LexDigital

Dane biometryczne. Ochrona szczególnej kategorii danych

Wraz z rozwojem technologii, stosowanie w firmach nowoczesnych rozwiązań, bazujących na danych biometrycznych, stało się rzeczywistością. Choć wykorzystywane są do zabezpieczenia najważniejszych informacji, same stanowią szczególną kategorię danych osobowych - dane wrażliwe, wymagającą najwyższego stopnia ochrony.

Dane biometryczne. Ochrona szczególnej kategorii danych

Biometria

Na samym wstępie zasadnicze znaczenie dla prezentowanego problemu ma pojęcie „biometrii”. Ogólnie rzecz ujmując, jest to nauka zajmująca się badaniem zmienności organizmów i oparta na technikach pomiaru istot żyjących. Grupa Robocza art. 29 (organ doradczy zajmujący się ochroną danych osobowych) wyodrębniła następujące biometryczne metody identyfikacji tożsamości:

  • rozpoznawanie układu żył;
  • pobranie odcisków palców;
  • rozpoznawanie twarzy;
  • rozpoznawanie głosu;
  • badanie kodu DNA;
  • biometria podpisu odręcznego.
    dane biometryczne, dane personalne, RODO

Technologie biometryczne występują w codziennym życiu na tyle często, że w zasadzie przestaliśmy na nie zwracać uwagę. Obecnie stosowanie czytników linii papilarnych i przetwarzanie danych biometrycznych jest wręcz powszechną praktyką. Przykład? Wystarczy sprawdzić swój telefon lub laptop. Część z nich została wyposażona właśnie w czytniki odcisków palców, które umożliwiają odblokowanie urządzenia tylko właścicielowi. 

Dane biometryczne

W jaki sposób dane biometryczne odnoszą się do ochrony danych osobowych? Pojęcie danych biometrycznych zostało zdefiniowane na gruncie RODO jako dane osobowe, które wynikają ze specjalnego przetwarzania technicznego oraz dotyczą cech:

  • fizycznych,
  • fizjologicznych lub
  • behawioralnych osoby fizycznej,

jak również umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby. Tytułem przykładu wskazano wizerunek twarzy lub dane daktyloskopijne.

Należy wskazać, że by zaliczyć określone dane do danych biometrycznych, muszą one spełnić wszystkie powyżej wymienione warunki jednocześnie. Tak więc powinny wynikać ze specjalnego przetwarzania technicznego, dotyczyć określonych cech osoby fizycznej oraz umożliwiać (lub potwierdzać) jednoznaczną identyfikację tej osoby. Brak spełnienia co najmniej jednego z tych warunków oznacza, że przetwarzana przez nas dana osobowa nie jest daną biometryczną. Jeżeli więc posiadamy np. fotografię pracownika, ale nie posiadamy żadnego programu/systemu, który umożliwiałby porównanie tego zdjęcia z cechą biometryczną osoby, której tożsamość ma być potwierdzona, to przetwarzanie tego zdjęcia nie będzie uznane za przetwarzanie danych biometrycznych.

W związku z powyższym, przetwarzanie fotografii, zwłaszcza wizerunku twarzy określonej osoby, zazwyczaj nie będzie oznaczało przetwarzania danych biometrycznych. Zostało to również uwypuklone w motywach RODO, gdzie podkreślono, że przetwarzanie fotografii nie powinno zawsze stanowić przetwarzania szczególnych kategorii danych osobowych, gdyż fotografie są objęte definicją "danych biometrycznych" tylko w przypadkach, gdy są przetwarzane specjalnymi metodami technicznymi, umożliwiającymi jednoznaczną identyfikację osoby fizycznej lub potwierdzenie jej tożsamości. 

Dane biometryczne jako dane wrażliwe

Powyższe wyjaśnienia są o tyle istotne, że na gruncie RODO zabroniono przetwarzania tzw. danych wrażliwych, zwanych również danymi sensytywnymi oraz danymi szczególnej kategorii. Do danych takich należą m.in. dane biometryczne przetwarzane w celu jednoznacznego zidentyfikowania osoby fizycznej.

