Dane biometryczne – ogromne ułatwienie, a zarazem ogromne zagrożenie

Niewiele osób sobie zdaje sprawę, w jakiej skali są ich dane biometryczne przetwarzane w codziennym życiu. Pewną normą stało się dla nas używanie czytnika linii papilarnych do odblokowywania telefonu, z czym zaczyna powoli konkurować funkcja odblokowywania za pomocą rozpoznawania twarzy, w której pionierem przy wprowadzaniu jest firma Apple. Uwierzytelnianie płatności lub innych operacji za pomocą biometrii staje się codziennością, głównie przez szybkość i wygodę, jaka temu towarzyszy, bo przecież o wiele prościej przyłożyć palec do telefonu, niż wpisywać po raz enty raz pin lub hasło, które jeszcze trzeba zapamiętać.

Ale czym są właściwie dane biometryczne i jak je rozróżniać?

Mówiąc najprościej, są to cechy fizyczne, fizjologiczne i behawioralne, po których można jednoznacznie określić tożsamość tej osoby, takie jak odcisk palca, wygląd oka, czy nawet sposób wymowy pewnych słów.
Definicja legalna zawarta w art. 4 pkt. 14 RODO daje nam pewne rozeznanie, jak należy rozumieć to sformułowanie na gruncie prawnym.
Dane biometryczne oznaczają dane osobowe, które wynikają ze specjalnego przetwarzania technicznego, dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej oraz umożliwiają, lub potwierdzają jednoznaczną identyfikację tej osoby, takie jak wizerunek twarzy lub dane daktyloskopijne
Możemy wyróżnić trzy warunki konieczne, aby określić jakieś dane jako biometryczne wg. RODO:

1.  Muszą być przetwarzane w specjalny sposób, czyli muszą być na takich danych wykonywane operacje (zbieranie, organizowanie, przeglądanie, wykorzystywanie itd.) za pomocą specjalnych metod technicznych, które umożliwiają dopasowanie tych danych do konkretnych osób, czyli ich zidentyfikowanie.
2. Dotyczą cech fizycznych, fizjologicznych i behawioralnych, innymi słowy chodzi o cechy związane z wyglądem zewnętrznym, funkcjonowaniem organizmu, czy z naszym zachowaniem.
3. Umożliwiają lub potwierdzają jednoznaczną identyfikację, a więc nie każda z wyżej wspomnianych cech, będzie spełniała ten warunek, choćby taka informacja o kolorze oczu nie posłuży do identyfikacji osoby, natomiast skan siatkówki oka już tak.

Ciekawą kategorią danych biometrycznych jest zdjęcie osoby, mamy na nim niewątpliwie utrwalone cechy fizyczne, a więc spełniony pierwszy warunek. Dalej na podstawie fotografii osoby, możemy ją zidentyfikować, co prowadzi do tego, że drugi warunek jest również spełniony. Problem pojawia się przy trzecim warunku, bo nie zawsze zachodzi przetwarzanie specjalnymi metodami technicznymi, choćby w przypadku, gdy okazujemy dokument ze zdjęciem w celu weryfikacji tożsamości przez ochronę, więc to czy fotografia z wizerunkiem osoby należy do danych biometrycznych jest płynne.

Ochrona danych biometrycznych

Dane biometryczne zaliczają się zgodnie z art. 9 RODO do szczególnej kategorii danych, których co do zasady nie można przetwarzać bez spełnienia przynajmniej jednego z warunków przewidzianych w ustawie:

• Została wyrażona wyraźna zgoda osoby, której dane będą przetwarzane
• Przetwarzanie jest niezbędne do wypełnienia obowiązków lub wykonania szczególnych praw, w dziedzinie prawa pracy, zabezpieczenia społecznego, ochrony socjalnej
• Przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą lub innej
• Gdy przetwarzanie jest elementem uprawnionej działalności fundacji, stowarzyszeń oraz innych niezarobkowych podmiotów i dotyczy tylko członków, oraz osób z nim związanych
• Dane osobowe zostały w oczywisty sposób upublicznione przez osobę, której dotyczą
• Przetwarzanie jest konieczne w ramach sprawowania wymiaru sprawiedliwości przez sądy
• Gdy wymaga tego ważny interes publiczny, a sam przetwarzanie odbywa się na podstawie prawa, w sposób proporcjonalny, nienaruszający istoty ochrony danych i bezpieczny
• Przetwarzanie jest niezbędne do celów profilaktyki zdrowotnej i medycyny pracy
• Gdy wymaga tego interes publiczny w dziedzinie zdrowia publicznego, np. transgraniczne zagrożenia dla zdrowia, ale przetwarzanie musi odbywać się w granicach prawa
• Gdy przetwarzanie odbywa się do celów archiwalnych, naukowych lub badań statystycznych

Jak widać dane biometryczne są szczególnie chronione i nawet jeśli dochodzi do przetwarzania to muszą zostać spełnione odpowiednie warunki oraz wszystko musi się odbywać w granicach prawa.

Dane Biometryczne w paszportach i dowodach osobistych

Mimo, że zdjęcie naszej twarzy oraz odciski palców w paszportach są z nami od 2009 roku i wszyscy się do nich przyzwyczailiśmy, to niedawne wprowadzenie takich samych wymagań względem danych do dowodów osobistych, czyli dodanie skanów odcisków palców na chipe dowodu osobistego, spotkało się ze sporym zaskoczeniem wśród społeczeństwa, jak i z głosem sprzeciwu wśród części ekspertów, którzy uważają, że ryzyko szkody wynikającej z uzyskania dostępu do tych danych przez osoby nieuprawnione jest o wiele większe niż korzyści w ten sposób uzyskane.

Dane biometryczne zawarte w paszporcie lub innym dokumencie podróży takim jak dowód osobisty zgodnie z rozporządzeniem 2252/2004 w sprawie norm dotyczących zabezpieczeń i danych biometrycznych w paszportach i dokumentach podróży wydawanych przez Państwa Członkowskie są przetwarzane w celu sprawdzenia autentyczności dokumentu oraz tożsamości posiadacza, czyli tak naprawdę chodzi o zwiększanie bezpieczeństwa nas samych, poprzez utrudnienie kradzieży tożsamości, jak i zwiększenie bezpieczeństwa społeczeństwa, bo to przynajmniej w opinii pomysłodawców będzie kolejny krok w walce z globalnym terroryzmem.