UODO: Dane biometryczne mogą być wykorzystywane tylko w wyjątkowych sytuacjach

4 marca 2021, 13:04
biometrie-4312257_960_720
fot. u_h0yvbj97 / pixabay

Przetwarzanie danych biometrycznych mocno ingeruje w prywatność osób, powoduje liczne zagrożenia, jak np. możliwość ujawnienia danych szczególnych kategorii czy doprowadzenie do dyskryminacji - stwierdził Urząd Ochrony Danych Osobowych. 

Budowa każdego systemu przetwarzania danych biometrycznych powinna być poprzedzona przeprowadzeniem oceny skutków dla ochrony danych, a ostateczna decyzja o jego zastosowaniu uwzględniać podstawowe zasady ochrony danych osobowych, takie jak niezbędność, celowość oraz proporcjonalność - czytamy w komunikacje UODO opublikowanym w kontekście możliwości wykorzystania danych biometrycznych.

Biometria a dyskryminacja. Powraca sprawa szkoły podstawowej w Gdańsku

W Polsce różne podmioty chętnie sięgają po dane biometryczne, jednak nie zawsze chęć przetwarzania takich danych idzie w parze z odpowiednio przeprowadzoną oceną ryzyka bądź analizą, czy tych samych celów nie można osiągnąć w inny, mniej ingerujący w prywatność, sposób, przy którym nie będzie konieczne przetwarzanie danych biometrycznych - wskazuje Urząd Ochrony Danych Osobowych.

UODO przypomina sprawę szkoły w Gdańsku, która wprowadziła system identyfikacji biometrycznej przy wejściu do stołówki szkolnej, który pozwala dokonać  weryfikacji uiszczenia opłaty za posiłekPostępowanie, którego wyniki zostały przekazane opinii publicznej w marcu 2020 roku, wykazało, że pozyskiwanie danych biometrycznych a także ich przetwarzanie odbywało się na postawie pisemnej zgody opiekunów i korzystało z nich 680 dzieci. Zdaniem Prezesa UODO, zgoda Rodzica nie może być przesłanką legalizującą przetwarzanie danych biometrycznych, zgodnie z art. 9 ust. 1 RODO. Szkoła Podstawowa nr 2 w Gdańsku została ukarana wtedy karą w wysokości  20 tys. zł.

Decyzja UODO, jak wskazuje urząd w swoim komunikacie, została zaskarżona do Wojewódzkiego Sądu Administracyjnego, który ją uchylił. WSA uznał w tej sprawie, że wyrażenie zgody przewidziane w art. 9 ust. 1 lit. a RODO legalizuje pobieranie i przetwarzanie danych biometrycznych dzieci.

"UODO jednak nie może się z tym zgodzić. Udzielona przez rodziców zgoda na przetwarzanie danych biometrycznych ich dzieci nie może być uznana za dobrowolną, skoro jej brak wywoływał negatywne skutki w postaci konieczności przepuszczenia w kolejce po posiłek, tych dzieci, których rodzice taką zgodę wyrazili" - argumentuje urząd.

UODO podkreśla, że Sądy administracyjne w Polsce zajmowały się już przetwarzaniem danych biometrycznych. Naczelny Sąd Administracyjny w wyroku z 1 grudnia 2009 r. sygn. akt I OSK 249/09 uznał, że wykorzystywanie danych biometrycznych pracowników do kontroli czasu pracy narusza zasadę adekwatności. Sąd ten wskazał, że wykorzystanie danych biometrycznych do kontroli czasu pracy pracowników jest nieproporcjonalne do zamierzonego celu ich przetwarzania.

Wyrok WSA, który uchylił decyzję Prezesa UODO nakładającą karę na szkołę, przetwarzającą dane biometryczne uczniów jest w opozycji do wcześniejszego orzecznictwa NSA - dodano w komunikacie do sprawy.

UODO: cel nie może uświęcać środków

WSA uznał, że UODO zbyt rygorystycznie podszedł do zasady minimalizacji danych - czytamy dalej w komunikacie UODO - sąd ten stwierdził, że wymóg niezbędności należy odczytywać łącznie z wymogiem adekwatności i stosowności, co powinno pozwolić na uwzględnienie okoliczności i dopuszczenie przetwarzania danych, które w istotny sposób mogą pomóc osiągnąć cele przetwarzania.

Jak informuje UODO, Urząd nie zgadza się z takim werdyktem:  "Administrator może bowiem przetwarzać tylko te dane, które są mu niezbędne do realizacji określonego celu. Umożliwienie przetwarzania danych, które nie są niezbędne, a jedynie mogą pomóc osiągnąć cel może prowadzić do przetwarzania pod takim pretekstem nieograniczonego zakresu danych. Administrator mógłby wówczas tłumaczyć, że dane nie są niezbędne, ale mogą okazać się przydatne w realizacji danego celu. Takie podejście naruszałoby zasady minimalizacji i adekwatności".

