Generic selectors
Exact matches only
Search in title
Search in content
Post Type Selectors
Menu
Menu
Dane biometryczne
brak komentarzy
7 minut

Dane biometryczne

Ochrona danych
image_pdfimage_print

Wstęp

Dane biometryczne odgrywają kluczową rolę w zapewnieniu jednoznacznej identyfikacji osób. To szczególne dane osobowe odnoszące się do cech fizycznych, fizjologicznych, a nawet zachowań, które pozwalają na rozpoznanie i potwierdzenie tożsamości osoby fizycznej.

Przetwarzanie danych biometrycznych jest zabronione, jednak od każdej reguły zdarzają się wyjątki.

„Dane biometryczne” oznaczają dane osobowe, które wynikają ze specjalnego przetwarzania technicznego, dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej oraz umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby, takie jak wizerunek twarzy lub dane daktyloskopijne.

Art. 4 pkt 14 RODO

Dane biometryczne, czyli jakie?

Dane biometryczne to dane osobowe, które:

  • wynikają ze specjalnego przetwarzania technicznego,
  • dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej,
  • umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby.

Przykłady:

  • wizerunek twarzy, a dokładniej jej geometria, rozkład temperatury na twarzy,
  • dane daktyloskopijne (odciski palców, biometryczne odciski palców),
  • rozpoznawanie układu żył,
  • rozpoznawanie kształtu ucha,
  • analiza chodzenia lub poruszania się,
  • analiza dynamiki pisania na klawiaturze,
  • badania kodu DNA,
  • skan siatkówki oka (dna oka),
  • biometria własnoręcznego podpisu,
  • barwa głosu ustalana z wykorzystaniem technik biometrycznych,
  • systemy do zdalnego rozpoznawania twarzy,
  • programy sztucznej inteligencji służące do analizy twarzy.

Przykład nr 1: Fotografia jako dana biometryczna
Fotografia będzie uznana za nośnik zawierający dane biometryczne WYŁĄCZNIE, gdy będzie przetwarzana specjalnymi metodami technicznymi umożliwiającymi jednoznaczną identyfikację osoby fizycznej lub potwierdzenie jej tożsamości.
Ta jednoznaczność identyfikacji osoby fizycznej musi wynikać ze specjalnej metody technicznej przetwarzania fotografii. Inaczej rzecz ujmując, samo posiadanie zdjęcia np. przez pracodawcę, przez fotografa, w salonach beauty nie oznacza, że dochodzi do przetwarzania danych biometrycznych.

Przykład nr 2: Własnoręczny podpis jako dana biometryczna
Utrwalenie podpisu własnoręcznego uczestnika konferencji na tradycyjnej (papierowej) liście obecności nie stanowi przetwarzania danych biometrycznych. Brak jest bowiem specjalnej techniki przetwarzania. Co jednak w przypadku własnoręcznego podpisu składanego na urządzeniu elektronicznym? W takiej sytuacji wiele urządzeń przetwarza dane behawioralne osoby fizycznej, tj. siła nacisku czy kąt nachylenia pisma.

Przykład nr 3: Dane biometryczne wykorzystywane przy rejestracji czasu pracy
Przetwarzanie danych biometrycznych służących do rejestracji czasu pracy pracowników jest niezgodne z RODO, bowiem pracodawca może rejestrować czas pracy za pomocą innych narzędzi niż stosowanie nowoczesnych technologii przetwarzających dane biometryczne pracowników.

Stanowisko Prezesa UODO z dnia 11 maja 2020 r.


[…] Przetwarzanie fotografii nie powinno zawsze stanowić przetwarzania szczególnych kategorii danych osobowych, gdyż fotografie są objęte definicją „danych biometrycznych” tylko w przypadkach, gdy są przetwarzane specjalnymi metodami technicznymi, umożliwiającymi jednoznaczną identyfikację osoby fizycznej lub potwierdzenie jej tożsamości. Takich danych osobowych nie należy przetwarzać, chyba że [RODO] dopuszcza ich przetwarzanie w szczególnych przypadkach […]

Motyw 51 RODO (fragment)

Co, jeżeli przetwarzamy dane biometryczne?

Należy pamiętać, że dane biometryczne należą do szczególnej kategorii danych osobowych (tzw. dane wrażliwe). Co do zasady zatem przetwarzanie danych biometrycznych jest zabronione.

Wyjątki!

W uproszczeniu wyjaśniając, dane biometryczne mogą być przetwarzane, jeżeli:

  • osoba, której dane dotyczą, wyraziła wyraźną zgodę na ich przetwarzanie,
  • przetwarzanie jest niezbędne do wypełnienia obowiązków i wykonywania szczególnych praw przez administratora lub osobę, której dane dotyczą, w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej,
  • przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej, a osoba, której dane dotyczą, jest fizycznie lub prawnie niezdolna do wyrażenia zgody,
  • przetwarzania dokonuje się w ramach uprawnionej działalności prowadzonej z zachowaniem odpowiednich zabezpieczeń przez fundację, stowarzyszenie lub inny niezarobkowy podmiot o celach politycznych, światopoglądowych, religijnych lub związkowych,
  • przetwarzanie dotyczy danych osobowych w sposób oczywisty upublicznionych przez osobę, której dane dotyczą,
  • przetwarzanie jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń lub w ramach sprawowania wymiaru sprawiedliwości przez sądy,
  • przetwarzanie jest niezbędne ze względów związanych z ważnym interesem publicznym,
  • przetwarzanie jest niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego, leczenia lub zarządzania systemami i usługami opieki zdrowotnej lub zabezpieczenia społecznego,
  • przetwarzanie jest niezbędne ze względów związanych z interesem publicznym w dziedzinie zdrowia publicznego,
  • przetwarzanie jest niezbędne do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych.

