LexDigital

Dane biometryczne. Ochrona szczególnej kategorii danych

Wraz z rozwojem technologii, stosowanie w firmach nowoczesnych rozwiązań, bazujących na danych biometrycznych, stało się rzeczywistością. Choć wykorzystywane są do zabezpieczenia najważniejszych informacji, same stanowią szczególną kategorię danych osobowych - dane wrażliwe, wymagającą najwyższego stopnia ochrony.

Dane biometryczne. Ochrona szczególnej kategorii danych

Biometria

Na samym wstępie zasadnicze znaczenie dla prezentowanego problemu ma pojęcie „biometrii”. Ogólnie rzecz ujmując, jest to nauka zajmująca się badaniem zmienności organizmów i oparta na technikach pomiaru istot żyjących. Grupa Robocza art. 29 (organ doradczy zajmujący się ochroną danych osobowych) wyodrębniła następujące biometryczne metody identyfikacji tożsamości:

  • rozpoznawanie układu żył;
  • pobranie odcisków palców;
  • rozpoznawanie twarzy;
  • rozpoznawanie głosu;
  • badanie kodu DNA;
  • biometria podpisu odręcznego.

Technologie biometryczne występują w codziennym życiu na tyle często, że w zasadzie przestaliśmy na nie zwracać uwagę. Obecnie stosowanie czytników linii papilarnych jest wręcz powszechną praktyką. Przykład? Wystarczy sprawdzić swój telefon lub laptop. Część z nich została wyposażona właśnie w czytniki odcisków palców, które umożliwiają odblokowanie urządzenia tylko właścicielowi.

Dane biometryczne

Pojęcie danych biometrycznych zostało zdefiniowane na gruncie RODO jako dane osobowe, które wynikają ze specjalnego przetwarzania technicznego oraz dotyczą cech:

  • fizycznych,
  • fizjologicznych lub
  • behawioralnych osoby fizycznej,

jak również umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby. Tytułem przykładu wskazano wizerunek twarzy lub dane daktyloskopijne.

Należy wskazać, że by zaliczyć określone dane do danych biometrycznych, muszą one spełnić wszystkie powyżej wymienione warunki jednocześnie. Tak więc powinny wynikać ze specjalnego przetwarzania technicznego, dotyczyć określonych cech osoby fizycznej oraz umożliwiać (lub potwierdzać) jednoznaczną identyfikację tej osoby. Brak spełnienia co najmniej jednego z tych warunków oznacza, że przetwarzana przez nas dana osobowa nie jest daną biometryczną. Jeżeli więc posiadamy np. fotografię pracownika, ale nie posiadamy żadnego programu/systemu, który umożliwiałby porównanie tego zdjęcia z cechą biometryczną osoby, której tożsamość ma być potwierdzona, to przetwarzanie tego zdjęcia nie będzie uznane za przetwarzanie danych biometrycznych.

W związku z powyższym, przetwarzanie fotografii, zwłaszcza wizerunku twarzy określonej osoby, zazwyczaj nie będzie oznaczało przetwarzania danych biometrycznych. Zostało to również uwypuklone w motywach RODO, gdzie podkreślono, że przetwarzanie fotografii nie powinno zawsze stanowić przetwarzania szczególnych kategorii danych osobowych, gdyż fotografie są objęte definicją "danych biometrycznych" tylko w przypadkach, gdy są przetwarzane specjalnymi metodami technicznymi, umożliwiającymi jednoznaczną identyfikację osoby fizycznej lub potwierdzenie jej tożsamości. 

Dane biometryczne jako dane wrażliwe

Powyższe wyjaśnienia są o tyle istotne, że na gruncie RODO zabroniono przetwarzania tzw. danych wrażliwych, zwanych również danymi sensytywnymi oraz danymi szczególnej kategorii. Do danych takich należą m.in. dane biometryczne przetwarzane w celu jednoznacznego zidentyfikowania osoby fizycznej.

Istnieje jednak kilka przesłanek, które umożliwiają przetwarzanie danych biometrycznych. Jedną z nich jest wyraźna zgoda osoby, której dane dotyczą. Jeżeli więc korzystamy z systemów umożliwiających zabezpieczenie naszego telefonu komórkowego za pomocą czytnika linii papilarnych i informacje o tym odcisku będą przekazywane również na zewnątrz, np. do podmiotu świadczącego nam usługi chmurowe umożliwiające zapisywanie naszych danych na zewnętrznym serwerze, tak aby zabezpieczyć dostęp do plików, to dostawca usług chmurowych powinien odebrać od nas wyraźną zgodę na przetwarzanie danych osobowych w tym celu. Za pomocą identyfikacji linii papilarnych możemy również potwierdzać wykonywanie przelewów bankowych przy użyciu aplikacji mobilnej, zainstalowanej na naszym telefonie komórkowym. W takim przypadku bank może mieć dostęp do danych biometrycznych dotyczących swojego klienta, w związku z czym powinien odebrać od niego wyraźną zgodę na ich przetwarzanie.

