Jakie będą zasady przetwarzania danych biometrycznych według RODO
Oferty zakupu technologii do przetwarzania danych biometrycznych są dla administratorów danych coraz atrakcyjniejsze. Koszty ich nabycia maleją, a ich wdrożenie może usprawnić działalność administratora. Należy jednak liczyć się z tym, że wskutek interpretacji przepisów prawa administrator nie będzie mógł wdrożyć danej technologii. Dowiedz się, jakie kwestie należy rozważyć przed nabyciem takiej technologii.
Krajowe przepisy nie regulują przetwarzania danych biometrycznych. Oznacza to, że zastosowanie do nich znajdą przepisy ogólne, czyli ustawa o ochronie danych osobowych (uodo). Ustawa nie uznaje danych biometrycznych za dane wrażliwe, co oznacza, że można je przetwarzać na zasadach ogólnych. Pomocą w interpretacji związanej z przetwarzaniem danych biometrycznych są np. opinie Grupy Roboczej Art. 29 – opinia 3/2012 w sprawie zmian sytuacji w dziedzinie technologii biometrycznych, a także informacja Generalnego Inspektora Ochrony Danych Osobowych (GIODO) o zagrożeniach płynących z upowszechnienia danych biometrycznych w kontaktach obywateli z instytucjami publicznymi i prywatnymi. GIODO nie jest, co do zasady, przeciwny stosowaniu biometrii, jednak podkreśla, że pozyskiwanie i udostępnianie danych biometrycznych powinno odbywać się w uzasadnionych sytuacjach, w których bez ich wykorzystania niemożliwe byłoby osiągnięcie zamierzonego celu.
Dopuszczalność przetwarzania danych biometrycznych, obok ogólnych przesłanek z art. 23 uodo, reguluje obecnie jej art. 26 ust. 1. Zgodnie z nim przetwarzane dane osobowe powinny być adekwatne do celów ich przetwarzania. Na podstawie tego przepisu, na bazie zasady adekwatności, GIODO może nakazać administratorowi zaprzestanie przetwarzania danych biometrycznych.
Dane biometryczne według RODO
Przepisy ogólnego rozporządzenia o ochronie danych (RODO) wskazują na obowiązek szczególnej ochrony danych „szczególnie wrażliwych”. Szczególne kategorie danych osobowych wymienione zostały w art. 9 ust. 1 RODO. Zaliczają się do nich dane:
- ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz
- genetyczne i biometryczne.
RODO wprowadza nowe rozwiązania regulujące zasady przetwarzania danych biometrycznych. Po pierwsze, dane biometryczne zostały w nim wprost wymienione i jednocześnie zaliczone do szczególnej kategorii danych osobowych (danych wrażliwych). Tym samym zostały rozwiane wątpliwości co do kwalifikacji tego rodzaju danych. Po drugie, w RODO została zawarta definicja danych biometrycznych, co ma pomóc w sprawnym ustaleniu, które z przetwarzanych danych kwalifikują się do tej kategorii. Po trzecie, w związku z przetwarzaniem danych biometrycznych RODO nakłada na administratora szczególne obowiązki.
|
Zgodnie z art. 4 pkt 14 RODO „dane biometryczne” oznaczają dane osobowe, które:
Jako przykłady tego typu danych RODO wskazuje wizerunek twarzy i dane daktyloskopijne. Z uwagi na stały postęp technologiczny RODO nie wymienia wszystkich danych, które można uznać za dane biometryczne, jednak zawarta w nim definicja ma służyć ich łatwemu rozpoznawaniu. |
Przepisy RODO, co do zasady, zabraniają przetwarzania danych biometrycznych. Od tego ogólnego zakazu rozporządzenie przewiduje jednak liczne wyjątki. Dane biometryczne, tak jak inne kategorie danych wrażliwych, mogą być, zgodnie z art. 9 RODO, przetwarzane, jeżeli zostaną spełnione określone w nim warunki.
