Co pracodawcy muszą przestrzegać w zakresie prawa ochrony danych osobowych przy stosowaniu cyfrowej rejestracji czasu pracy
W wielu miejscach pracy czas pracy jest obecnie rejestrowany cyfrowo. Choć zwykle zapewnia to większą przejrzystość oraz oszczędność czasu i wysiłku, oznacza to również, że pracodawcy muszą poradzić sobie z tym, jak postępować z danymi swoich pracowników.
Problem
Dla pracodawcy zalety cyfrowej rejestracji czasu pracy są oczywiste: dokładna i możliwa do prześledzenia dokumentacja czasu pracy przy stosunkowo niewielkim wysiłku i prawie bez strat.
Dzięki danym gromadzonym przez karty chipowe, transpondery lub aplikacje w telefonach komórkowych można również bardzo precyzyjnie śledzić zachowania w pracy i profile przemieszczania się pracowników. Te zagrożenia występują już wewnątrz firmy. Ponadto dane te mogą paść ofiarą ataku hakerskiego z zewnątrz lub podobnego, tak jak wszystkie inne dane przechowywane przez firmę. Jeśli w grę wchodzą również dane biometryczne pracowników wykorzystywane do rejestracji czasu pracy, dostęp osób nieuprawnionych może mieć jeszcze dalej idące konsekwencje.
Firma stoi przed wyzwaniem utrzymania ochrony danych pracowników i prywatności, jeśli chodzi o cyfrową rejestrację czasu pracy.
Należy zwrócić uwagę na to
W większości przypadków przetwarzanie danych w ramach rejestracji czasu pracy można zasadniczo uzasadnić tym, że służy ono realizacji stosunku pracy (§ 26 I BDSG). Czas pracy może być dzięki temu rozliczany dokładnie i sprawiedliwie. Leży to również w uzasadnionym interesie pracodawcy (§ 326 I BDSG, art. 88 I DSGVO).
Jeśli jednak rejestracja czasu pracy odbywa się w sposób cyfrowy, dane są narażone na większe ryzyko niż w przypadku rozwiązań analogowych. Szczególną uwagę należy zwrócić na ograniczenie celu (art. 5 I lit. b DSGVO). Jeżeli pracodawca zbiera dane w celu rejestracji czasu pracy, może je wykorzystać tylko w tym celu i nie może np. tworzyć profilu ruchowego pracownika. Z drugiej strony pracodawca może rejestrować, kiedy pracownik jest obecny lub nieobecny (zwłaszcza w przypadku elastycznego czasu pracy), ale nie może konkretnie rejestrować, dlaczego pracownik jest nieobecny (np. może być rejestrowana "nieobecność z powodu choroby", ale nie konkretna choroba). Przekraczałoby to uzasadniony interes i naruszało ochronę danych.
Cechy szczególne biometrycznej rejestracji czasu pracy
Jeśli pracodawca uchwyci odcisk palca lub tęczówkę pracownika za pomocą skanu podczas rejestracji czasu pracy, to można dość jednoznacznie zidentyfikować pracownika i przypisać go do danych, ale z drugiej strony przetwarzane są dane kategorii specjalnej (art. 9 I DSGVO), które szczególnie zasługują na ochronę.
- Paragraf 26 III BDSG zezwala na przetwarzanie takich danych, jeśli jest to konieczne do wykonywania lub wypełniania praw i obowiązków w ramach stosunku pracy. W celu określenia, czy ma to miejsce w konkretnym przedsiębiorstwie, ochrona szczególnej kategorii danych osobowych musi być zestawiona z poziomem bezpieczeństwa wymaganym w przedsiębiorstwie (wrażliwość danych itp.). Im bardziej wymagające ochrony i bezpieczeństwa są informacje i dane, które można znaleźć w miejscu pracy, tym bardziej prawdopodobne jest, że dopuszczalna jest biometryczna kontrola dostępu (z rejestracją czasu pracy).
Przejrzysta procedura jest zawsze kluczowa dla pracodawcy. W każdym przypadku należy zasięgnąć porady eksperta w kwestii tego, jakie metody są najbardziej odpowiednie we własnej firmie i jak można je wdrożyć.