Procedura "fail‐open" – w razie awarii biometrii pracownik może się zalogować kartą.
- DPIA (ocena skutków) przed uruchomieniem systemu i przegląd co 24 miesiące.
4. Etapy wdrożenia zgodnego z wytycznymi UODO 2024
- Analiza ryzyka – czy naprawdę potrzebujesz biometrii?
- Prawna podstawa – wybierz właściwy przepis i udokumentuj to.
- Alternatywa – wdrożenie równoległego systemu (karta, PIN).
- Transparentność – komunikat + polityka privacy w intranecie.
- Testy bezpieczeństwa – penetration testing i audyt kodu firmware.
5. Najnowsze decyzje i kary (2024–2025)
| Organ | Sygnatura | Data | Wysokość kary | Naruszenie |
|---|---|---|---|---|
| UODO | DKN.5131.45.2024 | 14.11.2024 | 280 000 zł | brak DPIA przed systemem fingerprint w sieci supermarketów |
| UODO | DKN.5131.9.2025 | 22.03.2025 | 120 000 zł | wymuszanie biometrii bez alternatywy czasu pracy |
| WSA Warszawa | II SA/Wa 2028/24 | 30.01.2025 | utrzymana kara 50 000 zł | niewystarczające szyfrowanie template linii papilarnych |
FAQ
| Pytanie | Krótka odpowiedź |
|---|---|
| Czy samo zeskanowanie palca w celach identyfikacji to już "dane biometryczne"? | Tak, jeśli umożliwia jednoznaczną identyfikację osoby. |
| Czy pracownik może odwołać zgodę na fingerprint? | Tak, wtedy musisz zapewnić alternatywną metodę dostępu/czasu pracy. |
| Ile czasu przechowywać zapis biometryczny byłego pracownika? | Usuń niezwłocznie po ustaniu zatrudnienia, chyba że przepisy szczególne wymagają dłuższego retention. |
| Czy kamery z rozpoznawaniem twarzy do rejestracji wejść są dozwolone? | Zasadniczo nie; UODO podkreśla, że to zbyt inwazyjne. |
| Jak często aktualizować DPIA? | Co dwa lata lub przy każdej większej zmianie systemu. |
Podsumowanie
Biometria w HR po wytycznych z 2024 r. to obszar wysokiego ryzyka. Klucz do legalności stanowią: konieczność, proporcjonalność i alternatywa. Jeżeli Twoja organizacja może wdrożyć mniej inwazyjne metody kontroli, UODO oczekuje, że z nich skorzystasz. W przeciwnym razie przygotuj się na wnikliwą ocenę skutków i potencjalne kary.
Źródła
- UODO – "Wytyczne dotyczące przetwarzania biometrii w zatrudnieniu" wrzesień 2024
- Kodeks pracy art. 221b (Dz.U. 2023 poz. 240)
- RODO – Rozporządzenie (UE) 2016 slash 679 art. 9
- UODO decyzja DKN.5131.45.2024
- UODO decyzja DKN.5131.9.2025
- WSA Warszawa, wyrok z 30 stycznia 2025 r., II SA/Wa 2028/24