SPECYFIKA DANYCH BIOMETRYCZNYCH A BEZPIECZEŃSTWO OCHRONY DANYCH OSOBOWYCH
OCHRONA DANYCH A PRZECHOWYWANIE PLIKÓW W CHMURZE
3 grudnia, 2020
PHISHING CZYLI CYBER OSZUSTWO
5 lipca, 2021SPECYFIKA DANYCH BIOMETRYCZNYCH A BEZPIECZEŃSTWO OCHRONY DANYCH OSOBOWYCH
Dane biometryczne
SPECYFIKA DANYCH BIOMETRYCZNYCH A BEZPIECZEŃSTWO OCHRONY DANYCH OSOBOWYCH
Od 25 maja 2018 r. dane biometryczne kwalifikowane są do szczególnych kategorii danych osobowych. Mimo prostoty pozyskania tych danych i ich nowoczesności, a także popularności wykorzystywania biometrii według RODO są to dane szczególnie chronione i należy je wykorzystywać oraz przetwarzać tylko w uzasadnionych przypadkach.
Definicja danych biometrycznych
„Dane biometryczne oznaczają dane osobowe, które wynikają ze specjalnego przetwarzania technicznego, dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej oraz umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby, takie jak wizerunek twarzy lub dane daktyloskopijne”. Definicja ta zawarta jest w artykule 4 punkt 14 RODO.
Kwestię danych biometrycznych poruszono także w Dzienniku Urzędowym Unii Europejskiej w Rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).
Danymi biometrycznymi będzie więc wizerunek twarzy, odcisk palca, cechy tęczówki oka, układ naczyń krwionośnych, głos, kształt małżowiny usznej, podpis uwzględniający nacisk i poziom nachylenia pisma, dynamika pisania na klawiaturze.
Kiedy można korzystać z danych biometrycznych?
Szeroki zakres danych biometrycznych wykorzystywanych przez różnorodne podmioty wiąże się z możliwością nadużyć. Zgodnie z art. 9 ust.1 RODO zabrania się m.in. przetwarzania danych biometrycznych „w celu jednoznacznego zidentyfikowania osoby fizycznej”.
Istnieją wyjątki od zastosowania tego przepisu, kiedy to dopuszcza się przetwarzanie szczególnych kategorii danych osobowych (art. 9 ust. 2):
- wyraźna zgoda osoby udzielana w konkretnym celu (administrator danych musi wykazać, że zgoda, na którą się powołuje została udzielona);
- dane biometryczne są niezbędne do wypełnienia obowiązków i szczególnych praw administratora lub osoby, której dane dotyczą;
- dane biometryczne są niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą lub innej osoby fizycznej, a osoba, której dane dotyczą, jest fizycznie lub prawnie niezdolna do wyrażenia zgody;
- dane w sposób oczywisty zostały upublicznione przez osobę, której dotyczą;
- istnieją przesłanki związane z ważnym interesem publicznym;
- jest to niezbędne do ustalenia, dochodzenia lub obrony roszczeń lub w ramach sprawowania wymiaru sprawiedliwości przez sądy.
Najczęściej mamy do czynienia z uzasadnionym wykorzystaniem danych w przypadku dostępu do ważnych pomieszczeń w miejscu pracy (np. serwerownia, magazyn do przechowywania patentów czy produktów niebezpiecznych) lub dostępu do tajnych informacji. Wówczas pracodawca nie jest zobligowany do pozyskania zgody osób, których dane dotyczą na przetwarzanie ich danych biometrycznych, ponieważ przetwarzanie danych biometrycznych wynika z przepisów np. Kodeksu pracy.
Jak zapewnić bezpieczeństwo korzystania z danych biometrycznych?
By skorzystać bezpiecznie z danych biometrycznych administrator musi ocenić zasadność zastosowania tych danych. W dokonaniu oceny pomogą trzy zasadnicze pytania:1. czy biometria jest niezbędna do osiągnięcia celu, a cel ten jest naprawdę istotny?
2. czy istnieją inne mniej inwazyjne rozwiązania oraz inne metody, dzięki którym ten cel da się osiągnąć?
3. czy można dać osobie, której dane dotyczą, wybór rozwiązania?
Jeśli zachodzi konieczność korzystania z danych biometrycznych podstawą jest dobra i sprawdzona technologia odczytu tych danych.
Kolejno administrator winien ustalić podstawę prawną wykorzystania danych biometrycznych w oparciu o konkretny przepis prawa. Sama zgoda osoby, której dane dotyczą, może zostać bowiem wycofana, a przede wszystkim musi mieć charakter dobrowolny i nie może być wymuszona.
Najważniejsze jest jednak, aby administrator był w stanie zapewnić właściwą ochronę wzorców biometrycznych – niezbędne jest wdrożenie odpowiednich środków technicznych i organizacyjnych, aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw i wolności osób fizycznych.
Wyciek danych biometrycznych będzie obarczony dużym ryzykiem naruszenia praw i wolności osób fizycznych. Dane biometryczne muszą być więc zabezpieczone w szczególny sposób, ponieważ wymagania wobec nich są znacznie większe, niż w stosunku do standardowych danych.
