• Menu

    Biometria nie będzie powszechna

    Przedsiębiorcy nie mogą powszechnie stosować biometrii w swojej działalności. Takiego zdania przynajmniej jest Generalny Inspektor Ochrony Danych Osobowych, który nie zgadza się na takie praktyki. Nie będzie zatem możliwe np. instalowanie szafek na basenie otwieranych odciskiem palca czy ewidencji czasu pracy na podstawie skanowania siatkówki oka itd.

    W przypadku zbierania przez firmy jakichkolwiek danych osobowych w ramach prowadzonej działalności problem sprowadza się zazwyczaj do dwóch pytań: czy przetwarzanie określonych danych jest niezbędne do celów wykonania umowy np. usług lub umowy o pracę? Jeśli nie jest, to czy osoba, której dane dotyczą, wyraziła w sposób dobrowolny zgodę na ich przetwarzanie?

    Ułatwienie to nie niezbędność

    W przypadku przetwarzania danych biometrycznych w większości sytuacji niezbędność przetwarzania danych osobowych w celu wykonania umowy absolutnie nie będzie zachowana. Przetwarzanie takich danych będzie jedynie ułatwiać świadczenie usługi – np. w zakresie dostępu do klubu fitness. Jednak w żadnym wypadku nie można tu mówić o niezbędności.

    W sytuacji, gdy z łatwością można zweryfikować tożsamość osoby na podstawie np. dowodu osobistego, identyfikacja na podstawie danych biometrycznych jest zbędna. Należy podkreślić, iż niezbędność przetwarzania danych osobowych była kwestionowana w orzecznictwie nawet co do takich danych jak numer telefonu czy e-mail. Nie każdy bowiem musi je posiadać. Świadczy to zatem o tym, że nie są one niezbędne, a co dopiero mówić o danych biometrycznych. Należy raz jeszcze podkreślić: ułatwienie nie oznacza niezbędności.

    Wyjątkowa sytuacja

    W zakresie niezbędności przetwarzania danych biometrycznych orzecznictwo sądów administracyjnych jest stanowcze i restrykcyjne – w istocie GIODO w swoich wypowiedziach na temat tych danych podąża śladem wytyczonym przez sądownictwo. W jednym z kluczowych dla przedmiotowej kwestii wyroków NSA wypowiedział się, iż nie jest dopuszczalnym, aby pracodawca przetwarzał odciski palców pracowników w celu kontroli czasu pracy. Sąd uznał, że nie jest to niezbędne, można tę ewidencję prowadzić innymi środkami (sygn. akt: I OSK 249/09).

    W zakresie przesłanki niezbędności wskazać należy, iż zachowana tu musi być zasada proporcjonalności przetwarzania danych do zamierzonego celu. NSA we wskazanym wyżej wyroku stwierdził, iż wykorzystywanie danych biometrycznych pracowników do celu ewidencji czasu pracy nie jest proporcjonalne do zamierzonego celu, a zatem nie jest dopuszczalne. W przypadku instytucji finansowych, gdzie pomyłka co do tożsamości osoby może być znacznie bardziej brzemienna w skutki, można rozważyć, czy jednak niezbędność i zasada proporcjonalności do celu w kontekście ryzyka nie są zachowane. Niewątpliwie można by jednak argumentować, iż również w tym przypadku dane te nie są niezbędne i wystarczyć powinien przykładowo sam dowód czy paszport.

    Zgoda? Tylko dobrowolna

    W kontekście powyższego, należy zadać kolejne pytanie o to, czy przedsiębiorcy mogą przetwarzać do celów wykonania umowy dane biometryczne na podstawie zgody. Podkreślić należy, iż i tutaj sądownictwo jest restrykcyjne. Chodzi o dobrowolność zgody. W szczególności w przypadku zbierania odcisków palców od pracowników do celów kontroli czasu pracy NSA wprost wykluczył możliwość udzielenia zgody przez pracowników, bowiem z uwagi na przewagę pracodawcy nad pracownikiem, zgoda ta nie może mieć waloru dobrowolności. Sąd zaakcentował, iż z uwagi na brak równowagi relacji pracownik – pracodawca ustawodawca ograniczył przepisem art. 22 Kodeksu pracy katalog danych, których pracodawca może żądać od pracownika.

