Global menu

Our global pages

Close

Identyfikacja biometryczna coraz popularniejsza

  • Poland
  • Data protection

14-03-2017

Przedsiębiorcy coraz chętniej wykorzystują dane biometryczne w systemach identyfikacji i autoryzacji klientów. Wprowadzając takie rozwiązania, muszą jednak pamiętać o dopełnieniu obowiązków w zakresie danych osobowych.
Technologie biometrycznej identyfikacji i autoryzacji coraz szerzej wkraczają do naszego życia. Niewykorzystywanie ich w biznesie to w niektórych branżach strzał we własną stopę, ponieważ klienci idą z duchem czasu i oczekują tego samego od usługodawców. Klucz w tym, by działać mądrze, a przez to – skutecznie.
Jeśli chodzi o wdrażanie rozwiązań opartych na danych biometrycznych, to wciąż istnieje sporo wątpliwości wynikających ze szczególnego charakteru takich danych oraz sposobów ich weryfikacji. Ten stan niepewności powstrzymuje niektórych przedsiębiorców przed inwestowaniem w tego typu środki. 
Pierwsze pytanie, jakie pojawia się w związku z biometrią, to kwestia, czy w ogóle mamy do czynienia z danymi osobowymi. Odpowiedź na to pytanie jest kluczowa, ponieważ od charakteru danych zależy to, czy musimy stosować wobec nich rygory wynikające z ustawy o ochronie danych osobowych  („UODO”). Zdarza się bowiem, że podmioty korzystające z systemów polegających na biometrii funkcjonują w przekonaniu, iż owe dane – w sytuacji, gdy nie są bezpośrednio powiązane z takimi informacjami o osobie jak imię, nazwisko, adres itd. – nie stanowią danych osobowych. 
W rzeczywistości jest inaczej. Zgodnie z treścią UODO, dane osobowe są to wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Szczególną kategorią danych osobowych, choć niewymienioną wprost w UODO, są dane biometryczne. Ich przykłady to: odcisk palca, układ naczyń krwionośnych palca, głos, obraz tęczówki oka, obraz siatkówki oka, sposób chodzenia, siedzenia, geometria dłoni, termogram dłoni, owal twarzy, obraz rytmu serca.
Kariera biometrii
Dlaczego stosowanie biometrycznych metod identyfikacji i autoryzacji staje się tak popularne? Niewątpliwie główną przyczyną jest fakt, że metody te wykorzystują cechy fizyczne i fizjologiczne człowieka, a więc cechy, które w większości przypadków są niezmienne, podczas gdy np. PIN można zapomnieć lub pomylić, kluczyk do szafki zgubić, a kartę dostępu przekazać innej osobie. Dane biometryczne z zasady „przynależą” do konkretnej osoby.
Należy powiedzieć zatem, że niewątpliwe dane biometryczne mogą być danymi osobowymi. Niektóre wprost, jak na przykład fotografia osoby, jeżeli ją znamy lub jesteśmy w stanie łatwo ją wskazać – na tym bazują systemy face recognition, niektóre natomiast dopiero w zestawieniu z innymi informacjami  dotyczącymi  konkretnej jednostki. Jeśli nie posiadamy dodatkowych danych, to np. sam odcisk palca nie pozwoli nam na wskazanie osoby, która go pozostawiła. Identyfikacja to bowiem nic innego jak możliwość wskazania osoby, której dane dotyczą. 
Dane wrażliwe?
Nierzadko zdarza się, że dane biometryczne od razu utożsamiane są z tzw. danymi wrażliwymi (sensytywnymi), czyli danymi, które objęte są szczególnym rygorem ochrony zgodnie z UODO. Wbrew pozorom, w kontekście obecnie obowiązujących przepisów, nie zawsze tak jest. UODO zawiera bowiem zamknięty katalog danych wrażliwych, wśród których nie wymienia się danych biometrycznych. 
