Jakie będą zasady przetwarzania danych biometrycznych według RODO

Autor: Marcin Sierpień

Dodano: 19 marca 2018
Jakie będą zasady przetwarzania danych biometrycznych według RODO

Oferty zakupu technologii do przetwarzania danych biometrycznych są dla administratorów danych coraz atrakcyjniejsze. Koszty ich nabycia maleją, a ich wdrożenie może usprawnić działalność administratora. Należy jednak liczyć się z tym, że wskutek interpretacji przepisów prawa administrator nie będzie mógł wdrożyć danej technologii. Dowiedz się, jakie kwestie należy rozważyć przed nabyciem takiej technologii.

Krajowe przepisy nie regulują przetwarzania danych biometrycznych. Oznacza to, że zastosowanie do nich znajdą przepisy ogólne, czyli ustawa o ochronie danych osobowych (uodo). Ustawa nie uznaje danych biometrycznych za dane wrażliwe, co oznacza, że można je przetwarzać na zasadach ogólnych. Pomocą w interpretacji związanej z przetwarzaniem danych biometrycznych są np. opinie Grupy Roboczej Art. 29 – opinia 3/2012 w sprawie zmian sytuacji w dziedzinie technologii biometrycznych, a także informacja Generalnego Inspektora Ochrony Danych Osobowych (GIODO) o zagrożeniach płynących z upowszechnienia danych biometrycznych w kontaktach obywateli z instytucjami publicznymi i prywatnymi. GIODO nie jest, co do zasady, przeciwny stosowaniu biometrii, jednak podkreśla, że pozyskiwanie i udostępnianie danych biometrycznych powinno odbywać się w uzasadnionych sytuacjach, w których bez ich wykorzystania niemożliwe byłoby osiągnięcie zamierzonego celu.

Dopuszczalność przetwarzania danych biometrycznych, obok ogólnych przesłanek z art. 23 uodo, reguluje obecnie jej art. 26 ust. 1. Zgodnie z nim przetwarzane dane osobowe powinny być adekwatne do celów ich przetwarzania. Na podstawie tego przepisu, na bazie zasady adekwatności, GIODO może nakazać administratorowi zaprzestanie przetwarzania danych biometrycznych.

Dane biometryczne według RODO

Przepisy ogólnego rozporządzenia o ochronie danych (RODO) wskazują na obowiązek szczególnej ochrony danych „szczególnie wrażliwych”. Szczególne kategorie danych osobowych wymienione zostały w art. 9 ust. 1 RODO. Zaliczają się do nich dane:

  • ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz
  • genetyczne i biometryczne.

RODO wprowadza nowe rozwiązania regulujące zasady przetwarzania danych biometrycznych. Po pierwsze, dane biometryczne zostały w nim wprost wymienione i jednocześnie zaliczone do szczególnej kategorii danych osobowych (danych wrażliwych). Tym samym zostały rozwiane wątpliwości co do kwalifikacji tego rodzaju danych. Po drugie, w RODO została zawarta definicja danych biometrycznych, co ma pomóc w sprawnym ustaleniu, które z przetwarzanych danych kwalifikują się do tej kategorii. Po trzecie, w związku z przetwarzaniem danych biometrycznych RODO nakłada na administratora szczególne obowiązki.

Zgodnie z art. 4 pkt 14 RODO „dane biometryczne” oznaczają dane osobowe, które:

  • wynikają ze specjalnego przetwarzania technicznego,
  • dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej oraz
  • umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby.

Jako przykłady tego typu danych RODO wskazuje wizerunek twarzy i dane daktyloskopijne. Z uwagi na stały postęp technologiczny RODO nie wymienia wszystkich danych, które można uznać za dane biometryczne, jednak zawarta w nim definicja ma służyć ich łatwemu rozpoznawaniu.

Przepisy RODO, co do zasady, zabraniają przetwarzania danych biometrycznych. Od tego ogólnego zakazu rozporządzenie przewiduje jednak liczne wyjątki. Dane biometryczne, tak jak inne kategorie danych wrażliwych, mogą być, zgodnie z art. 9 RODO, przetwarzane, jeżeli zostaną spełnione określone w nim warunki.

