LexDigital

Dane biometryczne. Ochrona szczególnej kategorii danych

Wraz z rozwojem technologii, stosowanie w firmach nowoczesnych rozwiązań, bazujących na danych biometrycznych, stało się rzeczywistością. Choć wykorzystywane są do zabezpieczenia najważniejszych informacji, same stanowią szczególną kategorię danych osobowych - dane wrażliwe, wymagającą najwyższego stopnia ochrony.

Dane biometryczne. Ochrona szczególnej kategorii danych

Biometria

Na samym wstępie zasadnicze znaczenie dla prezentowanego problemu ma pojęcie „biometrii”. Ogólnie rzecz ujmując, jest to nauka zajmująca się badaniem zmienności organizmów i oparta na technikach pomiaru istot żyjących. Grupa Robocza art. 29 (organ doradczy zajmujący się ochroną danych osobowych) wyodrębniła następujące biometryczne metody identyfikacji tożsamości:

  • rozpoznawanie układu żył;
  • pobranie odcisków palców;
  • rozpoznawanie twarzy;
  • rozpoznawanie głosu;
  • badanie kodu DNA;
  • biometria podpisu odręcznego.

Technologie biometryczne występują w codziennym życiu na tyle często, że w zasadzie przestaliśmy na nie zwracać uwagę. Obecnie stosowanie czytników linii papilarnych jest wręcz powszechną praktyką. Przykład? Wystarczy sprawdzić swój telefon lub laptop. Część z nich została wyposażona właśnie w czytniki odcisków palców, które umożliwiają odblokowanie urządzenia tylko właścicielowi.

Dane biometryczne

Pojęcie danych biometrycznych zostało zdefiniowane na gruncie RODO jako dane osobowe, które wynikają ze specjalnego przetwarzania technicznego oraz dotyczą cech:

  • fizycznych,
  • fizjologicznych lub
  • behawioralnych osoby fizycznej,

jak również umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby. Tytułem przykładu wskazano wizerunek twarzy lub dane daktyloskopijne.

Należy wskazać, że by zaliczyć określone dane do danych biometrycznych, muszą one spełnić wszystkie powyżej wymienione warunki jednocześnie. Tak więc powinny wynikać ze specjalnego przetwarzania technicznego, dotyczyć określonych cech osoby fizycznej oraz umożliwiać (lub potwierdzać) jednoznaczną identyfikację tej osoby. Brak spełnienia co najmniej jednego z tych warunków oznacza, że przetwarzana przez nas dana osobowa nie jest daną biometryczną. Jeżeli więc posiadamy np. fotografię pracownika, ale nie posiadamy żadnego programu/systemu, który umożliwiałby porównanie tego zdjęcia z cechą biometryczną osoby, której tożsamość ma być potwierdzona, to przetwarzanie tego zdjęcia nie będzie uznane za przetwarzanie danych biometrycznych.

W związku z powyższym, przetwarzanie fotografii, zwłaszcza wizerunku twarzy określonej osoby, zazwyczaj nie będzie oznaczało przetwarzania danych biometrycznych. Zostało to również uwypuklone w motywach RODO, gdzie podkreślono, że przetwarzanie fotografii nie powinno zawsze stanowić przetwarzania szczególnych kategorii danych osobowych, gdyż fotografie są objęte definicją "danych biometrycznych" tylko w przypadkach, gdy są przetwarzane specjalnymi metodami technicznymi, umożliwiającymi jednoznaczną identyfikację osoby fizycznej lub potwierdzenie jej tożsamości. 

Dane biometryczne jako dane wrażliwe

Powyższe wyjaśnienia są o tyle istotne, że na gruncie RODO zabroniono przetwarzania tzw. danych wrażliwych, zwanych również danymi sensytywnymi oraz danymi szczególnej kategorii. Do danych takich należą m.in. dane biometryczne przetwarzane w celu jednoznacznego zidentyfikowania osoby fizycznej.

