28.12.2015
Odciski placów w ewidencji czasu pracy, identyfikacja podatników za pomocą głosu czy dane biometryczne zapisywane na kartach bankowych – Unia Europejska pracuje nad nowymi regulacjami w zakresie przetwarzania danych biometrycznych jako danych osobowych.
Zgodnie z obecnym brzmieniem art. 27 ustawy o ochronie danych osobowych, zabrania się przetwarzania danych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również danych o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz danych dotyczących skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym. Wymienione powyżej dane stanowią katalog zamknięty tzw. danych osobowych wrażliwych. Ów katalog nie zawiera danych biometrycznych.
Dane biometryczne oznaczają określone cechy fizyczne (np. układ naczyń krwionośnych w palcu, obraz tęczówki oka) lub cechy behawioralne (np. głos). Obecnie nie ma wątpliwości, że dane biometryczne zwykle umożliwiają identyfikację określonej osoby, przez określenie jej tożsamości. Zgodnie zatem z art. 6 UODO stanowią one dane osobowe. Warto przy tym pamiętać, że nie wszystkie dane dotyczące naszego organizmu stanowią dane biometryczne, np. ciśnienie krwi samo w sobie nie stanowi informacji biometrycznej, która odpowiada danym osobowym. Kierunek interpretacji w tym zakresie jednoznacznie wyznacza art. 6 ust. 3 UODO, w którym wskazuje się, że informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań.
Dotychczas dane biometryczne nie odgrywały istotnej roli w obrocie gospodarczym. Rozwój technologiczny doprowadził jednak do znaczących zmian w tym zakresie. Pracodawcy zamierzają wykorzystywać dane biometryczne w postaci informacji daktyloskopijnych dla ewidencji czasu pracy, banki planują zapisywanie danych biometrycznych na kartach bankowych, a Krajowa Informacja Podatkowa zamierza identyfikować dzwoniących podatników za pomocą głosu (uruchomienie tego projektu zostało wstrzymane ze względu na zastrzeżenia Generalnego Inspektora Ochrony Danych Osobowych).
Wymienione powyżej przykłady nie należą do sfery futurologii, one faktycznie mają miejsce w naszej codzienności. W kwestii informacji daktyloskopijnych zbieranych przez pracodawców, szczególnie dla rejestracji czasu pracy wypowiedziały się nawet sądy administracyjne, np. w wyrokach SA/Wa 719/11 i I OS 249/09. W pierwszej sprawie WSA stwierdził, że „bezsporne jest, że dane biometryczne (punkty linii papilarnych) nie mieszczą się w katalogu dozwolonych do przetwarzania danych, określonych w art. 22(1) Kodeksu pracy.”, w drugiej sprawie NSA poddał w wątpliwość dobrowolność zgody pracownika, złożonej na żądanie pracodawcy. Brak równowagi w relacji pracodawca – pracownik stawia pod znakiem zapytania dobrowolność wyrażenia zgody na pobieranie i przetworzenie danych osobowych (biometrycznych). NSA uznał również, że wykorzystanie tych szczególnych danych do kontroli czasu pracy pracowników jest nieproporcjonalne do zamierzonego celu ich przetwarzania, podzielając tym samym stanowisko Grupy Roboczej Art. 29, która w dokumencie roboczym w sprawie biometrii z dnia 1 sierpnia 2003 r. stwierdza, że ryzyko naruszenia swobód i fundamentalnych praw obywatelskich musi być proporcjonalne do celu, któremu służy. W podobnym kierunku podążają interpretacje GIODO, wskazując dodatkowo na ich wyjątkowość, powodowaną niezmiennością danych biometrycznych (dopóki mamy do czynienia z danymi biometrycznymi żyjącego człowieka; niektóre dane biometryczne ulegają zmianie z chwilą śmierci albo oddzielenia od organizmu). Należy przy tym zauważyć, że GIODO popiera dobre praktyki dotyczące zachęcania klientów korzystających, np. z bankomatów do posługiwania się danymi biometrycznymi. W podobnym kierunku zmierzają prace Związku Banków Polskich, który w dokumencie Forum Technologii Bankowych opisał prawne aspekty biometrii. Biometria miałaby służyć dla potrzeb uwierzytelniania czynności bankowych. Autorzy dokumentu proponują interesujące rozwiązanie, które dzięki art. 5 UODO w brzmieniu „jeżeli przepisy odrębnych ustaw, które odnoszą się do przetwarzania danych, przewidują dalej idącą ich ochronę, niż wynika to z niniejszej ustawy, stosuje się przepisy tych ustaw” oraz przepisom Prawa bankowego dotyczącym ochrony tajemnicy bankowej, które uważane są za lepiej chroniące dane osobowe niż przepisy UODO, prowadziłoby do możliwości korzystania z danych biometrycznych w bankowości.
Wiele z powyższych wątpliwości zostanie rozwiązanych z chwilą wejścia w życie Rozporządzenia Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem tych danych (Ogólne Rozporządzenie o Ochronie Danych Osobowych). W ostatnim czasie prace nad przyjęciem Rozporządzenia zostały znacznie przyspieszone w wyniku osiągnięcia 15 grudnia 2015 roku kompromisu politycznego w ramach instytucji unijnych dotyczącego treści Rozporządzenia. Formalnie Rozporządzenie zostanie przyjęte przez Radę i Parlament UE na początku 2016 roku i po dwuletnim vacatio legis stanie się prawem obowiązującym w całej Unii.
Projekt Rozporządzenia zawiera definicję danych biometrycznych, które oznaczają wszelkie dane osobowe, wynikające z określonej obróbki technicznej, odnoszące się do fizycznych, fizjologicznych lub behawioralnych cech jednostki, co pozwala na jednoznaczną identyfikację tej osoby lub ją potwierdza, na przykład obraz twarzy lub dane daktyloskopijne.
Na podstawie art. 9 projektowanego Rozporządzenia dane biometryczne zostały zakwalifikowane do danych osobowych wrażliwych i ich przetwarzanie jest zabronione. Rozporządzenie, podobnie jak obecnie, UODO zawiera jednak wiele wyjątków od zakazu przetwarzania, m. in. zgoda podmiotu uprawnionego (choć będzie to musiała być zgoda wyraźna i dobrowolna). Państwa członkowskie będą mogły utrzymać lub wprowadzić dodatkowe warunki, w tym ograniczenia, również w odniesieniu do przetwarzania danych biometrycznych. Biorąc pod uwagę treść proponowanego Rozporządzenia, można oczekiwać, że prace nad projektami wykorzystującymi dane biometryczne będą musiały zostać skorygowane o możliwość ich przetwarzania na podstawie jednego z wyłączeń przewidzianych w Rozporządzeniu.
Artur Piechocki, radca prawny w kancelarii APLaw Artur Piechocki
Opracowanie: Mateusz Adamski
Link do publikacji: http://www.rp.pl/Dane-osobowe/312289944-Nowe-regulacje-w-zakresie-przetwarzania-danych-biometrycznych-jako-danych-osobowych.html