Biometria podbija rynek, ale dzieli urzędy. Resort cyfryzacji zderzył się z GIODO

Nie ma jednomyślności w sprawie ochrony danych

W niedawnym wywiadzie dla tygodnika Firma i Prawo dr Edyta Bielak-Jomaa, generalny inspektor ochrony danych osobowych, twierdziła, że powszechne stosowanie biometrii przez przedsiębiorców jest niebezpieczne i może podlegać karaniu przez jej urząd ("Nie zgodzimy się na powszechne stosowanie biometrii", DGP nr 51 z 14 marca 2017 r.). Wypowiedzi te wywołały niemałe poruszenie w kręgach związanych z nowymi technologiami w biznesie.

"Powszechne używanie biometrii wytworzyłoby przekonanie o małej ważności tych danych" - argumentowała dr Bielak-Jomaa. Przypomniała, że dane biometryczne stanowią szczególną kategorię danych, bo są przypisane do konkretnego człowieka i nie da się ich zmienić. Zdaniem GIODO kradzież lub utrata takich informacji mogłaby mieć katastrofalne, nieodwracalne skutki. "Absurdalne jest, by przykładowo dziecko musiało udostępniać odcisk palca do szafki na siłowni czy basenie, skoro można mu po prostu dać kluczyk. Nikt mnie nie przekona, żeby w tego typu przypadkach konieczne było gromadzenie danych biometrycznych. Nie pomoże tłumaczenie, że są dobrze zabezpieczone. Być może - ale ryzyko ich utraty jest mimo wszystko zbyt duże" - mówiła dr Bielak-Jomaa. I dodawała, że jeśli firma będzie przetwarzać dane bez podstawy prawnej i racjonalnego uzasadnienia, to urząd będzie zakazywał takiego działania i karał za naruszenie ochrony danych osobowych. Kwestie bezpieczeństwa technicznego będą zaś brane pod uwagę dopiero w drugiej kolejności. Zdaniem GIODO zbieranie danych biometrycznych może być uzasadnione jedynie w służbach specjalnych albo wtedy, gdy chce się zapewnić większe bezpieczeństwo określonych miejsc, np. skarbca w banku, mennicy czy pomieszczeń, w których gromadzone są tajne informacje istotne z punktu bezpieczeństwa państwa.

To zbyt radykalne

Odmienne zdanie ma jednak Ministerstwo Cyfryzacji. - Pani minister Anna Streżyńska stara się podejść do tematu biometrii zdroworozsądkowo i na zasadzie złotego środka, tj. wyważając interesy przedsiębiorców i obywateli. Na pewno nasze stanowisko nie jest w tej kwestii tak radykalne, jak GIODO - mówi nam dr Maciej Kawecki, doradca minister cyfryzacji odpowiedzialny m.in. za dostosowanie aktów prawnych do unijnego rozporządzenia RODO (czyli rozporządzenia Parlamentu Europejskiego i Rady [UE] nr 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE; Dz.Urz. UE L 199 s.1).

- Całkowite zakazanie stosowania biometrii przez mniejszych przedsiębiorców niosłoby za sobą ryzyko zahamowania rozwoju innowacji oraz ograniczenia stosowania już dziś wdrożonych sposobów weryfikacji biometrycznej. Firmy z sektora MŚP powinny mieć możliwość przetwarzania danych biometrycznych klientów, o ile wyrażą oni na to zgodę - dodaje dr Kawecki.

Także Anna Streżyńska wielokrotnie podkreślała w wywiadach, że ważna jest dla niej użyteczność rozwiązań biometrycznych. Co więcej zamierza przetestować taką weryfikację w swoim resorcie.

- Konflikt dotyczący powszechności przetwarzania danych biometrycznych między dwoma najważniejszymi w tym obszarze instytucjami państwowymi jest niepokojący - zauważa Magdalena Koniarska, adwokat w zespole TMT kancelarii prawnej Wierzbowski Eversheds Sutherland.

Prace trwają

Niezależnie od stanowiska GIODO w resorcie cyfryzacji trwają prace nad rozwiązaniami wykorzystującymi biometrię w praktyce, np. nad e-dowodami, czyli dowodami osobistymi z warstwą elektroniczną. Pojawią się w 2019 r. W cyfrowej warstwie mają znaleźć się informacje dotyczące ubezpieczenia zdrowotnego oraz zapisana cecha biometryczna - wizerunek osoby. Co - jak przypomina nam minister cyfryzacji Anna Streżyńska - nie jest wielką rewolucją. W odpowiedzi na nasze pytania napisała, że już teraz zdjęcie twarzy stanowi cechę biometryczną i właśnie dlatego przy wyrabianiu tego dokumentu wymagało się określonej fotografii, która umożliwia utrwalenie charakterystycznych cech osoby.

Minister uważa, że obecnie istnieją metody, które umożliwiają bezpieczne przetwarzanie danych biometrycznych. Jak podkreśla - czasy, gdy zbierane były odciski palców posmarowanych tuszem, są już odległą przeszłością. Minister tłumaczy, że takiej biometrii już się nie stosuje, w zamian mamy nowoczesne metody zapisu cyfrowego z użyciem szyfrowania. W praktyce czytnik może pobierać dane z palca, używając swojego charakterystycznego szablonu, a potem szyfrować go w jeszcze inny rodzaj pliku. Czasem także aktualizując go na nowo przy każdorazowym logowaniu.