Biorąc pod uwagę ryzyka związane z przetwarzaniem danych, zasady określone w RODO, Prezes UODO złożył do Naczelnego Sądu Administracyjnego kasację od wspomnianego wyroku WSA (sygn. akt II SA/Wa 809/20), który uchylił decyzję organu nadzorczego. Zdaniem UODO w sprawie doszło nie tylko do naruszenia zasad określonych w RODO, tj. minimalizacji i adekwatności, dobrowolności wyrażenia zgody, ale i do dyskryminacji niektórych uczniów - argumentuje urząd.

Co na to RODO?

Rozporządzenie ogólne o ochronie danych osobowych (RODO) nieprzypadkowo co do zasady zabrania przetwarzania danych biometrycznych, poza pewnymi wyjątkami - przypomina urząd w swoim komunikacie.

Jednocześnie podkreślono, dlaczego dane biometryczne stanowią tak dużą wartość - jak przypomina UODO dane te nie mogą zostać zmienione jak np. nazwisko czy adres zamieszkania: "dane takie jak odciski palców, wizerunek twarzy, siatkówka czy tęczówka oka, czy behawioralne lub psychiczne cechy danej osoby, przetwarzane specjalnymi metodami technicznymi, pozwalają nie tylko jednoznacznie nas zidentyfikować i określić, ale są to dane niezmienne".

"Ewentualny wyciek tej szczególnej kategorii danych osobowych - spowodowałby wysokie ryzyko naruszenia praw i wolności osób, których dotyczą" - czytamy w komunikacie. UODO podkreśla, że negatywne konsekwencje takiego zdarzenia mogą mieć miejsce przez całe dalsze życie. "Dlatego przetwarzanie danych biometrycznych dopuszczone jest tylko wyjątkowo na podstawie art. 9 ust. 2 RODO gdy m.in. pozwala na to przepis bądź osoba, której dane dotyczą wyraziła na to zgodę".

Zgoda: jednoznaczna, dobrowolna, świadoma i wyrażona wprost

Urząd przypomina również warunki jakie zgodnie z przepisami RODO muszą zostać spełnione: zgoda musi być jednoznaczna, dobrowolna, świadoma i wyrażona wprost przez osoby, których dane dotyczą i która ma na przykład formę pisemnego (w tym elektronicznego) lub ustnego oświadczenia. "A więc podstawowymi przesłankami konstrukcyjnymi zgody są dobrowolność, konkretność, świadomość i jednoznaczność. Ponadto wyrażający zgodę powinien wiedzieć, w jakim celu i komu danej zgody udziela" - czytamy w komunikacie.

Czym jest wymóg dobrowolności zgody?  Oznacza to, że osoba, której dane dotyczą, ma rzeczywisty i wolny wybór co do udzielenia zgody oraz może jej odmówić lub ją wycofać bez niekorzystnych konsekwencji. A więc brak zgody osoby na przetwarzanie jej danych nie może powodować np. dyskryminacji, pogorszenia jakości świadczonej usługi czy niemożliwości skorzystania z niej.

Biometria kusi - dlaczego?

Jednym z powodów jest łatwość pozyskania  niektórych takich danych (np. poprzez przyłożenie palca do czytnika lub oka do skanera) i późniejszej weryfikacji osoby na ich podstawie - wskazuje UODO. Jako przykład można wskazać np. kontrolę wejść do pomieszczeń czy budynków na podstawie np. odcisku palca, a więc danych daktyloskopijnych. Dużo łatwiej i szybciej jest przyłożyć palec do czytnika linii papilarnych niż wbijać kod dostępu czy korzystać z karty zbliżeniowej, którą można zgubić lub udostępnić innej, nieuprawnionej osobie.

"Upowszechnianie się wykorzystania biometrii powoduje, że coraz częściej kwestiami z nią związanymi zajmują się europejskie organy nadzoru w swoich postępowaniach" - wskazuje UODO.

Urząd przypomina, że przetwarzanie danych biometrycznych nie może się odbywać z pominięciem zasady minimalizacji określonej w art. 5 ust. 1 lit. c) RODO. Zgodnie z nią administrator danych może pozyskiwać tylko te dane, które są niezbędne dla zrealizowania konkretnych celów.

Na podstawie komunikatu UODO

CyberDefence24
CyberDefence24
KomentarzeLiczba komentarzy: 0
No results found.
Tweets CyberDefence24