LexDigital

Dane biometryczne w kontekście ochrony danych osobowych

Ochrona danych osobowych w kontekście danych biometrycznych staje się coraz istotniejszą kwestią. Biometrią odblokowujemy telefon, logujemy się do banku czy podpisujemy elektronicznie dokumenty. Wykorzystywanie danych biometrycznych w celach identyfikacji i uwierzytelniania wiąże się z wyzwaniami związanymi z ochroną prywatności i bezpieczeństwem. Czy dane biometryczne stanowią przyszłość ochrony danych osobowych? O tym poniżej.

Dane biometryczne w kontekście ochrony danych osobowych

Czym jest biometria?

Jest złożeniem dwóch słów — greckiego "bios" oznaczającego życie i "metron" czyli mierzyć. Zgodnie z definicją znajdującą się Słowniku Języka Polskiego PWN "Biometria" oznacza techniką dokonywania pomiarów istot żywych.

Przy użyciu techniki możliwa jest identyfikacja i rozpoznawanie organizmów żywych w oparciu o mierzalne cechy fizyczne i behawioralne człowieka.

Dr Grażyna Kędzierska wraz z Kpt. SG mgr Robertem Łachaczem w artykule " Biometria z perspektywy kryminalistyki" wskazują przykłady danych biometrycznych:
  • unikatowe cech fizyczne np. linie papilarne, tęczówka oraz siatkówka oka, geometra twarzy lub ręki, rozkład temperatury twarzy, zapach, kształt ust i uszu, układ naczyń krwionośnych na dłoni lub przegubie ręki, kształt linii zgięcia wnętrza dłoni, kształt i rozmieszczenie zębów.
  • behawioralne np. sposób wykonywania podpisu, sposób chodzenia, brzmienia głosu, akcent, sposób pisania na klawiaturze.
    przetwarzanie, rozpoznawanie, dane biometryczne

Czym są dane biometryczne?

Historycznie patrząc, definicję danych biometrycznych możemy odnaleźć w Opinii Grupy Roboczej art. 29 o numerze 3/2012 w sprawie zmian sytuacji w dziedzinie technologii biometrycznych (WP 193).

Zgodnie z nią dane biometryczne są to:

„właściwości biologiczne, cechy fizjologiczne, cechy życiowe lub powtarzalne czynności, przy czym te cechy i/lub czynności dotyczą wyłącznie danej osoby, a jednocześnie są wymierne, nawet jeżeli schematy używane w praktyce do ich pomiaru charakteryzuje pewien stopień prawdopodobieństwa”.

Należy zauważyć, że w tym przypadku jest mowa o ich wymierności, a definicja nie mówi o specjalnych technikach przetwarzania danych biometrycznych.

W tych wytycznych zdefiniowana jest również "Identyfikacja biometryczna" oznaczająca

identyfikację osoby fizycznej w systemie biometrycznym stanowi zwykle proces polegający na porównaniu danych biometrycznych danej osoby fizycznej (uzyskanych w czasie identyfikacji) z szeregiem wzorców biometrycznych przechowywanych w bazie danych (tj. proces kojarzenia „jeden do wielu”).

rozpoznawanie linii papilarnych, palec, przetwarzanie danych biometrycznych

Z kolei zgodnie z RODO "dane biometryczne" oznaczają:

dane osobowe, które wynikają ze specjalnego przetwarzania technicznego, dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej oraz umożliwiają, lub potwierdzają jednoznaczną identyfikację tej osoby, takie jak wizerunek twarzy lub dane daktyloskopijne."

Szukając definicji danych biometrycznych w innych przepisach, możemy znaleźć w Rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2018/1861 z dnia 28 listopada 2018 r. w sprawie utworzenia, funkcjonowania i użytkowania Systemu Informacyjnego Schengen (SIS) w dziedzinie odpraw granicznych, zmiany konwencji wykonawczej do układu z Schengen oraz zmiany i uchylenia rozporządzenia (WE) nr 1987/2006, definicję, która jest zasadniczo odbiciem art. 4 ust. 14 RODO.

"Dane biometryczne" oznaczają dane osobowe, które wynikają ze specjalnego przetwarzania technicznego, dotyczą cech fizycznych lub fizjologicznych osoby fizycznej oraz umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby fizycznej, a mianowicie fotografie, wizerunki twarzy i dane daktyloskopijne;

Z kolei w art. 2. ustawy o dokumentach paszportowych określenie "dane biometryczne" oznacza wizerunek twarzy i odciski palców.