Istnieje jednak kilka przesłanek, które umożliwiają przetwarzanie danych biometrycznych. Jedną z nich jest wyraźna zgoda osoby, której dane dotyczą. Jeżeli więc korzystamy z systemów umożliwiających zabezpieczenie naszego telefonu komórkowego za pomocą czytnika linii papilarnych i informacje o tym odcisku będą przekazywane również na zewnątrz, np. do podmiotu świadczącego nam usługi chmurowe umożliwiające zapisywanie naszych danych na zewnętrznym serwerze, tak aby zabezpieczyć dostęp do plików, to dostawca usług chmurowych powinien odebrać od nas wyraźną zgodę na przetwarzanie danych osobowych w tym celu. Za pomocą identyfikacji linii papilarnych możemy również potwierdzać wykonywanie przelewów bankowych przy użyciu aplikacji mobilnej, zainstalowanej na naszym telefonie komórkowym. W takim przypadku bank może mieć dostęp do danych biometrycznych dotyczących swojego klienta, w związku z czym powinien odebrać od niego wyraźną zgodę na ich przetwarzanie.

Umowa jako podstawa przetwarzania danych wrażliwych

Należy wskazać, że w katalogu przesłanek umożliwiających przetwarzanie danych szczególnej kategorii, a więc również danych wrażliwych, nie znalazła się możliwość przetwarzania danych w sytuacji, gdy to jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy. Jest to jedna z najistotniejszych przesłanek przetwarzania danych osobowych w ramach obrotu gospodarczego, która odnosi się jednak wyłącznie do danych zwykłych. Nie jest możliwe zastosowanie jej do danych biometrycznych. Oznacza to, że nawet w sytuacji, gdy przetwarzanie takich danych mogłoby przyczynić się do zwiększenia jakości usług świadczonych przez jakiś podmiot na podstawie umowy, konieczna jest odrębna zgoda na ich przetwarzanie, wyrażona przez osobę, której dane dotyczą. Warto przy tym podkreślić, iż zgoda ta musi być dobrowolna, a więc jej niewyrażenie nie powinno powodować negatywnych konsekwencji dla podmiotu danych. Nie jest możliwe uzależnianie zawarcia umowy od wyrażenia takiej zgody. Ponadto, zgoda zawsze może być cofnięta przez osobę, której dane dotyczą.

Oznacza to, że nawet gdyby jakiś podmiot chciał identyfikować swoich klientów na podstawie danych biometrycznych (np. bank w celu umożliwienia klientowi dostępu do swojego rachunku bankowego) to musi od nich odebrać odrębną, wyraźną zgodę w tym zakresie. Ponadto, powinien zapewnić  możliwość skorzystania z alternatywnych metod uwierzytelniania takiej osoby, tak aby świadczenie usług bankowych mogło odbywać się również w stosunku do osób, które nie wyraziły stosownej zgody.

Cechy biometryczne są informacjami wymagającymi szczególnej ochrony

Zgodnie z przepisami RODO, administrator danych osobowych zobowiązany jest do wdrożenia odpowiednich środków technicznych i organizacyjnych, aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw i wolności osób fizycznych. W toku procesu szacowania ryzyka oraz wdrażania zabezpieczeń, administrator powinien uwzględnić m.in. charakter, zakres, kontekst i cele przetwarzania danych osobowych, a także prawdopodobieństwo wystąpienia i wagę potencjalnych zagrożeń. Należy uznać, że ewentualny wyciek danych biometrycznych generalnie zawsze skutkował będzie stosunkowo dużym ryzykiem naruszenia praw i wolności osób fizycznych. Ponadto, z uwagi na konieczność uwzględnienia kontekstu przetwarzania dane biometryczne, jako dane szczególnej kategorii, zawsze muszą być zabezpieczone w szczególny sposób. Innymi słowy, wymagania w odniesieniu do danych biometrycznych są zawsze wyższe niż w stosunku do zwykłych danych.

Przetwarzanie danych wrażliwych pracownika

Warto również podkreślić, że zgodnie z projektem ustawy obejmującej nowelizację kodeksu pracy, przetwarzanie danych osobowych wrażliwych dotyczących pracownika będzie dopuszczalne tylko wtedy, gdy będzie to niezbędne do wypełniania obowiązku pracodawcy nałożonego przepisem prawa. Przetwarzanie danych biometrycznych pracownika będzie dopuszczalne także wtedy, gdy podanie takich danych będzie niezbędne ze względu na kontrolę dostępu do szczególnie ważnych informacji, których ujawnienie może narazić pracodawcę na szkodę lub dostępu do pomieszczeń wymagających szczególnej ochrony. Nie jest w tym zakresie wymagane uzyskanie odrębnej zgody pracownika na przetwarzanie tych danych.