Praktyka: firmy lubią nowinki

Na całym świecie przedsiębiorcy coraz częściej wykorzystują biometrię w celach komercyjnych. Także w Polsce liczba zastosowań rośnie, m.in. w bankach, klubach fitness, ostatnio - na lotniskach

Na świecie biometria robi coraz większą karierę. W końcu 2017 r. liczba czytników do skanowania odbitek palców ma przekroczyć miliard. Mają być one użyte łącznie ok. 10 bilionów razy w ciągu roku. Tak wynika z raportu Deloitte Global "TMT Predictions 2017", który prognozuje, że ok. 40 proc. smartfonów w krajach rozwiniętych będzie wyposażonych w czytniki linii papilarnych (w zeszłym roku - ok. 30 proc.), 80 proc. użytkowników ma korzystać z nich regularnie. A jeszcze trzy lata temu takie czytniki były montowane tylko w najdroższych modelach.

- Przewidujemy, że wykorzystanie weryfikacji opartej na biometrii w smartfonach na masową skalę wpłynie na popularyzację zmian na pozostałych rynkach czytników biometrycznych - mówi Tomasz Grabowski, partner w dziale konsultingu Deloitte.

Eksperci Deloitte przekonują, że użytkownicy coraz częściej mają problem z zapamiętaniem haseł dostępu do urządzeń oraz aplikacji - zwłaszcza gdy z powodów bezpieczeństwa starają się zapewnić ich różnorodność oraz odpowiedni poziom skomplikowania. Sytuacja będzie się pogarszać: do 2020 r. przeciętny konsument ma mieć konta nawet w 200 różnych portalach, aplikacjach i serwisach e-commerce. Najpopularniejszym sposobem dostępu stanie się logowanie za pomocą odcisku palca - prognozuje Deloitte.

Wśród alternatywnych metod znajdziemy również coraz lepiej działający system rozpoznawania twarzy oraz skanowanie tęczówki oka. Do końca 2017 r. ok. 5 proc. urządzeń mobilnych ma być wyposażonych w tego typu systemy weryfikacji biometrycznej.

Biometria w instytucjach finansowych

W Polsce duże zainteresowanie technologiami biometrycznymi wykazują banki oraz tzw. fintechy (firmy zajmujące się dostarczaniem rozwiązań technologicznych dla branży finansowej).

mBank 12 kwietnia ogłosił, że ich aplikacja do płatności mobilnych będzie wykorzystywać możliwość weryfikacji biometrycznej klienta (odcisk palca). Alior Bank od października 2016 r. wykorzystuje logowanie przy pomocy odcisku palca w aplikacji T-Mobile Usługi Bankowe. W marcu, ujawnił strategię "cyfrowego buntownika". Poinformował, że zamierza przeznaczyć 400 mln zł na innowacje, w tym sztuczną inteligencję obsługującą klientów oraz wdrożenie biometrii (opisywaliśmy w tygodniku Firma i Prawo jeden z pomysłów - pilotażowy program systemu dzwoniącego do dłużników; "Cyberwindykator musi mieć nadzór człowieka", DGP nr 235 z 6 grudnia 2016 r.). Celem banku jest ograniczenie liczby stacjonarnych placówek, a w zamian zwiększenie sprzedaży produktów online o nawet 40 proc. do 2020 r.

Zastosowanie biometrii w bankach wiąże się pośrednio z planowanym wdrożeniem unijnej dyrektywy nr 2015/2366 z 25 listopada 2015 r. w sprawie usług płatniczych w ramach rynku wewnętrznego (Dz.Urz. UE z 2015 r. L 337, s. 35; tzw. PSD II). Jak wyjaśniał Jacek Wiśniewski, radca prawny w kancelarii Squire Patton Boggs, wprowadzi ona wymóg tzw. silnego uwierzytelnienia klienta. Dla zrealizowania płatności elektronicznej niezbędne będzie zastosowanie co najmniej dwóch z trzech metod. Przykładowo: bank może wymagać przy autoryzacji danych biometrycznych (np. odcisku palca lub analizy siatkówki oka) oraz wprowadzenia kodu SMS (pisaliśmy o tym w Firmie i Prawie: "Każda innowacja na początku może budzić obawy" w DGP nr 240 z 13 grudnia 2016 r.).

Dla instytucji finansowych wdrożenie dyrektywy PSD II to doskonała okazja do wprowadzenia innowacji i wyróżnienia się spośród konkurencji.

OPINIE EKSPERTÓW

@RY1@i02/2017/078/i02.2017.078.183000200.801.jpg@RY2@

Jacek Męcina przewodniczący zespołu ds. prawa pracy w Radzie Dialogu Społecznego

Możliwość wykorzystania biometrii dla potrzeb prowadzenia ewidencji czasu pracy w przedsiębiorstwach byłaby korzystnym usprawnieniem. Mogłoby to przecież zwiększyć poziom bezpieczeństwa w firmach, ułatwić prowadzenie dokumentacji, obniżyć koszty oraz pomogłoby uniknąć różnego rodzaju naruszeń. Nie powinniśmy zatem obawiać się zmian - resorty rodziny oraz cyfryzacji powinny dążyć do tego, by nowelizacja kodeksu pracy, nad którą obecnie trwają prace, otwierała możliwość wykorzystania biometrii w zakładach pracy. Mam nadzieję, że to się uda, mimo że przeciwne takim zmianom mogą być związki zawodowe. Myślę, że także opinia GIODO w kwestii danych biometrycznych stanowi kolejny kłopot, bo podejście tego urzędu jest dość konserwatywne. Organ ten bardzo literalnie interpretuje przepisy europejskie i do tej pory interweniował przy próbach wykorzystania biometrii przez pracodawców.

@RY1@i02/2017/078/i02.2017.078.183000200.802.jpg@RY2@

dr Paweł Litwiński adwokat, Instytut Allerhanda, partner w Barta Litwiński Kancelaria Radców Prawnych i Adwokatów sp.p.

