6 września 2021

Przetwarzanie danych biometrycznych przez przedsiębiorców. Jak zrobić to legalnie?

Udostępnij

Przetwarzanie danych biometrycznych jest co do zasady zakazane przez ogólne rozporządzenie o ochronie danych[1]. Przedsiębiorcy jednak coraz częściej i chętniej sięgają po nowoczesne rozwiązania oparte na technologii biometrycznego przetwarzania danych osobowych, a zwłaszcza po te, które ułatwiają organizację pracy w firmie lub obsługę klientów. O czym warto więc pamiętać, zanim rozpocznie się przetwarzanie tej szczególnej kategorii danych osobowych?

Jakie dane osobowe należy traktować jako dane biometryczne?

Pojęcie danych biometrycznych zostało zdefiniowane w art. 4 pkt 14 ogólnego rozporządzenia o ochronie danych. Zgodnie z tym przepisem dane biometryczne oznaczają „dane osobowe, które wynikają ze specjalnego przetwarzania technicznego, dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej oraz umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby, takie jak wizerunek twarzy lub dane daktyloskopijne”. Zakres definicyjny pojęcia danych biometrycznych jest szeroki, gdyż obejmuje dane o różnym charakterze. Wiele danych może zawierać informacje biometryczne dotyczące konkretnej osoby fizycznej. Przykładowo informacje biometryczne można pozyskać z analizy linii papilarnych, siatkówki oka, kształtu twarzy lub ucha, głosu, wzoru DNA, pisma, sposobu zachowania itp. Nie oznacza to jednak, że każde utrwalenie głosu lub wizerunku twarzy będzie stanowiło przetwarzanie danych biometrycznych[2]. Do tego niezbędne jest zastosowanie wspomnianych w przepisie specjalnych technik przetwarzania, dzięki którym możliwe będzie jednoznaczne zidentyfikowanie konkretnej osoby. W praktyce sprowadza się to do pobrania od konkretnej osoby danej zawierającej informację biometryczną (np. odcisku palca, próbki pisma, wizerunku), a następnie poddania tej danej przetwarzaniu za pomocą odpowiedniej techniki biometrycznej. W ten sposób powstaje wzorzec danej biometrycznej, który jest zapisywany w postaci cyfrowej i przechowywany w bazie danych lub bezpośrednio na urządzeniu umożliwiającym odczyt danych biometrycznych. Wzorzec ten jest później wykorzystywany w procesach identyfikacyjnych; jeśli poddana analizie dana zawierająca cechy biometryczne jest zgodna z daną utrwaloną za pomocą wzorca, dochodzi wówczas do identyfikacji lub potwierdzenia tożsamości osoby fizycznej.

Rozwój nowoczesnych technologii sprawia, że coraz więcej urządzeń, zwłaszcza tych, z których korzystamy na co dzień, jak smartphony, tablety czy komputery, jest wyposażonych w funkcje biometrycznego przetwarzania danych. Funkcje te znacząco ułatwiają i przyspieszają identyfikację użytkownika. Dzięki nim nie musimy pamiętać różnych haseł, które bywają skomplikowane oraz powinny być regularnie zmieniane w celu zabezpieczenia dostępu do urządzenia. Dane biometryczne nie wymagają ani zapamiętywania, ani aktualizacji. Są one trwałe, niezmienne niezależnie od wieku człowieka czy zmian fizycznych oraz nie podlegają modyfikacjom tak, jak inne dane osobowe. Ponadto mają unikalny charakter, ponieważ pozwalają na jednoznaczne rozróżnienie osób fizycznych. Przy zastosowaniu dobrej technologii biometrycznej i wysokiej jakości skanerów weryfikacja tożsamości osoby fizycznej praktycznie wyklucza ryzyko błędnej identyfikacji. Mimo to przetwarzanie danych biometrycznych, oprócz wspomnianych zalet i udogodnień, może też powodować długotrwałe, negatywne skutki dla podmiotu danych, wynikające właśnie z uniwersalnego, unikalnego i trwałego charakteru tych danych. Między innymi z tego powodu na mocy art. 9 ust. 1 RODO wprowadzono ogólny zakaz przetwarzania szczególnych kategorii danych osobowych, w tym danych biometrycznych, który doznaje jednak pewnych wyjątków.