Niemniej, dane biometryczne mogą być danymi sensytywnymi, o ile na ich podstawie uda się uzyskać informacje na temat stanu zdrowia. Nie będzie to częsta sytuacja, bowiem w oparciu o obraz linii papilarnych, będących jedną z najpopularniejszych danych wykorzystywanych w biometrii tożsamości, trudno jest otrzymać informacje o zdrowiu. Jednak już przy analizie owalu twarzy czy skanu siatkówki oka pojawiają się wątpliwości, czy niektóre wady genetyczne lub uszkodzenia nie byłyby możliwe do rozpoznania. 
Dane biometryczne w RODO
Wkrótce kwestia charakteru danych biometrycznych ulegnie jednak znaczącej zmianie. Od 25 maja 2018 r. UODO zostanie w większości zastąpiona przez przepisy o randze europejskiej, obowiązujące jednolicie w całej UE. Mowa o Rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Ogólne Rozporządzenie o Ochronie Danych; dalej „RODO”). W przeciwieństwie do aktualnych  przepisów, RODO zawiera wyraźną definicję danych biometrycznych i statuuje generalny zakaz ich przetwarzania, jak to ma miejsce w przypadku danych wrażliwych – o ile oczywiście nie zachodzi jeden z wyjątków dopuszczających przetwarzanie. 
Widmo kar
Jeśli przedsiębiorca chce korzystać z rozwiązań biometrycznej identyfikacji czy autoryzacji osób w swojej działalności gospodarczej, powinien przypilnować kilku kwestii, by uniknąć ryzyka narażenia się Generalnemu Inspektorowi Ochrony Danych Osobowych. Trzeba pamiętać bowiem, że organ ten może wszcząć kontrolę z własnej inicjatywy, jak i w konsekwencji otrzymania informacji o nieprawidłowościach, np. od naszej konkurencji. 
Na chwilę obecną GIODO nie może nakładać kar finansowych – grozi co najwyżej grzywna za niewykonanie decyzji nałożonych przez ten organ. Nie zmienia to jednak faktu, że GIODO jest władny np. zakazać dalszego przetwarzania określonych danych lub nakazać ich usunięcie (sankcje administracyjne) lub też złożyć zawiadomienie do prokuratury (grozi nawet kara więzienia dla zarządu). Co ważne, po wejściu w życie RODO zaczną funkcjonować kary finansowe, które będą mogły sięgać nawet 20 milionów euro albo 4% globalnego obrotu całej grupy kapitałowej.
Uczmy się na cudzych błędach
Zapewnienie zgodności przetwarzania z prawem wydaje się szczególnie ważne wobec faktu, że niektórzy przedsiębiorcy doświadczyli już na własnej skórze sporu z GIODO o rozwiązania biometryczne, a nawet zapadł w tej sprawie  istotny wyrok (sygn. akt II SA/Wa 658/15). Mianowicie, w 2014 r. GIODO przeprowadził kontrolę w jednej z sieci klubów fitness – po uzyskaniu informacji, iż sieć ta stosuje szafki dla klientów zamykane na odcisk palca. Problemem dla organu nie była sama technologia biometryczna, którą wykorzystano do identyfikacji klientów, lecz niedopełnienie przez klub obowiązków wynikających z UODO oraz nietrafna argumentacja.
Po pierwsze, GIODO zarzucił spółce prowadzącej kluby fitness, że przetwarza dane biometryczne klientów (odcisk palce) bez podstawy prawnej, np. w postaci zgody klienta. Ponadto, w zgłoszonym do rejestracji w GIODO zbiorze danych spółka nie wymieniła danych biometrycznych. Właściciel klubów fitness kwestionował zarówno sam fakt zbierania danych biometrycznych, jak również fakt przechowywania ich. Nie zgadzał się również z samym kwalifikowaniem tych informacji jako danych osobowych. 
