Nowe prawo unijne dot. ochrony danych osobowych po raz pierwszy wprowadza definicję danych biometrycznych. Najpóźniej za dwa lata w Polsce i w całej UE takie dane tj. odciski palców, czy skan siatkówki oka, będą uznawane za dane wrażliwe i ich przetwarzanie będzie możliwe tylko za zgodą.

Dodatkowo wymaganie takich zgód będzie musiało być odpowiednio uzasadnione – zaznaczają prawnicy z Kancelarii Lubasz i Wspólnicy, specjalizujący się w sprawach dot. ochrony danych osobowych.

Dane biometryczne tj. odciski palców, rysy twarzy, czy też zeskanowana siatkówka oka są szczególną kategorią danych osobowych, pomimo, że obecnie w polskich przepisach o ochronie danych nie są wymienione. Ich wykorzystywanie do identyfikacji konkretnej osoby może być bardzo szerokie. Obecnie zdarza się, że pracodawcy chcą, żeby pracownicy zamiast używania np. karty magnetycznej czy też tradycyjnego podpisywania listy przy rejestrowaniu czasu pracy, byli identyfikowani za pomocą skanowania linii papilarnych czy siatkówki oka.

Jak podkreśla radca prawny Witold Chomiczewski z Kancelarii Lubasz i Wspólnicy, w tym przypadku GIODO zwrócił jednak uwagę, że nasza zgoda na przetwarzania danych powinna być dobrowolna, a w relacji pracownik-pracodawca może być różnie z zachowaniem tej dobrowolności. „Więc w sprawach, które znam, zostało to potraktowane jako nieskutecznie wyrażona zgoda i jako naruszenie zasad przetwarzania danych osobowych” - powiedziała PAP Chomiczewski.

Jego zdaniem w tego typu sprawach określona musi być celowość i adekwatność przetwarzania danych – ich przetwarzanie powinno pozwalać na osiągnięcie określonego celu, ale jak najmniej ingerować w strefę prywatności danej osoby. „W związku z tym, jeżeli mamy do wyboru linie papilarne, albo zwykłe podbijanie karty, czy podpisywanie listy obecności to jednak te linie papilarne mocniej ingerują w naszą prywatność. Z punktu widzenia zasady adekwatności i celowości, w takich sytuacjach nie będzie uzasadnione ich zbieranie i przetwarzanie” - wyjaśnił prawnik.

Natomiast administratorzy danych osobowych biometrycznych mogą się powołać na uzasadniony cel np. w przypadkach, kiedy dane biometryczne wykorzystywane są do identyfikacji np. grupy pracowników mających dostęp do informacji będących tajemnicą firmy czy instytucji. „Wtedy rzeczywiście identyfikacja za pomocą danych biometrycznych mogłaby zostać potraktowana jako uzasadniona” - ocenił.

Jego zdaniem jeżeli pracownik np. odmówi zgody na przetwarzanie danych osobowych biometrycznych w celu np. rejestracji czasu, a pracodawca wyciągnie z tego powodu konsekwencje albo zwolni za to takiego pracownika, to może on dochodzić swoich praw w sądzie. Chomiczewski ocenia, że z dużym prawdopodobieństwem takie zwolnienie dyscyplinarne byłoby uznane za nieuzasadnione i pracownik miałby duże szanse na wygranie takiego postępowania, powołując się m.in. na orzecznictwo Sądów Administracyjnych.

Specjaliści podkreślają, że jako konsumenci i pracownicy powinniśmy dbać o to, by nie udostępniać lekkomyślnie swoich danych, w tym biometrycznych, bo ich przetwarzanie może być potencjalnie dla nas niebezpieczne. Mogą one służyć np. usługodawcom internetowym do celów marketingowych i sprofilowania, czyli określania preferencji konsumentów.

Radca przyznał, że zdarzają się już procesy sądowe dot. wykorzystywania danych biometrycznych. Według niego niedawno rozpoczęła się w amerykańskim stanie Illinois sprawa, którą Facebookowi wytoczyła grupa użytkowników. Pozwała ona ten portal społecznościowy za niezgodne z prawem stanu przetwarzanie danych biometrycznych – według Chomiczewskiego - w tym przypadku chodzi o charakterystyczne punkty twarzy rozpoznawane na zdjęciach.

