Wykorzystanie danych biometrycznych a GDPR

Dotychczas wykorzystanie danych biometrycznych sprawiało wiele trudności z powodu braku jasnych uregulowań. Wraz z wejściem w życie nowego rozporządzenia unijnego dane biometryczne w 2018 r. będą przedmiotem szczególnej ochrony przez zakwalifikowanie ich jako dane wrażliwe.

Odciski palców jako punkt zapalny dyskusji

Ochrona danych biometrycznych stała się przedmiotem wnikliwej analizy orzecznictwa NSA (wyrok z dnia 6 września 2011 r. sygn. I OSK 1476/10). Pracodawca wykorzystywał charakterystyczne punkty linii papilarnych palców pracowników (tzw. minucje) do stworzenia systemu kontrolującego ewidencję czasu pracy. W celu ustalenia legalności przetwarzania danych osobowych z przepisami o ochronie danych osobowych NSA posłużył się regulacją zawartą w Kodeksie pracy (art. 221) oraz normami wynikającymi z ustawy o ochronie danych osobowych (art. 23 ust. 1) i wykładnią celowościową dyrektywy 95/46/WE. Sąd podniósł, że brak równowagi w relacji pracodawca-pracownik stawia pod znakiem zapytania dobrowolność w wyrażeniu zgody na pobieranie i przetworzenie danych osobowych (biometrycznych).

Wykorzystanie danych biometrycznych przez państwo

Powyższe orzeczenie stało się punktem wyjścia dyskusji na temat reżimu, który powinien być stosowany do ograniczenia wykorzystania danych biometrycznych. Ciekawą kwestią, jaką podnoszono, była nierówność traktowania podmiotów publicznych i prywatnych w zakresie możliwości przetwarzania danych osobowych. Z istoty rzeczy władza publiczna? ma większe możliwości wykorzystania danych osobowych. Jeden z przykładów wykorzystania danych biometrycznych przez państwo to dane w paszportach. Od 29 czerwca 2009 r. wydawane w Polsce paszporty zawierają dwie cechy biometryczne, tj. obok obrazu twarzy, zapis odcisków palców.  Ogólna możliwość korzystania z tego typu danych przez państwo nie budzi sprzeciwu. Niemniej jednak, możliwość pozyskiwania tak szczególnych informacji o obywatelu powinno być proporcjonalne do konieczności zagwarantowania bezpieczeństwa państwa i obywateli. Kontrola działań władzy w tym zakresie jest trudna głównie ze względu na trudności interpretacyjne przepisów. Przykładem jest chęć wykorzystania danych biometrycznych przez Krajową Informację Podatkową. Miało to służyć  identyfikacji dzwoniących podatników przez rozpoznawanie głosu.  Zmiany na razie nie weszły w życie ze względu na zastrzeżenia Generalnego Inspektora Ochrony Danych Osobowych. Obecnie nie mamy jasności do jakich celów można przetwarzać dane biometryczne. Powyższy przykład, w którym GIODO miał wątpliwości co do możliwości wprowadzenia powyższego rozwiązania, ilustruje zaistniały problem.

Nie tylko konieczne jest zagwarantowanie ochrony danych przetwarzanych przez podmioty wykonujące funkcje publiczne lub kontrolowane przez państwo. Regulacje powinny obejmować także procedury przekazania danych do innych krajów. Nowe rozporządzenie europejskie dodatkowo określa możliwość przetwarzania danych osobowych przez państwa członkowskie, a także warunki przekazywania danych osobowych do krajów trzecich (krajów nie będących państwami członkowskimi).

Modele regulacji ochrony danych biometrycznych

W miarę rozwoju środków przekazu informacji, w szczególności Internetu, ochrona danych osobowych zyskała nowy wymiar. W realiach XXI wieku możliwości techniczne pozyskiwania informacji dotyczących osób  są niemal nieograniczone. Dane biometryczne stały się przedmiotem zainteresowania prywatnych firm, chcących wykorzystać osiągnięcia techniki dla rozpoznawania konkretnych osób. Możliwości identyfikacji przez wykorzystanie indywidualnych cech charakterystycznych są bardzo szerokie. Dane biometryczne mogą być pozyskiwane przez: biometrię odcisków palców, twarzy, tęczówki, dłoni, pozyskiwanie podpisu odręcznego, wykorzystanie dynamiki pisania na klawiaturze, czy rozpoznawanie głosu mówiącego.

Niestety, ustawodawstwo często nie nadąża z ustanowieniem ram prawnych chroniących przed nadmiernym wykorzystywaniem danych osobowych, w szczególności danych biometrycznych. Nieliczne są kraje, w których obowiązują stosowne przepisy. Przykładem szybkiej legislacji jest regulacja dokonana przez jeden ze stanów USA. New York Labor Law Section 201-A ogranicza możliwość wykorzystywania danych biometrycznych zakazując użycia przez pracodawców odcisków palców, chyba że jest to expressis verbis zawarte w przepisach prawa. Jednakże, przykład posłużenia się regulacją na wskroś kazuistyczną na poziomie stanowym poddawane jest krytyce.