Ciekawostką jest, że w art. 58 napisane jest :

<...> sporządzeniu dokumentu paszportowego — należy przez to rozumieć przeniesienie danych osobowych i biometrycznych osoby ubiegającej się o wydanie dokumentu paszportowego do książeczki paszportowej w postaci graficznej i elektronicznej;

Czym różnią się dane osobowe zwykłe i wrażliwe? Dowiesz się z tego artykułu


Kiedy możemy mówić o danych biometrycznych w kontekście danych osobowych wynikających z RODO?

Należy zwrócić uwagę, że żebyśmy mówili o danych osobowych jako danych biometrycznych przetwarzanie surowych danych, takich jak cechy fizyczne, fizjologiczne lub behawioralne osoby fizycznej, musi określać sposób pomiaru tych cech charakterystycznych. Z uwagi na to, iż dane biometryczne są wynikiem takich pomiarów art. 4 ust. 14 RODO stanowi, że dane te "wynikają ze specjalnego przetwarzania technicznego, dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej oraz umożliwiają, lub potwierdzają jednoznaczną identyfikację tej osoby."

Zgodnie z Wytycznymi 3/2019, żeby uznać dane za biometryczne, należy wziąć pod uwagę łącznie trzy elementy:

  • charakter danych: dane dotyczące cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej;
  • środki i sposób przetwarzania: wynikają z użycia odpowiedniej technologii;
  • cel przetwarzania: dane muszą być przetwarzane w celu jednoznacznej identyfikacji osoby.

Dane biometryczne, a dane szczególnych kategorii danych osobowych. Przetwarzanie danych biometrycznych

RODO w motywie 51 wskazuje, że dane osobowe, które z racji swojego charakteru są szczególnie wrażliwe w świetle podstawowych praw i wolności wymagają szczególnej ochrony, gdyż kontekst ich przetwarzania może powodować poważne ryzyko dla podstawowych praw i wolności.

Dalej, w motywie 51 znajduje się zapis, że [...] Takich danych osobowych nie należy przetwarzać, chyba że niniejsze rozporządzenie dopuszcza ich przetwa­rzanie w szczególnych przypadkach, przy czym należy uwzględnić, że prawo państw członkowskich może obejmować przepisy szczegółowe o ochronie danych [...]

Dane biometryczne zostały wprost wymienione jako szczególne kategorie danych w art. 9 ust. 1 RODO.

przetwarzanie danych biometrycznych, GDPR, RODO

Czy każda fotografia jest danymi biometrycznymi?

Należy zdecydowanie odpowiedzieć, że „nie”.

Zgodnie z motywem 51 RODO „Przetwarzanie fotografii nie powinno zawsze stanowić przetwarzania szczególnych kategorii danych osobowych, gdyż fotografie są objęte definicją »danych biometrycznych« tylko w przypadkach, gdy są przetwarzane specjalnymi metodami technicznymi, umożliwiającymi jednoznaczną identyfikację osoby fizycznej lub potwierdzenie jej tożsamości”.

EROD w swoich wytycznych zwraca uwagę, że w przypadku tworzenia „szablonów biometrycznych” (wzorców) w przypadku powstania szablonów pośrednich muszą one zostać usunięte przez administratora niezwłocznie i w sposób bezpieczny.

Czy podpis składany kurierowi lub listonoszowi na tablecie to dane biometryczne zgodnie z definicją RODO?

Nasz podpis jest daną behawioralną związaną z naszymi zachowaniem (unikatowość, nacisk długopisu/rysika na nośnik danych, szybkość pisania – tablet).

Podpis biometryczny a dane biometryczne według RODO

Według oficjalnej definicji z portalu gov.pl: "Behawioralny podpis biometryczny to standardowy podpis składany długopisem na kartce papieru. Każdy dorosły człowiek posiadający wyrobiony podpis odręczny ma ustandaryzowany podpis biometryczny o cechach grafologicznych. Teraz badanie tego typu podpisu jest możliwe wyłącznie przez grafologów posiadających odpowiednią wiedzę, doświadczenie i narzędzia pozwalające na analizę czy dany podpis ma cechy standardowe dla danej osoby. Na tej podstawie mogą stwierdzić, czy to faktycznie ona złożyła podpis pod dokumentem. Nie ma też metod, które pozwoliłyby badać w taki sam sposób podpisów składanych na ekranach tabletów czy telefonów. Dlatego takie podpisy nie mają wartości prawnej równoważnej podpisom złożonym odręcznie."