Kiedy można przetwarzać dane biometryczne według RODO

Przesłanka dopuszczalności

Warunki szczególne

Zgoda osoby, której dane dotyczą

Zgoda powinna być wyraźna (nie może być dorozumiana).

Zgoda powinna dotyczyć przetwarzania danych biometrycznych w jednym lub w kilku celach, które zostaną konkretnie określone.

Prawo Unii (przepisy szczególne) lub prawo państwa członkowskiego mogą zakazać przetwarzania danych biometrycznych, nawet jeżeli osoba, której dane dotyczą, wyrazi zgodę na ich przetwarzanie.

Dane przetwarzane w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej

Przetwarzanie takich danych musi być niezbędne do wypełnienia obowiązków i wykonywania szczególnych praw przez administratora lub osobę, której dane dotyczą, w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej, jeśli pozwalają na to:

  • przepisy prawa unijnego lub przepisy prawa państwa członkowskiego albo
  • porozumienia zbiorowe zawierane na podstawie przepisów prawa państwa członkowskiego, a przepisy te zapewniają odpowiednie zabezpieczenia praw podstawowych i interesów osoby, której dane dotyczą.

Ochrona żywotnych interesów osoby, której dane dotyczą

Przetwarzanie musi być niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej, przy czym osoba, której dane dotyczą, ma być fizycznie lub prawnie niezdolna do wyrażenia zgody.

Przetwarzanie przez podmioty w celach politycznych, światopoglądowych, religijnych lub związkowych

Dane biometryczne mogą być przetwarzane przez fundację, stowarzyszenie lub inny niezarobkowy podmiot o celach politycznych, światopoglądowych, religijnych lub związkowych, jeśli:

  • przetwarzania dokonuje się w ramach uprawnionej działalności tych podmiotów prowadzonej z zachowaniem odpowiednich zabezpieczeń,
  • przetwarzanie dotyczy wyłącznie członków lub byłych członków tego podmiotu bądź osób utrzymujących z nim stałe kontakty w związku z jego celami,
  • dane biometryczne nie są ujawniane na zewnątrz bez zgody osób, których dotyczą.

Dane upublicznione w sposób oczywisty

Przetwarzanie może dotyczyć danych osobowych upublicznionych w sposób oczywisty przez osobę, której dane dotyczą.

Działalność sądów

Przetwarzanie ma być niezbędne do ustalenia, dochodzenia lub obrony roszczeń bądź w ramach sprawowania wymiaru sprawiedliwości przez sądy.

Interes publiczny

Przetwarzanie ma być niezbędne ze względów związanych z ważnym interesem publicznym, na podstawie prawa Unii lub prawa państwa członkowskiego, jeśli służące temu celowi działania:

  • są proporcjonalne do wyznaczonego celu,
  • nie naruszają istoty prawa do ochrony danych oraz
  • przewidują odpowiednie i konkretne środki ochrony praw podstawowych i interesów osoby, której dane dotyczą.

Ochrona zdrowia

Przetwarzanie musi służyć celom ochrony zdrowia i odbywać się na podstawie prawa lub umowy z pracownikiem służby zdrowia, i jednocześnie być niezbędne do:

  • celów profilaktyki zdrowotnej lub medycyny pracy,
  • oceny zdolności pracownika do pracy,
  • diagnozy medycznej,
  • zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego,
  • leczenia,
  • zarządzania systemami i usługami opieki zdrowotnej.

Jednocześnie szczególne kategorie danych muszą być przetwarzane przez:

  • (lub na odpowiedzialność) pracownika podlegającego obowiązkowi zachowania tajemnicy zawodowej na mocy prawa Unii lub prawa państwa członkowskiego albo przepisów ustanowionych przez właściwe organy krajowe bądź
  • inną osobę również podlegającą obowiązkowi zachowania tajemnicy zawodowej na mocy wskazanych przepisów.