Co do podstawy prawnej, próbował wywieść zgodę klienta z akceptacji ogólnych warunków członkostwa w klubach, jednak w dokumencie tym zapisano, w celu zapewnienia bezpieczeństwa (…) kontrola wstępu może odbywać się z wykorzystaniem biometrycznego systemu weryfikacji, przy pomocy opaski członkowskiej zawierającej kod alfanumeryczny utworzony na podstawie danych biometrycznych członka. Jednakże w kolejnym zdaniu podano się, że "nie gromadzi ani nie przechowuje danych biometrycznych". GIODO wywiódł, iż do gromadzenia danych dochodziło, a sąd poparł ten tok myślenia. Odnośnie natomiast zgłoszenia zbioru do rejestracji, spółka dokonała zgłoszenia i ujawniła, że w zbiorze przetwarzane są dane osobowe klientów, jednakże nie wskazano informacji o pozyskiwaniu danych biometrycznych.
Przedsiębiorcy chcący korzystać z technologii biometrycznych, muszą pamiętać przede wszystkim o dwóch rzeczach: podstawie przetwarzania danych i rejestracji zbioru danych.
Podstawa prawna
Zgodnie z UODO, przetwarzanie zwykłych (nie-sensytywnych) danych osobowych możliwe jest tylko o tyle, o ile istnieje ku temu podstawa prawna, przy czym katalog możliwych podstaw prawnych zawarto w ustawie. Jedną z podstaw, z których można skorzystać, jest zgoda podmiotu danych. Chcąc przetwarzać dane biometryczne, np. do kontroli dostępu czy w celu umożliwienia klientom skorzystania z określonych usług, przedsiębiorca powinien postarać się o zebranie takich zgód i udokumentowanie tego faktu. Zgoda na przetwarzanie danych nie może stanowić części innego oświadczenia woli, przedsiębiorca nie powinien wpisywać takiej zgody w treść np. regulaminu usług czy miejsca. Dla celów dowodowych wydaje się, że zbieranie zgody w formie pisemnej jest bezpiecznym rozwiązaniem. Podstawą prawną może być także umowa z klientem, przy czym przedsiębiorca musi wyraźnie wskazać, że taka kategoria danych jak dane biometryczne będzie również przetwarzana. Powinno to stanowić część obowiązku informacyjnego.
Zbiór danych
O ile u danego przedsiębiorcy nie funkcjonuje administrator bezpieczeństwa informacji (ABI) lub, nawet gdy takiego powołano, przetwarzane są dane wrażliwe, zachodzi obowiązek zgłoszenia zbioru danych do rejestracji przez GIODO. W sytuacji, gdy zamierzamy oferować klientom usługi czy towary dostępne pod warunkiem wykorzystania danych biometrycznych, to taką kategorię danych osobowych należy również podać w zgłoszeniu. 
Zabezpieczenia
Na chwilę obecną zabezpieczenie przetwarzanych danych osobowych leży w gestii administratora danych, przy czym regulacje w tym zakresie zawiera UODO oraz rozporządzenie wykonawcze MSWiA  z dnia 29 kwietnia 2004 roku w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004 r. nr 100, poz. 1024). 
Akty te precyzują rodzaje środków technicznych i organizacyjnych, jakie muszą być zastosowane w zależności od kategorii danych. Nie ma przy tym znaczenia, czy przedsiębiorca przetwarza dane 50 czy 500 osób, jednak trzeba mieć na uwadze, że większe grono podmiotów danych zawsze bardziej wzbudza zainteresowanie GIODO, bo też i skutki potencjalnego naruszenia bezpieczeństwa danych,  np. wycieku, mogą dotknąć wielu osób. 
Pod rządami RODO natomiast, czyli już od 25 maja 2018 r. obowiązywać będzie w tym zakresie risk-based approach, tzn. przedsiębiorcy nie dostaną prostych wskazówek co do oczekiwanych przez regulatora zabezpieczeń, lecz będą sami musieli stwierdzić, jakie rozwiązania wdrożyć wobec ryzyka, które zachodzi w zakresie przetwarzanych przez nich danych osobowych. 
Przedsiębiorcy coraz chętniej wykorzystują dane biometryczne w systemach identyfikacji i autoryzacji klientów. Wprowadzając takie rozwiązania, muszą jednak pamiętać o dopełnieniu obowiązków w zakresie danych osobowych.

