UODO o przetwarzaniu danych biometrycznych

W ostatnim czasie przetwarzanie danych biometrycznych ma miejsce coraz częściej. Przykładem jest tu choćby kontrola wejść do pomieszczeń czy budynków na podstawie np. odcisku palca, a więc danych daktyloskopijnych.

Do danych biometrycznych zalicza się:

• odciski palców,
• wizerunek twarzy,
• siatkówka,
• tęczówka oka,
• behawioralne lub psychiczne cechy danej osoby.

Dane te, jako objęte szczególną kategorią, mogą być przetwarzane jedynie w przypadkach wskazanych w art. 9 ust. 2 RODO.

Dlaczego przetwarzanie tych danych objęte jest szczególnym statusem? Są to bowiem dane niezmienne. Ich wyciek generuje więc wysokie ryzyko naruszenia praw i wolności podmiotów danych. Naruszenia, które może trwać przez całe życie osoby. Negatywne konsekwencje takiego zdarzenia mogą mieć miejsce przez całe dalsze życie.

Zgoda również z warunkami

Jedną z podstaw przetwarzania danych biometrycznych jest zgoda. Musi być ona:

• jednoznaczna,
• dobrowolna,
• wyrażona przez osobę, której dotyczą dane,
• świadoma
• wyraźna.

szwedzki organ nadzorczy oceniał możliwość przetwarzania danych biometrycznych w postaci rysów twarzy uczniów w celu automatycznego potwierdzania ich obecności w klasie. Organ ten nałożył karę na szkołę. Wprawdzie przetwarzanie było w tym przypadku oparte o zgodę, ale nie miała ona przymiotu dobrowolności. Podobnie we Francji sąd administracyjny zakwestionował zgodę jako podstawę przetwarzania danych biometrycznych przez dwie szkoły, które na podstawie decyzji rady regionalnej regionu Prowansja-Alpy-Lazurowe Wybrzeże wykorzystywały technologie rozpoznawania twarzy do kontrolowania wejścia i wyjścia uczniów do budynku. Sąd uznał, że w takiej sytuacji zgoda nie mogła być wyrażona w sposób dobrowolny.

Zgodnie z zasadą minimalizacji administrator danych może pozyskiwać tylko te dane, które są niezbędne dla zrealizowania konkretnych celów (art. 5 ust. 1 lit. c RODO). Reguła ta musi być przestrzegana także w związku z przetwarzaniem danych biometrycznych

Holenderski organ nadzoru w decyzji z 28 kwietnia 2020 r. wskazał, że konieczna jest ocena czy identyfikacja za pomocą danych biometrycznych jest konieczna i proporcjonalna do celów uwierzytelniania lub bezpieczeństwa. Zaznaczył również, że wprawdzie biometria może być wykorzystywana do kontroli wstępu do pomieszczeń z uwagi na bardzo wysoką potrzebę zapewnienia bezpieczeństwa, niemniej jednak nie jest zasadne przy wejściu do innych pomieszczeń, jak np. warsztat.

Opracowanie: Michał Kowalski