Warunki legalnego przetwarzania danych biometrycznych

Przetwarzanie danych biometrycznych może być oparte na jednej z przesłanek opisanych w art. 9 ust. 2 RODO. W praktyce najczęściej wykorzystywanymi przesłankami legalizującymi przetwarzanie danych biometrycznych będzie zgoda podmiotu danych (art. 9 ust. 2 lit. a RODO) lub wypełnianie obowiązków i wykonywanie szczególnych praw przez administratora lub podmiot danych w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej, pod warunkiem, że jest to dozwolone prawem unijnym, prawem państwa członkowskiego lub porozumieniem zbiorowym zawartym zgodnie z przepisami krajowymi (art. 9 ust. 2 lit. b RODO). Z perspektywy administratora najlepiej jest wtedy, kiedy możliwość przetwarzania danych biometrycznych wynika wprost z przepisów. Wówczas istnieje wyraźna podstawa prawna, na której administrator może oprzeć przetwarzanie szczególnej kategorii danych osobowych. Przykładowo, dane biometryczne mogą być wykorzystywane w zakładach pracy w zakresie, w jakim jest to niezbędne ze względu na kontrolę dostępu do szczególnie ważnych informacji, których ujawnienie może narazić pracodawcę na szkodę, lub dostępu do pomieszczeń wymagających szczególnej ochrony. Tak stanowi art. 221b § 2 ustawy z dnia 26 czerwca 1974 r. Kodeks pracy[3].

Dane biometryczne mogą być też przetwarzane na podstawie zgody podmiotu danych. Trzeba jednak pamiętać, że ważność zgody zależy od spełnienia wielu warunków wynikających z RODO. Zgoda, aby była ważną podstawą prawną przetwarzania danych osobowych, musi stanowić konkretne, jednoznaczne i wyraźne okazanie woli, a przy tym musi być wyrażona świadomie i dobrowolnie. W kontekście zatrudnienia trudno przyjąć, że wymóg dobrowolności jest prawidłowo spełniony z uwagi na istnienie stosunku zależności i podporządkowania pomiędzy pracodawcą a pracownikiem[4]. Pracownik może czuć się zobowiązany do wyrażenia zgody na przetwarzanie danych osobowych, w tym danych wrażliwych, i obawiać się ewentualnych negatywnych konsekwencji wynikających z nieudzielenia zgody lub jej wycofania na dalszym etapie przetwarzania. Z tej przyczyny zaleca się, aby zgoda nie była stosowana jako podstawa prawna przetwarzania danych osobowych pracownika w sytuacjach, gdy pracownik może odczuwać jakąkolwiek presję ze strony pracodawcy. Okoliczność tę dostrzegł również polski ustawodawca, wprowadzając w art. 221b § 1 k.p. możliwość przetwarzania danych osobowych wrażliwych w oparciu o zgodę osoby ubiegającej się o zatrudnienie lub osoby zatrudnionej wyłącznie, gdy przekazanie tych danych osobowych następuje z inicjatywy tych osób, a nie na prośbę pracodawcy czy w celu spełnienia jego oczekiwań.

Zastosowanie powyższych dwóch przesłanek wynikających z kodeksu pracy warto przeanalizować na przykładzie.

Pracodawca udostępnia swojemu pracownikowi na potrzeby stosunku pracy telefon lub komputer wyposażone w funkcje biometrycznego przetwarzania danych w celu odblokowania dostępu do urządzenia. Jeśli w ramach wykonywanych obowiązków pracownik ma dostęp do danych dotyczących przedsiębiorstwa, które wymagają szczególnej ochrony, np. do informacji poufnych lub objętych tajemnicą przedsiębiorstwa, pracodawca ma prawo wymagać, aby pracownik korzystał z funkcji odblokowywania dostępu do urządzeń za pomocą biometrii, jeśli dane szczególnie chronione będą przechowywane na powierzonych urządzeniach. Jest to uzasadnione potrzebą zapewnienia bezpieczeństwa i poufności informacji, do których uprawnienia dostępowe zostały przyznane konkretnej osobie, czyli pracownikowi otrzymującemu urządzenia w celu wykonywania pracy. Nie zwalnia to przy tym pracodawcy z obowiązku weryfikacji, czy równoważnego stopnia bezpieczeństwa dla informacji wymagających szczególnej ochrony nie można zapewnić w sposób mniej inwazyjny dla prywatności i ochrony danych osobowych pracownika, np. za pomocą silnego hasła lub poprzez przechowywanie takich informacji wyłącznie na urządzeniach zlokalizowanych w siedzibie przedsiębiorstwa, w zamykanych pomieszczeniach itp. Jeśli w ocenie pracodawcy stosowanie biometrii jest w danym przypadku konieczne, wówczas podstawą takiego przetwarzania danych będzie art. 221b § 2 k.p. w zw. z art. 9 ust. 2 lit. b i art. 6 ust. 1 lit. f RODO[5].