W tej sprawie nie zapadły jeszcze żadne rozstrzygnięcia, ale – jak ocenia prawnik - „usługodawcy internetowi zauważyli już możliwości przetwarzania takich danych osobowych”. Zwrócił uwagę, że to, co obecnie znamy z filmów, jak np. „Raport mniejszości”, kiedy główny bohater wchodzi do centrum handlowego i na podstawie siatkówki oka kierowane są do niego bardzo spersonalizowane reklamy, może się okazać w niedalekiej przyszłości naszą codziennością.

Radca zastrzegł, że "na gruncie nowych przepisów, które wejdą za dwa lata będziemy musieli wyrazić na to zgodę, a inne przesłanki legalizujące przetwarzanie, będą bardziej rygorystyczne niż obecnie”.

Parlament Europejski przyjął w kwietniu reformę unijnych przepisów o ochronie danych osobowych. Ich celem jest przede wszystkim lepsza ochrona użytkowników internetu, którzy uzyskają większą kontrolę nad tym, co dzieje się z ich danymi. Po wejściu w życie rozporządzenia państwa członkowskie oraz podmioty zobowiązane, w tym przedsiębiorcy, będą miały dwa lata na przygotowanie się do stosowania nowych przepisów.

W rozporządzeniu, a tym samym po raz pierwszy w przepisach dot. ochrony danych osobowych w Polsce - pojawia się definicja danych biometrycznych, czyli danych osobowych, które wynikają ze specjalnego przetwarzania technicznego i dotyczą naszych cech fizycznych, fizjologicznych czy też behawioralnych oraz pozwalają na jednoznaczną identyfikację. Jako przykładowe wskazane zostały: wizerunek twarzy czy dane daktyloskopijne.

I po raz pierwszy – jak podkreśla radca prawny Dominik Lubasz - została uregulowana wprost podstawa przetwarzania tych danych. Zostały one wymienione wśród innych danych wrażliwych, którymi dotychczas były m.in. dane dot. stanu zdrowia, wyznania czy przekonań politycznych.

„Również dane biometryczne staną się danymi wrażliwymi i co do zasady, jak inne dane wrażliwe, jest zakaz ich przetwarzania, za wyjątkiem przepisów szczególnych, które wskazują przesłanki dopuszczające przetwarzania takich danych m.in. zgodę osoby, której te dane dotyczą” - wyjaśnił specjalista.

W przypadku udzielonej zgody będzie możliwe przetwarzanie danych biometrycznych, ale ponieważ są to dane wrażliwe – zdaniem prawnika – wymaganie zgód na przetwarzania takich danych będzie musiało być dodatkowo uzasadnione. „Sama zgoda blankietowa - moim zdaniem - w tym przypadku nie będzie wystarczała” - podkreślił Lubasz.

Zaznaczył, że państwa członkowskie dostały pewną furtkę, dzięki której mogą dodatkowo regulować aspekty związane z danymi biometrycznymi. „Ale to dopiero początek tych rozważań, bo w ciągu dwóch lat przepisy w tym zakresie mogą się pojawić” - ocenił.

Nowe prawo przystosowuje obowiązujące od 1995 r. w UE zasady ochrony danych do rozwoju nowych technologii internetowych i cyfrowych. Rozporządzenie przewiduje m.in., że aby dane użytkownika mogły być przetworzone, musi on wyrazić na to zgodę, np. poprzez zaznaczenie na stronie internetowej pola z potwierdzeniem wyrażenia zgody na przetwarzanie danych. Niewybranie żadnego pola albo pola zaznaczone automatycznie nie mogą być uznane za wyrażenie zgody.

Nowe przepisy mają też ułatwić użytkownikowi wycofanie zgody na przetwarzanie danych; ma to być równie proste, jak wyrażenie tej zgody. Przyznane zostaje również "prawo do bycia zapomnianym", czyli wymazania swych danych z baz firm je przetwarzających, pod warunkiem, że nie ma uzasadnionych powodów ich przechowywania.