Na gruncie RODO przetwarzanie danych biometrycznych w relacjach pracowniczych, np. w celu ewidencji czasu pracy, stanie się dopuszczalne (mówi o tym motyw 155 preambuły). Z unijnego rozporządzenia wprost wynika bowiem możliwość udzielenia zgody pracownika na przetwarzanie danych osobowych. Oczywiście podstawą prawną przetwarzania takich danych musi być dobrowolna zgoda pracownika, pracodawca będzie więc musiał zapewnić, aby taka rzeczywiście została udzielona dobrowolnie. Problemem dzisiaj są jednak przepisy polskiego kodeksu pracy. W art. 221 określono dokładnie zakres danych, jakie może przetwarzać pracodawca, i nie da się go rozszerzyć za zgodą pracownika - taka zgoda zdaniem polskich sądów i GIODO jest bezskuteczna, gdyż nie jest swobodna. Dlatego konieczna może być nowelizacja kodeksu pracy. ⒸⓅ

Nie tylko banki

Po rozwiązania biometryczne sięgają nie tylko banki. Coraz częściej pojawiają się one w klubach fitness (przy identyfikacji wejść). W lutym na lotnisku Warszawa-Modlin pojawiła się pierwsza w Polsce biometryczna bramka do automatycznej odprawy osób. Maszyna weryfikuje podróżnych na podstawie zdjęcia ich twarzy oraz odcisków linii papilarnych, porównując te dane z danymi z paszportów.

Czy to bezpieczne

Pojawia się jednak pytanie: czy to bezpieczne? Przecież w razie kradzieży odcisków palców zagregowanych u jednego przedsiębiorcy można teoretycznie uzyskać dostęp do innych jego kont.

Przeciwnicy szerokiego stosowania biometrii przypominają chociażby sprawę 27-letniej Chinki, która w 2009 r. wydała równowartość blisko pół miliona złotych na operację podmiany opuszków palców - dzięki temu udało jej się przejść bez zaalarmowania służb kontrolę na japońskim lotnisku. Nieco ponad tydzień temu badacze z Uniwersytetu w Nowym Jorku we współpracy z Uniwersytetem w Michigan udowodnili, że - wykorzystując stworzony przez siebie sztuczny odcisk palca - potrafią oszukać sensory w smartfonach w niemal 65 proc. przypadków.

Jak twierdzą eksperci, niektóre technologie biometryczne są bardziej narażone na fałszerstwo lub kradzież niż inne. Przykładowo weryfikacja głosu może być nie tylko zawodna (ze względu np. na hałas w tle lub zmiany głosu spowodowane chorobą), lecz także podatna na fałszerstwa (skopiowanie czyjejś wypowiedzi przykładowo podczas rozmowy telefonicznej). Podobnie skanowanie siatkówki oka - jeszcze do niedawna możliwe były oszustwa za pomocą zdjęcia lub nagrania dobrej jakości.

@RY1@i02/2017/078/i02.2017.078.183000200.803.jpg@RY2@

Wybrane technologie biometryczne

Coraz doskonalsze zabezpieczenia

Zwolennicy biometrii, podobnie jak minister Anna Streżyńska, uspokajają: specjaliści od technologii wciąż pracują nad jej udoskonalaniem. Diametralnej zmianie uległa np. technologia weryfikacji odcisku palca. Specjaliści walczą usilnie z fałszerstwami, czego dowodem są przede wszystkim skanery badające przepływ krwi w oku bądź układ krwionośny w palcu użytkownika.

Dużą rolę odgrywa również odpowiednie szyfrowanie gromadzonych danych. - Nowoczesne zabezpieczenia sprawiają, że nawet w razie wycieku dane były bezużyteczne dla nieautoryzowanego użytkownika. Wzór biometryczny przechowywany w systemie nie jest bowiem tożsamy z pobraną daną biometryczną (nie jest to np. nagranie głosu klienta albo obraz odcisków palców), ale jest wynikiem przeprowadzonej przez system analizy - mówi Tomasz Motyl, dyrektor Innovation Lab w Alior Banku. I wyjaśnia, że może to być np. analiza lokalizacji charakterystycznego układu linii papilarnych palców, czyli tzw. minucji. - Przechowywane wzorce zawierają unikalne charakterystyki cech biometrycznych klienta i stanowią dla systemu swoistą kopię, do której są porównywane wzorce zbierane np. podczas kolejnych prób logowań do systemu. Czyli z przechowywanego w systemie wyniku analizy lokalizacji minucji w odciskach palców nie można odtworzyć całego odcisku palca. Jeśli dojdzie do przejęcia danych, to klient może mieć ustalony nowy wzorzec, wystarczy zmienić schemat zniekształceń. Takie działanie określa się mianem anulowalności biometrii (ang. cancelable biometrics), dzięki niemu próbki biometryczne są odnawialne, tak samo jak tradycyjne hasła - wyjaśnia dyrektor Motyl.

Część ekspertów podkreśla jednak, że na zaawansowane systemy zabezpieczeń będą sobie mogły pozwolić jedynie większe podmioty rynkowe. Małe i średnie firmy mogą wybierać systemy tańsze - potencjalnie bardziej narażone na wycieki lub niedostatecznie szyfrowane.

RODO niesie zmiany

Dlatego eksperci spierają się w kwestii tego, którzy przedsiębiorcy i w jakim zakresie powinni mieć możliwość wykorzystania rozwiązań biometrycznych. Wszyscy jednak wskazują, że choć obecne przepisy nie definiują w odpowiedni sposób zagadnienia danych biometrycznych, to wdrażając nowe technologie, powinno się mieć na uwadze postanowienia unijnego rozporządzenia RODO, które zacznie obowiązywać już za rok.

