Rozpoznawanie twarzy pracowników instytucji finansowych, czyli Kodeks Pracy oraz RODO w zderzeniu z biometrią

Wykorzystanie metod biometrycznych może mieć zastosowanie nie tylko przy płatnościach czy on-boardingu klienta, ale również przy identyfikacji osób dla celów bezpieczeństwa. Przykładem zastosowania tej technologii na dużą skalę są Chiny, które takie rozwiązania stosują m.in. do zapewnienia bezpieczeństwa w ruchu drogowym (automatyczne punkty karne) czy wyrywania nietypowych zachowań, np. na lotniskach. W Unii Europejskiej na razie nie ma planów wprowadzenia szerokiego zastosowania rozpoznawania twarzy w miejscach publicznych (choć i zastosowanie dla celów bezpieczeństwa w Parlamencie Europejskim budzi to pewien sprzeciw), choć biometria jako element identyfikacji nadal budzi wiele emocji. Powstały nawet liczne rekomendacje w kontekście ochrony granic wewnętrznych UE.

Jednym z obszarów gdzie rozpoznawanie twarzy czy skanu siatkówki może znaleźć zastosowanie jest kontrola dostępu do miejsc związanych z przetwarzaniem wrażliwych danych czy cyberbezpieczeństwem. Surowe wymogi w tym zakresie stawiają m.in. Wytyczne EBA w sprawie zarządzania ryzykami IT oraz bezpieczeństwa (więcej tutaj) czy ustawa o krajowym systemie cyberbezpieczeństwa (więcej w tym artykule). Coraz więcej instytucji decyduje się na wprowadzanie tego typu rozwiązań, tym bardziej, że technologie biometryczne są dużo bardziej skuteczne niż uwierzytelnianie oparte o „wiedzę” (PIN) czy „posiadanie” (kartę) – warto zajrzeć do raportu „Study on Face Identification Technology for its Implementation in the Schengen Information System”.

Możliwość wykorzystania danych biometrycznych

O możliwości wykorzystania biometrii w sektorze finansowym pisałem w kilku artykułach (klik1; klik2; klik3; klik4). Dość powiedzieć, że Rozporządzenie 2016/679 (RODO) jest dość „konserwatywne” w kontekście wykorzystania tzw. szczególnych kategorii danych. Art. 9 ust. 1 wskazuje wyraźnie, że  „[z]abrania się (…) przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej (…)”.

Furtkę pozostawiono jednak w ust. 2, który dopuszcza przetwarzanie tego typu danych m.in. w przypadku, gdy „przetwarzanie jest niezbędne do wypełnienia obowiązków i wykonywania szczególnych praw przez administratora lub osobę, której dane dotyczą, w dziedzinie prawa pracy (…), o ile jest to dozwolone prawem Unii lub prawem państwa członkowskiego (…) przewidującymi odpowiednie zabezpieczenia praw podstawowych i interesów osoby, której dane dotyczą” (lit b).

Dodatkowo mamy tutaj art. 88 ust. 1 Rozporządzenia 2018/389. Uprawnia państwa członkowskie do ustanowienia bardziej szczegółowych przepisów w zakresie ochrony danych osobowych pracowników (oraz osób dopiero zatrudnianych), również w kontekście wykonywania obowiązków służbowych.

Istotny będzie również art. 5 Rozporządzenia 2016/679, który wyznacza podstawowe standardy w zakresie przetwarzania.

Kontrola pomieszczeń, czyli monitoring w miejscu pracy

Kodeks Pracy w art. 22(2) dopuszcza wprowadzenie monitoringu (szczególnego nadzoru nad terenem zakładu pracy). Jest to jednak możliwe jedynie, jeżeli jest to m.in. niezbędne do zachowania w tajemnicy informacji, których ujawnienie mogłoby narazić pracodawcę na szkodę. Takim przypadkiem będzie więc zarówno wprowadzenie monitoringu pomieszczeń, w których przetwarzane są dane stanowiące tajemnicę bankową czy zawodową.