Zakładając natomiast, że udostępnione pracownikowi urządzenia służą do wykonywania obowiązków niezwiązanych z dostępem lub przechowywaniem informacji wymagających szczególnej ochrony, pracodawca nie powinien żądać korzystania z funkcji opartych na biometrycznym przetwarzaniu danych, ponieważ nie jest to adekwatne, proporcjonalne i niezbędne do celów przetwarzania, a zatem stanowiłoby naruszenie m.in. zasady minimalizacji danych. Jeśli w takim przypadku pracownik sam zdecyduje się na przetwarzanie za pomocą technik biometrycznych swoich danych w urządzeniu, takie przetwarzanie nastąpi na podstawie jego zgody, tj. w oparciu o art. 221b § 1 k.p. w zw. z art. 9 ust. 2 lit. a RODO i art. 6 ust. 1 lit. a RODO[6]. W kontekście zgody na przetwarzanie danych osobowych warto jednocześnie pamiętać, że podmiot danych powinien mieć zapewnioną możliwość wycofania w każdym momencie zgody na przetwarzanie danych. W opisanym powyżej przypadku pracownik, który dobrowolnie korzysta z funkcji biometrii dostępnej w urządzeniu, może w każdej chwili z niej zrezygnować, wycofując swoją zgodę na takie przetwarzanie danych, a zatem warunek ten będzie spełniony.

W związku z przetwarzaniem danych biometrycznych administrator musi pamiętać nie tylko o spełnieniu podstawowych zasad przetwarzania danych osobowych z art. 5 RODO, w tym zasady zgodności z prawem przetwarzania, minimalizacji danych oraz integralności i poufności przetwarzania, czy o powiadomieniu podmiotu danych o przetwarzaniu danych biometrycznych oraz o tym, jakie przysługują mu w tym zakresie prawa, ale też o przeprowadzeniu analizy ryzyka, a jeśli to konieczne – oceny skutków przetwarzania dla ochrony danych osobowych (DPIA). Obowiązkiem administratora jest zapewnienie właściwego poziomu bezpieczeństwa przetwarzanych danych, tj. stopnia odpowiadającego ryzyku, jakie wiąże się z przetwarzaniem danych osobowych. Uwzględniając charakter, zakres, kontekst i cele przetwarzania, a także stan wiedzy technicznej i koszty, administrator wdraża odpowiednie środki techniczne i organizacyjne, które pomogą mu zapewnić bezpieczne środowisko przetwarzania danych osobowych. Należy mieć bowiem na uwadze, że przetwarzanie danych wrażliwych wiąże się z większym ryzykiem naruszenia praw lub wolności podmiotów danych, dlatego sposoby minimalizacji tego ryzyka mogą być inne niż w przypadku danych zwykłych. Dodatkowo warto pamiętać, że przetwarzanie danych biometrycznych wyłącznie w celu identyfikacji osoby fizycznej bądź w celu kontroli dostępu zostało uznane przez Prezesa Urzędu Ochrony Danych Osobowych jako jeden z przypadków, kiedy zachodzi konieczność dokonania oceny skutków dla ochrony danych[7].