Agnieszka Szydlik z praktyki ochrony danych osobowych kancelarii Wardyński i Wspólnicy przypomina, że jedna z fundamentalnych zasad ochrony danych osobowych głosi, że zakres przetwarzania danych powinien być adekwatny do celów, w jakich te dane są przetwarzane (zasada minimalizacji i adekwatności).

Jak przyznaje, już teraz GIODO krytycznie podchodzi do zastosowania biometrii w sytuacjach, gdy cel przetwarzania może zostać osiągnięty przy wykorzystaniu bardziej standardowych danych o ograniczonym zakresie.

Ponadto, jak podkreśla Dominik Sęczkowski, prawnik w Kancelarii Radców Prawnych Lubasz i Wspólnicy, przetwarzanie danych biometrycznych jedynie na potrzeby zwiększenia atrakcyjności oferty w sytuacji, gdy istnieje możliwość wykorzystania zwykłych danych osobowych - może być niezgodne z RODO. - Biorąc pod uwagę charakter danych biometrycznych (niepowtarzalność, możliwość jednoznacznej identyfikacji określonej osoby), wysoce prawdopodobnym jest, że zasada ta będzie szczególnie stosowana przy ocenie wykorzystywania danych biometrycznych dla celów identyfikacyjnych, dokonywanej przez Urząd Ochrony Danych Osobowych (który to ma powstać zamiast obecnego GIODO) - uważa Sęczkowski.

OPINIA EKSPERTA

@RY1@i02/2017/078/i02.2017.078.183000200.804.jpg@RY2@

Marian Giersz prawnik w zespole ochrony danych osobowych i TMT w kancelarii Bird & Bird

Dopuszczalne jest posłużenie się danymi biometrycznymi do weryfikacji tożsamości klienta np. w usługach bankowych czy sklepach internetowych, o ile klienci będą mogli wciąż korzystać z tych usług również bez podawania danych biometrycznych, czyli w tradycyjny sposób.

Wykorzystanie danych biometrycznych przez małych mikroprzedsiębiorców po wejściu w życie RODO będzie podlegało takim samym rygorom jak wykorzystanie takich danych przez duże podmioty. W szczególności przetwarzanie danych biometrycznych najczęściej będzie wiązało się z koniecznością przeprowadzenia oceny skutków dla ochrony danych. W związku z tym, że RODO przenosi na administratora obowiązek zapewniania bezpieczeństwa przetwarzanych danych, w praktyce może się okazać, iż warunkiem koniecznym wykorzystania danych biometrycznych będzie ich szyfrowanie, i to na odpowiednim poziomie. Szyfrowanie może się bowiem okazać jedynym środkiem zabezpieczenia minimalizującym ryzyko nieuprawnionego wykorzystania danych biometrycznych w razie ich wycieku lub kradzieży.

Konieczna swoboda wyboru

Co istotne, przedsiębiorcy nie mogą ograniczać swoim klientom możliwości wyboru. Agnieszka Błaszczyńska, radca prawny w departamencie ochrony danych osobowych i własności intelektualnej krakowskiego oddziału Kancelarii Chałas i Wspólnicy, mówi, że ułatwienie dzięki biometrii procesu świadczenia usług przez przedsiębiorcę nie będzie wystarczającym argumentem świadczącym o niezbędności przetwarzania danych biometrycznych. - Należy podkreślić, że niezbędność przetwarzania danych osobowych była kwestionowana w orzecznictwie nawet co do takich danych, jak numer telefonu czy e-mail, gdyż nie każdy musi je posiadać - przypomina mec. Błaszczyńska. Dodaje, że sytuacja, w której np. klub fitness żąda zgody na pobranie odcisków palców do celów identyfikacji pod rygorem nieudzielenia dostępu do klubu, będzie oznaczać, iż wyrażona zgoda nie jest dobrowolna, a zatem nie jest skuteczna.

- Dobrowolność zgody musi się wyrażać tym, że w razie odmowy zgody dana osoba nie poniesie żadnych konsekwencji. Będzie mieć np. zapewnioną inną, klasyczną możliwość weryfikacji tożsamości przy dostępie do klubu - wyjaśnia mec. Błaszczyńska.

Ryzyko wycieku danych

Jedna z największych obaw przed stosowaniem biometrii w przedsiębiorstwach wiąże się z niebezpieczeństwem wycieku danych. Za to mogą grozić firmie surowe kary przewidziane przez RODO.

Adwokat Marcin Zadrożny, specjalista ds. ochrony danych w ODO 24, podkreśla, że przedsiębiorcy z dużą ostrożnością powinni myśleć o stosowaniu biometrii i przetwarzaniu tego typu danych. A jeśli już - to osoba, która godzi się na ich wykorzystanie, powinna mieć świadomość ewentualnych negatywnych konsekwencji ich utraty przez administratora.

Widmo kar zdyscyplinuje

Mecenas Magdalena Koniarska mówi, że wycieki danych tak jak się zdarzały w przeszłości, tak nadal będą się zdarzać, niezależnie od obowiązujących przepisów czy zabezpieczeń. Zauważa, że od momentu stosowania postanowień RODO przedsiębiorca po każdym wycieku będzie ryzykował nie tylko sankcje karne, lecz także wizerunkowe - prawo będzie wymagało od niego niezwłocznego poinformowania swoich klientów, że nastąpił wyciek danych. - Sądzę, że widmo konsekwencji wizerunkowych kradzieży czy innego rodzaju wycieku danych stanowi potencjalny czynnik odstraszający przedsiębiorców od szerokiego korzystania z technologii biometrycznych. Jeżeli jednak do wycieku danych biometrycznych już dojdzie, to administrator danych zmierzy się nie tylko z konsekwencjami prawnymi czy PR-owymi takiej sytuacji. Niezbędna będzie zmiana systemu bazującego na przetwarzaniu takich danych - poprzez zastąpienie jednej kategorii danych używanych do identyfikacji inną kategorią, np. skan siatkówki oka zamiast odcisku palca itd. - uważa mec. Koniarska.