Technologie biometrycznej identyfikacji i autoryzacji coraz szerzej wkraczają do naszego życia. Niewykorzystywanie ich w biznesie to w niektórych branżach strzał we własną stopę, ponieważ klienci idą z duchem czasu i oczekują tego samego od usługodawców. Klucz w tym, by działać mądrze, a przez to – skutecznie.

Jeśli chodzi o wdrażanie rozwiązań opartych na danych biometrycznych, to wciąż istnieje sporo wątpliwości wynikających ze szczególnego charakteru takich danych oraz sposobów ich weryfikacji. Ten stan niepewności powstrzymuje niektórych przedsiębiorców przed inwestowaniem w tego typu środki. 

Pierwsze pytanie, jakie pojawia się w związku z biometrią, to kwestia, czy w ogóle mamy do czynienia z danymi osobowymi. Odpowiedź na to pytanie jest kluczowa, ponieważ od charakteru danych zależy to, czy musimy stosować wobec nich rygory wynikające z ustawy o ochronie danych osobowych („UODO”). Zdarza się bowiem, że podmioty korzystające z systemów polegających na biometrii funkcjonują w przekonaniu, iż owe dane – w sytuacji, gdy nie są bezpośrednio powiązane z takimi informacjami o osobie jak imię, nazwisko, adres itd. – nie stanowią danych osobowych. 

W rzeczywistości jest inaczej. Zgodnie z treścią UODO, dane osobowe są to wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Szczególną kategorią danych osobowych, choć niewymienioną wprost w UODO, są dane biometryczne. Ich przykłady to: odcisk palca, układ naczyń krwionośnych palca, głos, obraz tęczówki oka, obraz siatkówki oka, sposób chodzenia, siedzenia, geometria dłoni, termogram dłoni, owal twarzy, obraz rytmu serca.

Kariera biometrii

Dlaczego stosowanie biometrycznych metod identyfikacji i autoryzacji staje się tak popularne? Niewątpliwie główną przyczyną jest fakt, że metody te wykorzystują cechy fizyczne i fizjologiczne człowieka, a więc cechy, które w większości przypadków są niezmienne, podczas gdy np. PIN można zapomnieć lub pomylić, kluczyk do szafki zgubić, a kartę dostępu przekazać innej osobie. Dane biometryczne z zasady „przynależą” do konkretnej osoby.

Należy powiedzieć zatem, że niewątpliwe dane biometryczne mogą być danymi osobowymi. Niektóre wprost, jak na przykład fotografia osoby, jeżeli ją znamy lub jesteśmy w stanie łatwo ją wskazać – na tym bazują systemy face recognition, niektóre natomiast dopiero w zestawieniu z innymi informacjami  dotyczącymi  konkretnej jednostki. Jeśli nie posiadamy dodatkowych danych, to np. sam odcisk palca nie pozwoli nam na wskazanie osoby, która go pozostawiła. Identyfikacja to bowiem nic innego jak możliwość wskazania osoby, której dane dotyczą. 

Dane wrażliwe?

Nierzadko zdarza się, że dane biometryczne od razu utożsamiane są z tzw. danymi wrażliwymi (sensytywnymi), czyli danymi, które objęte są szczególnym rygorem ochrony zgodnie z UODO. Wbrew pozorom, w kontekście obecnie obowiązujących przepisów, nie zawsze tak jest. UODO zawiera bowiem zamknięty katalog danych wrażliwych, wśród których nie wymienia się danych biometrycznych. 