Paszport biometryczny

Na marginesie omawianego tematu należy wskazać, że na gruncie polskiego prawa regulacja danych biometrycznych nie jest niczym nowym. Polskie paszporty wydawane po 29 czerwca 2009 r. zawierają dane biometryczne w postaci odcisków palców.

Sprawdź również:



Polecane

Anonimizacja danych osobowych i anonimizacja dokumentów

Anonimizacja danych osobowych i anonimizacja dokumentów

Poza oczywistymi korzyściami wynikającymi z anonimizacji danych polegającymi na uzyskiwaniu zgodności z przepisami prawa, istnieje jeszcze wiele innych. Anonimizacja umożliwia organizacjom przetwarzanie informacji wrażliwych w sposób bezpieczny, minimalizując ryzyko naruszenia prywatności użytkowników czy ujawnienia tajemnicy przedsiębiorstwa. Umożliwia korzystanie z informacji w celach badawczych i statystycznych bez naruszania prywatności jednostek.

Test weryfikujący wiedzę o RODO jako element systemu ochrony danych osobowych

Test weryfikujący wiedzę o RODO jako element systemu ochrony danych osobowych

Jednym z podstawowych obowiązków Inspektora ochrony danych, wynikającym z art. 39 RODO jest podejmowanie działań, zwiększających świadomość w zakresie ochrony danych osobowych i szkolenie personelu, uczestniczącego w operacjach przetwarzania (każda osoba zatrudniona u administratora, bez względu na podstawę prawną tego zatrudnienia, która przetwarza dane osobowe).

Profilowanie - jak je legalnie i odpowiedzialnie stosować?

Profilowanie - jak je legalnie i odpowiedzialnie stosować?

Profilowanie to potężne narzędzie, które może pomóc firmom lepiej zrozumieć swoich klientów i dostosować swoje usługi do ich potrzeb. Jednak w dobie coraz większej troski o prywatność danych, legalne i odpowiedzialne profilowanie staje się niezwykle istotne. W naszym artykule przeanalizujemy, czym dokładnie jest profilowanie, jakie są jego korzyści, a przede wszystkim jak można je stosować w zgodzie z przepisami prawa i z poszanowaniem prywatności użytkowników.

Popularne

Chcesz skorzystać z naszej oferty?Nie czekaj!

Wspieramy przedsiębiorców

Skontaktuj się osobiście z doradcą LexDigital - odpowiemy na nurtujące Cię pytania, zaplanujemy spotkanie, przygotujemy spersonalizowaną ofertę dopasowaną do potrzeb Twojej organizacji.

Zapraszamy do kontaktu

Informujemy, że Państwa zgoda może zostać cofnięta w dowolnym momencie przez wysłanie wiadomości e-mail na adres naszego Inspektora Ochrony Danych iod@lexdigital.pl spod adresu, którego zgoda dotyczy.

Administratorem Państwa danych osobowych jest LexDigital Sp. z o.o. z siedzibą w Poznaniu (60-363), przy ul. Grodziska 8. Wszystkie pytania i wątpliwości prosimy kierować do naszego Inspektora Ochrony Danych na adres iod@lexdigital.pl

Państwa dane przetwarzane są w celu odpowiedzi na wiadomość wysłaną za pomocą formularza kontaktowego, podjęcia na Państwa wniosek określonych działań przed zawarciem umowy lub wysłania Państwu treści marketingowych. Przysługuje Państwu prawo dostępu do danych, ich sprostowania, usunięcia, ograniczenia przetwarzania, wniesienia sprzeciwu i cofnięcia w każdym momencie udzielonej zgody bez wpływu na zgodność z prawem przetwarzania danych, którego dokonano na podstawie zgody przed jej wycofaniem. Masz również prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych.

Więcej informacji na temat przetwarzania danych osobowych znajdziecie Państwo w naszej Polityce prywatności.

komputronik biofarm lpp apart wykop volkswagen tpay netguru novol pearson impel phyto-pharm veolia cuf-podatki talex gethero tesgas uep fibaro akademia-kozminskiego bilety24 bims cichy-zasada currency > <img src= kir ministerstwo cyfryzacji pierre-fabre polomarket porr przelewy24 swiss-krono vox wielkopolska-izba-lekarska wsb wtk