Praktyka ta wiąże się z ryzykiem tworzenia nieefektywnego prawodawstwa. Wyobraźmy sobie jakie metody umożliwiające przetwarzanie danych biometrycznych będą dostępne za 15 lat. Oczywiste jest, że z uwagi na szybki postęp techniki nie możemy przewidzieć konkretnych rozwiązań, jakim można by było  przeciwdziałać.  Poświęcony czas i środki nie są proporcjonalne do zamierzonych efektów – prewencję i penalizację. Operowanie pojęciami tak szczegółowymi, naraża nas na konieczność uregulowania każdej kolejnej kwestii osobno. Nieunikniona długość procesu legislacyjnego uniemożliwia szybką reakcję na zachodzące zmiany. Reasumując, model obrany przez Unię Europejską wydaje się być korzystniejszy z perspektywy osoby,  której dane mogą być przetwarzane. Jednolite reguły i objęcie zakresem ogółu problemu sprzyjają ochronie prywatności jednostki.

Regulacja przygotowywana przez UE

Wychodząc naprzeciw wyzwaniom współczesności zdecydowano się na jednolite uregulowanie ochrony danych osobowych, także danych biometrycznych, w ramach Unii Europejskiej.  Nowe rozporządzenie zapewni obywatelom UE odpowiednią ochronę prawną zarówno w sektorze publicznym, jak i prywatnym. Regulacja nie tylko włącza dane biometryczne  w zakres stosowania zapisów dotyczących ochrony danych osobowych, lecz również kwalifikuje je jako dane wrażliwe, co znacznie zwiększa poziom ochrony. Art. 4 pkt 11 projektu rozporządzenia określa czym są dane biometryczne. Oznaczają one wszelkie dane osobowe, które wynikają ze specjalnego przetwarzania technicznego, dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej oraz umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby, takie jak wizerunek twarzy lub dane daktyloskopijne.

Rozporządzenie zawiera generalny zakaz przetwarzania takich danych (art. 9 ust 1 projektu rozporządzenia GDPR), jednakże pozwala na to w szczególnych okolicznościach (art. 9 ust 2), np. w przypadku wyraźnej i dobrowolnej zgody podmiotu, którego dane dotyczą.

 Jak wskazuje się w projekcie rozporządzenia, zgoda w zakresie przetwarzania danych biometrycznych nie może być dorozumiana. Według art.  4  pkt 8 „zgoda podmiotu danych oznacza dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym podmiot danych w formie oświadczenia lub wyraźnego działania potwierdzającego przyzwala na przetwarzanie dotyczących go danych osobowych”. Należy podkreślić , że prawo polskie wymagało uzyskania pisemnej zgody na przetwarzanie danych wrażliwych. Rozporządzenie europejskie wprowadzi wymóg uzyskania  wyraźnej zgody. Umożliwi to wyrażenie zgody np. drogą elektroniczną poprzez kliknięcie checkbox-a.

Odrębną kwestią jest zakwalifikowanie danych jako danych wrażliwych. Konsekwencją uznania danych biometrycznych jako danych osobowych wrażliwych jest konieczność spełnienia dodatkowych bardziej restrykcyjnych wymogów w celu ich przetwarzania. W obecnym reżimie prawnym różnice polegają m.in. na przesłankach legalizujących wykorzystanie danych.

Wyróżnienie dwóch modelów ochrony na gruncie prawodawstwa krajowego powoduje większą ochronę prywatności w zakresie danych uznanych za dane wrażliwe. Rozróżnienie jeszcze bardziej zyska na znaczeniu po wprowadzeniu odmiennych reżimów ochrony na poziomie Unii Europejskiej.

Większa ochrona prywatności

Wiele fundacji  i organizacji pożytku publicznego postulowało uregulowanie w nowym rozporządzeniu unijnym reżimu dotyczącego danych biometrycznych. Pierwotnie w akcie miały znaleźć się jedynie reguły dotyczące przetwarzania danych w postaci kodu genetycznego. Zdefiniowanie danych biometrycznych i włączenie ich do kategorii danych wrażliwych gwarantuje szczególną ochronę. Obecnie możliwość wykorzystywania tychże danych przez szeroki krąg podmiotów stwarza prawdopodobieństwo nadużyć. Zbyt inwazyjne i nadmierne wykorzystywanie tego środka może skutkować szczególną ingerencją w prywatność obywateli. Dzięki wprowadzeniu rozporządzenia europejskiego, standardy zasad przetwarzania danych biometrycznych staną się takie same dla wszystkich krajów członkowskich, co korzystnie wpłynie na stopień ich ochrony.

Autor: Joanna Reszke

About Redakcja 311 Articles
Omni Modo to po łacinie „na każdy sposób”. Nazwa naszej firmy to nie przypadek. Na każdy sposób chcemy bowiem pokazywać klientom nasze doświadczenie, profesjonalizm i sukcesy w dziedzinie ochrony danych osobowych.