Dr Maciej Kawecki zapewnia jednak, że prezes Urzędu Ochrony Danych Osobowych będzie nie tylko karać przedsiębiorców, lecz także odpowiadać na ich pytania i rozwiewać ewentualne wątpliwości. Określając zaś wymiar ewentualnej kary, będzie dokonywał jej miarkowania w zależności m.in. od rodzaju naruszenia.

@RY1@i02/2017/078/i02.2017.078.183000200.805.jpg@RY2@

Jakub Styczyński

jakub.styczynski@infor.pl

@JakubStyczynski

RODO zmieni obowiązki

Wchodzące za rok unijne rozporządzenie niesie z sobą zmiany dla wykorzystujących dane biometryczne. Przede wszystkim wskazuje nowe obowiązki związane z przetwarzaniem

Dane biometryczne to jedna z kategorii danych osobowych, tak jak np. dane genetyczne czy dane dotyczące skazań. Ich przetwarzanie podlega więc przepisom o ochronie danych osobowych. Obecnie warunki, po spełnieniu których można dane osobowe zbierać i przetwarzać, oraz obowiązki z tym związane określa ustawa z 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. Dz.U. z 2016 r poz. 922; dalej: u.o.d.o.). Po 25 maja 2018 r. zostanie zastąpiona przez ogólne rozporządzenie o ochronie danych osobowych RODO.

Co to są dane biometryczne

Dane osobowe to informacje odnoszące się do zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej (art. 6 ust. 1 u.o.d.o. i art. 4 pkt 1 RODO). Każda informacja - potencjalnie - może mieć charakter danych osobowych, jeżeli spełnia następujące warunki:

a) odnosi się do osoby fizycznej,

b) umożliwia identyfikację tej osoby - samodzielnie lub wraz z innymi informacjami, do których dany podmiot ma dostęp lub zgodnie z prawem może mieć dostęp.

Mimo że przepisy u.o.d.o. nie zawierają żadnej regulacji odnoszącej się wprost do przetwarzania danych biometrycznych, nie budzi wątpliwości, że informacje takie, jak cechy źrenicy, linie papilarne, cechy twarzy, geometria ręki - mogą stanowić dane osobowe, jeżeli pozwalają na zidentyfikowanie danej osoby. Może to być identyfikacja wyłącznie na podstawie linii papilarnych (tj. wiemy, że linie papilarne należą do konkretnej osoby fizycznej) albo identyfikacja na podstawie linii papilarnych oraz innych informacji (wiemy, że linie papilarne należą do osoby, której w systemie kontroli dostępu nadano numer identyfikacyjny XYZ, który to numer w innej bazie danych jest przypisany konkretnej osobie fizycznej).

Na gruncie obowiązujących przepisów dane biometryczne nie zostały zaliczone do danych osobowych wrażliwych (dane osobowe, o których mowa w art. 27 ust. 1 u.o.d.o. - takie jak dane o stanie zdrowia, poglądach politycznych czy dane dotyczące skazań). Z tego względu obowiązki związane z przetwarzaniem danych biometrycznych należy obecnie oceniać na zasadach ogólnych, czyli takich, jakie odnoszą się do zwykłych danych.

Co zmieni rozporządzenie

Stan prawny w zakresie zasad ochrony danych biometrycznych zasadniczo się zmieni na gruncie RODO. Unijne rozporządzenie zawiera bowiem definicję danych osobowych biometrycznych. Zgodnie z jego art. 4 pkt 14 dane biometryczne oznaczają "dane osobowe, które wynikają ze specjalnego przetwarzania technicznego, dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej oraz umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby, takie jak wizerunek twarzy lub dane daktyloskopijne". Motyw 51 preambuły do RODO wyjaśnia, że choć fotografia może na pierwszy rzut oka zostać uznana za dane biometryczne, przetwarzanie fotografii nie zawsze powinno stanowić przetwarzanie szczególnych kategorii danych osobowych, gdyż fotografie są objęte definicją "danych biometrycznych" tylko w przypadkach, gdy są przetwarzane specjalnymi metodami technicznymi umożliwiającymi jednoznaczną identyfikację osoby fizycznej lub potwierdzenie jej tożsamości.

Określone informacje wtedy tylko będą mogły zostać uznane za dane biometryczne, jeżeli łącznie będą spełnione następujące warunki:

● informacje dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej,

●mają charakter danych osobowych,

●są przetwarzane specjalnymi metodami technicznymi umożliwiającymi jednoznaczną identyfikację osoby fizycznej lub potwierdzenie jej tożsamości.

Jeżeli więc np. pracodawca dysponuje zdjęciem pracownika w aktach osobowych, to jeszcze nie oznacza, że przetwarza dane biometryczne. Wizerunek osoby fizycznej będzie jej daną biometryczną tylko wtedy, gdy dzięki specjalnym technikom przetwarzania będzie umożliwiał identyfikację tej osoby lub potwierdzenie jej tożsamości. Nie wystarczy więc, że pracodawca będzie wiedział, do kogo należy konkretny wizerunek (bo zna swoich pracowników, bo akta osobowe są podpisane itp.). Aby wizerunek został uznany za dane biometryczne, taka możliwość identyfikacji musi wynikać z technologii przetwarzania wizerunku.