Umowa jako podstawa przetwarzania danych wrażliwych

Należy wskazać, że w katalogu przesłanek umożliwiających przetwarzanie danych szczególnej kategorii, a więc również danych wrażliwych, nie znalazła się możliwość przetwarzania danych w sytuacji, gdy to jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy. Jest to jedna z najistotniejszych przesłanek przetwarzania danych osobowych w ramach obrotu gospodarczego, która odnosi się jednak wyłącznie do danych zwykłych. Nie jest możliwe zastosowanie jej do danych biometrycznych. Oznacza to, że nawet w sytuacji, gdy przetwarzanie takich danych mogłoby przyczynić się do zwiększenia jakości usług świadczonych przez jakiś podmiot na podstawie umowy, konieczna jest odrębna zgoda na ich przetwarzanie, wyrażona przez osobę, której dane dotyczą. Warto przy tym podkreślić, iż zgoda ta musi być dobrowolna, a więc jej niewyrażenie nie powinno powodować negatywnych konsekwencji dla podmiotu danych. Nie jest możliwe uzależnianie zawarcia umowy od wyrażenia takiej zgody. Ponadto, zgoda zawsze może być cofnięta przez osobę, której dane dotyczą.

Oznacza to, że nawet gdyby jakiś podmiot chciał identyfikować swoich klientów na podstawie danych biometrycznych (np. bank w celu umożliwienia klientowi dostępu do swojego rachunku bankowego) to musi od nich odebrać odrębną, wyraźną zgodę w tym zakresie. Ponadto, powinien zapewnić  możliwość skorzystania z alternatywnych metod uwierzytelniania takiej osoby, tak aby świadczenie usług bankowych mogło odbywać się również w stosunku do osób, które nie wyraziły stosownej zgody.

Cechy biometryczne są informacjami wymagającymi szczególnej ochrony

Zgodnie z przepisami RODO, administrator danych osobowych zobowiązany jest do wdrożenia odpowiednich środków technicznych i organizacyjnych, aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw i wolności osób fizycznych. W toku procesu szacowania ryzyka oraz wdrażania zabezpieczeń, administrator powinien uwzględnić m.in. charakter, zakres, kontekst i cele przetwarzania danych osobowych, a także prawdopodobieństwo wystąpienia i wagę potencjalnych zagrożeń. Należy uznać, że ewentualny wyciek danych biometrycznych generalnie zawsze skutkował będzie stosunkowo dużym ryzykiem naruszenia praw i wolności osób fizycznych. Ponadto, z uwagi na konieczność uwzględnienia kontekstu przetwarzania dane biometryczne, jako dane szczególnej kategorii, zawsze muszą być zabezpieczone w szczególny sposób. Innymi słowy, wymagania w odniesieniu do danych biometrycznych są zawsze wyższe niż w stosunku do zwykłych danych.

Przetwarzanie danych wrażliwych pracownika

Warto również podkreślić, że zgodnie z projektem ustawy obejmującej nowelizację kodeksu pracy, przetwarzanie danych osobowych wrażliwych dotyczących pracownika będzie dopuszczalne tylko wtedy, gdy będzie to niezbędne do wypełniania obowiązku pracodawcy nałożonego przepisem prawa. Przetwarzanie danych biometrycznych pracownika będzie dopuszczalne także wtedy, gdy podanie takich danych będzie niezbędne ze względu na kontrolę dostępu do szczególnie ważnych informacji, których ujawnienie może narazić pracodawcę na szkodę lub dostępu do pomieszczeń wymagających szczególnej ochrony. Nie jest w tym zakresie wymagane uzyskanie odrębnej zgody pracownika na przetwarzanie tych danych.

Paszport biometryczny

Na marginesie omawianego tematu należy wskazać, że na gruncie polskiego prawa regulacja danych biometrycznych nie jest niczym nowym. Polskie paszporty wydawane po 29 czerwca 2009 r. zawierają dane biometryczne w postaci odcisków palców.