Niezależnie od powyższego, warto jeszcze raz podkreślić, że przed każdym rozpoczęciem przetwarzania danych biometrycznych konieczne jest upewnienie się, czy przetwarzanie tego rodzaju danych wrażliwych jest niezbędne i adekwatne z perspektywy celów przetwarzania. Administrator nie powinien mieć na względzie wyłącznie korzyści i ułatwień, jakie może przynieść stosowanie biometrii w przedsiębiorstwie, ale przede wszystkim powinien brać pod uwagę sytuację osób, których dane będą w ten sposób przetwarzane, zwłaszcza jeśli osoby te pozostają w stosunku zatrudnienia. Dla przykładu, stosowanie biometrii w celu sprawdzania obecności pracowników lub rejestrowania ich czasu pracy, mimo że może stanowić duże usprawnienie organizacji przedsiębiorstwa, jest uznawane za niedopuszczalne[8]. Analogicznie może być w przypadku stosowania biometrii w celu ograniczenia dostępu do różnych pomieszczeń w przedsiębiorstwie – kontrolą biometryczną powinny być objęte wyłącznie pomieszczenia wymagające szczególnego nadzoru, a nie wszystkie pomieszczenia, nawet te, które nie wymagają ochrony przed dostępem osób nieuprawnionych.

Uwagi końcowe

Jak wspomniano na początku, przetwarzanie danych biometrycznych w przedsiębiorstwach znajduje coraz szersze wykorzystanie i to nie tylko w kontekście zatrudnienia. W wielu przypadkach można mieć jednak wątpliwość, czy faktycznie dochodzi do przetwarzania danych biometrycznych, czy nie. Przykładowo, zainstalowanie w centrum handlowym systemu monitoringu wizyjnego, który jednocześnie gromadzi dodatkowe dane klientów (np. dotyczące płci, wieku, zainteresowania produktami itp.) nie w celu ich jednoznacznej identyfikacji, ale w celu zaklasyfikowania do określonej grupy odbiorców i na tej podstawie dostarczania reklam przygotowanych dla danej grupy, nie będzie oznaczało przetwarzania danych biometrycznych. W opisanej sytuacji nie dochodzi bowiem do identyfikowania poszczególnych klientów centrum handlowego, ale jedynie do przypisania ich do zdefiniowanych grup. Aczkolwiek z przetwarzaniem danych biometrycznych będziemy mieć do czynienia wtedy, kiedy system zacznie identyfikować konkretnych klientów w oparciu o ich cechy biometryczne i będzie wykorzystywany do wykrywania, kiedy dana osoba przyszła do centrum lub do bezpośredniego dostarczania jej spersonalizowanych reklam. Wówczas stworzony zostanie wzorzec biometryczny, dzięki któremu możliwe będzie zidentyfikowanie konkretnej osoby fizycznej[9]. W takiej sytuacji przetwarzanie danych biometrycznych powinno nastąpić dopiero po uprzednim wyrażeniu wyraźnej zgody przez osoby, które takiemu przetwarzaniu mogą być poddane. Jednocześnie należy pamiętać o osobach, które nie wyrażą zgody lub cofną zgodę na przetwarzanie ich danych biometrycznych – administrator powinien im zapewnić możliwość korzystania z centrum handlowego w taki sposób, aby ich dane osobowe nie były przetwarzane za pomocą technik biometrycznych (np. poprzez wyznaczenie osobnego wejścia niewyposażonego w czytniki cech biometrycznych), a ponadto, aby brak zgody nie powodował dyskryminacji takich osób[10]. Co istotne, alternatywne rozwiązania nieoparte na przetwarzaniu danych biometrycznych powinny być zapewnione również mając na względzie osoby, które z różnych powodów nie będą mogły skorzystać z urządzeń biometrycznych[11], lub też w celu zapewnienia ciągłości świadczenia usług w razie nagłej awarii systemu wykorzystującego techniki biometryczne.

Adrianna Michałowicz

adwokat, doktorantka na Wydziale Prawa i Administracji Uniwersytetu Łódzkiego w Katedrze Europejskiego Prawa Gospodarczego. Mediator przy Adwokackim Centrum Mediacji w Łodzi, specjalizuje się w prawie ochrony danych osobowych, prawie własności intelektualnej i prawie gospodarczym.

Artykuł pochodzi z biuletynu Euro Info 6/2021

Przeczytaj więcej takich artykułów w strefie Wiedzy PARP


[1] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), Dz. Urz. UE L 119 z dn. 4.05.2016 r., s. 1, dalej: „RODO” lub „ogólne rozporządzenie o ochronie danych”.

[2] Zwraca na to uwagę prawodawca unijny w motywie 51 RODO.

