Dane biometryczne jako szczególna kategoria danych osobowych

Dane biometryczne jako szczególna kategoria danych osobowych

Odblokowanie telefonu za pomocą odcisku palca, skan siatkówki oka czy biometria twarzy. Czym są dane biometryczne? Na jakie kwestie powinniśmy zwrócić uwagę podczas przetwarzania tego rodzaju danych przez Organizację? O tym wszystkim dowiecie się z tego artykułu.

Serdecznie zapraszam😊

W dobie dynamicznego rozwoju technologicznego, gdzie dane osobowe są nieustannie gromadzone, przetwarzane i wykorzystywane, kwestie związane z prywatnością i ochroną danych nabierają szczególnego znaczenia. Jednym z budzących kontrowersje zagadnień jest przetwarzanie danych biometrycznych, czyli wszelkiego typu informacji dotyczących cech fizycznych lub behawioralnych osób gdy są elementem procesu jednoznacznej identyfikacji tej osoby.

Współczesne technologie coraz częściej znajdują swoje zastosowanie w środowisku pracy, w tym także w zakresie gromadzenia i przetwarzania danych biometrycznych pracowników. Dane biometryczne mogą być wykorzystywane do różnorodnych celów, takich jak kontrola dostępu do budynków, monitorowanie czasu pracy czy weryfikacja tożsamości.

W Polsce przetwarzanie danych biometrycznych jest regulowane między innymi przez Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679, powszechnie znanego jako RODO. W RODO dane biometryczne są traktowane jako szczególnie chronione ze względu na ich wyjątkowo wrażliwy charakter, wymagając przestrzegania jeszcze bardziej restrykcyjnych zasad.

Unijna regulacja wskazuje, że przetwarzanie danych biometrycznych jest dozwolone wyłącznie w przypadku istnienia jednej z określonych podstaw prawnych, takich jak wyraźna zgoda osoby, której dane dotyczą lub w sytuacjach, gdzie przetwarzanie jest niezbędne do celów ochrony życia, zdrowia lub interesów publicznych.

Co ważne!  Organizacje przetwarzające dane biometryczne muszą zapewnić odpowiedni poziom bezpieczeństwa. Niezbędne jest stosowanie środków technicznych i organizacyjnych, które chronią te dane przed nieuprawnionym dostępem, utratą lub nielegalnym wykorzystaniem.

Jednym z najważniejszych aspektów związanych z przetwarzaniem danych biometrycznych jest kwestia ich bezpieczeństwa i poufności. W obliczu coraz częstszych naruszeń bezpieczeństwa danych, zapewnienie ochrony danych osobowych, w tym danych biometrycznych, powinno stać się priorytetem dla organizacji oraz instytucji rządowych.

Tyle tytułem wstępu. Mamy już solidne fundamenty, a teraz przejdźmy do konkretów.

1. Czym są dane biometryczne?

RODO definiuje je jako: „dane osobowe, które wynikają ze specjalnego przetwarzania technicznego, dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej oraz umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby, takie jak wizerunek twarzy lub dane daktyloskopijne”. 

2. Przykłady danych biometrycznych. 

Gdy myślimy o danych biometrycznych, najczęściej do głowy przychodzą nam odcisk palca i skan tęczówki oka. Dodatkowo możemy spotkać się także: 

• ze skanem twarzy,

• z próbką głosu,

• z próbką podpisu, która uwzględnia nacisk i poziom nachylenia pisma,

• z dynamiką pisania na klawiaturze,

• ze sposobem poruszania się,

• z kodem DNA.

3. Ochrona RODO a dane biometryczne

Dane biometryczne to dane szczególnej kategorii danych osobowych (danych wrażliwych), które mają sensytywny charakter i podlegają nadzwyczajnej ochronie prawnej.

Z danymi biometrycznymi mamy więc do czynienia, kiedy zostają spełnione wszystkie wymienione warunki łącznie: 

  1. utrwalona cecha fizyczna lub behawioralna osoby 
  2. umożliwia
  3. na skutek użycia specjalnych systemów technicznych 
  4. jednoznaczną identyfikację konkretnej osoby.

Wytyczne 3/2019 wskazują natomiast łącznie trzy elementy:

  1. charakter danych: dane dotyczące cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej;
  2. środki i sposób przetwarzania: wynikają z użycia odpowiedniej technologii;
  3. cel przetwarzania: dane muszą być przetwarzane w celu jednoznacznej identyfikacji osoby. 

4. Wobec tych informacji odpowiedzmy sobie na 2 najczęściej pojawiające się do nas pytania:

Czy zdjęcie, fotografia zawierająca wizerunek twarzy to dane biometryczne?

Opowiedz uwielbiana przez bezpieczników, czyli „TO ZALEŻY” 😉

Zależy to od sposobu ich przetwarzania. Zazwyczaj jednak zdjęcia nie są danymi biometrycznymi, gdyż zgodnie z RODO, mogą nimi być tylko w przypadkach, gdy są przetwarzane specjalnymi metodami technicznymi, umożliwiającymi jednoznaczną identyfikację osoby fizycznej lub potwierdzenie jej tożsamości.

Czy pracodawca może przetwarzać dane biometryczne pracownika?

