Wolters Kluwer Sklep Online

Jesteś już użytkownikiem programów LEX?

Dane biometryczne a RODO

09 września 2020

W lutym 2020 r. Prezes Urzędu Ochrony Danych Osobowych nałożył karę pieniężną w wysokości 20 tys. zł. na jedną ze szkół podstawowych. Placówkę ukarano za nieuzasadnione wykorzystanie danych biometrycznych do monitorowania płatności za obiady uczniów w szkolnej stołówce. Dlaczego szkoła otrzymała karę, skoro większość rodziców zgodziła się na takie rozwiązanie? Dowiesz się tego z LEX Ochrona Danych Osobowych.

Dane biometryczne kojarzą nam się przede wszystkim z odciskami linii papilarnych na palcach. Jednak ta kategoria danych jest o wiele szersza, w jej zakres wchodzi także kształt twarzy, głos, tęczówka oka, kształt ucha czy też układ żył dłoni. Dana biometryczna jest szczególną cechą przypisaną do konkretnej osoby fizycznej, i co bardzo ważne, nie ulega ona zmianom na przestrzeni czasu. Ze względu na swoją prostotę, wykorzystanie biometrii staje się coraz bardziej powszechne. Jednak według RODO są to dane szczególnie chronione i należy je wykorzystywać tylko w uzasadnionych przypadkach.

Wymogi dla wykorzystania danych biometrycznych

Aby móc wykorzystać dane biometryczne należy spełnić kilka warunków.

  1. Administrator musi ocenić zasadność zastosowania danych biometrycznych. Aby dokonać takiej oceny, konieczne jest udzielenie odpowiedzi na poniższe pytania:
  • czy biometria jest niezbędna do osiągnięcia celu, a cel jest naprawdę istotny;
  • czy istnieją inne mniej inwazyjne rozwiązania? Inne metody, dzięki którym ten cel da się osiągnąć;
  • czy można dać osobie, której dane dotyczą, wybór rozwiązania?

Po pierwsze, w przypadku ukaranej szkoły podstawowej cel monitorowania płatności za stołówkę nie był wystarczająco istotny, a po drugie, można było monitorować płatność za obiady za pomocą chociażby karty elektronicznej przypisanej do danego ucznia. Fakt, że rodzice wyrazili zgodę na wykorzystanie danych biometrycznych nie był wystarczający. Po trzecie, szkoła wprawdzie dała wybór – rodzic mógł nie zgodzić się na wykorzystanie danych biometrycznych dziecka - ale to powodowało, że było ono wpuszczane na stołówkę na samym końcu. Cały proces doprowadził więc do ewidentnej dyskryminacji uczniów, których rodzice nie zgodzili się na wykorzystanie danych biometrycznych. Dlatego tak istotne jest wcześniejsze przeanalizowanie takiego procesu. Decyzję Prezesa UODO nakładającą karę na szkołę znajdziesz TUTAJ

  1. Administrator musi ustalić podstawę prawną wykorzystania danych biometrycznych – najlepiej, aby był to konkretny przepis prawa. Oparcie się na zgodzie osoby, której dane dotyczą, może okazać się bardzo problematyczne. Co stanie się kiedy dana osoba wycofa zgodę na wykorzystanie swoich danych biometrycznych? Należy być przygotowanym na taki scenariusz. Nie wspominając już, że zgoda musi mieć charakter dobrowolny i nie może być wymuszona.
  2. Konieczne jest także przeanalizowanie tego, czy administrator jest w stanie zapewnić właściwą ochronę wzorców biometrycznych.

Wątpliwa technologia

Praktyka pokazuje, że na rynku dostępne są różne technologie obsługujące wykorzystanie danych biometrycznych. Niestety, wiele z nich jest słabej jakości i może zniekształcać dane i źle je odczytywać, co ma już konkretne skutki dla osoby, której dane biometryczne są wykorzystywane. Dlatego tak ważne jest wprowadzenie alternatywnych metod dostępu (np. możliwość skorzystania z odczytu linii papilarnych lub też poprzez kod pin). Musimy pamiętać, że decydując się na wykorzystanie danych biometrycznych, warto zainwestować w dobrą i sprawdzoną technologię odczytu danych.

Kiedy można a kiedy nie można wykorzystać biometrii?

Za powszechnie uzasadnione uznaje się wykorzystanie danych biometrycznych jako metody dostępu do szczególnie ważnych pomieszczeń (np. serwerownie, magazyn do przechowywania patentów czy produktów niebezpiecznych) czy informacji, których ujawnienie może narazić pracodawcę na szkodę. W takim wypadku pracodawca nie pozyskuje zgody osób, których dane dotyczą, na przetwarzanie ich danych biometrycznych. Takie przetwarzanie oparte jest wprost o przepisy Kodeksu pracy. 

Warto jednak pamiętać, że w przypadku naruszenia danych osobowych biometrycznych, administrator może ponieść bardziej dotkliwą karę, niż gdyby dotyczyło to danych zwykłych.

Szukasz szczegółowych informacji o zasadach wykorzystywania danych biometrycznych? Przeczytaj najnowszy komentarz praktyczny dostępny w LEX Ochrona Danych Osobowych „Okiem IOD-a: dane biometryczne – granice wykorzystania”.

Autorką komentarza jest Sylwia Czub-Kiełczewska - ekspert do spraw ochrony danych osobowych, szkoleniowiec, certyfikowany audytor wewnętrzny PN-ISO/IEC 27001. Wykładowca akademicki. Posiada wieloletnie doświadczenie w koordynacji procesów bezpieczeństwa danych. Jest to nie tylko jej praca, ale także pasja: prowadzi popularnego bloga Sylwia Czub bloguje o danych osobowych (sylwiaczub.pl). Przez ponad 6 lat była związana zawodowo z Instytutem Książki, w którym koordynowała procesy bezpieczeństwa danych. Przeprowadziła kilkaset szkoleń ze stosowania przepisów o ochronie danych osobowych. Od 2014 roku prowadzi stałą kolumnę o ochronie danych osobowych w branżowym czasopiśmie "Bibliotekarz". Obecnie wspiera swoją wiedzą i doświadczeniem procesy ochrony informacji w spółkach kapitałowych, agencjach reklamowych, jednostkach samorządowych. Świadczy także usługi zewnętrznego Inspektora Ochrony Danych.

Polecam,

Dane biometryczne a RODO
Alicja Plichta

Redaktor Naczelna Działu Biznes

Product Manager Ochrona Danych Osobowych

Nie korzystasz jeszcze z programów LEX?
Znajdź rozwiązanie dla siebie.

Zamów prezentacje produktów LEX, dzięki której poznasz pełne możliwości serwisu oraz uzyskasz informacje o pakietach spełniających Twoje potrzeby.