Przepis wprowadza kilka obostrzeń (m.in. wyłączenia określonych pomieszczeń czy skrócenie okresu przechowywania nagrań do 3 miesięcy). Mamy również określone obowiązki informacyjne (wyraźnie i czytelnie).

To jednak jeszcze nie jest kontrola dostępu

To co jednak najbardziej interesuje nas w kontekście identyfikacji to jednak art. 22(1b) par. 2 Kodeksu Pracy, bo wspomniany wyżej monitoring nie musisz jednoznacznie identyfikować osób tam przebywających. Przepis ten wyraźnie umożliwia przetwarzanie danych biometrycznych pracownika, gdy podanie takich danych jest niezbędne ze względu na kontrolę dostępu do szczególnie ważnych informacji (ponownie tajemnica bankowa i zawodowa), a także jeżeli wymaga to dla udzielenia dostępu do pomieszczeń wymagających szczególnej ochrony.

W praktyce więc osoby, które pełnią szczególne funkcje (zgodnie z zasadą „wiedzy koniecznej”) mogą zostać poproszone o „udostępnienie” swoich danych biometrycznych dla celów uzyskania dostępu do takich pomieszczeń. Przepis ten nie wymaga także, aby pracodawca w takim przypadku odbierał dodatkową zgodę (RODOwską), o której mowa w art. 22(1b) par 1 Kodeksu Pracy, na co wskazuje stwierdzenie, że przetwarzanie danych zgodne z par. 2 jest „dopuszczalne także wtedy”. Dodatkowo w par. 1 mówimy przecież o inicjatywie pracownika lub osoby ubiegającej się o zatrudnienie.

Pytanie które się tutaj nasuwa dotyczy stosowania art. 12 i 13 Rozporządzenia 2016/679. Przykładowo art. 22(2) par. 9 Kodeksu Pracy przewiduje, że obowiązki informacyjne i zasada przejrzystości doznają pewnego ograniczenia, ponieważ do spełnienia tego obowiązku wystarczy oznaczenie pomieszczenia i terenu monitorowanego w sposób widoczny i czytelny za pomocą odpowiednich znaków lub ogłoszeń dźwiękowych.

W przypadku udzielania dostępu z użyciem danych biometrycznych mamy jednak inną sytuację. Pracodawca „pobiera” tutaj dane wrażliwe, a więc obowiązek z art. 12 i 13 wydaje się tutaj mieć zastosowanie.

Inne wymogi po stronie pracodawcy

Nie można tutaj zapominać o tym, że pracodawca powinien zapewnić bezpieczeństwo tych danych, w szczególności stosując odpowiednie rozwiązania operacyjne w zakresie cyberbezpieczeństwa (jeżeli komunikacja odbywa się z użyciem kanałów zdalnych).

Z punktu widzenia instytucji finansowych ważne będzie również dostosowanie się do Rekomendacji D oraz Rozporządzenia wydanego na podstawie ustawy o krajowym systemie cyberbezpieczeństwa (w kontekście rozwiązań organizacyjnych). Szczególne znaczenie ma tutaj art. 2 ust. 2, który zobowiązuje Operatorów Usług Kluczowych (w uproszczeniu) do wprowadzenia systemu kontroli dostępu obejmującego wszystkie wejścia i wyjścia kontrolowanego obszaru, w którym co najmniej rozpoznanie osoby uprawnionej następuje w wyniku odczytu identyfikatora lub odczytu cech biometrycznych, oraz rejestrujący zdarzenia”.  Warto w tym miejscu nadmienić, że UKNF planuje powołać w niedługim czasie zespół ds. cyberbezpieczeństwa i w związku z tym mogą pojawić się dodatkowe rekomendacje.

Można jeszcze zwrócić uwagę na rekomendację 4.7 w „Rekomendacjach dotyczących obszaru bezpieczeństwa dla podmiotów korzystających ze standardu PolishAPI”.

 

 

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *