Dane biometryczne

Art. 4 pkt 14 RODO

„Dane biometryczne” oznaczają dane osobowe, które wynikają ze specjalnego przetwarzania technicznego, dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej oraz umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby, takie jak wizerunek twarzy lub dane daktyloskopijne.

Dane biometryczne, czyli jakie?

Dane biometryczne, to dane osobowe, które:

• wynikają ze specjalnego przetwarzania technicznego
• dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej
• umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby

Przykłady:

• wizerunek twarzy, a dokładniej geometria twarzy, rozkład temperatury na twarzy
• dane daktyloskopijne (odciski palców, biometryczne odciski placów)
• rozpoznawanie układu żył
• rozpoznawanie kształtu ucha
• analiza chodzenia lub poruszania się
• analiza dynamiki pisania na klawiaturze
• badania kodu DNA
• skan siatkówki oka (dna oka)
• biometria własnoręcznego podpisu
• barwa głosu ustalana z wykorzystaniem technik biometrycznych
• systemy do zdalnego rozpoznawania twarzy
• programy sztucznej inteligencji służące do analizy twarzy

Przykład nr 1: Fotografia jako dana biometryczna

Fotografia będzie uznana za nośnik zawierający dane biometryczne WYŁĄCZNIE, gdy będzie przetwarzana specjalnymi metodami technicznymi umożliwiającymi jednoznaczną identyfikację osoby fizycznej lub potwierdzenie jej tożsamości.

Ta jednoznaczność identyfikacji osoby fizycznej musi wynikać ze specjalnej metody technicznej przetwarzania fotografii.  Inaczej rzecz ujmując, samo posiadanie zdjęcia np. przez pracodawcę, przez fotografa, w salonach beauty nie oznacza, że dochodzi do przetwarzania danych biometrycznych.

Przykład nr 2: Własnoręczny podpis jako dana biometryczna

Utrwalenie podpisu własnoręcznego uczestnika konferencji na tradycyjnej (papierowej) liście obecności nie stanowi przetwarzania danych biometrycznych. Brak jest bowiem specjalnej techniki przetwarzania. Co jednak w przypadku własnoręcznego podpisu składanego na urządzeniu elektronicznym? W takiej sytuacji wiele urządzeń przetwarza dane behawioralne osoby fizycznej, tj. siła nacisku czy kąt nachylenia pisma.

Przykład nr 3: Dane biometryczne wykorzystywane przy rejestracji czasu pracy

 Przetwarzanie danych biometrycznych służących do rejestracji czasu pracy pracowników jest niezgodne z RODO, bowiem pracodawca może rejestrować czas pracy za pomocą innych narzędzi niż stosowanie nowoczesnych technologii przetwarzających dane biometryczne pracowników.

Stanowisko PUODO z dnia 11 maja 2020 r.[1]

Co jeżeli przetwarzamy dane biometryczne?

 Należy pamiętać, że dane biometryczne należą do szczególnej kategorii danych osobowych (tzw. dane wrażliwe). Co do zasady zatem przetwarzanie danych biometrycznych jest zabronione.

Wyjątki!

W uproszczeniu, dane biometryczne mogą być przetwarzane, jeżeli:

• osoba, której dane dotyczą, wyraziła wyraźną zgodę na ich przetwarzanie
• przetwarzanie jest niezbędne do wypełnienia obowiązków i wykonywania szczególnych praw przez administratora lub osobę, której dane dotyczą, w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej
• przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej, a osoba, której dane dotyczą, jest fizycznie lub prawnie niezdolna do wyrażenia zgody
• przetwarzania dokonuje się w ramach uprawnionej działalności prowadzonej z zachowaniem odpowiednich zabezpieczeń przez fundację, stowarzyszenie lub inny niezarobkowy podmiot o celach politycznych, światopoglądowych, religijnych lub związkowych
• przetwarzanie dotyczy danych osobowych w sposób oczywisty upublicznionych przez osobę, której dane dotyczą
• przetwarzanie jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń lub w ramach sprawowania wymiaru sprawiedliwości przez sądy
• przetwarzanie jest niezbędne ze względów związanych z ważnym interesem publicznym,
• przetwarzanie jest niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego, leczenia lub zarządzania systemami i usługami opieki zdrowotnej lub zabezpieczenia społecznego
• przetwarzanie jest niezbędne ze względów związanych z interesem publicznym w dziedzinie zdrowia publicznego
• przetwarzanie jest niezbędne do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych

Administrator przetwarzający dane biometryczne zobowiązany jest do wdrożenia odpowiednich środków technicznych i organizacyjnych, aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw i wolności osób fizycznych. W toku procesu szacowania ryzyka oraz wdrażania zabezpieczeń, administrator powinien uwzględnić m.in. charakter, zakres, kontekst i cele przetwarzania danych osobowych, a także prawdopodobieństwo wystąpienia i wagę potencjalnych zagrożeń. W ocenie Prezesa UODO, ewentualny wyciek danych biometrycznych generalnie zawsze skutkował będzie stosunkowo dużym ryzykiem naruszenia praw i wolności osób fizycznych[2].

Źródła:

2. Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych osobowych) (Dz. Urz. UE. L 2016 Nr 119 ze zm.)
3. Litwiński/P. Barta/M. Kawecki, komentarz do art. 4, Rozporządzenie UE w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych. Komentarz, pod red. P. Litwiński Warszawa 2018, Legalis
4. Rejestracja czasu pracy za pomocą danych biometrycznych nie jest zgodna z RODO, stanowisko PUODO z dnia 11 maja 2020 r. (online:) https://uodo.gov.pl/pl/138/1521 [dostęp: 27.09.2020 r.]
5. Wskazówki Prezesa Urzędu Ochrony Danych Osobowych dotyczące wykorzystywania monitoringu wizyjnego, wersja 1, czerwiec 2018 r. (online:) https://uodo.gov.pl/pl/file/1200 [dostęp: 27.09.2020 r.]
6. Generalnego Inspektora Ochrony Danych Osobowych o zagrożeniach płynących z upowszechnienia danych biometrycznych w kontaktach obywateli z instytucjami publicznymi i prywatnymi, czerwiec 2017, 2017 (online:) https://archiwum.giodo.gov.pl/pl/file/12478, [dostęp: 209.2020]).
7. Pismo Rzecznika Praw Obywatelskich z dnia 9.12.2018 r., VII.520.76.2018.KŁ(online:) https://www.rpo.gov.pl/sites/default/files/Wyst%C4%85pienie%20do%20%20Prezes%20UODO%20w%20sprawie%20podpisu%20biometrycznego.pdf , [dostęp: 209.2020 r.]
8. Pismo Prezesa UODO z dnia styczeń 2019 r., ZSPR.027.417.2018 (online:) https://www.rpo.gov.pl/sites/default/files/Odpowied%C5%BA%20PUODO%2028.03.2018.pdf , [dostęp: 209.2020 r.]
9. Biała księga Komisji Europejskiej z dnia 19 lutego 2020 r. (online:) https://ec.europa.eu/info/sites/info/files/commission-white-paper-artificial-intelligence-feb2020_pl.pdf [dostęp: 27.09.2020 r.]
10. Grupa Robocza art. 29, Opinia 3/2012 w sprawie zmian sytuacji w dziedzinie technologii biometrycznych przyjęta w dniu 27 kwietnia 2012 r, WP193 (online:) https://archiwum.giodo.gov.pl/pl/1520111/4676 [dostęp: 27.09.2020 r.]
11. komentarz do art. 4 pkt 14 [w:] RODO. Ogólne Rozporządzenie o ochronie danych osobowych. Komentarz. red. E. Bielak – Jomaa, D. Lubasz, Wolters Kluwer 2018, 277
12. Komentarz do art. 4, teza 42, w: Figielski (red.) Ogólne rozporządzenie o ochronie danych. Ustawa o ochronie danych osobowych. Komentarz, Warszawa 2018, Lex.
13. Grzelak, M. Wróblewski, Dane biometryczne [w:] Ochrona danych osobowych. Meritum, pod red. D. Lubasz, Warszawa 2020, s. 578 – 579.

Share on facebook
Facebook
Share on email
Email
Share on print
Print

Zapisz się na newsletter