Podsumowanie

Podsumowując należy pamiętać, że Administrator przetwarzający dane biometryczne zobowiązany jest do wdrożenia odpowiednich środków technicznych i organizacyjnych, aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw i wolności osób fizycznych. W toku procesu szacowania ryzyka oraz wdrażania zabezpieczeń administrator powinien uwzględnić m.in. charakter, zakres, kontekst i cele przetwarzania danych osobowych, a także prawdopodobieństwo wystąpienia i wagę potencjalnych zagrożeń. W ocenie Prezesa UODO ewentualny wyciek danych biometrycznych generalnie zawsze skutkował będzie stosunkowo dużym ryzykiem naruszenia praw i wolności osób fizycznych.

Niniejszy artykuł ma charakter wyłącznie edukacyjny i nie stanowi porady prawnej ani opinii prawnej. Zapoznaj się z notą prawną.

Jeżeli potrzebujesz indywidualnej pomocy związanej dostosowaniem się do zmian prawnych, napisz na napisz@tudzialprawny.pl

Stan prawny na dzień: 29.09.2020 r.

Bibliografia

  1. Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych osobowych) (Dz. Urz. UE. L 2016 Nr 119 ze zm.).
  2. P. Litwiński, P. Barta, M. Kawecki, Komentarz do art. 4 [w:] Rozporządzenie UE w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych. Komentarz, red. P. Litwiński, Warszawa 2018, Legalis.
  3. Rejestracja czasu pracy za pomocą danych biometrycznych nie jest zgodna z RODO. Stanowisko PUODO z dnia 11 maja 2020 r. (online:) https://uodo.gov.pl/pl/138/1521 [dostęp: 27.09.2020 r.]
  4. Wskazówki Prezesa Urzędu Ochrony Danych Osobowych dotyczące wykorzystywania monitoringu wizyjnego, wersja 1, czerwiec 2018 r. (online:) https://uodo.gov.pl/pl/file/1200 [dostęp: 27.09.2020 r.]
  5. InformacjaGeneralnego Inspektora Ochrony Danych Osobowych o zagrożeniach płynących z upowszechnienia danych biometrycznych w kontaktach obywateli z instytucjami publicznymi i prywatnymi, czerwiec 2017, (online:) https://archiwum.giodo.gov.pl/pl/file/12478, [dostęp: 27.09.2020]
  6. Pismo Rzecznika Praw Obywatelskich z dnia 9.12.2018 r., VII.520.76.2018.KŁ (online:) https://www.rpo.gov.pl/sites/default/files/Wyst%C4%85pienie%20do%20%20Prezes%20UODO%20w%20sprawie%20podpisu%20biometrycznego.pdf, [dostęp: 27.09.2020]
  7. Pismo Prezesa UODO, styczeń 2019 r., ZSPR.027.417.2018 (online:) https://www.rpo.gov.pl/sites/default/files/Odpowied%C5%BA%20PUODO%2028.03.2018.pdf , [dostęp: 27.09.2020]
  8. Biała Księga Komisji Europejskiej z dnia 19 lutego 2020 r. (online:) https://eur-lex.europa.eu/legal-content/PL/TXT/?uri=CELEX%3A52020DC0065,[dostęp: 27.09.2020]
  9. Grupa Robocza art. 29, Opinia 3/2012 w sprawie zmian sytuacji w dziedzinie technologii biometrycznych przyjęta w dniu 27 kwietnia 2012 r, WP193 (online:) https://archiwum.giodo.gov.pl/pl/1520111/4676 [dostęp: 27.09.2020]
  10. Komentarz do art. 4 pkt 14 [w:] RODO. Ogólne Rozporządzenie o ochronie danych osobowych. Komentarz, red. E. Bielak-Jomaa, D. Lubasz, Wolters Kluwer 2018, s. 277
  11. Komentarz do art. 4, teza 42 [w:] Ogólne rozporządzenie o ochronie danych. Ustawa o ochronie danych osobowych. Komentarz, red. P. Fajgielski, Warszawa 2018, Lex.
  12. A. Grzelak, M. Wróblewski, Dane biometryczne [w:] Meritum. Ochrona danych osobowych, red. D. Lubasz, Warszawa 2020, s. 578 – 579.

Źródło zdjęcia: cottonbro studio, Pexels, https://www.pexels.com/pl-pl/zdjecie/tozsamosc-film-dokumentalny-odcisk-palca-zblizenie-8382599/, dostęp: 13.09.2023 r.

.
Udostępnij

Natalia Stojanowska

Prawnik biznesowy. Wspieram przedsiębiorców, którzy skupiają swoje działania w internecie. Dostarczam poszukującym wsparcia prawnego, eksperckich porad i wskazówek dotyczących prowadzenia biznesu online. Założycielka projektu Tu Dział Prawny.

Zobacz też:

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *