RODO wprowadziło, nieznane przepisom obowiązującym przed 25 maja 2018 r., pojęcie danych biometrycznych. Z jednej strony postęp technologii nieuchronnie zmierza ku ich stosowaniu. Z drugiej strony, są to dane wrażliwe, w związku z czym nie dziwi  iż przepisy unijne zaliczyły je do szczególnych kategorii danych. W związku z tym, czy możliwe jest przetwarzanie takich danych? Śpieszymy z odpowiedzią 🙂

Pojęcie danych biometrycznych według RODO

W świetle art. 4 pkt. 14 RODO, dane biometryczne to informacje wynikające ze specjalnego przetwarzania technicznego, które dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej i umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby, takie jak wizerunek twarzy lub dane daktyloskopijne.

Podjęcie danych biometrycznych „po ludzku” 🙂

Dane biometryczne to nic innego jak odciski palców, siatkówka czy tęczówka oka, właściwości ludzkiej twarzy, sposób poruszania się etc. Są to zatem wszelkie dane, które pozwalają na mierzenie cech fizycznych lub fizjologicznych człowieka bądź jego zachowań. Na gruncie RODO możemy mówić o danych biometrycznych, jeżeli wymienione powyżej dane są przetwarzane przy użyciu specjalnego przetwarzania technicznego. Takim „specjalnym przetwarzaniem technicznym” jest na przykład czytnik linii papilarnych czy geometrii dłoni. Mówiąc pól żartem, pół serio, pod pojęciem specjalnego przetwarzania technicznego możemy zatem rozumieć wszelkie bardziej lub mniej dziwne urządzenia bądź inne twory, których proces działania najpełniej rozumieją chyba tylko ich twórcy i których przeznaczeniem jest rozpoznanie danych biometrycznych. 🙂

Dopuszczalność przetwarzania danych biometrycznych

RODO powiela znany na gruncie starej regulacji zakaz przetwarzania danych wrażliwych. (Na szczęście) nie jest to zakaz bezwzględny. Nasza nowa „konstytucja” ochrony danych osobowych zawiera bowiem pokaźny katalog wyjątków, które pozwalają na ich przetwarzanie. Przypomnijmy, iż – w pewnym uproszczeniu – są to:

1. Zgoda osoby której dane dotyczą,

2. Niezbędność wypełnienia obowiązków i realizacji praw wynikających z przepisów przez administratora z zakresu prawa pracy, zabezpieczenia społecznego i ochrony socjalnej,

3. Ochrona żywotnych interesów osoby której dane dotyczą,

4. Przetwarzanie danych przez fundacje, stowarzyszenie lub inną podobną instytucję ich członków,

5. Dochodzenie, ustalenie lub obrona roszczeń,

6. Sprawowanie wymiaru sprawiedliwości,

7. Ważny interes publiczny,

8. Profilaktyka zdrowotna, medycyna pracy, ocena zdolności pracownika do pracy, diagnoza medyczna, zapewnienie opieki zdrowotnej lub zabezpieczenia społecznego, leczenie, zarządzanie systemami i usługami opieki zdrowotnej lub zabezpieczenia społecznego,

9. Cele archiwalne w interesie publicznym,

10. Cele badań naukowych lub historycznych,

11. Cele statystyczne.

Wyjątków jest sporo, niemniej każdy z administratorów powinien dochować należytej staranności w celu ustalenia, czy faktycznie dysponuje on legalną przesłanką do przetwarzania takich danych. Problem ten dotyczy w szczególności pracodawców, którzy coraz chętniej korzystają z możliwości techniki, w tym do stosowania jej w celach potwierdzenia obecności pracowników w pracy czy zabezpieczenia mienia znajdującego się na terenie zakładu pracy.

Biometria a zasada adekwatności

Zakaz zakazem, wyjątki wyjątkami. Niemniej, mimo posiadania podstawy prawnej ku przetwarzaniu danych biometrycznych, zasadne jest także uwzględnienie jednej z naczelnych zasad wynikających z RODO – zasady adekwatności, z której wynika iż administrator powinien zbierać dane niezbędne, a w przypadku gdy może on osiągnąć dany cel przy użyciu innych, mniej wrażliwych danych – powinien on ograniczyć się właśnie do przetwarzania takich danych. Zatem zanim administrator podejmie decyzję o zastosowaniu czytnika linii papilarnych, powinien on rozważyć czy taki sam skutek (np. bezpieczeństwo osób i mienia) nie zostanie osiągnięty przy użyciu kart dostępu, które nie wymagają posiadania danych biometrycznych.

Wpis nie stanowi porady ani opinii prawnej w rozumieniu przepisów prawa  oraz ma charakter wyłącznie  informacyjny. Stanowi  wyraz poglądów jego  autora na tematy prawnicze związane z treścią przepisów prawa, orzeczeń sądów, interpretacji organów państwowych i publikacji prasowych. Kancelaria Ostrowski i Wspólnicy Sp.K. i autor wpisu nie ponoszą odpowiedzialności za ewentualne skutki decyzji podejmowanych na jego podstawie.