Make a Submission
No. 1 (187) (2011)
Artykuły

Przetwarzanie danych biometrycznych pracowników w świetle orzeczenia NSA z dnia 1 grudnia 2009 r. (I OSK 249/09)

[Processing of biometric information of employees in the light of the decision of the Supreme Administrative Court dated December 1, 2009 (I OSK 249/09)]

PDF (Polish)
  • Magdalena Korga

Published 2011-03-31

Keywords

  • personal data protection,
  • biometric information,
  • labour law,
  • data processing,
  • Supreme Administrative Court,
  • I OSK 249/09
    • ...More
    Less

Copyright (c) 2011 ILS PAS

Creative Commons License

This work is licensed under a Creative Commons Attribution 4.0 International License.

How to Cite

Przetwarzanie danych biometrycznych pracowników w świetle orzeczenia NSA z dnia 1 grudnia 2009 r. (I OSK 249/09): [Processing of biometric information of employees in the light of the decision of the Supreme Administrative Court dated December 1, 2009 (I OSK 249/09)]. (2011). Studia Prawnicze The Legal Studies, 1 (187), 125-142. https://doi.org/10.37232/sp.2011.1.5

Abstract

The decision of the Supreme Administrative Court1 dated December 1, 2009 (I OSK 249/09, LEX 553777) is the first ruling which raises the issue of processing biometric information of an employee by the employer in regard to Polish law. It is, therefore, of profound significance and calls for thorough analysis. As a result of advancement in new technologies and means of communications over the past few years, as well as progress in the development of practices of work performance, the provisions of law in force applicable to personal data processing in employment relationships (Article 221 of Labour Code, in particular) have been out of touch with the demands of the contemporary world. The decision of the Supreme Administrative Court (hereinafter referred to as “SAC”) dealt with the relation between the provisions of Labour Code and Personal Data Protection Act, combined with the issue of biometric information and the positions of respective parties in the employment relationship. In its decision of December 1, 2009, SAC ruled on collection of biometric information of employees (employee fingerprints) by employers upon prior written consent of the employees in question. In the case concerned biometric information was being processed for the purpose of working time registration at the workplace. It seems that SAC assumption that an employee who was asked to give consent for processing his personal data (biometric information in this specific case) was in an inconvenient situation was fundamental to the decision on the case in question. Employee is dependent on his employer as an entity to which consent shall be given. Therefore, the employee’s freedom to give consent or not is questionable in principle. SAC concluded that for the aforementioned reasons, the catalogue of data that employer was allowed to require from the employee was limited in the Labour Code. Furthermore, the Supreme Administrative Court stated in the justification for the decision that the practice of invoking the consent given by an employee in order to support extension of the scope of personal data catalogue defined in the Labour Code was in conflict with the principle of appropriateness (proportionality). The Court pointed out that it was the principle of proportionality that represented the essential criterion applicable to biometric information processing. In the presented case the purpose, namely, control over employee working time was deemed inappropriate and failing to justify biometric information processing. It follows from the decision of SAC that employee’s consent to process his biometric information which is given upon employer’s request may be assessed as being involuntary and given in the circumstances of actual lack of freedom to take an independent decision. It seems, in the light of the presented decision, that invoking these prerequisites listed in the Personal Data Protection Act which are other than consent of biometric information holder is a solution possible for validating the processing of biometric information of employees - thus processing it to a more extensive degree than it is allowed based on the Labour Code. A justified purpose of the workplace may be one of such prerequisites, on condition, however, that data processing neither violates employee rights, nor employee freedom. As provided in the justification for the Court decision, for the purpose of assessing specific state of affairs, each time the purpose that data processing is supposed to serve should be investigated in addition to the permissible conditions of personal data processing (as well as personal data collection) that are defined in the Personal Data Protection Act. The prerequisite which legitimizes data processing and the purpose of data processing are interrelated and are decisive in a given situation for the right of data administrator to collect and process biometric information. Presently, it should be pointed out that the statements of Inspector General for Personal Data Protection2 in practice constitute important guidelines for processing biometric information of employees by employers. These guidelines indicate that there actually are situations which justify processing of biometric information of employees. In accordance with Inspector General’s opinion these situations include, for example, the need to protect places in which hazardous materials, explosive materials, radioactive materials, viruses, bacteria, legally protected secrets, industrial secrets or know-how of a company are stored. Biometric information of employees may be processed in such circumstances because of justified interest of the company and safety at the workplace and the Inspector General approves the use of biometric information considering the advisability of processing the said information.

