Reklama

Nowe prawo unijne dot. ochrony danych osobowych po raz pierwszy wprowadza definicję danych biometrycznych. Najpóźniej za dwa lata w Polsce i w całej UE takie dane tj. odciski palców, czy skan siatkówki oka, będą uznawane za dane wrażliwe i ich przetwarzanie będzie możliwe tylko za zgodą.

Dodatkowo wymaganie takich zgód będzie musiało być odpowiednio uzasadnione – zaznaczają prawnicy z Kancelarii Lubasz i Wspólnicy, specjalizujący się w sprawach dot. ochrony danych osobowych. Dane biometryczne tj. odciski palców, rysy twarzy, czy też zeskanowana siatkówka oka są szczególną kategorią danych osobowych, pomimo, że obecnie w polskich przepisach o ochronie danych nie są wymienione. Ich wykorzystywanie do identyfikacji konkretnej osoby może być bardzo szerokie. Obecnie zdarza się, że pracodawcy chcą, żeby pracownicy zamiast używania np. karty magnetycznej czy też tradycyjnego podpisywania listy przy rejestrowaniu czasu pracy, byli identyfikowani za pomocą skanowania linii papilarnych czy siatkówki oka.

Dane biometryczne to też dane osobowe

Jak podkreśla w rozmowie z PAP radca prawny Witold Chomiczewski z Kancelarii Lubasz i Wspólnicy, w tym przypadku GIODO zwrócił jednak uwagę, że nasza zgoda na przetwarzania danych powinna być dobrowolna, a w relacji pracownik-pracodawca może być różnie z zachowaniem tej dobrowolności.  - Więc w sprawach, które znam, zostało to potraktowane jako nieskutecznie wyrażona zgoda i jako naruszenie zasad przetwarzania danych osobowych - powiedział Chomiczewski.

Jego zdaniem w tego typu sprawach określona musi być celowość i adekwatność przetwarzania danych. Ich przetwarzanie powinno pozwalać na osiągnięcie określonego celu, ale jak najmniej ingerować w strefę prywatności danej osoby.  - W związku z tym, jeżeli mamy do wyboru linie papilarne, albo zwykłe podbijanie karty, czy podpisywanie listy obecności to jednak te linie papilarne mocniej ingerują w naszą prywatność. Z punktu widzenia zasady adekwatności i celowości, w takich sytuacjach nie będzie uzasadnione ich zbieranie i przetwarzanie - wyjaśnił prawnik.

Natomiast administratorzy danych osobowych biometrycznych mogą się powołać na uzasadniony cel w przypadkach, kiedy dane biometryczne wykorzystywane są do identyfikacji np. grupy pracowników mających dostęp do informacji będących tajemnicą firmy czy instytucji.  - Wtedy rzeczywiście identyfikacja za pomocą danych biometrycznych mogłaby zostać potraktowana jako uzasadniona - ocenia ekspert.

Jego zdaniem jeżeli pracownik odmówi zgody na przetwarzanie danych osobowych biometrycznych w celu np. rejestracji czasu, a pracodawca wyciągnie z tego powodu konsekwencje albo zwolni za to takiego pracownika, to może on dochodzić swoich praw w sądzie. Chomiczewski ocenia, że z dużym prawdopodobieństwem takie zwolnienie dyscyplinarne byłoby uznane za nieuzasadnione i pracownik miałby duże szanse na wygranie postępowania, powołując się m.in. na orzecznictwo Sądów Administracyjnych.

Nie traktujmy swojej prywatności lekko

Specjaliści podkreślają, że jako konsumenci i pracownicy powinniśmy dbać o to, by nie udostępniać lekkomyślnie swoich danych, w tym biometrycznych, bo ich przetwarzanie może być potencjalnie dla nas niebezpieczne. Mogą one służyć np. usługodawcom internetowym do celów marketingowych i sprofilowania, czyli określania preferencji konsumentów.

Radca przyznał, że zdarzają się już procesy sądowe dot. wykorzystywania danych biometrycznych. W amerykańskim stanie Illinois niedawno rozpoczęła się sprawa, którą Facebookowi wytoczyła grupa użytkowników. Pozwała ona ten portal społecznościowy za niezgodne z prawem stanu przetwarzanie danych biometrycznych. W tym przypadku chodzi o charakterystyczne punkty twarzy rozpoznawane na zdjęciach.