Obowiązki związane z przetwarzaniem

Fundamentalna zmiana, jaką niesie ze sobą RODO dla wykorzystujących dane biometryczne, to jednak nie tylko ich nazwanie, ale przede wszystkim wskazanie obowiązków związanych z ich przetwarzaniem.

Dane biometryczne zostały zaliczone do szczególnych kategorii danych osobowych (na gruncie RODO jest to odpowiednik pojęcia danych osobowych wrażliwych). RODO określa podstawy prawne przetwarzania danych biometrycznych - wskazuje konkretne przesłanki, które należy spełnić, żeby móc zgodnie z prawem przetwarzać takie dane.

Kiedy przetwarzanie będzie dopuszczalne

● osoba, której dane dotyczą, wyraziła wyraźną zgodę na przetwarzanie tych danych osobowych,

● przetwarzanie jest niezbędne do wypełnienia obowiązków i wykonywania szczególnych praw przez administratora lub osobę, której dane dotyczą, w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej, o ile jest to dozwolone prawem UE lub prawem państwa członkowskiego lub porozumieniem zbiorowym,

● przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej, a osoba, której dane dotyczą, jest fizycznie lub prawnie niezdolna do wyrażenia zgody,

● przetwarzania dokonuje się w ramach uprawnionej działalności prowadzonej przez fundację, stowarzyszenie lub inny niezarobkowy podmiot o celach politycznych, światopoglądowych, religijnych lub związkowych, pod warunkiem że przetwarzanie dotyczy wyłącznie członków lub byłych członków tego podmiotu lub osób utrzymujących z nim stałe kontakty w związku z jego celami oraz że dane osobowe nie są ujawniane poza tym podmiotem bez zgody osób, których dane dotyczą,

● przetwarzanie dotyczy danych osobowych w sposób oczywisty upublicznionych przez osobę, której dane dotyczą,

● przetwarzanie jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń lub w ramach sprawowania wymiaru sprawiedliwości przez sądy,

● przetwarzanie jest niezbędne ze względów związanych z ważnym interesem publicznym, na podstawie prawa Unii lub prawa państwa członkowskiego,

● przetwarzanie jest niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego, leczenia lub zarządzania systemami i usługami opieki zdrowotnej lub zabezpieczenia społecznego,

● przetwarzanie jest niezbędne ze względów związanych z interesem publicznym w dziedzinie zdrowia publicznego,

● przetwarzanie jest niezbędne do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych, na podstawie prawa UE lub prawa państwa członkowskiego.

ⒸⓅ

PiSZ

Co istotne, państwa członkowskie mogą "zachować lub wprowadzić dalsze warunki, w tym ograniczenia" m.in. w odniesieniu do przetwarzania danych biometrycznych. Obecnie nie wiadomo, czy polski ustawodawca skorzysta z tej możliwości.

Zgoda już nie wystarczy

Podstawy przetwarzania danych biometrycznych są sobie równoważne i wystarczy spełnienie jednej z nich, aby zalegalizować przetwarzanie danych. Co istotne, wśród tych podstaw prawnych nie ma podstawy analogicznej do tej, o której mowa w art. 6 ust. 1 pkt b RODO (odpowiednik art. 23 ust. 1 pkt 3 u.o.d.o.) - nie można oprzeć przetwarzania danych biometrycznych na tym, że takie przetwarzanie danych jest niezbędne do wykonania umowy z osobą, której dane dotyczą. W takich sytuacjach konieczne staje się poszukiwanie innej podstawy przetwarzania danych biometrycznych, którą w szczególności może być zgoda osoby, której dane dotyczą. Zgoda taka powinna być zgodą wyraźną - ale na gruncie RODO nie ma obowiązku pozyskiwania pisemnego zezwolenia na przetwarzanie szczególnych kategorii danych osobowych, jak to jest obecnie na gruncie u.o.d.o. w odniesieniu do danych wrażliwych.

Wyraźna, czyli jaka

Powstaje jednak pytanie, czym jest "zgoda wyraźna"? W dotychczasowych stanowiskach Grupy Roboczej Art. 29 (grupa złożona z przedstawicieli wszystkich europejskich organów ochrony danych osobowych) zgoda wyraźna była rozumiana jako udzielona wtedy, "gdy osobie fizycznej przedstawia się propozycję wyrażenia przyzwolenia (lub nie) na konkretny sposób wykorzystania lub ujawnienia jej danych osobowych, a osoba ta aktywnie (ustnie lub pisemnie) odpowiada na zadane pytanie" (z "Opinii 15/2011 w sprawie definicji zgody", przekład na jęz. polski przez Biuro GIODO, www.giodo.gov.pl/1520110/id_art/4214/j/pl/).

Zgoda wyraźna nie musi więc być zbierana w formie pisemnej - może być wyrażona ustnie czy z wykorzystaniem środków komunikacji elektronicznej (Grupa Robocza wskazuje wprost w przywołanej opinii, że "internetowe formularze rejestracyjne, za pośrednictwem których osoby fizyczne wprowadzają identyfikujące je dane oraz wyrażają przyzwolenie na przetwarzanie danych, spełniają wymóg wyraźnej zgody"). W takich przypadkach jednak wszelkie ryzyko związane z brakiem możliwości wykazania, że zgoda została udzielona, spoczywa na administratorze danych, który na nią się powołuje.