Z art. 221B  Kodeksu pracy dowiemy się, że przetwarzanie danych biometrycznych pracownika dopuszczalne jest „wtedy, gdy podanie takich danych jest niezbędne ze względu na kontrolę dostępu do szczególnie ważnych informacji, których ujawnienie może narazić pracodawcę na szkodę lub dostępu do pomieszczeń wymagających szczególnej ochrony”.

Z Kodeksu pracy wynika, że pracodawca może przetwarzać dane biometryczne jedynie, gdy ich przekazanie następuje z inicjatywy pracownika lub osoby ubiegającej się o zatrudnienie. 

Mowa oczywiście o zgodzie pracownika. Oczywiście zgodnie z przepisami prawa, zgoda musi mieć charakter dobrowolny, jednoznaczny, świadomy i uprzedni. Pracodawca nie może zmusić pracownika do podania danych ani wyciągać konsekwencji, gdy ten nie zgodzi się na ich pobranie.

Co ważne! Do przetwarzania danych biometrycznych dopuszczone są wyłącznie osoby posiadające pisemne upoważnienie oraz osoby te zobowiązane są do zachowania tajemnicy.

Dlatego pracodawca może przetwarzać dane biometryczne tylko:

  1. z inicjatywy i za zgodą pracownika lub osoby ubiegającej się o zatrudnienie,
  2. gdy ich przetwarzanie wynika z konieczności zapewnienia kontroli dostępu do szczególnie ważnych informacji, których ujawnienie może narazić pracodawcę na szkodę, bądź dostępu do pomieszczeń w miejscu pracy wymagających szczególnej ochrony.

5. Teraz kilka słów na temat ryzyka związanych ze stosowanie biometrii.

Jak wiemy, wszystko ma swoje plusy, ale i minusy.

Często na szkoleniach, w formie anegdoty, ale i pewnej refleksji, pokazuję uczestnikom filmik obrazujący zalety, ułatwienia w nowoczesnym – technologicznym świecie, ale i pewne nieprzewidziane ryzyka. Zapraszam do zapoznania się: LOL – IoT Smart Home (youtube.com)

Po zapoznaniu się z filmem, zapewne zgodzicie się ze mną, że jedną z wad biometrii jest potencjalna zmienność cech fizycznych i behawioralnych w trakcie naszego życia, np. chrypka powodująca zmianę barwy głosu, choroby skóry powodujące zniszczenie linii papilarnych na opuszkach palców, choroby siatkówki czy wizyta u dentysty 😉.

Tak już całkiem na poważnie, do najbardziej możliwych ryzyk związanych z przetwarzaniem danych biometrycznych, według mojej opinii, będzie można zaliczyć m.in.:

  • błędną akceptację — system błędnie, pozytywnie zweryfikuje daną osobę fizyczną lub nie odrzuci oszusta. Możliwość oszukania czytnika np. linii papilarnych, który sczytuje dane daktyloskopijne;
  • błędne odrzucenie — system błędnie, negatywnie zweryfikuje daną osobę (odrzuci wzorzec), uniemożliwiając przeprowadzenie jej autentykacji;
  • brak konkretnego celu i przetwarzanie danych biometrycznych nieadekwatnie do sytuacji (możliwość zastosowania mniej inwazyjnych środków w prywatność danej osoby);
  • przechowywanie danych dłużej, niż to jest konieczne;
  • brak możliwości trwałego usunięcia danych lub profili z systemu;
  • przetwarzanie danych na podstawie zgody, przy braku zapewnienia alternatywnego rozwiązania (np. karta magnetyczna);
  • możliwość uzyskiwania informacji o cechach fizycznych, umożliwiających tworzenie profili.

6. Czy dane biometryczne stanowią przyszłość ochrony danych osobowych? 

Przetwarzanie danych biometrycznych w Polsce podlega regulacjom prawnych, które mają na celu zapewnienie odpowiedniej ochrony prywatności i bezpieczeństwa danych osobowych. Ścisłe przestrzeganie przepisów prawa oraz stosowanie najwyższych standardów bezpieczeństwa są kluczowe dla każdej organizacji, która zajmuje się zbieraniem i przetwarzaniem danych biometrycznych. Na jaką skalę firmy czy instytucję będą przetwarzać dane biometryczne? Czy dane biometryczne zostaną zaimplementowane szerzej jako metoda uwierzytelnienia dwuskładniowego? O tym zapewne dowiemy się niebawem.

Jeśli jesteś zainteresowany kwestiami szeroko pojmowanego bezpieczeństwa informacji, serdecznie Cię zapraszam na nasz blog: https://www.comp-net.pl/category/blog/ na którym dzielimy się swoim doświadczeniem oraz zdobytą wiedzą.

Natomiast jeśli chcesz przebadać swoją organizację pod kątem zabezpieczeń, czy to organizacyjnych, prawnych, czy stricte informatycznych, zapraszam Cię do zapoznania się z naszą ofertą: https://www.comp-net.pl/oferta/ 

Autor: Ewa Sobczyk, Kierownik Projektu w CompNet Sp. z o.o.

Źródło:

  1. art. 4. pkt. 14. RODO
  2. Europejska Rada Ochrony Danych, Wytyczne 3/2019 w sprawie przetwarzania danych osobowych przez urządzenia wideo, wersja 2.0., 01.2020 r. 
  3. Kodeks Pracy Akt prawny (sejm.gov.pl)