Niemniej, dane biometryczne mogą być danymi sensytywnymi, o ile na ich podstawie uda się uzyskać informacje na temat stanu zdrowia. Nie będzie to częsta sytuacja, bowiem w oparciu o obraz linii papilarnych, będących jedną z najpopularniejszych danych wykorzystywanych w biometrii tożsamości, trudno jest otrzymać informacje o zdrowiu. Jednak już przy analizie owalu twarzy czy skanu siatkówki oka pojawiają się wątpliwości, czy niektóre wady genetyczne lub uszkodzenia nie byłyby możliwe do rozpoznania. 

Dane biometryczne w RODO

Wkrótce kwestia charakteru danych biometrycznych ulegnie jednak znaczącej zmianie. Od 25 maja 2018 r. UODO zostanie w większości zastąpiona przez przepisy o randze europejskiej, obowiązujące jednolicie w całej UE. Mowa o Rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Ogólne Rozporządzenie o Ochronie Danych; dalej „RODO”). W przeciwieństwie do aktualnych  przepisów, RODO zawiera wyraźną definicję danych biometrycznych i statuuje generalny zakaz ich przetwarzania, jak to ma miejsce w przypadku danych wrażliwych – o ile oczywiście nie zachodzi jeden z wyjątków dopuszczających przetwarzanie. 

Widmo kar

Jeśli przedsiębiorca chce korzystać z rozwiązań biometrycznej identyfikacji czy autoryzacji osób w swojej działalności gospodarczej, powinien przypilnować kilku kwestii, by uniknąć ryzyka narażenia się Generalnemu Inspektorowi Ochrony Danych Osobowych. Trzeba pamiętać bowiem, że organ ten może wszcząć kontrolę z własnej inicjatywy, jak i w konsekwencji otrzymania informacji o nieprawidłowościach, np. od naszej konkurencji. 

Na chwilę obecną GIODO nie może nakładać kar finansowych – grozi co najwyżej grzywna za niewykonanie decyzji nałożonych przez ten organ. Nie zmienia to jednak faktu, że GIODO jest władny np. zakazać dalszego przetwarzania określonych danych lub nakazać ich usunięcie (sankcje administracyjne) lub też złożyć zawiadomienie do prokuratury (grozi nawet kara więzienia dla zarządu). Co ważne, po wejściu w życie RODO zaczną funkcjonować kary finansowe, które będą mogły sięgać nawet 20 milionów euro albo 4% globalnego obrotu całej grupy kapitałowej.

Uczmy się na cudzych błędach

Zapewnienie zgodności przetwarzania z prawem wydaje się szczególnie ważne wobec faktu, że niektórzy przedsiębiorcy doświadczyli już na własnej skórze sporu z GIODO o rozwiązania biometryczne, a nawet zapadł w tej sprawie  istotny wyrok (sygn. akt II SA/Wa 658/15). Mianowicie, w 2014 r. GIODO przeprowadził kontrolę w jednej z sieci klubów fitness – po uzyskaniu informacji, iż sieć ta stosuje szafki dla klientów zamykane na odcisk palca. Problemem dla organu nie była sama technologia biometryczna, którą wykorzystano do identyfikacji klientów, lecz niedopełnienie przez klub obowiązków wynikających z UODO oraz nietrafna argumentacja.

Po pierwsze, GIODO zarzucił spółce prowadzącej kluby fitness, że przetwarza dane biometryczne klientów (odcisk palce) bez podstawy prawnej, np. w postaci zgody klienta. Ponadto, w zgłoszonym do rejestracji w GIODO zbiorze danych spółka nie wymieniła danych biometrycznych. Właściciel klubów fitness kwestionował zarówno sam fakt zbierania danych biometrycznych, jak również fakt przechowywania ich. Nie zgadzał się również z samym kwalifikowaniem tych informacji jako danych osobowych. 

