Nowe zasady przetwarzania danych biometrycznych

Najważniejszą zmianą w zakresie danych biometrycznych, jaką wprowadzają unijne przepisy RODO od 25 maja 2018 r. jest zakwalifikowanie ich do szczególnych kategorii danych osobowych. Obecnie obowiązująca ustawa o ochronie danych osobowych nie odnosiła danych biometrycznych do danych wrażliwych (tożsamych ze szczególnymi kategoriami danych na gruncie RODO), choć w istocie obejmują one informacje o cechach fizycznych, fizjologicznych oraz behawioralnych osoby, a więc powinny podlegać silniejszej ochronie. Reforma unijna wprowadza zakaz wykorzystywania danych biometrycznych, dopuszczając ich przetwarzanie tylko w określonych przypadkach.

  • Rafał Stępniewski
  • /
  • 1 marca 2018

Co to są dane biometryczne?

Artykuł 4 punkt 14 RODO definiuje dane biometryczne następująco:

„dane biometryczne oznaczają dane osobowe, które wynikają ze specjalnego przetwarzania technicznego, dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej oraz umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby, takie jak wizerunek twarzy lub dane daktyloskopijne”.

Obok wizerunku twarzy możemy wyróżnić także takie dane biometryczne jak: odcisk palca, cechy tęczówki oka, układ naczyń krwionośnych, głos, kształt małżowiny usznej, podpis uwzględniający nacisk i poziom nachylenia pisma, dynamikę pisania na klawiaturze. Katalog możliwości wykorzystania danych biometrycznych stale się powiększa, a RODO, ujmując dane biometryczne w bardzo ogólną definicję, pozostaje otwarte na ciągły rozwój metod technicznych przetwarzania danych identyfikujących osoby.

Coraz szerszy zakres danych biometrycznych wykorzystywanych przez wiele podmiotów niesie za sobą duże ryzyko nadużyć. Dostosowanie w tym zakresie prawa polskiego do unijnego będzie lepiej chroniło prywatność obywateli.

Dane biometryczne jako dane należące do szczególnych kategorii

Od 25 maja 2018 r. dane biometryczne staną się szczególnie chronione, gdyż zostaną zakwalifikowane do szczególnych kategorii danych osobowych. W związku z tym będzie konieczne spełnienie dodatkowych wymogów w celu ich przetwarzania. Dotąd prawo polskie wymagało uzyskania pisemnej zgody na przetwarzanie danych wrażliwych, ale nie obejmowało tym wymogiem danych biometrycznych.

Zgodnie z art. 9 ust.1 RODO zabrania się m.in. przetwarzania danych biometrycznych „w celu jednoznacznego zidentyfikowania osoby fizycznej”. Istnieją wyjątki od zastosowania tego przepisu, które zostały wskazane w art. 9 ust. 2.

Przesłanki dopuszczalności przetwarzania szczególnych kategorii danych osobowych (w tym danych biometrycznych):

  • istnieje wyraźna zgoda osoby w jednym lub kliku konkretnych celach, (jeśli przepisy tego nie zabraniają), przy czym „wyraźna zgoda” może zostać wyrażona ustnie, jednak to po stronie administratora danych będzie leżało ryzyko wykazania, że zgoda, na którą się powołuje, została udzielona;
  • jest to niezbędne do wypełnienia obowiązków i szczególnych praw administratora lub osoby, której dane dotyczą, (jeśli jest to dozwolone przepisami);
  • jest to niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą lub innej osoby fizycznej, a osoba, której dane dotyczą, jest fizycznie lub prawnie niezdolna do wyrażenia zgody;
  • dane w sposób oczywisty zostały upublicznione przez osobę, której dotyczą;
  • istnieją przesłanki związane z ważnym interesem publicznym;
  • jest to niezbędne do ustalenia, dochodzenia lub obrony roszczeń lub w ramach sprawowania wymiaru sprawiedliwości przez sądy.

Przykłady zastosowania biometrii

Zainteresowanie możliwością przetwarzania danych biometrycznych pojawia się szczególnie ze strony sektora ubezpieczeniowego i finansowego. Zaś rozwój technologii spowodował, że dane te są obecnie wykorzystywane w nowinkach elektronicznych, choćby w smartfonach, które za pomocą zapisu linii papilarnych lub skanowania twarzy odblokowują urządzenie. Wymienione okoliczności nie zwalniają przedsiębiorców i podmiotów gospodarczych z uzyskania wyraźnej zgody w konkretnym celu (np. identyfikacja klienta w umowie bankowej).

Przetwarzanie danych biometrycznych pracowników przez pracodawców będzie możliwe za dobrowolną zgodą w oświadczeniu w formie papierowej lub elektronicznej. Niewyrażenie zgody nie może być podstawą złego traktowania pracownika.

Szczególną kategorią pracodawców są m.in. banki, które takiej zgody w ogóle nie będą potrzebować, jeżeli podanie takich danych będzie konieczne ze względu na kontrolę dostępu do informacji przetwarzanych przez bank i kontrolę dostępu do pomieszczeń. Jednak instytucje te będą mogły przetwarzać te dane jedynie przez okres zatrudnienia.

Dziękujemy, że przeczytałaś/eś nasz artykuł do końca. Jeśli chcesz być na bieżąco z informacjami za zakresu bezpieczeństwa, zapraszamy do naszego serwisu ponownie!
Jeżeli podobał Ci się artykuł podziel się z innymi udostępniając go w mediach społecznościowych.

Potrzebujesz wsparcia lub szukasz rozwiązań w zakresie zagadnienia, o którym mowa w artykule?

Najnowsze tematy

WSPÓŁPRACA

Blogi tematyczne

Prawo konsumenckie 2021
Blog prawa e-commerce
Prawo konsumenckie
Security Magazine
Poradnik: wszystko o zgodzie RODO i obowiązkach informacyjnych RODO
Kliknij aby wrócić do strony głównej

Newsletter

Bądźmy w kontakcie! Zapisz się na newsletter, a raz na jakiś czas wyślemy Ci powiadomienie o najważniejszych artykułach. Dla subskrybentów newslettera przygotowujemy specjalne wydarzenia np. webinaria. Nie pożałujesz!