Dane biometryczne stanowią wyjątkową kategorię danych osobowych i z tego względu podlegają szczególnej ochronie. Przepisy rozporządzenia RODO co do zasady zakazują przetwarzania danych biometrycznych, poza szczególnie uzasadnionymi przypadkami.
Które dane to dane biometryczne?
Do czasu wejścia w życie rozporządzenia RODO definicja danych biometrycznych w polskim prawie występowała wyłącznie w ustawie o dokumentach paszportowych – zgodnie z definicją tam podaną za dane biometryczne uznaje się wizerunek twarzy i odciski palców umieszczone w dokumentach paszportowych w formie elektronicznej. Wyjątkowo dane biometryczne mogły być uznawane za tzw. dane wrażliwe w rozumieniu poprzednio obowiązującej ustawy o ochronie danych osobowych.
Obecnie dane biometryczne zostały jednoznacznie zdefiniowane w rozporządzeniu RODO – definicja tam zawarta jest znacznie szersza niż poprzednio obowiązujące regulacje.
"...dane osobowe, które wynikają ze specjalnego przetwarzania technicznego, dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej oraz umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby, takie jak wizerunek twarzy lub dane daktyloskopijne."
Zgodnie z przywołanym przepisem dane biometryczne to wszystkie dane osobowe (czyli dane umożliwiające identyfikację osoby fizycznej) dotyczące:
-
cech fizycznych
(np. kod DNA, wizerunek twarzy, układ linii papilarnych, tęczówka oka);
-
cech fizjologicznych
(np. sposób poruszania się);
-
cech behawioralnych
(np. analiza głosu albo sposób składania własnoręcznego podpisu),
jeśli dane te wynikają ze specjalnego przetwarzania technicznego oraz umożliwiają lub potwierdzają identyfikację osoby fizycznej.
Poprzez specjalne przetwarzanie techniczne należy rozumieć wykorzystanie takich metod i środków, których celem jest dokonanie analizy cech biometrycznych i doprowadzenie do identyfikacji osoby fizycznej na podstawie przeprowadzonej analizy. Przykładem specjalnego przetwarzania technicznego może być na przykład skanowanie linii papilarnych czy tęczówki oka.
Przetwarzanie fotografii (np. zdjęcia identyfikacyjnego pracownika) nie zawsze będzie oznaczało przetwarzanie danych biometrycznych – fotografia stanowi dane biometryczne tylko wówczas, gdy jest przetwarzana zgodnie z definicją zawartą w przepisie art. 4 pkt 14 rozporządzenia, tj. za pomocą specjalnych metod technicznych.
Przykładowo, przechowywanie fotografii w aktach pracownika nie będzie stanowiło przetwarzania danych biometrycznych.
Warto zauważyć, że definicja danych biometrycznych w rozumieniu przepisów RODO nie ma charakteru zamkniętego – wraz z rozwojem techniki kolejne cechy osób fizycznych mogą zostać uznane za dane biometryczne.
Czy wg RODO dane biometryczne mogą być przetwarzane?
Motywy RODO wskazują, że niektóre kategorie danych osobowych – w tym dane biometryczne – wymagają specjalnej ochrony. Dane te są uznawane za szczególnie wrażliwe, umożliwiają bowiem jednoznaczną identyfikację osoby fizycznej i tym samym w wyjątkowych przypadkach mogą oznaczać poważne ryzyko dla podstawowych praw i wolności.
"Zabrania się przetwarzania danych osobowych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby."
Rozporządzenie RODO w przepisie art. 9 wprost zakazuje przetwarzania danych biometrycznych, jeśli jest to dokonywane w celu jednoznacznej identyfikacji osoby fizycznej albo identyfikacji danych zdrowotnych, seksualnych lub dotyczących orientacji seksualnej.
RODO zabrania przetwarzania danych biometrycznych, chyba że zachodzi jeden z przypadków wskazanych wprost w przepisach rozporządzenia, o których poniżej.