Takie rozumienie zgody wyraźnej jako przeciwieństwa tej domniemanej (lub dorozumianej) w polskich realiach wydaje się jednak zbyt daleko idące. W przepisach u.o.d.o. bowiem żadna zgoda na przetwarzanie danych nie mogła być domniemana lub dorozumiana z oświadczeń innej treści. Dlatego wydaje się, że nie można na gruncie RODO zrównywać zgody wyraźnej, przewidzianej dla szczególnych kategorii danych osobowych, ze zgodą, która na gruncie u.o.d.o. wymagana była w każdym przypadku jej zbierania. Zgoda wyraźna powinna jeszcze - oprócz wymogu wyraźnego jej udzielenia przez osobę, której dane dotyczą - być w odpowiedni sposób wyodrębniona (np. przy wykorzystaniu czcionki, ramki, koloru itp.), aby osoba udzielająca jej miała pełną świadomość co do tego, na co i w odniesieniu do jakich danych osobowych się godzi.

Podejście oparte na ryzyku

RODO zrywa z praktyką istniejąca pod rządami u.o.d.o., polegającą na tym, że w przepisach obowiązującego prawa wskazywano konkretne obowiązki z zakresie zabezpieczenia danych, które należy zastosować np. w zależności od tego, jakie kategorie danych są przetwarzane. Filozofia RODO preferuje podejście oparte na ryzyku. Zgodnie z art. 32 ust. 1 RODO administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku, uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia. Oceniając zaś, czy stopień bezpieczeństwa jest odpowiedni, uwzględnia się w szczególności ryzyko wiążące się z przetwarzaniem, wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych (art. 32 ust. 2 RODO).

Podejście takie, zwłaszcza przy przetwarzaniu danych biometrycznych, oznacza konieczność ustalenia, z jakim poziomem ryzyka mamy do czynienia w konkretnym przypadku. Na tej podstawie należy dobrać odpowiednie środki zabezpieczenia danych osobowych - przy czym nie wolno się ograniczać do środków o charakterze technicznym czy organizacyjnym. RODO promuje rozwiązania takie, jak np. pseudonimizacja danych, czyli takie przetworzenie danych osobowych, by nie można ich było już przypisać konkretnej osobie, której dane dotyczą, bez użycia dodatkowych informacji. Takie dodatkowe informacje powinny być przechowywane osobno i być objęte środkami technicznymi i organizacyjnymi uniemożliwiającymi ich przypisanie zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej.

Dane a usługi identyfikacji

Przykładem rozwiązania praktycznego, w którym już obecnie stosowane są rozwiązania wykorzystujące przetwarzanie danych osobowych biometrycznych, są usługi identyfikacji osób fizycznych towarzyszące w szczególności świadczeniu usług finansowych. Stosowane są rozwiązania, które pozwalają na rozpoznawanie cech twarzy, cech tęczówki oka czy linii papilarnych.

Stosowanie tego rodzaju rozwiązań jest dopuszczalne obecnie i pozostanie dopuszczalne na gruncie RODO. W szczególności żaden z przepisów rozporządzenia nie daje podstaw do twierdzenia, że mając do wyboru kilka możliwych rozwiązań w zakresie identyfikacji osób fizycznych, należy wybrać to, które nie zakłada przetwarzania danych biometrycznych. Pamiętać jednak należy o konieczności spełnienia podstawowych obowiązków związanych z przetwarzaniem danych biometrycznych:

a) zastosowanie podejścia opartego o filozofię privacy by design, które w tym konkretnym przypadku powinno co najmniej zakładać pseudonimizację danych biometrycznych wykorzystywanych do identyfikacji osób fizycznych,

b) wybór podstawy prawnej przetwarzania danych biometrycznych - wydaje się, że jedyną potencjalną podstawą może być wyraźna zgoda osób, których dane dotyczą,

c) wykonanie oceny skutków dla ochrony danych osobowych i przeprowadzenie uprzednich konsultacji, jeżeli spełnione zostaną przesłanki wynikające z RODO.

Takiemu przetwarzaniu danych biometrycznych powinny także towarzyszyć rozbudowane obowiązki informacyjne. W szczególności osoba, której dane dotyczą, powinna otrzymać dokładne informacje na temat zakresu i celu przetwarzania danych biometrycznych.

W ewidencji pracowniczej

Obecnie na gruncie przepisów u.o.d.o. przetwarzanie danych biometrycznych w relacjach pracowniczych jest kwestionowane przez GIODO i sądy administracyjne. Dzieje się tak nie dlatego jednak, że przetwarzanie danych biometrycznych jako takich jest w relacjach pracowniczych niedopuszczalne. Powodem takiego stanu rzeczy jest art. 22¹ ustawy z 26 czerwca 1974 r. - Kodeks pracy (t.j. Dz.U. z 2016 r. poz. 1666 ze zm.). Przepis ten określa zamknięty katalog danych osobowych pracownika, które pracodawca może przetwarzać. Powstało jednak pytanie, czy nie można go za zgodą pracownika rozszerzyć np. o dane biometryczne (cechy linii papilarnych), i na tej podstawie wdrożyć system kontroli czasu pracy oparty o takie dane.

Zgoda na przetwarzanie danych osobowych, aby była skuteczna, musi być dobrowolna. I właśnie wymóg dobrowolności zgody na przetwarzanie danych osobowych był w dotychczasowej praktyce stosowania przepisów u.o.d.o. często przywoływany w kontekście zgód na przetwarzanie danych osobowych udzielanych pracodawcy przez pracownika lub przez kandydata do pracy.