PDF (Polish)

References

  1. konferencja.giodo.gov.pl, http://26konferencja.giodo.gov.pl/data/resources/GersdorfM _paper.pdf [dostęp: 2011 r.].
  2. Babiarz P., Udostępnianie przez bank danych klientów, „Monitor Prawniczy” 2001, nr 5, s. 327–328.
  3. Barta J., Fajgielski P., Markiewicz R., Ochrona danych osobowych. Komentarz, Wolters Kluwer, Kraków 2007.
  4. Drozd A., Ochrona danych osobowych pracownika (kandydata) po nowelizacji kodeksu pracy, „Praca i Zabezpieczenie Społeczne” 2004, nr 1, s. 25–31.
  5. Drozd A., Prawo podmiotu zatrudniającego do pozyskiwania informacji o kandydacie na pracownika, LexisNexis, Warszawa 2004.
  6. Dyrektywa 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych, Dz.U. z 23.11.1995, L 281, s. 31–50.
  7. Fajgielski P., Zgoda na przetwarzanie danych osobowych [w:] G. Sibiga, X. Konarski (red.), Ochrona danych osobowych. Aktualne problemy i nowe wyzwania, Wolters Kluwer, Warszawa 2007, s. 41–60.
  8. Gersdorf M. [w:] M. Gersdorf, K. Rączka, M. Raczkowski (red.), Kodeks pracy. Komentarz, LexisNexis, Warszawa 2010.
  9. Guza Ł., Wariograf w firmie zakazany, „Dziennik Gazeta Prawna” 2010, nr 156, s. B5.
  10. Jagielski M., Prawo do ochrony danych osobowych. Standardy europejskie, Wolters Kluwer, Warszawa 2010.
  11. Konstytucja Rzeczypospolitej Polskiej z dnia 2 kwietnia 1997 r. uchwalona przez Zgromadzenie Narodowe w dniu 2 kwietnia 1997 r., przyjęta przez Naród w referendum konstytucyjnym w dniu 25 maja 1997 r., podpisana przez Prezydenta Rzeczypospolitej Polskiej w dniu 16 lipca 1997 r., Dz.U. 1997 r. Nr 78, poz. 483 ze zm.
  12. Linde-Usiekniewicz J., Wielki słownik angielsko-polski, Wiedza Powszechna, Warszawa 2002.
  13. Obwieszczenie Marszałka Sejmu Rzeczypospolitej Polskiej z dnia 10 marca 2008 r. w sprawie ogłoszenia jednolitego tekstu ustawy o Krajowym Rejestrze Karnym, Dz.U. 2008 r. Nr 50, poz. 292 ze zm.
  14. Obwieszczenie Marszałka Sejmu Rzeczypospolitej Polskiej z dnia 12 lutego 2007 r. w sprawie ogłoszenia jednolitego tekstu ustawy o Policji, Dz.U. 2007 r. Nr 43, poz. 277 ze zm.
  15. Obwieszczenie Marszałka Sejmu Rzeczypospolitej Polskiej z dnia 13 maja 2002 r. w sprawie ogłoszenia jednolitego tekstu ustawy - Prawo bankowe, Dz.U. 2002 r. Nr 72, poz. 665 ze zm.
  16. Obwieszczenie Marszałka Sejmu Rzeczypospolitej Polskiej z dnia 17 czerwca 2002 r. w sprawie ogłoszenia jednolitego tekstu ustawy o ochronie danych osobowych, Dz.U. 2002 r. Nr 101, poz. 926 ze zm.
  17. Obwieszczenie Marszałka Sejmu Rzeczypospolitej Polskiej z dnia 18 listopada 2005 r. w sprawie ogłoszenia jednolitego tekstu ustawy o Straży Granicznej, Dz.U. 2005 r. Nr 234, poz. 1997 ze zm.
  18. Obwieszczenie Marszałka Sejmu Rzeczypospolitej Polskiej z dnia 22 listopada 2006 r. w sprawie ogłoszenia jednolitego tekstu ustawy o cudzoziemcach, Dz.U. 2006 r. Nr 234, poz. 1694 ze zm.
  19. Obwieszczenie Marszałka Sejmu Rzeczypospolitej Polskiej z dnia 30 czerwca 2004 r. w sprawie ogłoszenia jednolitego tekstu ustawy - Prawo o aktach stanu cywilnego, Dz.U. 2004 r. Nr 161, poz. 1688 ze zm.