[3] Dz. U. z 2020 r. poz. 1320, t.j. z dnia 30.07.2020 r., dalej: „k.p.”.

[4] Zob. Europejska Rada Ochrony Danych, Wytyczne 05/2020 dotyczące zgody na mocy rozporządzenia 2016/679, s. 9.

[5] Podstawą prawną przetwarzania danych wrażliwych powinna być jedna z przesłanek wskazanych w art. 9 ust. 2 RODO, jak i jedna z przesłanek ogólnych wynikających z art. 6 ust. 1 RODO, dotyczącego przetwarzania danych osobowych zwykłych. W omawianym przypadku w grę wchodzi m.in. przesłanka w postaci prawnie uzasadnionych interesów realizowanych przez pracodawcę (administratora). Więcej na temat wskazywania podstaw prawnych przetwarzania danych wrażliwych – zob. I. Małobęcka-Szwast, K. Syska, Podwójne podstawy prawne przetwarzania danych wrażliwych, ABI expert, nr 4, 2019.

[6] Z uwagi na fakt, że pracodawca–administrator, zgodnie z zasadą rozliczalności, ma obowiązek wykazać, że spełnia wymogi wynikające z RODO, w tym wymóg legalności przetwarzania danych osobowych, warto w takim przypadku odebrać od pracownika oświadczenie zawierające jego zgodę na przetwarzanie danych biometrycznych, jeśli pracownik zamierza dobrowolnie korzystać z funkcji biometrii.

[7] Komunikat Prezesa Urzędu Ochrony Danych Osobowych z dnia 17 czerwca 2019 r. w sprawie wykazu rodzajów operacji przetwarzania danych osobowych wymagających oceny skutków przetwarzania dla ich ochrony, M.P. z 2019 r. poz. 666 z dnia 08.07.2019 r.

[8] Zob. Urząd Ochrony Danych Osobowych, Ochrona danych osobowych w miejscu pracy. Poradnik dla pracodawców, 10.2018 r., s. 36.

[9] Zob. Europejska Rada Ochrony Danych, Wytyczne 3/2019 w sprawie przetwarzania danych osobowych przez urządzenia wideo, wersja 2.0., 01.2020 r., s. 20-21.

[10] W kwestii nieuzasadnionej dyskryminacji spowodowanej nieudzieleniem zgody na biometryczne przetwarzanie danych osobowych wypowiedział się ostatnio Prezes Urzędu Ochrony Danych Osobowych w decyzji z dn. 18.02.2020 r., sygn. ZSZZS.440.768.2018, na mocy której nakazał Szkole Podstawowej w Gdańsku m.in. usunięcie i zaprzestanie dalszego zbierania danych biometrycznych dzieci (linii papilarnych palców) korzystających z usług stołówki szkolnej. Prezes uznał, że przetwarzanie danych biometrycznych nie jest konieczne dla osiągnięcia celu, jakim jest identyfikacja uprawnienia dziecka do odebrania obiadu, gdyż szkoła może realizować ten cel za pomocą innych środków, np. w oparciu o karty elektroniczne, które szkoła i tak w tym celu wykorzystywała. Problem polegał też na tym, że dzieci, których rodzice nie wyrazili zgody na przetwarzanie ich danych biometrycznych, musiały przepuścić w kolejce na stołówkę inne dzieci, które były identyfikowane poprzez biometrię. To stanowi o nierównym traktowaniu i dyskryminacji. Co ciekawe, na skutek wniesionej skargi, Wojewódzki Sąd Administracyjny w Warszawie wyrokiem z dnia 7.08.2020 r., sygn. akt: II SA/Wa 809/20, uchylił zaskarżoną decyzję, stwierdzając że dane biometryczne były przetwarzane w oparciu o właściwą podstawę prawną (tj. ważnie wyrażoną przez rodziców zgodę na przetwarzanie danych biometrycznych dzieci) oraz z poszanowaniem zasady minimalizacji. Od wyroku Prezes Urzędu Ochrony Danych Osobowych złożył skargę kasacyjną do Naczelnego Sądu Administracyjnego.

[11] Przykładowo z uwagi na niepełnosprawność lub niemożność odczytu cech biometrycznych przez urządzenie.

Zobacz więcej podobnych artykułów