W fundamentalnym w tym aspekcie wyroku z 1 grudnia 2009 r. Naczelny Sąd Administracyjny uznał jednak, że "brak równowagi w relacji pracodawca pracownik stawia pod znakiem zapytania dobrowolność wyrażenia zgody na pobieranie i przetworzenie danych osobowych (biometrycznych). Z tego względu ustawodawca ograniczył przepisem art. 22¹ kodeksu pracy katalog danych, których pracodawca może żądać od pracownika. Uznanie faktu wyrażenia zgody na podstawie art. 23 ust. 1 pkt 1 u.o.d.o. jako okoliczności legalizującej pobranie od pracownika innych danych niż wskazane w art. 22¹ kodeksu pracy stanowiłoby obejście tego przepisu" (wyrok Naczelnego Sądu Administracyjnego z 1 grudnia 2009 r., sygn. akt I OSK 249/09). Swoiście pojmowany brak równowagi w relacji pomiędzy pracodawcą a pracownikiem (kandydatem do pracy) stanowił w ocenie NSA argument przemawiający za tym, że pracownik (kandydat do pracy) nie może udzielić pracodawcy zgody na przetwarzanie danych osobowych, która spełniałaby wymóg dobrowolności. Tym samym nie może dojść do rozszerzenia katalogu danych osobowych z art. 22¹ kodeksu pracy, co skutecznie uniemożliwia wdrożenie w relacjach pracowniczych rozwiązań opartych o biometrię.

Nieuniknione korekty

Wydaje się jednak, że takie - niezwykle restrykcyjne - stanowisko będzie niemożliwe do utrzymania na gruncie RODO. Unijne rozporządzenie dopuszcza bowiem w sposób wyraźny przetwarzanie danych osobowych pracowników na podstawie zgody. Stanowi o tym motyw 155 preambuły: "w prawie państwa członkowskiego lub w porozumieniach zbiorowych, w tym zakładowych porozumieniach z przedstawicielami pracowników, mogą być przewidziane przepisy szczegółowe o przetwarzaniu danych osobowych pracowników w związku z zatrudnieniem, w szczególności warunki, na których dane osobowe w związku z zatrudnieniem można przetwarzać za zgodą pracownika do celów procedury rekrutacyjnej, wykonywania umowy o pracę, w tym wykonywania obowiązków określonych w przepisach lub w porozumieniach zbiorowych, zarządzania, planowania i organizacji pracy, równości i różnorodności w miejscu pracy, bezpieczeństwa i higieny pracy oraz do celów indywidualnego lub zbiorowego wykonywania praw i korzystania ze świadczeń związanych z zatrudnieniem, a także do celów zakończenia stosunku pracy".

Za takim rozumieniem przepisów RODO - dopuszczającym zgodę jako podstawę przetwarzania danych w relacjach pracowniczych - świadczy też przebieg prac nad rozporządzeniem. W pierwotnej wersji projektu przedstawionej przez Komisję Europejską w motywie 34 preambuły można było przeczytać, że "zgoda nie powinna stanowić ważnej podstawy prawnej przetwarzania danych osobowych w sytuacji wyraźnego braku równowagi między podmiotem danych a administratorem. Dotyczy to w szczególności przypadku, gdy między podmiotem danych a administratorem istnieje stosunek zależności, między innymi wtedy, gdy dane osobowe pracowników są przetwarzane przez pracodawcę w kontekście zatrudnienia". Usunięcie tego fragmentu preambuły z jednoczesnym dodaniem motywu 155 świadczy niewątpliwie o tym, że wolą prawodawcy wspólnotowego było dopuszczenie przetwarzania danych osobowych pracowników (kandydatów do pracy) przez pracodawcę na podstawie zgody.

@RY1@i02/2017/078/i02.2017.078.183000200.806(c).jpg@RY2@

Kosztowne konsekwencje

Będą zmiany

Niezależnie od powyższego obecnie w Polsce trwają prace nad reformą zasad przetwarzania danych osobowych w relacjach pracowniczych i z dużym prawdopodobieństwem można powiedzieć, że art. 22¹ kodeksu pracy w obecnym brzmieniu tych prac nie przetrwa. Stanowi to konsekwencję art. 88 RODO, zgodnie z którym Rzeczpospolita Polska może przyjąć przepisy krajowe bardziej szczegółowe niż przepisy RODO, "mające zapewnić ochronę praw i wolności w przypadku przetwarzania danych osobowych pracowników w związku z zatrudnieniem".

Ewentualne przyjęcie tych przepisów nie zmieni jednak istniejącej na gruncie RODO możliwości przetwarzania danych pracowniczych na podstawie zgody pracownika (kandydata do pracy) wyrażonej pracodawcy - pod warunkiem jednak, że taka zgoda będzie spełniała wymagania wynikające z rozporządzenia, na czele z wymogiem dobrowolności zgody. W szczególności jeżeli od pracownika wymagana jest zgoda, a "z jej nieudzieleniem wiąże się rzeczywista lub potencjalna istotna szkoda", taka zgoda nie może zostać uznana za dobrowolną. Podobnie jeżeli "pracownik nie ma możliwości odmowy".

W świetle powyższego na gruncie RODO przetwarzanie danych biometrycznych w relacjach pracowniczych, np. w celu ewidencji czasu pracy, stanie się dopuszczalne. Oczywiście podstawą prawną przetwarzania takich danych musi być dobrowolna zgoda pracownika, pracodawca będzie więc musiał zapewnić, aby taka zgoda rzeczywiście została udzielona dobrowolnie. ⒸⓅ

@RY1@i02/2017/078/i02.2017.078.183000200.807.jpg@RY2@

dr Paweł Litwiński

adwokat, Instytut Allerhanda, partner w Barta Litwiński Kancelaria Radców Prawnych i Adwokatów sp.p.