  20. Obwieszczenie Marszałka Sejmu Rzeczypospolitej Polskiej z dnia 9 lutego 2010 r. w sprawie ogłoszenia jednolitego tekstu ustawy o Agencji Bezpieczeństwa Wewnętrznego oraz Agencji Wywiadu, Dz.U. 2010 r. Nr 29, poz. 154.
  21. Obwieszczenie Marszałka Sejmu Rzeczypospolitej Polskiej z dnia czerwca 2007 r. w sprawie ogłoszenia jednolitego tekstu ustawy o transporcie drogowym, Dz.U. 2007 r. Nr 125, poz. 874 ze zm.
  22. Obwieszczenie Ministra Pracy i Polityki Socjalnej z dnia 23 grudnia 1997 r. w sprawie ogłoszenia jednolitego tekstu ustawy - Kodeks pracy, Dz.U. 1998 r. Nr 21, poz. 94 ze zm.
  23. Odpowiedź Pani Jolanty Fedak z dnia 9 marca 2010 r. (DPR-I-4102-119-JS/MK/BL/10), http://www.giodo.gov.pl/575/id_art/3299/j/pl [dostęp: 2011 r.].
  24. Opinion 8/2001 on the processing of personal data in the employment context, 5062/01/EN/Final WP 48.
  25. Patulski A., Orłowski G., Informacja o karalności kandydata na pracownika, „Monitor Prawa Pracy” 2004, nr 7, s. 194–195.
  26. Sibiga G., Postępowanie w sprawach ochrony danych osobowych, ABC, Warszawa 2003.
  27. Sibiga G., Przetwarzanie i ochrona danych osoby ubiegającej się o zatrudnienie w świetle przepisów prawa pracy, „Radca Prawny” 2005, nr 2, s. 67–76.
  28. Spytek-Bandurska G., Wybrane problemy pracodawców ze stosowaniem przepisów o ochronie danych osobowych [w:] T. Wyka, A. Nerka (red.) Granice ochrony danych osobowych w stosunkach pracy, Wolters Kluwer, Warszawa 2009, s. 24–45.
  29. Sygnalizacja GIODO do Ministerstwa Pracy o podjęcie prac legislacyjnych nad zmianą przepisów regulujących przetwarzanie danych osobowych pracowników (kandydatów do pracy) przez pracodawców, http://www.giodo.gov.pl/575/id_art/3299/j/pl [dostęp: 2011 r.].
  30. Ustawa z dnia 13 lipca 2006 r. o dokumentach paszportowych, Dz.U. 2006 r. Nr 143, poz. 1027 ze zm.
  31. Ustawa z dnia 14 listopada 2003 r. o zmianie ustawy - Kodeks pracy oraz o zmianie niektórych innych ustaw, Dz.U. 2003 r. Nr 213, poz. 2081.
  32. Ustawa z dnia 21 listopada 2008 r. o pracownikach samorządowych, Dz.U. 2008 r. Nr 223, poz. 1458 ze zm.
  33. Ustawa z dnia 21 listopada 2008 r. o służbie cywilnej, Dz.U. 2008 r. Nr 227, poz. 1505 ze zm.
  34. Ustawa z dnia 26 stycznia 1984 r. Prawo prasowe, Dz.U. 1984 r. Nr 5, poz. 24 ze zm.
  35. Walencik I., Sprawdzanie niekaralności. Ochrona pracownika ponad interesem pracodawcy, „Rzeczpospolita” 2004, nr 108.
  36. Walter J.P., Niektóre aspekty ochrony danych przy posługiwaniu się danymi biometrycznymi w sektorze prywatnym [w:] Prawo do prywatności - prawo do godności. 26 Międzynarodowa Konferencja Ochrony Prywatności i Danych Osobowych, 14-16 września 2004 Polska, Wrocław, Generalny Inspektor Ochrony Danych Osobowych, Warszawa 2006.
  37. Wojtyczek K., Granice ingerencji ustawodawczej w sferę praw człowieka w Konstytucji RP, Zakamycze, Kraków 1999.
  38. Working document on biometrics, 12168/02/EN WP 80.
  39. Wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 1 grudnia 2005 r., II SA/Wa 917/05, LEX, nr 189823.
  40. Wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 19 lipca 2007 r., II SA/Wa 678/07, LEX, nr 368229.