Miesięcznik informatyków i menedżerów IT sektora publicznego

Maciej Kawecki

Przetwarzanie danych biometrycznych a RODO

Bardzo trudno znaleźć jasne kryteria, będące podstawą do odróżnienia kategorii danych biometrycznych od pozostałych kategorii danych. Wyjaśnienia brak jest również w ogólnym rozporządzeniu unijnym o ochronie danych osobowych.

W ostatnim czasie coraz więcej i coraz głośniej mówi się o przetwarzaniu danych osobowych biometrycznych. Z jednej strony dostrzega się ogromną potrzebę gromadzenia takich danych, a z drugiej strony – ryzyko związane z ich przetwarzaniem. Problem stanowi jednak określenie, co odróżnia dane biometryczne od innych kategorii danych.

Rozumienie danych biometrycznych biometrii

Z wyroku NSA z 1 grudnia 2009 r. (I OSK 249/09) można wyinterpretować tezę, że podstawą do szczególnego potraktowania danych biometrycznych jest ich sensytywny charakter. Grupa Robocza art. 29 jako unijne forum współpracy organów ochrony danych osobowych państw członkowskich UE wskazała w jednej ze swoich opinii, że „dane biometryczne bezpowrotnie zmieniają związek między ciałem a tożsamością, ponieważ dzięki nim cechy ciała ludzkiego można automatycznie odczytywać i podlegają one dalszemu wykorzystaniu”1. W tej samej opinii Grupa wskazała również, że „dane biometryczne z samej swojej natury bezpośrednio wiążą się z konkretną osobą fizyczną”. W świetle powyższego dane te w większym stopniu niż inne dane dotyczą sfery intymności człowieka, gdyż ich pobranie wymaga w wielu przypadkach kontaktu z ciałem człowieka – dotyczą więc jego integralności cielesnej.

Nie do końca odpowiada to jednak rozumieniu danych biometrycznych przedstawionemu w ogólnym rozporządzeniu unijnym o ochronie danych osobowych. Rozporządzenie po raz pierwszy przesądza bowiem wprost, że są to dane, które „umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby, takie jak wizerunek twarzy lub dane daktyloskopijne”. Wprost przyznaje im również status danych podlegających szczególnej ochronie. Na gruncie obowiązujących przepisów dane biometryczne nie zostały zaliczone do tzw. danych osobowych wrażliwych.

Na podstawie obowiązującego stanu prawnego wymogi związane z przetwarzaniem takich danych powinno się oceniać na zasadach ogólnych, czyli odnoszących się do tzw. danych zwykłych. Wskazana z kolei w ogólnym rozporządzeniu definicja danych biometrycznych niemal w całości pokrywa się chociażby z definicją wprowadzoną przez ustawodawcę krajowego do art. 2 ustawy z dnia 13 czerwca 2003 r. o udzielaniu cudzoziemcom ochrony na terytorium Rzeczypospolitej Polskiej. Zgodnie z treścią rzeczonego artykułu danymi biometrycznymi jest „wizerunek twarzy i odciski linii papilarnych pobrane w celu umieszczenia w dokumentach podróży”. Gromadzenie wizerunków twarzy nigdy nie wymaga jednak bezpośredniego kontaktu z ciałem danej osoby. Związek ten nie musi więc polegać wyłącznie na fizycznym kontakcie z ciałem człowieka, ale do danych biometrycznych zaliczamy również te, które są odkodowywane z naszego wyglądu zewnętrznego. Taka definicja powinna być więc punktem wyjścia do udzielenia odpowiedzi na pytanie, czy w danym przypadku mamy do czynienia z danymi biometrycznymi – a więc informacjami podlegającymi na kanwie ogólnego rozporządzenia szczególnej ochronie.

Jest to o tyle doniosłe, że rozporządzenie unijne nie zawiera wyczerpującego katalogu takich informacji, nie wskazuje również ich definicji, a ciężar udzielenia odpowiedzi na tak postawione pytanie spoczywa na administratorach danych. Bez wątpienia informacjami takimi będzie nie tylko wizerunek danej osoby, ale również jej linie papilarne, geometria dłoni, brzmienie głosu, obraz tęczówki oka czy unikalny układ naczyń krwionośnych ciała (dłoni). Dane te oznaczają więc zarówno cechy fizyczne człowieka, np. układ naczyń krwionośnych na dłoni, jak i cechy behawioralne, np. barwę głosu. Te ostatnie potrafią czasem powiedzieć więcej na temat charakteru, nastroju i emocji człowieka, co w pewnych przypadkach pozwala traktować je jako dane osobowe.

Kiedy dane biometryczne identyfikują osobę

Nie wszystkie z powyższych informacji od razu będą jednak mogły zostać uznane za dane biometryczne. Dane te muszą bowiem jeszcze pozwalać na dokładną identyfikację osoby, której dotyczą. Mówiąc inaczej, nie każdy wizerunek będzie mógł zostać uznany za dane biometryczne. Przesądza o tym wprost motyw 51 ogólnego rozporządzenia, w świetle którego wizerunek należy do „«danych biometrycznych» tylko w przypadkach, gdy są przetwarzane specjalnymi metodami technicznymi, umożliwiającymi jednoznaczną identyfikację osoby fizycznej lub potwierdzenie jej tożsamości”. Mimo że motywy nie stanowią norm prawnych, będąc kontekstem normatywnym aktu prawnego, wskazują na kierunek wykładni jego przepisów. Bez wątpienia, w świetle powyższego, danymi biometrycznym będzie wizerunek, który z uwagi na jego standaryzację pokazuje detale twarzy danej osoby – jak chociażby wizerunek utrwalony na dowodzie osobistym. Danymi biometrycznymi trudno nazwać jednak będzie nagrania z roboczych kamer CCTV, bardzo często pozwalające wyłącznie na utrwalenie sylwetki człowieka.

[...]

Autor jest doktorem nauk prawnych. Doradca w Gabinecie Politycznym Ministra Cyfryzacji. Na Uniwersytecie Jagiellońskim obronił pracę doktorską nt. unijnej reformy ochrony danych osobowych. Studiował na Uniwersytecie w Sztokholmie oraz Uniwersytecie J.W. Goethego we Frankfurcie nad Menem. W latach 2015–2016 zatrudniony w Biurze Generalnego Inspektora Ochrony Danych Osobowych. W Ministerstwie Cyfryzacji odpowiada za koordynowanie prac nad nową ustawą o ochronie danych osobowych. Autor kilkudziesięciu publikacji z zakresu ochrony danych osobowych.

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma. Zapraszamy do składania zamówień na prenumeratę i numery archiwalne.
 
 

Polecamy

Biblioteka Informacja Publiczna

Specjalistyczne publikacje książkowe dla pracowników administracji publicznej

więcej