Slajd nr 1 Slajd nr 1
Tło strzałki Strzałka
Header na wersje mobilna
Header na wersje tabletową Header na wersje laptopową
przejdź
przejdź
0 0
dni
0 0
godz
0 0
min
0 0
sek
Skorzystaj z promocji!
  2. Serwis Prawny
  3. Ochrona danych
  4. Dane biometryczne i ich przetwarzanie wg RODO

Dane biometryczne i ich przetwarzanie wg RODO

Nasz ekspert:
Artykuły autora

Wielkość tekstu:

Dane biometryczne stanowią wyjątkową kategorię danych osobowych i z tego względu podlegają szczególnej ochronie. Przepisy rozporządzenia RODO co do zasady zakazują przetwarzania danych biometrycznych, poza szczególnie uzasadnionymi przypadkami.

Które dane to dane biometryczne?

Do czasu wejścia w życie rozporządzenia RODO definicja danych biometrycznych w polskim prawie występowała wyłącznie w ustawie o dokumentach paszportowych – zgodnie z definicją tam podaną za dane biometryczne uznaje się wizerunek twarzy i odciski palców umieszczone w dokumentach paszportowych w formie elektronicznej. Wyjątkowo dane biometryczne mogły być uznawane za tzw. dane wrażliwe w rozumieniu poprzednio obowiązującej ustawy o ochronie danych osobowych.

Obecnie dane biometryczne zostały jednoznacznie zdefiniowane w rozporządzeniu RODO – definicja tam zawarta jest znacznie szersza niż poprzednio obowiązujące regulacje.

Definicja danych biometrycznych według RODO (przepis art. 4 pkt 14 RODO)
"...dane osobowe, które wynikają ze specjalnego przetwarzania technicznego, dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej oraz umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby, takie jak wizerunek twarzy lub dane daktyloskopijne."

Zgodnie z przywołanym przepisem dane biometryczne to wszystkie dane osobowe (czyli dane umożliwiające identyfikację osoby fizycznej) dotyczące:

  • cech fizycznych
    (np. kod DNA, wizerunek twarzy, układ linii papilarnych, tęczówka oka);

  • cech fizjologicznych
    (np. sposób poruszania się);

  • cech behawioralnych
    (np. analiza głosu albo sposób składania własnoręcznego podpisu),

jeśli dane te wynikają ze specjalnego przetwarzania technicznego oraz umożliwiają lub potwierdzają identyfikację osoby fizycznej.

Poprzez specjalne przetwarzanie techniczne należy rozumieć wykorzystanie takich metod i środków, których celem jest dokonanie analizy cech biometrycznych i doprowadzenie do identyfikacji osoby fizycznej na podstawie przeprowadzonej analizy. Przykładem specjalnego przetwarzania technicznego może być na przykład skanowanie linii papilarnych czy tęczówki oka.

Uwaga!
Przetwarzanie fotografii (np. zdjęcia identyfikacyjnego pracownika) nie zawsze będzie oznaczało przetwarzanie danych biometrycznych – fotografia stanowi dane biometryczne tylko wówczas, gdy jest przetwarzana zgodnie z definicją zawartą w przepisie art. 4 pkt 14 rozporządzenia, tj. za pomocą specjalnych metod technicznych.

Przykładowo, przechowywanie fotografii w aktach pracownika nie będzie stanowiło przetwarzania danych biometrycznych.

Warto zauważyć, że definicja danych biometrycznych w rozumieniu przepisów RODO nie ma charakteru zamkniętego – wraz z rozwojem techniki kolejne cechy osób fizycznych mogą zostać uznane za dane biometryczne.

Czy wg RODO dane biometryczne mogą być przetwarzane?

Motywy RODO wskazują, że niektóre kategorie danych osobowych – w tym dane biometryczne – wymagają specjalnej ochrony. Dane te są uznawane za szczególnie wrażliwe, umożliwiają bowiem jednoznaczną identyfikację osoby fizycznej i tym samym w wyjątkowych przypadkach mogą oznaczać poważne ryzyko dla podstawowych praw i wolności.

Przepis art. 9 ust. 1 rozporządzenia RODO
"Zabrania się przetwarzania danych osobowych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby."

Rozporządzenie RODO w przepisie art. 9 wprost zakazuje przetwarzania danych biometrycznych, jeśli jest to dokonywane w celu jednoznacznej identyfikacji osoby fizycznej albo identyfikacji danych zdrowotnych, seksualnych lub dotyczących orientacji seksualnej.

Ważne!
RODO zabrania przetwarzania danych biometrycznych, chyba że zachodzi jeden z przypadków wskazanych wprost w przepisach rozporządzenia, o których poniżej.
Przykładem sytuacji, w której przetwarzanie danych biometrycznych jest dopuszczalne, jest uzyskanie przez administratora danych wyraźnej zgody osoby, której dane dotyczą.

Kiedy RODO zezwala, aby dane biometryczne mogły być przetwarzaene?

Zakaz przetwarzania danych biometrycznych nie jest bezwzględny – przepis art. 9 rozporządzenia zawiera pokaźną listę wyjątków, w których przypadku przetwarzanie tej szczególnej kategorii informacji uznaje się za dopuszczalne.

Administrator może przetwarzać dane biometryczne w następujących przypadkach:

  1. osoba, której dane dotyczą, wyraziła wyraźną zgodę na ich przetwarzanie;

  2. przetwarzanie jest niezbędne do wypełnienia obowiązków i wykonywania szczególnych praw przez administratora lub osobę, której dane dotyczą, w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej (jeśli jest to dozwolone prawem UE lub prawem państwa członkowskiego);

  3. przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą lub innej osoby fizycznej, a osoba, której dane dotyczą, jest fizycznie lub prawnie niezdolna do wyrażenia zgody;

  4. przetwarzania dokonuje się w ramach uprawnionej działalności prowadzonej z zachowaniem odpowiednich zabezpieczeń przez fundację, stowarzyszenie lub inny niezarobkowy podmiot o celach politycznych, światopoglądowych, religijnych lub związkowych w odniesieniu do członków tej organizacji lub byłych członków;

  5. dane biometryczne są w oczywisty sposób upublicznione;

  6. przetwarzanie jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń lub w ramach sprawowania wymiaru sprawiedliwości przez sądy;

  7. przetwarzanie jest niezbędne ze względów związanych z ważnym interesem publicznym;

  8. przetwarzanie jest niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego, leczenia lub zarządzania systemami i usługami opieki zdrowotnej lub zabezpieczenia społecznego;

  9. przetwarzanie jest niezbędne ze względów związanych z interesem publicznym w dziedzinie zdrowia publicznego;

  10. przetwarzanie jest niezbędne do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych.

Oprócz 10 wyjątków wskazanych bezpośrednio w przepisach RODO rozporządzenie przyznaje również państwom członkowskim prawo do wprowadzenia dodatkowych wyjątków od zakazu przetwarzania danych biometrycznych w prawie lokalnym.

Każdy podmiot, który zamierza przetwarzać dane biometryczne (np. odciski palców) powinien zbadać, czy w jego przypadku znajdzie zastosowanie jeden z wyjątków przewidzianych powyżej. Najczęściej przetwarzanie tych danych będzie możliwe po uzyskaniu zgody osoby, której dane dotyczą – co ważne, zgoda ta musi być wyraźna, a nie dorozumiana. Oznacza to, że osoba musi zostać wyczerpująco poinformowana o celach, zasadach, skutkach przetwarzania i stosowanych środkach bezpieczeństwa. Zgoda musi zostać wyrażona jednoznacznie i świadomie.

Ważne!
W oparciu o powyżej przywołane przepisy pracodawca będzie mógł przetwarzać dane biometryczne swoich pracowników (np. zastosować czytnik linii papilarnych umożliwiający dostęp do określonego budynku czy pomieszczenia), jeśli uzyska wyraźną zgodę pracownika na podjęcie takich działań.

Przystępując do przetwarzania danych uznanych za biometryczne, należy jednak pamiętać o podstawowych zasadach RODO, do których należy m.in. zasada adekwatności – administrator danych ma obowiązek ograniczyć zakres przetwarzania danych wyłącznie do danych niezbędnych do osiągnięcia założonego przez siebie, zgodnego z prawem celu. Jeśli zatem administrator danych może osiągnąć ten sam skutek za pomocą przetwarzania danych mniej wrażliwych niż dane biometryczne, powinien wybrać tę metodę.

Polecamy:

JPK V7M i JPK V7K, czyli comiesięczny obowiązek składania pliku JPK zamiast deklaracji VAT

Podstawy przetwarzania danych osobowych na gruncie...
Które przepisy RODO nie obowiązują przedsiębiorców...
Podobne
Kwiecień 2024
27
Sobota
  • Dzień ustawowo wolny od pracy
  • ZUS (spółki akcyjne, spółki z o.o., spółdzielnie, stowarzyszenia, fundacje)
  • Podatek dochodowy
  • PIT 4
  • PIT 8A
  • ZUS (jednoosobowa działalność gospodarcza, spółki: cywilne, jawne, partnerskie, kamandytowe, komandytowo-akcyjne)
  • VAT 7
  • VAT 7K
  • VAT UE (elektroniczna)
  • PIT 28
  • PIT 36
  • PIT 36L
Wyświetl artykuły z tego dnia
Zobacz wszystkie

Najchętniej czytane

  1. Zaświadczenie o niekaralności - jak je uzyskać i ile kosztuje?
  2. Monitoring pracowników - jakie formalności, żeby zamontować kamery w firmie?
  3. Wymeldowanie z pobytu stałego - jak wymeldować siebie lub inną osobę?
  4. Profil zaufany a podpis elektroniczny. Czym się różnią?
  5. 7 zasad, które warto znać, jak zaliczyć wpłatę otrzymaną od kontrahenta
Zobacz wszystkie

Kalkulatory

Zobacz wszystkie kalkulatory

Wzory dokumentów

Zobacz wszystkie wzory

Ochrona danych

Akt o Usługach Cyfrowych jako pomoc w ochronie danych w sieci

Kalkulatory Wzory umów Wskaźniki Porady online

Patronaty

KSeF, VIDA, akcyza, VAT tematami 8. Kongresu Podatkowego Lewiatan
semKRK#22 BIG - marketing internetowy
Ochrona danych osobowych 2018-2024 - wyzwania w cyfrowej rzeczywistości
XVIII Kongres ICV POLSKA (Controlling Intelligence Adventure 2024)
Open Source Day już 18 kwietnia w Warszawie! Zobacz wszystkie
Artykuły
Brak wyników.
Więcej artykułów
Wzory
Brak wyników.
Więcej wzorów