Istnieje jednak kilka przesłanek, które umożliwiają przetwarzanie danych biometrycznych. Jedną z nich jest wyraźna zgoda osoby, której dane dotyczą. Jeżeli więc korzystamy z systemów umożliwiających zabezpieczenie naszego telefonu komórkowego za pomocą czytnika linii papilarnych i informacje o tym odcisku będą przekazywane również na zewnątrz, np. do podmiotu świadczącego nam usługi chmurowe umożliwiające zapisywanie naszych danych na zewnętrznym serwerze, tak aby zabezpieczyć dostęp do plików, to dostawca usług chmurowych powinien odebrać od nas wyraźną zgodę na przetwarzanie danych osobowych w tym celu. Za pomocą identyfikacji linii papilarnych możemy również potwierdzać wykonywanie przelewów bankowych przy użyciu aplikacji mobilnej, zainstalowanej na naszym telefonie komórkowym. W takim przypadku bank może mieć dostęp do danych biometrycznych dotyczących swojego klienta, w związku z czym powinien odebrać od niego wyraźną zgodę na ich przetwarzanie.

Umowa jako podstawa przetwarzania danych wrażliwych

Należy wskazać, że w katalogu przesłanek umożliwiających przetwarzanie danych szczególnej kategorii, a więc również danych wrażliwych, nie znalazła się możliwość przetwarzania danych w sytuacji, gdy to jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy. Jest to jedna z najistotniejszych przesłanek przetwarzania danych osobowych w ramach obrotu gospodarczego, która odnosi się jednak wyłącznie do danych zwykłych. Nie jest możliwe zastosowanie jej do danych biometrycznych. Oznacza to, że nawet w sytuacji, gdy przetwarzanie takich danych mogłoby przyczynić się do zwiększenia jakości usług świadczonych przez jakiś podmiot na podstawie umowy, konieczna jest odrębna zgoda na ich przetwarzanie, wyrażona przez osobę, której dane dotyczą. Warto przy tym podkreślić, iż zgoda ta musi być dobrowolna, a więc jej niewyrażenie nie powinno powodować negatywnych konsekwencji dla podmiotu danych. Nie jest możliwe uzależnianie zawarcia umowy od wyrażenia takiej zgody. Ponadto, zgoda zawsze może być cofnięta przez osobę, której dane dotyczą.

Oznacza to, że nawet gdyby jakiś podmiot chciał identyfikować swoich klientów na podstawie danych biometrycznych (np. bank w celu umożliwienia klientowi dostępu do swojego rachunku bankowego) to musi od nich odebrać odrębną, wyraźną zgodę w tym zakresie. Ponadto, powinien zapewnić  możliwość skorzystania z alternatywnych metod uwierzytelniania takiej osoby, tak aby świadczenie usług bankowych mogło odbywać się również w stosunku do osób, które nie wyraziły stosownej zgody.

Cechy biometryczne są informacjami wymagającymi szczególnej ochrony

Zgodnie z przepisami RODO, administrator danych osobowych zobowiązany jest do wdrożenia odpowiednich środków technicznych i organizacyjnych, aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw i wolności osób fizycznych. W toku procesu szacowania ryzyka oraz wdrażania zabezpieczeń, administrator powinien uwzględnić m.in. charakter, zakres, kontekst i cele przetwarzania danych osobowych, a także prawdopodobieństwo wystąpienia i wagę potencjalnych zagrożeń. Należy uznać, że ewentualny wyciek danych biometrycznych generalnie zawsze skutkował będzie stosunkowo dużym ryzykiem naruszenia praw i wolności osób fizycznych. Ponadto, z uwagi na konieczność uwzględnienia kontekstu przetwarzania dane biometryczne, jako dane szczególnej kategorii, zawsze muszą być zabezpieczone w szczególny sposób. Innymi słowy, wymagania w odniesieniu do danych biometrycznych są zawsze wyższe niż w stosunku do zwykłych danych.

Przetwarzanie danych wrażliwych pracownika

Warto również podkreślić, że zgodnie z projektem ustawy obejmującej nowelizację kodeksu pracy, przetwarzanie danych osobowych wrażliwych dotyczących pracownika będzie dopuszczalne tylko wtedy, gdy będzie to niezbędne do wypełniania obowiązku pracodawcy nałożonego przepisem prawa. Przetwarzanie danych biometrycznych pracownika będzie dopuszczalne także wtedy, gdy podanie takich danych będzie niezbędne ze względu na kontrolę dostępu do szczególnie ważnych informacji, których ujawnienie może narazić pracodawcę na szkodę lub dostępu do pomieszczeń wymagających szczególnej ochrony. Nie jest w tym zakresie wymagane uzyskanie odrębnej zgody pracownika na przetwarzanie tych danych.