 Małopolska policja natomiast określa definicję w taki sposób: "Podpis biometryczny jest odręcznie nakreślonym podpisem złożonym na dedykowanym do tego urządzeniu, na tablecie i który jest zbudowany z punktów zapisywanych w maksymalnie krótkich odstępach czasowych. Czas mierzony jest w milisekundach. Każdemu punktowi przyporządkowany jest czas, w którym został zapisany oraz nacisk, oraz współrzędne XY, tak aby można było ten podpis i każdy punkt podpisu zlokalizować w układzie współrzędnych XY."

smartphone, finger, fingerprint

 W Komentarzu do Kodeksu cywilnego pod redakcją prof. dr hab. Mariusz Załuckiego wskazuje się, że podpis składany na dostępnych w obrocie urządzeniach (zwłaszcza tablety) umożliwiają odwzorowanie  podpisu  własnoręcznego złożonego przez daną osobę.

Z kolei w Komentarzu do Kodeksu cywilnego pod redakcję prof. dr hab. Edward Gniewekprof. dr hab. Piotr Machnikowski jest napisane, że "Wspólną cechą wielu rozwiązań technologicznych łącznie określanych mianem podpisu biometrycznego jest obecność elementów, takich jak odpowiednie oprogramowanie, ekran (tablet) o odpowiednich właściwościach oraz urządzenia (rysiki rejestrujące). Wykorzystanie rozwiązania technicznego, na które składają się takie elementy, umożliwia odwzorowanie (złożenie) na ekranie dotykowym własnoręcznego podpisu odpowiadającego swoim wyglądem podpisowi tradycyjnemu."

Żeby podpis nie był danymi biometrycznymi, zgodnie z RODO należy:

- nie zbierać wzorców, do których będzie następowało porównywanie każdego składanego podpisu pozwalającego na weryfikację tożsamości,

- nie stosować technik pomiaru takich jak: tempo kreślenia podpisu czy siła nacisku, nie poddawać dalszym analizom.

Czym jest biometria behawioralna, czyli zapomnijmy o skomplikowanych hasłach?

Biometria behawioralne jest połączeniem dwóch pojęć: biometrii (jednoznaczne potwierdzenie naszej tożsamości w oparciu o określone cechy fizyczne) i analizy behawioralnej (z ang. User Behavior Analysis).

Pozwala na analizę naszych unikatowych interakcji z laptopem czy telefonem.

"Sposób pisania na klawiaturze, prędkość kursora, krzywa tworzona podczas ruchu myszą czy nawet sposób dotykania ekranu na smartfonie. Wszystkie z tych czynności są dla każdego z nas unikalne i odpowiednio analizowane mogą posłużyć jako poświadczenia tożsamości." - zaznacza portal kapitanhack.pl

laptop, biometria behawioralna, dane biometryczne

Analiza behawioralne umożliwia w czasie rzeczywistym tworzenie unikalnego wzorca zachowań dla danej osoby i poddawaniu tego wzorca ciągłej analizie. Taką analizę w ramach podnoszenia bezpieczeństwa swoich klientów proponuje np. BOK, ING czy mBank jako dodatkowe zabezpieczenie przed oszustami.

Zaletą biometrii behawioralnej jest jej weryfikowanie naszej tożsamości w sposób ciągły, co pozwala na ograniczenie ryzyka udostępnienia haseł osobom trzecim.

 W opinii Europejskiego Urzędu Nadzoru Bankowego (EBA) stosowanie biometrii behawioralnej wymaga stosowania wysokich standardów bezpieczeństwa.

EBA zaproponował kilka rozwiązań w ramach wykorzystania biometrii m.in.:
  • skan odcisku palca,
  • rozpoznanie głosu,
  • rozpoznawanie układu żył,
  • kąt pod jakim trzymane jest urządzenia,
  • dynamika pisania.

Wadą biometrii jest potencjalna zmienność cech fizycznych i behawioralnych w trakcie naszego życia np. chrypka powodująca zmianę barwy głosu, choroby skóry powodujące zniszczenie linii papilarnych na opuszkach palców, choroby siatkówki.

cybersecurity, information security, data privacy

Zabezpieczenie przetwarzania danych biometrycznych.

