Dane biometryczne, a ochrona danych osobowych

Dostępność innowacyjnych technologii, w tym umożliwiających identyfikację jednostki, przekłada się coraz częściej na wykorzystywanie tzw. danych biometrycznych w celu podnoszenia poziomu bezpieczeństwa. Czytniki linii papilarnych czy skanery twarzy umożliwiające odblokowanie telefonów komórkowych oraz dokonanie płatności, od lat nie są już łączone ze sferą fantastyki naukowej a stanowią nieodłączny element codzienności.

Te dodatkowe metody autoryzacji oraz ich popularność, zarówno w obrębie dużych firm jak i osób prywatnych, musiały finalnie doprowadzić do unormowania ich na gruncie przepisów prawa w sposób odpowiadający obecnemu rozwojowi technologicznemu.

Definicje

Dane biometryczne są to wszystkie informacje uzyskane w skutek analizy cech fizycznych oraz behawioralnych istot żywych. Mogą one dotyczyć zarówno układu naczyń krwionośnych, linii papilarnych, rozkładu temperatur na twarzy ale również sposobu chodzenia, podpisu, czy głosu. W polskim prawodawstwie termin ten funkcjonuje od lat. Ustawa o dokumentach paszportowych z 13 lipca 2006 r. wymienia zamknięty katalog takich danych. Są nimi wizerunek twarzy oraz odciski palców umieszczone w dokumentach paszportowych w formie elektronicznej. Ewolucję prawodawczą w tej materii możemy zauważyć w Ogólnym rozporządzeniu o ochronie danych osobowych „RODO” z 25 maja 2018 r. Ustawodawca unijny odszedł od ujęcia kazuistycznego na rzecz utworzenia katalogu otwartego danych biometrycznych. Zgodnie z rozporządzeniem są nimi dane osobowe, które wynikają ze specjalnego przetwarzania technicznego, dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej oraz umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby, takie jak wizerunek twarzy lub dane daktyloskopowe.

Niezastosowanie numerus clausus przy formułowaniu definicji danych biometrycznych jest zabiegiem, który przy dynamicznym rozwoju technologicznym, uniemożliwi jej szybką dezaktualizację.

Legalność przetwarzania

Zgodnie z Art. 9 ust. 1 rozporządzenia o ochronie danych osobowych, zabrania się przetwarzania danych biometrycznych. Jednakże, ustawodawca przewidział również wyjątki od tego zakazu. Rozstrzygając o legalności przetwarzania dokonywanego z użyciem ww. danych, koniecznym będzie zweryfikowanie, czy wystąpiła przynajmniej jedna z dziesięciu przesłanek zawartych w Art. 9 ust. 2 RODO.  Są nimi:

  • wyraźna zgoda osoby, której dane będą przetwarzane, w jednym lub kilku celach;
  • niezbędność do wypełnienia obowiązków i szczególnych praw administratora lub osoby, której dane dotyczą;
  • ochrona żywotnych interesów osoby, której dane dotyczą lub innej osoby fizycznej, a osoba, której dane dotyczą, jest fizycznie lub prawnie niezdolna do wyrażenia zgody;
  • przetwarzanie dokonywane w ramach podmiotów niezarobkowych a dotyczące ich obecnych/byłych członków;
  • wcześniejsze upublicznienie danych przez osobę, której dane dotyczą;
  • niezbędność do ustalenia, dochodzenia lub obrony roszczeń lub w ramach sprawowania wymiaru sprawiedliwości przez sądy;
  • ważny interes publiczny;
  • profilaktyka zdrowotna oraz medycyna pracy;
  • interes publiczny w dziedzinie zdrowia publicznego;
  • cele archiwalne w interesie publicznym.

Przetwarzanie danych biometrycznych w praktyce

Dysponując zapleczem teoretycznym, w jaki sposób zatem przetwarzać w firmie dane biometrycznie tak, by było to zgodne z obowiązującym stanem prawnym? Niestety, z uwagi na mnogość podmiotów, które w ramach swojej działalności przetwarzają takie dane oraz znaczących różnic, zarówno dotyczących zakresu jak i celów przetwarzania, nie ma uniwersalnej odpowiedzi na to pytanie. Elementem, który pozostaje jednak niezmienny jest upewnienie się, że jeżeli przetwarzanie szczególnej kategorii danych odbywa się na podstawie zgody osoby, której dane dotyczą, musi ona być dobrowolna, konkretna, świadoma oraz uprzednia względem samego procesu przetwarzania. Ponadto, jej wyrażenie musi nastąpić z inicjatywy osoby ubiegającej się o zatrudnienie lub pracownika Należy również ocenić, czy podanie tego typu danych jest niezbędne ze względu na kontrolę dostępu do szczególnie ważnych informacji, których ujawnienie może narazić pracodawcę na szkodę, lub dostępu do pomieszczeń wymagających szczególnej ochrony. Wówczas, na tego typu przetwarzanie, nie jest wymagana zgoda pracownika.

Dodatkowo należy zweryfikować, czy wobec osób, których dane są przetwarzane, realizowany jest kompleksowo obowiązek informacyjny, zgodnie z art. 13 albo art. 14 RODO. Przetwarzanie danych biometrycznych musi zostać również uwzględnione w ramach prowadzonego przez Administratora rejestru czynności przetwarzania oraz analizy ryzyka. Jeżeli cel przetwarzania danych biometrycznych stanowi wyłącznie identyfikacja osoby fizycznej lub kontrola dostępu, konieczne będzie również przeprowadzenie oceny skutków dla ochrony danych (Komunikat Prezesa Urzędu Ochrony Danych Osobowych z dnia 17 czerwca 2019 r. w sprawie wykazu rodzajów operacji przetwarzania danych osobowych) oraz wyznaczenie inspektora ochrony danych (art. 37 RODO).

Podsumowanie

Stosowanie nowoczesnych metod autoryzacji, nawet jeżeli prowadzi to do przetwarzania danych biometrycznych, jest możliwe oraz w sposób znaczący może wpłynąć na poziom bezpieczeństwa firmy. Wymaga to jednak każdorazowej weryfikacji, czy przetwarzanie to mieści się w kategoriach wyjątków ujętych w art. 9 ust. 2 RODO oraz art. 221b Kodeksu pracy. Implementacja zaawansowanych rozwiązań technologicznych wiąże się jednak z dodatkowymi procedurami, które będzie musiał wykonać Administrator danych (w tym wydaniem pisemnego upoważnienia do przetwarzania danych biometrycznych) oraz koniecznością realizacji praw osób, których dane dotyczą w tym zakresie.

Oskar Zacharski

About Redakcja 324 Articles
Omni Modo to po łacinie „na każdy sposób”. Nazwa naszej firmy to nie przypadek. Na każdy sposób chcemy bowiem pokazywać klientom nasze doświadczenie, profesjonalizm i sukcesy w dziedzinie ochrony danych osobowych.