W tej sprawie nie zapadły jeszcze żadne rozstrzygnięcia, ale – jak ocenia prawnik - usługodawcy internetowi zauważyli już możliwości przetwarzania takich danych osobowych. Chomiczewski zwrócił uwagę, że to, co obecnie znamy z filmów takich jak „Raport mniejszości”, kiedy główny bohater wchodzi do centrum handlowego i na podstawie siatkówki oka kierowane są do niego bardzo spersonalizowane reklamy, może się okazać w niedalekiej przyszłości codziennością. Radca zastrzegł, że na gruncie nowych przepisów, które wejdą za dwa lata będziemy musieli wyrazić na to zgodę, a inne przesłanki legalizujące przetwarzanie będą bardziej rygorystyczne niż obecnie.

Użycie danych biometrycznych musi być uzasadnione

Parlament Europejski przyjął w kwietniu reformę unijnych przepisów o ochronie danych osobowych. Ich celem jest przede wszystkim lepsza ochrona użytkowników internetu, którzy uzyskają większą kontrolę nad tym, co dzieje się z ich danymi. Po wejściu w życie rozporządzenia państwa członkowskie oraz podmioty zobowiązane, w tym przedsiębiorcy, będą miały dwa lata na przygotowanie się do stosowania nowych przepisów.

W rozporządzeniu, a tym samym po raz pierwszy w przepisach dot. ochrony danych osobowych w Polsce - pojawia się definicja danych biometrycznych, czyli danych osobowych, które wynikają ze specjalnego przetwarzania technicznego i dotyczą naszych cech fizycznych, fizjologicznych czy też behawioralnych oraz pozwalają na jednoznaczną identyfikację. Jako przykładowe wskazane zostały: wizerunek twarzy czy dane daktyloskopijne.

I po raz pierwszy – jak tłumaczy PAP radca prawny Dominik Lubasz - została uregulowana wprost podstawa przetwarzania tych danych. Zostały one wymienione wśród innych danych wrażliwych, którymi dotychczas były m.in. dane dot. stanu zdrowia, wyznania czy przekonań politycznych - Również dane biometryczne staną się danymi wrażliwymi i co do zasady, jak inne dane wrażliwe, jest zakaz ich przetwarzania, za wyjątkiem przepisów szczególnych, które wskazują przesłanki dopuszczające przetwarzania takich danych m.in. zgodę osoby, której te dane dotyczą - wyjaśnia specjalista.

W przypadku udzielonej zgody będzie możliwe przetwarzanie danych biometrycznych, ale ponieważ są to dane wrażliwe wymaganie zgód na przetwarzania takich danych będzie musiało być dodatkowo uzasadnione.  - Sama zgoda blankietowa - moim zdaniem - w tym przypadku nie będzie wystarczała - podkreśla Lubasz.

państwa członkowskie dostały pewną furtkę, dzięki której mogą dodatkowo regulować aspekty związane z danymi biometrycznymi.  - Ale to dopiero początek tych rozważań, bo w ciągu dwóch lat przepisy w tym zakresie mogą się pojawić - ocenia prawnik.

Nowe prawo przystosowuje obowiązujące od 1995 r. w UE zasady ochrony danych do rozwoju nowych technologii internetowych i cyfrowych. Rozporządzenie przewiduje m.in., że aby dane użytkownika mogły być przetworzone, musi on wyraźnie zaznaczyć swoją akceptację np. poprzez zaznaczenie na stronie internetowej pola z potwierdzeniem wyrażenia zgody na przetwarzanie danych. Niewybranie żadnego pola albo pola zaznaczone automatycznie nie mogą być uznane za wyrażenie zgody.

Nowe przepisy mają też ułatwić użytkownikowi wycofanie zgody na przetwarzanie danych; ma to być równie proste, jak jej wyrażenie. Przyznane zostaje również "prawo do bycia zapomnianym", czyli wymazania swych danych z baz firm przetwarzających je - pod warunkiem, że nie ma uzasadnionych powodów do ich przechowywania.

Czytaj też: FBI chce stworzyć bazę danych z tatuażami obywateli

PAP - mini

Reklama
Reklama

Komentarze