Czym są dane biometryczne w rozumieniu RODO.
Za sprawą Decyzji PUODO z dnia18 lutego 2020r., ZSZZS.440.768.2018, na mocy której PUODO nałożył na szkołę karę pieniężną w związku z naruszeniem polegającym na przetwarzaniu danych biometrycznych dzieci podczas korzystania przez nie ze szkolnej stołówki wywołana została dyskusja nt. definicji danych biometrycznych. Czym są dane biometryczne w rozumieniu RODO? Czy dane daktyloskopijne to to samo co dane biometryczne?
Temat nie jest nowy, GIODO decydował w tym obszarze.
Decyzja GIODO z 15 grudnia 2009r. nakazująca usunięcie przedsiębiorcy danych biometrycznych – odcisków palców – ze zbioru prowadzonego w celu ewidencji czasu pracowników. W treści ww. decyzji czytamy cyt.: „(…) powoływanie zgody wyrażonej przez pracowników, jako przesłanki legalizującej przetwarzanie danych biometrycznych, w sytuacji, gdy przepisy prawa wskazują katalog danych, które mogą być przez pracodawcę przetwarzane, prowadzi do obchodzenia prawa regulującego te kwestie w sposób jednoznaczny poprzez poszukiwanie innych podstaw do przetwarzania danych niż te, które ustawodawca uznał za jedynie dopuszczalne (por. wyrok Naczelnego Sądu Administracyjnego w Warszawie z dnia 01 grudnia 2009 r. sygn. IOSK 249/09) (…)”.
Rozporządzenie RODO
Zgodnie z art. 4 pkt. 14) Rozporządzenia RODO cyt.: „(…) dane biometryczne oznaczają dane osobowe, które wynikają ze specjalnego przetwarzania technicznego, dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej oraz umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby, takie jak wizerunek twarzy lub dane daktyloskopijne (…)”.
Dane biometryczne to dane osobowe ale ...
Dane biometryczne oznaczają
- (1) dane osobowe, które wynikają ze specjalnego przetwarzania technicznego,
- (2) dotyczą cech
- (2a) fizycznych,
- (2b) fizjologicznych
- lub (2c) behawioralnych osoby fizycznej
- (3) które
- (3a) umożliwiają
- lub (3b) potwierdzają jednoznaczną identyfikację tej osoby,
- (np.) takie jak wizerunek twarzy lub dane daktyloskopijne (patrz Uwaga druga)
Wzór na dane biometryczne.
Chcąc przełożyć ww. definicję na swego rodzaju wzór, po podstawieniu identyfikatorów jw. przedstawiłem, moglibyśmy zapisać, definicję danych biometrycznych w postaci wzoru w następującej postaci.
Uwaga na przykłady z definicji art. 4 pkt. 14 RODO.
Nie zawsze dane osobowe przetwarzane w postaci wskazanej w ww. definicji np. jako „wizerunek twarzy” uznawane będą za dane biometryczne. Gdybyśmy potraktowali literalnie zapis ww. definicji, który na końcu wskazuje przykłady danych osobowych, jako danych biometrycznych, w oderwaniu od zmiennych (1) (2) (3) doszlibyśmy do sytuacji, w której to „wizerunek pracownika” ujawniony na identyfikatorze należałoby traktować jako dane biometryczne, a tak nie jest …. uspokajam.
W kwestii trybu wprowadzania identyfikatorów przez pracodawców, pisaliśmy na łamach Proste to RODO. Podobnie jak zajmowaliśmy się problemem identyfikatorów personelu w szpitalach czy przychodniach. Zainteresowanych odsyłamy do naszego opracowania.
Co zatem decyduje że dane osobowe stają się danymi biometrycznymi.
Odpowiadając na to pytanie, ponownie należy spojrzeć na definicję zawartą w art. 4 pkt 14) RODO. Decyduje to czy dane te wynikają z e specjalnego przetwarzania technicznego (ale to za mało) dodatkowo muszą one dotyczyć cech fizycznych, fizjologicznych, behawioralnych osoby fizycznej (ale to za mało) muszą one umożliwiać jednoznaczną identyfikację albo potwierdzać jednoznaczną identyfikację (i teraz już wystarczy).
Co natomiast z innymi systemami, są bowiem i inne ...
- [Pestki do otwierania drzwi] Byłbym spokojny o stosowanie tzw. pestek do otwierania drzwi, nawet w sytuacji, kiedy system ma odnotowane połączenie danej pestki z danym personelem.
- [Liczniki przepustowości] Analogicznie wszelkiego rodzaju liczniki potwierdzające liczebność / przepustowość w danym obszarze nie będą objęte tematem danych biometrycznych.
- [Kamery rejestrujące wejście / wyjście] Kamery przy wejściach wykonujące zdjęcie personelu w momencie odbijania „pestki” już traktowałbym jednak jako systemy, z których wynikają dane osobowe umożliwiające, albo identyfikujące jednoznacznie osobę fizyczną.
- [Czytniki linii papilarnych do ewidencji czasu pracy] Pomimo tego, iż cytowana wyżej decyzja GIODO jednoznacznie wskazuje na nieprawidłowość stosowania tego rodzaju rozwiązania, osobiście nie byłbym tak kategoryczny przy założeniu, iż mamy do czynienia z przepisem prawa pracy (art. 9 ust. 1 K.p.) określającym taki to sposób potwierdzania przez pracowników przybycia i obecności w pracy. (art. 104(1) par. 1 pkt. 9 K.p., art. 240 par. 2 K.p.).
- [Czytniki linii papilarnych w telefonach / laptopach] Wielce problematycznym jest także zagadnienie urządzeń technicznych np. telefony / laptopy, jakie przekazane zostają personelowi pracowniczemu z obowiązkiem zwrotu / wyliczenia się, a które wykorzystują dla swojego zabezpieczenia czytniki linii papilarnych. Ewidentnie identyfikują one użytkownika telefonu, wskazując że dana osoba jest danym użytkownikiem. Niezaprzeczalnie także zapisują one dane daktyloskopijne, (zakładam że z dokładnością wykluczającą powtarzalność). Jak również – co pewne, istnieją inne metody weryfikacji użytkowników. Założyć należy, iż taki sprzęt może w każdym czasie zostać wymieniony / odebrany upoważnionemu pracownikowi przez administratora danych osobowych. Na tę chwilę jednak jedynie sygnalizuję to zagadnienie i pochylam się nad jego głębszą analizą.