    Sąd stanowczo stwierdził, iż uznanie faktu wyrażenia zgody na podstawie art. 23 ust. 1 pkt 1 u.o.d.o. jako okoliczności legalizującej pobranie od pracownika innych danych niż wskazane w art. 22 Kodeksu pracy stanowiłoby obejście tego przepisu. Idąc tym tokiem rozumowania, również sytuacja, w której np. klub fitness żąda zgody na pobranie odcisków palców do celów identyfikacji pod rygorem nieudzielenia dostępu do klubu, będzie oznaczać, iż wyrażona zgoda nie jest dobrowolna, a zatem nie jest skuteczna.

    Klub fitness jako przedsiębiorca wykorzystuje w tym zakresie swoją przewagę nad klientem – konsumentem. Dobrowolność zgody musi się wyrażać tym, że w razie odmowy zgody dana osoba nie poniesie żadnych konsekwencji – przykładowo: będzie mieć zapewnioną inną, klasyczną możliwość weryfikacji tożsamości przy dostępie do klubu. Wykładnia NSA może jednak prowadzić do konstatacji, że już sama przewaga administratora danych nad osobą, której dane dotyczą, może całkowicie wykluczać skuteczność udzielenia zgody. Takie stanowisko może jednak być uważane za zbyt restrykcyjne.

     RODO zmieni mechanizmy kontroli

    Niewątpliwie obecne mechanizmy kontroli są mało efektywne, co ma się zmienić na gruncie RODO, czyli unijnego rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE. Rozporządzenie to będzie stosowane we wszystkich krajach członkowskich Unii Europejskiej od 25 maja 2018 roku.

    W unijnym rozporządzeniu RODO, wprowadzona została legalna definicja danych biometrycznych, której brakowało w polskim ustawodawstwie. Dane biometryczne stanowią szczególną kategorię, bo przypisane są do danego człowieka i nie da się ich zmienić. To może być odcisk palca, skan siatkówki oka czy próbka głosu. Kradzież lub utrata takich danych może mieć bardzo negatywne ale i nieodwracalne skutki – podkreśla dr Edyta Bielak-Jomaa, Generalny Inspektor Ochrony Danych Osobowych. Jak wskazuje, wydaje się zatem, że przedsiębiorcy nie powinni masowo gromadzić takich danych, zwłaszcza gdy nie ma to żadnego racjonalnego uzasadnienia i podstawy prawnej.

    Co na to GIODO?

    W opinii GIODO, powszechne używanie biometrii wytworzyłoby przekonanie o małej ważności tych danych. Jeśli firma będzie przetwarzać dane bez podstawy prawnej i racjonalnego uzasadnienia, to – jak podkreśla szefowa GIODO – urząd będzie zakazywać takiego działania i karać za naruszenie ochrony danych osobowych. Kwestie bezpieczeństwa technicznego będą brane pod uwagę dopiero w drugiej kolejności.

    Weryfikacja biometryczna ma ponadto sens, gdy jest powszechna – z uwagi jednak na możliwość jej stosowania w zasadzie wyłącznie na podstawie zgody osoby, której dane dotyczą, w przypadku licznych odmów wyrażenia zgody i tak przedsiębiorcy będą musieli stosować metody klasyczne. Wraz ze wzrostem świadomości społeczeństwa co do wartości danych biometrycznych odmowy będą coraz powszechniejsze. W kwestii z kolei wycieku danych biometrycznych, to wycieki te nie różnią się w zasadzie od wycieku jakichkolwiek innych danych weryfikujących.

    Pamiętać należy jednak, że wyciek danych to jedno z najcięższych naruszeń zasad ochrony danych osobowych – i może się wiązać nie tylko z odpowiedzialnością cywilnoprawną, ale nawet karną. Z tego względu, w razie wycieku tak ważnych danych, jak dane biometryczne, mało prawdopodobne jest, aby przedsiębiorca prowadzący np. klub fitness po raz kolejny zdecydował się na zbieranie innych tego typu danych do celów weryfikacji.

    Autor: Aleksandra Błaszczyńska, radca prawny z departamentu ochrony własności intelektualnej i danych osobowych Kancelarii Chałas i Wspólnicy

    Udostępnij w sieci ....
    Share on FacebookTweet about this on TwitterShare on LinkedInPin on PinterestShare on Google+Share on VKShare on Tumblr

    Dodaj komentarz

    Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *