Biometria nie będzie powszechna

Generalny Inspektor Ochrony Danych Osobowych nie zgadza się na powszechne wykorzystanie biometrii przez przedsiębiorców. Nie będzie zatem możliwe np. instalowanie szafek na basenie otwieranych odciskiem palca czy ewidencji czasu pracy na podstawie skanowania siatkówki oka itd.

W przypadku zbierania przez firmy jakichkolwiek danych osobowych w ramach prowadzonej działalności problem sprowadza się zazwyczaj do dwóch pytań:

UŁATWIENIE TO NIE NIEZBĘDNOŚĆ

W przypadku przetwarzania danych biometrycznych w większości sytuacji niezbędność przetwarzania danych osobowych w celu wykonania umowy absolutnie nie będzie zachowana. Przetwarzanie takich danych będzie jedynie ułatwiać świadczenie usługi – np. w zakresie dostępu do klubu fitness. Jednak w żadnym wypadku nie można tu mówić o niezbędności.

W sytuacji, gdy z łatwością można zweryfikować tożsamość osoby na podstawie np. dowodu osobistego, identyfikacja na podstawie danych biometrycznych jest zbędna. Należy podkreślić, iż niezbędność przetwarzania danych osobowych była kwestionowana w orzecznictwie nawet co do takich danych, jak numer telefonu, czy e-mail. Nie każdy bowiem musi je posiadać. Świadczy to zatem o tym, że nie są one niezbędne, a co dopiero mówić o danych biometrycznych. Należy raz jeszcze podkreślić: ułatwienie nie oznacza niezbędności.

WYJĄTKOWA SYTUACJA

W zakresie niezbędności przetwarzania danych biometrycznych orzecznictwo sadów administracyjnych jest stanowcze i restrykcyjne – w istocie GIODO w swoich wypowiedziach na temat tych danych podąża śladem wytyczonym przez sądownictwo. Przykładowo, NSA wypowiedział się, iż nie jest dopuszczalnym, aby pracodawca przetwarzał odciski palców pracowników w celu kontroli czasu pracy. Sąd uznał, że nie jest to niezbędne, można tę ewidencję prowadzić innymi środkami (sygn. akt: I OSK 249/09).

W zakresie przesłanki niezbędności wskazać należy, iż zachowana tu musi być zasada proporcjonalności przetwarzania danych do zamierzonego celu. W przypadku instytucji finansowych, gdzie pomyłka co do tożsamości osoby może być znacznie bardziej brzemienna w skutki, można rozważyć, czy jednak niezbędność i zasada proporcjonalności do celu w kontekście ryzyka nie są zachowane. Niewątpliwie można by jednak argumentować, iż również w tym przypadku dane te nie są niezbędne i wystarczyć powinien przykładowo sam dowód, czy paszport.

ZGODA? TYLKO DOBROWOLNA

W kontekście powyższego, należy zadać kolejne o to, czy przedsiębiorcy mogą przetwarzać do celów wykonania umowy dane biometryczne na podstawie zgody. Podkreślić należy, iż i tutaj sądownictwo jest restrykcyjne. Chodzi o dobrowolność zgody. W szczególności w przypadku zbierania odcisków palców od pracowników do celów kontroli czasu pracy NSA wprost wykluczył możliwość udzielenia zgody przez pracowników, bowiem z uwagi na przewagę pracodawcy nad pracownikiem, zgoda ta nie może mieć waloru dobrowolności. Idąc tym tokiem rozumowania, również sytuacja, w której np. klub fitness żąda zgody na pobranie odcisków palców do celów identyfikacji pod rygorem nieudzielenia dostępu do klubu, będzie oznaczać, iż wyrażona zgoda nie jest dobrowolna, a zatem nie jest skuteczna. Dobrowolność zgody musi się wyrażać tym, że w razie odmowy zgody dana osoba nie poniesie żadnych konsekwencji – przykładowo, będzie mieć zapewnioną inną, klasyczną możliwość weryfikacji tożsamości przy dostępie do klubu.

RODO ZMIENI MECHANIZMY KONTROLI

Niewątpliwie obecne mechanizmy kontroli są mało efektywne, co ma się zmienić na gruncie RODO, czyli unijnego rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE. Rozporządzenie to będzie stosowane we wszystkich krajach członkowskich Unii Europejskiej od 25 maja 2018 roku.

Weryfikacja biometryczna ma ponadto sens, gdy jest powszechna – z uwagi jednak na możliwość jej stosowania w zasadzie wyłącznie na podstawie zgody osoby, której dane dotyczą, w przypadku licznych odmów wyrażenia zgody i tak przedsiębiorcy będą musieli stosować metody klasyczne. Wraz ze wzrostem świadomości społeczeństwa co do wartości danych biometrycznych odmowy będą coraz powszechniejsze. W kwestii z kolei wycieku danych biometrycznych, to wycieki te nie różnią się w zasadzie od wycieku jakichkolwiek innych danych weryfikujących. Pamiętać należy jednak, że wyciek danych to jedno z najcięższych naruszeń zasad ochrony danych osobowych – i może się wiązać nie tylko z odpowiedzialnością cywilnoprawną, ale nawet karną. Z tego względu, w razie wycieku tak ważnych danych, jak dane biometryczne, mało prawdopodobne jest, aby przedsiębiorca prowadzący np. klub fitness po raz kolejny zdecydował się na zbieranie innych tego typu danych do celów weryfikacji.

Autor: Aleksandra Błaszyńska

CHCESZ DOWIEDZIEĆ SIĘ WIĘCEJ O RODO W TWOJEJ FIRMIE?
Prześlij nam swoje dane kontaktowe, skontaktujemy się.