Przykładem sytuacji, w której przetwarzanie danych biometrycznych jest dopuszczalne, jest uzyskanie przez administratora danych wyraźnej zgody osoby, której dane dotyczą.
Kiedy RODO zezwala, aby dane biometryczne mogły być przetwarzaene?
Zakaz przetwarzania danych biometrycznych nie jest bezwzględny – przepis art. 9 rozporządzenia zawiera pokaźną listę wyjątków, w których przypadku przetwarzanie tej szczególnej kategorii informacji uznaje się za dopuszczalne.
Administrator może przetwarzać dane biometryczne w następujących przypadkach:
-
osoba, której dane dotyczą, wyraziła wyraźną zgodę na ich przetwarzanie;
-
przetwarzanie jest niezbędne do wypełnienia obowiązków i wykonywania szczególnych praw przez administratora lub osobę, której dane dotyczą, w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej (jeśli jest to dozwolone prawem UE lub prawem państwa członkowskiego);
-
przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą lub innej osoby fizycznej, a osoba, której dane dotyczą, jest fizycznie lub prawnie niezdolna do wyrażenia zgody;
-
przetwarzania dokonuje się w ramach uprawnionej działalności prowadzonej z zachowaniem odpowiednich zabezpieczeń przez fundację, stowarzyszenie lub inny niezarobkowy podmiot o celach politycznych, światopoglądowych, religijnych lub związkowych w odniesieniu do członków tej organizacji lub byłych członków;
-
dane biometryczne są w oczywisty sposób upublicznione;
-
przetwarzanie jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń lub w ramach sprawowania wymiaru sprawiedliwości przez sądy;
-
przetwarzanie jest niezbędne ze względów związanych z ważnym interesem publicznym;
-
przetwarzanie jest niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego, leczenia lub zarządzania systemami i usługami opieki zdrowotnej lub zabezpieczenia społecznego;
-
przetwarzanie jest niezbędne ze względów związanych z interesem publicznym w dziedzinie zdrowia publicznego;
-
przetwarzanie jest niezbędne do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych.
Oprócz 10 wyjątków wskazanych bezpośrednio w przepisach RODO rozporządzenie przyznaje również państwom członkowskim prawo do wprowadzenia dodatkowych wyjątków od zakazu przetwarzania danych biometrycznych w prawie lokalnym.
Każdy podmiot, który zamierza przetwarzać dane biometryczne (np. odciski palców) powinien zbadać, czy w jego przypadku znajdzie zastosowanie jeden z wyjątków przewidzianych powyżej. Najczęściej przetwarzanie tych danych będzie możliwe po uzyskaniu zgody osoby, której dane dotyczą – co ważne, zgoda ta musi być wyraźna, a nie dorozumiana. Oznacza to, że osoba musi zostać wyczerpująco poinformowana o celach, zasadach, skutkach przetwarzania i stosowanych środkach bezpieczeństwa. Zgoda musi zostać wyrażona jednoznacznie i świadomie.
W oparciu o powyżej przywołane przepisy pracodawca będzie mógł przetwarzać dane biometryczne swoich pracowników (np. zastosować czytnik linii papilarnych umożliwiający dostęp do określonego budynku czy pomieszczenia), jeśli uzyska wyraźną zgodę pracownika na podjęcie takich działań.
Przystępując do przetwarzania danych uznanych za biometryczne, należy jednak pamiętać o podstawowych zasadach RODO, do których należy m.in. zasada adekwatności – administrator danych ma obowiązek ograniczyć zakres przetwarzania danych wyłącznie do danych niezbędnych do osiągnięcia założonego przez siebie, zgodnego z prawem celu. Jeśli zatem administrator danych może osiągnąć ten sam skutek za pomocą przetwarzania danych mniej wrażliwych niż dane biometryczne, powinien wybrać tę metodę.