Sprawdź również:



Polecane

Audyt RODO

Audyt RODO

Rozpoczęciem procesu przystosowania, przez który musi przejść każda organizacja w celu uzyskania zgodności z wymogami rozporządzenia o ochronie danych osobowych jest audyt zgodności z RODO. Pozwoli on, dokładnie określić rodzaj i zakres przetwarzanych danych osobowych, zidentyfikować obszary wymagające zmiany lub poprawy oraz zaplanować działania wdrożeniowe.

Szkolenie RODO

Szkolenie RODO

Od 25 maja 2018 roku zaczną obowiązywać przepisy rozporządzenia o ochronie danych osobowych. Od tego dnia, każda organizacja będzie miałą obowiązek funkcjonować w ramach nowych procedur. Ilość zmian, które wprowadza RODO wymusza stworzenie zupełnie nowego systemu prawnego, na który trzeba odpowiednio przygotować swoją organizację oraz wszystkich jej pracowników.

Bezpłatne szkolenie z RODO

Bezpłatne szkolenie z RODO

Wiedząc jak ważną rolę w procesie przygotowawczym do wprowadzenia rozporządzenia o ochronie danych osobowych stanowi wiedza, pragniemy się z Państwem z nią podzielić, podczas bezpłatnego szkolenia RODO.

Popularne

Audyt RODO

Audyt RODO

Rozpoczęciem procesu przystosowania, przez który musi przejść każda organizacja w celu uzyskania zgodności z wymogami rozporządzenia o ochronie danych osobowych jest audyt zgodności z RODO. Pozwoli on, dokładnie określić rodzaj i zakres przetwarzanych danych osobowych, zidentyfikować obszary wymagające zmiany lub poprawy oraz zaplanować działania wdrożeniowe.

Szkolenie RODO

Szkolenie RODO

Od 25 maja 2018 roku zaczną obowiązywać przepisy rozporządzenia o ochronie danych osobowych. Od tego dnia, każda organizacja będzie miałą obowiązek funkcjonować w ramach nowych procedur. Ilość zmian, które wprowadza RODO wymusza stworzenie zupełnie nowego systemu prawnego, na który trzeba odpowiednio przygotować swoją organizację oraz wszystkich jej pracowników.

Bezpłatne szkolenie z RODO

Bezpłatne szkolenie z RODO

Wiedząc jak ważną rolę w procesie przygotowawczym do wprowadzenia rozporządzenia o ochronie danych osobowych stanowi wiedza, pragniemy się z Państwem z nią podzielić, podczas bezpłatnego szkolenia RODO.

Chcesz wdrożyć RODO? Nie czekaj!

Wspieramy przedsiębiorców

Nasi konsultanci rozpoczęli wdrożenia RODO już wiele miesięcy temu. jako jedni z pierwszych opracowaliśmy procedury dotyczące nowych przepisów i wdrożyliśmy je w życie. Nowe przepisy, jeśli są rzeczywiście przestrzegane, w żaden sposób nie utrudniają prowadzenia działalności Twojej firmy.

Napisz do nas

Informujemy, że Państwa zgoda może zostać cofnięta w dowolnym momencie przez wysłanie wiadomości e-mail na adres naszego ABI/IOD szymon.matylla@lexdigital.pl spod adresu, którego zgoda dotyczy. Informujemy, że nie jesteście Państwo profilowani. Państwa dane nie będą przekazywane poza EOG ani udostępniane organizacjom międzynarodowym.

Zawiadamiamy, że administratorem Państwa danych osobowych podanych w powyższym formularzu jest LexDigital Sp. z o.o. z siedzibą w Poznaniu 60-351, na ulicy Zakręt 8. Wszelkie pytania i wątpliwości prosimy kierować do naszego ABI / IOD, Szymona Matylli na adres szymon.matylla@lexdigital.pl. Państwa dane przetwarzane będą wyłącznie w celu udzielenia odpowiedzi na zapytanie zgodnie z zasadą, która głosi, że przetwarzanie danych jest zgodne z prawem jeżeli jest niezbędne w celu realizacji umowy lub przed jej zawarciem. W przypadku wyrażenia powyższej zgody, dane będą również wykorzystywane do przesyłania treści marketingowych. Pełne informacje o danych osobowych znajdziecie Państwo w naszej polityce prywatności.

KomputronikGoldenSubmarineJULAFibar GroupPixersWykop.plGPD AgencyNetguruTesgas

Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.

Możesz określić warunki przechowywania lub dostępu do plików cookies w Twojej przeglądarce.