Co do podstawy prawnej, próbował wywieść zgodę klienta z akceptacji ogólnych warunków członkostwa w klubach, jednak w dokumencie tym zapisano, w celu zapewnienia bezpieczeństwa (…) kontrola wstępu może odbywać się z wykorzystaniem biometrycznego systemu weryfikacji, przy pomocy opaski członkowskiej zawierającej kod alfanumeryczny utworzony na podstawie danych biometrycznych członka. Jednakże w kolejnym zdaniu podano się, że "nie gromadzi ani nie przechowuje danych biometrycznych". GIODO wywiódł, iż do gromadzenia danych dochodziło, a sąd poparł ten tok myślenia. Odnośnie natomiast zgłoszenia zbioru do rejestracji, spółka dokonała zgłoszenia i ujawniła, że w zbiorze przetwarzane są dane osobowe klientów, jednakże nie wskazano informacji o pozyskiwaniu danych biometrycznych.

Przedsiębiorcy chcący korzystać z technologii biometrycznych, muszą pamiętać przede wszystkim o dwóch rzeczach: podstawie przetwarzania danych i rejestracji zbioru danych.

Podstawa prawna

Zgodnie z UODO, przetwarzanie zwykłych (nie-sensytywnych) danych osobowych możliwe jest tylko o tyle, o ile istnieje ku temu podstawa prawna, przy czym katalog możliwych podstaw prawnych zawarto w ustawie. Jedną z podstaw, z których można skorzystać, jest zgoda podmiotu danych. Chcąc przetwarzać dane biometryczne, np. do kontroli dostępu czy w celu umożliwienia klientom skorzystania z określonych usług, przedsiębiorca powinien postarać się o zebranie takich zgód i udokumentowanie tego faktu. Zgoda na przetwarzanie danych nie może stanowić części innego oświadczenia woli, przedsiębiorca nie powinien wpisywać takiej zgody w treść np. regulaminu usług czy miejsca. Dla celów dowodowych wydaje się, że zbieranie zgody w formie pisemnej jest bezpiecznym rozwiązaniem. Podstawą prawną może być także umowa z klientem, przy czym przedsiębiorca musi wyraźnie wskazać, że taka kategoria danych jak dane biometryczne będzie również przetwarzana. Powinno to stanowić część obowiązku informacyjnego.

Zbiór danych

O ile u danego przedsiębiorcy nie funkcjonuje administrator bezpieczeństwa informacji (ABI) lub, nawet gdy takiego powołano, przetwarzane są dane wrażliwe, zachodzi obowiązek zgłoszenia zbioru danych do rejestracji przez GIODO. W sytuacji, gdy zamierzamy oferować klientom usługi czy towary dostępne pod warunkiem wykorzystania danych biometrycznych, to taką kategorię danych osobowych należy również podać w zgłoszeniu. 

Zabezpieczenia

Na chwilę obecną zabezpieczenie przetwarzanych danych osobowych leży w gestii administratora danych, przy czym regulacje w tym zakresie zawiera UODO oraz rozporządzenie wykonawcze MSWiA  z dnia 29 kwietnia 2004 roku w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004 r. nr 100, poz. 1024). 

Akty te precyzują rodzaje środków technicznych i organizacyjnych, jakie muszą być zastosowane w zależności od kategorii danych. Nie ma przy tym znaczenia, czy przedsiębiorca przetwarza dane 50 czy 500 osób, jednak trzeba mieć na uwadze, że większe grono podmiotów danych zawsze bardziej wzbudza zainteresowanie GIODO, bo też i skutki potencjalnego naruszenia bezpieczeństwa danych,  np. wycieku, mogą dotknąć wielu osób. 

Pod rządami RODO natomiast, czyli już od 25 maja 2018 r. obowiązywać będzie w tym zakresie risk-based approach, tzn. przedsiębiorcy nie dostaną prostych wskazówek co do oczekiwanych przez regulatora zabezpieczeń, lecz będą sami musieli stwierdzić, jakie rozwiązania wdrożyć wobec ryzyka, które zachodzi w zakresie przetwarzanych przez nich danych osobowych. 

 

For more information contact

Magdalena Koniarska, Associate

< Wstecz