Zdrowie publiczne

Przetwarzanie musi być niezbędne ze względów związanych z interesem publicznym w dziedzinie zdrowia publicznego (np. służyć zapewnieniu wysokich standardów jakości i bezpieczeństwa opieki zdrowotnej oraz produktów leczniczych lub wyrobów medycznych) i odbywać się na podstawie przepisów prawa unijnego lub krajowego.

Cele archiwalne, statystyczne i naukowe

Przetwarzanie musi być niezbędne do celów: archiwalnych (w interesie publicznym), badań naukowych lub historycznych albo statystycznych, a działania związane z przetwarzaniem są:

  • prowadzone na podstawie przepisów prawa unijnego lub krajowego oraz
  • proporcjonalne do wyznaczonego celu, nie naruszają istoty prawa do ochrony danych i przewidują odpowiednie, konkretne środki ochrony praw podstawowych i interesów osoby, której dane dotyczą.
Ważne:

Niezależnie od przepisów RODO prawo krajowe może zawierać dalsze ograniczenia w odniesieniu do przetwarzania danych biometrycznych. Tym samym polskie przepisy wprowadzające RODO mogą w ramach konkretnych sektorów bardziej ograniczyć lub nawet wykluczyć przetwarzanie tego typu danych.

Chcesz przetwarzać dane biometryczne – jakie wymagania musisz spełnić

Nawet jeżeli administrator danych przetwarza dane biometryczne, spełniając warunki z art. 9 RODO, musi się liczyć z tym, że ich przetwarzanie w zgodzie z prawem zależy od spełnienia dodatkowych wymagań. Przepisy RODO nakładają bowiem na administratora tych danych takie obowiązki, jak:

  • obowiązek przeprowadzenia oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych,
  • obowiązek wyznaczenia inspektora ochrony danych (przy działalności głównej związanej z przetwarzaniem na dużą skalę danych biometrycznych),
  • obowiązek prowadzenia rejestru czynności przetwarzania,
  • obowiązek wyznaczenia przedstawiciela na terenie UE przez administratora, który nie ma na jej obszarze jednostek organizacyjnych (dotyczy podmiotu przetwarzającego dane związane z oferowaniem osobom przebywającym w UE towarów lub usług, a także monitorowaniem ich zachowania na tym terenie),
  • obowiązek uwzględnienia zasad ochrony danych osobowych już na etapie projektowania lub wdrażania u administratora danej technologii.

Motyw 39 RODO wskazuje dodatkowo, że dane osobowe powinny być adekwatne, stosowne i ograniczone do tego, co niezbędne do celów, dla których są przetwarzane. Powinny być zatem przetwarzane tylko w przypadkach, gdy celu przetwarzania nie można w rozsądny sposób osiągnąć innymi sposobami. Potwierdza to zasada „minimalizacji danych” wyrażona w art. 5 ust. 1 pkt c RODO.

Kiedy zasada adekwatności/minimalizacji danych zostanie zachowana

Zachowana zasada adekwatności

Niezachowana zasada adekwatności

Przetwarzanie danych z tęczówki oka pracowników banku w celu kontroli wejścia do określonych stref danej placówki.

Pobieranie linii papilarnych od użytkowników obiektu sportowego.

Pobieranie linii papilarnych przez organy ścigania.

Przetwarzanie danych z tęczówki oka pracowników banku w celu ewidencjonowania czasu pracy.

Przetwarzanie danych z układu żył krwionośnych palca w celu weryfikacji dostępu do określonych obszarów zakładu produkującego broń.

Przetwarzanie danych z układu żył krwionośnych palca w celu zawarcia umowy pożyczki.

Autor: Marcin Sierpień

specjalista w zakresie ochrony danych osobowych

Czytelnicy tego artykułu skorzystali również z poniższych narzędzi

Biblioteka ABI

Nasi partnerzy i zdobyte nagrody


© Portal Poradyodo.pl

Sprawdź nasz portal - testuj przez 24h za darmo

Aktualności i porady ekspertów

Listy kontrolne

Wzory dokumentów

Załóż konto na próbę x
wiper-pixel