Kiedy można przetwarzać dane biometryczne według RODO
|
Przesłanka dopuszczalności |
Warunki szczególne |
|
Zgoda osoby, której dane dotyczą |
Zgoda powinna być wyraźna (nie może być dorozumiana). Zgoda powinna dotyczyć przetwarzania danych biometrycznych w jednym lub w kilku celach, które zostaną konkretnie określone. Prawo Unii (przepisy szczególne) lub prawo państwa członkowskiego mogą zakazać przetwarzania danych biometrycznych, nawet jeżeli osoba, której dane dotyczą, wyrazi zgodę na ich przetwarzanie. |
|
Dane przetwarzane w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej |
Przetwarzanie takich danych musi być niezbędne do wypełnienia obowiązków i wykonywania szczególnych praw przez administratora lub osobę, której dane dotyczą, w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej, jeśli pozwalają na to:
|
|
Ochrona żywotnych interesów osoby, której dane dotyczą |
Przetwarzanie musi być niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej, przy czym osoba, której dane dotyczą, ma być fizycznie lub prawnie niezdolna do wyrażenia zgody. |
|
Przetwarzanie przez podmioty w celach politycznych, światopoglądowych, religijnych lub związkowych |
Dane biometryczne mogą być przetwarzane przez fundację, stowarzyszenie lub inny niezarobkowy podmiot o celach politycznych, światopoglądowych, religijnych lub związkowych, jeśli:
|
|
Dane upublicznione w sposób oczywisty |
Przetwarzanie może dotyczyć danych osobowych upublicznionych w sposób oczywisty przez osobę, której dane dotyczą. |
|
Działalność sądów |
Przetwarzanie ma być niezbędne do ustalenia, dochodzenia lub obrony roszczeń bądź w ramach sprawowania wymiaru sprawiedliwości przez sądy. |
|
Interes publiczny |
Przetwarzanie ma być niezbędne ze względów związanych z ważnym interesem publicznym, na podstawie prawa Unii lub prawa państwa członkowskiego, jeśli służące temu celowi działania:
|
|
Ochrona zdrowia |
Przetwarzanie musi służyć celom ochrony zdrowia i odbywać się na podstawie prawa lub umowy z pracownikiem służby zdrowia, i jednocześnie być niezbędne do:
Jednocześnie szczególne kategorie danych muszą być przetwarzane przez:
|
|
Zdrowie publiczne |
Przetwarzanie musi być niezbędne ze względów związanych z interesem publicznym w dziedzinie zdrowia publicznego (np. służyć zapewnieniu wysokich standardów jakości i bezpieczeństwa opieki zdrowotnej oraz produktów leczniczych lub wyrobów medycznych) i odbywać się na podstawie przepisów prawa unijnego lub krajowego. |
|
Cele archiwalne, statystyczne i naukowe |
Przetwarzanie musi być niezbędne do celów: archiwalnych (w interesie publicznym), badań naukowych lub historycznych albo statystycznych, a działania związane z przetwarzaniem są:
|
Niezależnie od przepisów RODO prawo krajowe może zawierać dalsze ograniczenia w odniesieniu do przetwarzania danych biometrycznych. Tym samym polskie przepisy wprowadzające RODO mogą w ramach konkretnych sektorów bardziej ograniczyć lub nawet wykluczyć przetwarzanie tego typu danych.
Chcesz przetwarzać dane biometryczne – jakie wymagania musisz spełnić
Nawet jeżeli administrator danych przetwarza dane biometryczne, spełniając warunki z art. 9 RODO, musi się liczyć z tym, że ich przetwarzanie w zgodzie z prawem zależy od spełnienia dodatkowych wymagań. Przepisy RODO nakładają bowiem na administratora tych danych takie obowiązki, jak:
- obowiązek przeprowadzenia oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych,
- obowiązek wyznaczenia inspektora ochrony danych (przy działalności głównej związanej z przetwarzaniem na dużą skalę danych biometrycznych),
- obowiązek prowadzenia rejestru czynności przetwarzania,
- obowiązek wyznaczenia przedstawiciela na terenie UE przez administratora, który nie ma na jej obszarze jednostek organizacyjnych (dotyczy podmiotu przetwarzającego dane związane z oferowaniem osobom przebywającym w UE towarów lub usług, a także monitorowaniem ich zachowania na tym terenie),
- obowiązek uwzględnienia zasad ochrony danych osobowych już na etapie projektowania lub wdrażania u administratora danej technologii.
Motyw 39 RODO wskazuje dodatkowo, że dane osobowe powinny być adekwatne, stosowne i ograniczone do tego, co niezbędne do celów, dla których są przetwarzane. Powinny być zatem przetwarzane tylko w przypadkach, gdy celu przetwarzania nie można w rozsądny sposób osiągnąć innymi sposobami. Potwierdza to zasada „minimalizacji danych” wyrażona w art. 5 ust. 1 pkt c RODO.
Kiedy zasada adekwatności/minimalizacji danych zostanie zachowana
|
Zachowana zasada adekwatności |
Niezachowana zasada adekwatności |
|
Przetwarzanie danych z tęczówki oka pracowników banku w celu kontroli wejścia do określonych stref danej placówki. |
Pobieranie linii papilarnych od użytkowników obiektu sportowego. |
|
Pobieranie linii papilarnych przez organy ścigania. |
Przetwarzanie danych z tęczówki oka pracowników banku w celu ewidencjonowania czasu pracy. |
|
Przetwarzanie danych z układu żył krwionośnych palca w celu weryfikacji dostępu do określonych obszarów zakładu produkującego broń. |
Przetwarzanie danych z układu żył krwionośnych palca w celu zawarcia umowy pożyczki. |
- ustawa z 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn.: Dz.U. z 2016 r. poz. 922),
- rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).
- Przetwarzanie danych osobowych pracowników w związku z wyborem społecznego inspektora pracy
- To już ostatni dzwonek – zapisz się na konferencję „Przygotuj się do kontroli UODO”
- Przetwarzasz dane na dużą skalę? Sprawdź, jakie będziesz miał obowiązki według RODO
- Ochrona danych w wolontariacie – skorzystaj ze wskazówek UODO
- Podstawa przetwarzania danych w związku z realizacją reklamacji
Wideoporada: Co może się stać, gdy pracownik zgubi sprzęt z danymi osobowymi
Zgubienie sprzętu z danymi osobowymi przez pracownika może mieć poważne konsekwencje. Sprawdź, co może wyniknąć z takiego zdarzenia i jak zareagować.
