Na gruncie RODO zabroniono przetwarzania tzw. danych wrażliwych, zwanych również danymi sensytywnymi oraz danymi szczególnej kategorii. Do danych takich należą właśnie dane biometryczne przetwarzane w celu jednoznacznego zidentyfikowania osoby fizycznej.
Dane biometryczne – nowa kategoria danych
RODO wprowadza w sposób wyraźny dane biometryczne jako nową kategorię danych podlegających dodatkowym rygorom. Dane biometryczne oznaczają dane osobowe, które wynikają ze specjalnego przetwarzania technicznego. Dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej. Umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby.
Mogą to być w szczególności dane daktyloskopijne (na podstawie linii papilarnych) czy nasze DNA. Danymi biometrycznymi może być już samo zdjęcie twarzy, o ile pozwala zidentyfikować osobę na podstawie jej unikalnych cech biologicznych, co następuje poprzez porównanie tego zdjęcia z posiadanym w bazie wzorcem i określenie czy cechy te są identyczne.
Nie trudno więc zauważyć, że dane o takim charakterze mogą znaleźć liczne zastosowania, nie tylko w ochronie czy kontroli dostępu, ale również do weryfikacji, czy dana osoba jest rzeczywiście tą, za którą się podaje. Weryfikacja taka ma kluczowe znaczenie chociażby z uwagi na zapobieganie praniu brudnych pieniędzy czy oszustwom. Dlatego szczególnie zainteresowanie możliwością przetwarzania takich danych przejawiają firmy z sektora finansowego i ubezpieczeniowego.
O tym, że dane biometryczne stanowią przedmiot szerokiego zainteresowania świadczy chociażby mająca niedawno miejsce premiera nowego telefonu od Apple – iPhone X. Jedną ze sztandarowych funkcji tego modelu ma być odblokowywanie telefonu, a nawet potwierdzanie płatności za pomocą skanowania twarzy użytkownika, czyli właśnie z wykorzystaniem jego danych biometrycznych. Pokazuje to dobitnie, jakie nadzieje w przetwarzaniu danych biometrycznych pokładają również podmioty wyznaczające trendy w zakresie wykorzystania technologii w życiu codziennym.
Dotychczas dane biometryczne, o ile np. nie mieściły się w ramach danych o stanie zdrowia, nie posiadały w polskim prawie żadnego szczególnego statusu. Jednakże zmianę w tym zakresie wymusiło wejście w życie RODO zaliczającego dane biometryczne do szczególnych kategorii danych poddanych dodatkowym rygorom, których przetwarzanie jest generalnie zabronione, o ile nie zachodzą dodatkowe okoliczności. Prawo do pewnego doprecyzowania zasad i możliwości przetwarzania danych biometrycznych RODO dało również państwom członkowskim, z czego polski ustawodawca zamierza skorzystać w nowych przepisach, których projekty znamy od połowy września.
Kto i jak skorzysta na zmianach
Projekty te dają pewnym kategoriom przedsiębiorców możliwość korzystania z rozwiązań biometrycznych przy identyfikacji tożsamości ich klientów. Dotyczy to w szczególności sektora usług bankowych oraz instytucji płatniczych i instytucji pieniądza elektronicznego. Wprawdzie biometria już od jakiegoś czasu jest wdrażana w Polsce przez SKOKi i banki, jednakże odczuwać one mogły istotne bariery w wykorzystaniu tego typu rozwiązań.
Autorzy projektu wychodzą potrzebom sektora bankowego naprzeciw i przewidują możliwość utworzenia na poziomie międzybankowym podmiotu, któremu przekazywane będą dane biometryczne – dla porównywania tych danych w celu weryfikacji klientów. Do tej pory takiego centralnego rejestru wzorców brakowało, jak również nie było podstawy prawnej do przekazywania danych takiemu podmiotowi bez wymogu uzyskiwania każdorazowo zgody osób, których dane osobowe dotyczą. Powstanie takiego podmiotu może stanowić wyraźny impuls dla zwiększenia wykorzystana biometrii przez banki i SKOKi, dla których tworzenie własnej bazy mogło być kosztowne i niepraktyczne.
Wyraźnej regulacji doczeka się również wreszcie kwestia przetwarzania danych biometrycznych pracowników przez pracodawców. Ma to być ogólnie dopuszczalne, jeżeli pracownik wyrazi na to zgodę w oświadczeniu w formie papierowej lub elektronicznej. W niektórych sektorach, jak np. w przypadku bankowości, pracodawcy takiej zgody w ogóle nie będą potrzebować, o ile dane te będą konieczne ze względu na kontrolę dostępu do informacji przetwarzanych przez bank i kontrolę dostępu do pomieszczeń. Bank będzie mógł przetwarzać te dane wyłącznie jednak przez okres zatrudnienia pracownika.
Impuls do rozwoju
Możemy mieć więc w praktyce do czynienia z sytuacją, w której zmiana z pozoru zaostrzająca przepisy i wprowadzająca ogólny zakaz przetwarzania danych biometrycznych, poprzez wyraźne określenie wyjątków od zakazu i ich uregulowanie, spowoduje rozwój usług z wykorzystaniem tych danych. Przedsiębiorcy będą mieli bowiem w końcu jasne wskazówki od ustawodawcy w jaki sposób i w jakim zakresie mogą z tych danych korzystać.
W kontekście uregulowania danych biometrycznych szczególną uwagę zwrócić należy również na rezygnację w RODO z wymogu pisemnej formy zgody na przetwarzanie danych osobowych wrażliwych. Na dzień dzisiejszy, jeżeli przetwarzanie danych wrażliwych ma się odbywać w oparciu o zgodę, polskie przepisy wciąż wymagają w sposób jednoznaczny formy pisemnej takiej zgody.
Złagodzenie wymogu pisemności dla takiej zgody, nie wynikającego z przepisów prawa unijnego, lecz będącego inwencją polskiego ustawodawcy, również od dawna jest niecierpliwie wyczekiwane przez wielu przedsiębiorców. Może on bowiem stanowić bardzo silny impuls do rozwoju pewnych usług, do których nie będzie już potrzebny osobisty kontakt z konsultantem, leczy wystarczy chociażby wideorozmowa, dodatkowo zabezpieczona wcześniejszą weryfikacją rozmówcy z wykorzystaniem jego danych biometrycznych.