Paszport biometryczny

Na marginesie omawianego tematu należy wskazać, że na gruncie polskiego prawa regulacja danych biometrycznych nie jest niczym nowym. Polskie paszporty wydawane po 29 czerwca 2009 r. zawierają dane biometryczne w postaci odcisków palców.

Sprawdź również:



Polecane

TSUE zablokował Privacy Shield - zmiany w transferze danych do USA

TSUE zablokował Privacy Shield - zmiany w transferze danych do USA

TSUE zablokował „Privacy Shield” („Tarczę prywatności”). Powodem jest zbyt łatwy dostęp amerykańskich służb tj. amerykańskiej Agencji Bezpieczeństwa Narodowego do danych Europejczyków. Co więcej, odbywa się to bez kontroli sądowej, a obywatele UE nie mają w praktycznie żadnej możliwości podważenia decyzji o wglądzie do informacji na ich temat.

Popularne

Wdrożenie – dostosowanie organizacji do określonych wytycznych

Wdrożenie – dostosowanie organizacji do określonych wytycznych

Wdrożenie zasad to jeden z najważniejszych, ale i najtrudniejszych etapów koniecznych do przeprowadzenia na drodze do uzyskania zgodności z wybranymi standardami czy przepisami prawa. Ustanowione zasady musząbyćdostosowane do specyfiki organizacji, a ich wprowadzanie powinno być odpowiednio zaplanowane i musi uwzględniać wiele aspektów począwszy od ustalenia niezbędnych zasobów, a kończąc na zbudowaniu świadomości pracowników.

Konsultacje i wsparcie merytoryczne zespołu specjalistów

Konsultacje i wsparcie merytoryczne zespołu specjalistów

Każdywdrożony system jest żywy i ewoluuje wraz z rozwojem przedsiębiorstwa, wprowadzaniem kolejnych zmian w procesach czy wykorzystywanych narzędziach. Zmianom ulegająrównież wytyczne w stosunku do których wprowadzane były zmiany. Bardzo często pewne sytuacje osobom na co dzień nie zajmującymsiętematyką ochrony danych czy szeroko rozumianego bezpieczeństwa informacji sprawiają trudności, w szczególności,że wiele przepisów jest bardzo ogólnych, trudnych

Chcesz skorzystać z naszej oferty?Nie czekaj!

Wspieramy przedsiębiorców

Skontaktuj się osobiście z doradcą LexDigital - odpowiemy na nurtujące Cię pytania, zaplanujemy spotkanie, przygotujemy spersonalizowaną ofertę dopasowaną do potrzeb Twojej organizacji.

Zapraszamy do kontaktu

Informujemy, że Państwa zgoda może zostać cofnięta w dowolnym momencie przez wysłanie wiadomości e-mail na adres naszego Inspektora Ochrony Danych iod@lexdigital.pl spod adresu, którego zgoda dotyczy.

Administratorem Państwa danych osobowych jest LexDigital Sp. z o.o. z siedzibą w Poznaniu (60-363), przy ul. Grodziska 8. Wszystkie pytania i wątpliwości prosimy kierować do naszego Inspektora Ochrony Danych na adres iod@lexdigital.pl

Państwa dane przetwarzane są w celu odpowiedzi na wiadomość wysłaną za pomocą formularza kontaktowego, podjęcia na Państwa wniosek określonych działań przed zawarciem umowy lub wysłania Państwu treści marketingowych. Przysługuje Państwu prawo dostępu do danych, ich sprostowania, usunięcia, ograniczenia przetwarzania, wniesienia sprzeciwu i cofnięcia w każdym momencie udzielonej zgody bez wpływu na zgodność z prawem przetwarzania danych, którego dokonano na podstawie zgody przed jej wycofaniem. Masz również prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych.

Więcej informacji na temat przetwarzania danych osobowych znajdziecie Państwo w naszej Polityce prywatności.

Biofarm Fibar Group Apart Wykop.pl PhytoPharm Veolia Cuf-podatki Netguru GetHero Tesgas GPD Agency Golden Submarine Pixers Pearson UEP

Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.

Możesz określić warunki przechowywania lub dostępu do plików cookies w Twojej przeglądarce.