Podsumowując, analiza naszych unikalnych danych fizycznych takich jak geometra twarzy czy dłoni, indywidualnej interakcji z urządzeniami mobilnymi będzie znacznie zwiększała bezpieczeństwo naszych danych. Żeby jednak uniknąć utraty poufności takich cech konieczne będzie wprowadzenie odpowiednich wysokich zabezpieczeń.

Nagranie wideo utrwalające wizerunek danej osoby nie może zostać jednak uznane samo w sobie za zawierające dane biometryczne zgodnie z art. 9 jeżeli nie zostały one specjalnie przetworzone technicznie w celu identyfikacji tej osoby.

Polecane

Anonimizacja danych osobowych i anonimizacja dokumentów

Anonimizacja danych osobowych i anonimizacja dokumentów

Poza oczywistymi korzyściami wynikającymi z anonimizacji danych polegającymi na uzyskiwaniu zgodności z przepisami prawa, istnieje jeszcze wiele innych. Anonimizacja umożliwia organizacjom przetwarzanie informacji wrażliwych w sposób bezpieczny, minimalizując ryzyko naruszenia prywatności użytkowników czy ujawnienia tajemnicy przedsiębiorstwa. Umożliwia korzystanie z informacji w celach badawczych i statystycznych bez naruszania prywatności jednostek.

Test weryfikujący wiedzę o RODO jako element systemu ochrony danych osobowych

Test weryfikujący wiedzę o RODO jako element systemu ochrony danych osobowych

Jednym z podstawowych obowiązków Inspektora ochrony danych, wynikającym z art. 39 RODO jest podejmowanie działań, zwiększających świadomość w zakresie ochrony danych osobowych i szkolenie personelu, uczestniczącego w operacjach przetwarzania (każda osoba zatrudniona u administratora, bez względu na podstawę prawną tego zatrudnienia, która przetwarza dane osobowe).

Profilowanie - jak je legalnie i odpowiedzialnie stosować?

Profilowanie - jak je legalnie i odpowiedzialnie stosować?

Profilowanie to potężne narzędzie, które może pomóc firmom lepiej zrozumieć swoich klientów i dostosować swoje usługi do ich potrzeb. Jednak w dobie coraz większej troski o prywatność danych, legalne i odpowiedzialne profilowanie staje się niezwykle istotne. W naszym artykule przeanalizujemy, czym dokładnie jest profilowanie, jakie są jego korzyści, a przede wszystkim jak można je stosować w zgodzie z przepisami prawa i z poszanowaniem prywatności użytkowników.

Popularne

Chcesz skorzystać z naszej oferty?Nie czekaj!

Wspieramy przedsiębiorców

Skontaktuj się osobiście z doradcą LexDigital - odpowiemy na nurtujące Cię pytania, zaplanujemy spotkanie, przygotujemy spersonalizowaną ofertę dopasowaną do potrzeb Twojej organizacji.

Zapraszamy do kontaktu

Informujemy, że Państwa zgoda może zostać cofnięta w dowolnym momencie przez wysłanie wiadomości e-mail na adres naszego Inspektora Ochrony Danych iod@lexdigital.pl spod adresu, którego zgoda dotyczy.

Administratorem Państwa danych osobowych jest LexDigital Sp. z o.o. z siedzibą w Poznaniu (60-363), przy ul. Grodziska 8. Wszystkie pytania i wątpliwości prosimy kierować do naszego Inspektora Ochrony Danych na adres iod@lexdigital.pl

Państwa dane przetwarzane są w celu odpowiedzi na wiadomość wysłaną za pomocą formularza kontaktowego, podjęcia na Państwa wniosek określonych działań przed zawarciem umowy lub wysłania Państwu treści marketingowych. Przysługuje Państwu prawo dostępu do danych, ich sprostowania, usunięcia, ograniczenia przetwarzania, wniesienia sprzeciwu i cofnięcia w każdym momencie udzielonej zgody bez wpływu na zgodność z prawem przetwarzania danych, którego dokonano na podstawie zgody przed jej wycofaniem. Masz również prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych.

Więcej informacji na temat przetwarzania danych osobowych znajdziecie Państwo w naszej Polityce prywatności.

komputronik biofarm lpp apart wykop volkswagen tpay netguru novol pearson impel phyto-pharm veolia cuf-podatki talex gethero tesgas uep fibaro akademia-kozminskiego bilety24 bims cichy-zasada currency >
<img src= kir ministerstwo cyfryzacji pierre-fabre polomarket porr przelewy24 swiss-krono vox wielkopolska-izba-lekarska wsb wtk