Dane biometryczne są coraz częściej wykorzystywane do identyfikacji ludzi. Czy polskie regulacje prawne w odpowiedni sposób je chronią?

Dane biometryczne w większości przypadków są danymi osobowymi, bo służą do zidentyfikowania konkretnej osoby i powiązania z nią jakiejś dodatkowej informacji. Danymi biometrycznymi są nie tylko odcisk palca, geometria dłoni czy obraz tęczówki albo obraz z siatkówki oka, ale też obraz twarzy, DNA, zapach, kolor skóry, dynamika pisania maszynowego, EKG, styl pisma czy głos. Wszystkie one mogą być przetwarzane przez bardzo różne podmioty do bardzo różnych celów.

Z prawnego punktu widzenia tak naprawdę nie wiemy, kiedy mamy do czynienia z danymi biometrycznymi, a kiedy nie. Jeżeli przyjąć, że daną biometryczną jest odręczne pismo, a nawet podpis, to regulacje prawne ich dotyczące istnieją już od dawna. Mamy też przepisy wskazujące możliwość użycia biometrii np. w dokumentach paszportowych czy w medycynie (bo wycinki ciała ludzkiego czy płyny pobrane z organizmu również przekazują informację). Brak jednak regulacji generalnych.

Czy powinna więc zostać przygotowana specjalna ustawa w tej materii?

Jako generalny inspektor ochrony danych osobowych muszę zajmować się problemem ochrony danych o charakterze biometrycznym, nie mając jednak poprawnego aparatu pojęciowego. Przepisy powinny wskazywać, którymi danymi powinienem się zajmować, a którymi nie. Samo stwierdzenie, że dane biometryczne są danymi osobowymi, jest nie do końca prawdziwe i może prowadzić do absurdalnych sytuacji. Jeżeli uznamy, że wszystkie dane o charakterze biometrycznym podlegają ochronie, trzeba byłoby się zastanowić, czy na każdym dokumencie opatrzonym własnoręcznym podpisem znajdują się szczególnie chronione dane osobowe.

Dane biometryczne coraz częściej gromadzą pracodawcy. Czy mogą je swobodnie przetwarzać?

Konsekwentnie twierdzę, że dane biometryczne nie mogą być wykorzystywane na potrzeby stosunku pracy, czyli np. w celu mierzenia czasu pracy pracownika. Takie jest też stanowisko Naczelnego Sądu Administracyjnego i wojewódzkich sądów administracyjnych. Ten sam pracodawca może jednak dane biometryczne wykorzystywać np. do celów związanych z zapewnieniem bezpieczeństwa jakichś szczególnych pomieszczeń, np. takich, w których przechowywane są materiały wybuchowe, chemikalia, wirusy czy bakterie, a nawet dokumenty zawierające tajemnice przedsiębiorstwa.

Czy często dane biometryczne można uznać za dane wrażliwe?

Dane biometryczne wbrew pozorom rzadko stają się danymi wrażliwymi w rozumieniu obowiązującej ustawy o ochronie danych osobowych. Warto jednak zwrócić uwagę, że w przygotowanym przez Komisję Europejską projekcie rozporządzenia  ochronie danych osobowych pojawia się propozycja wprowadzenia danych biometrycznych do grupy danych o wysokim ryzyku przetwarzania. Oznacza to, że ich przetwarzanie może się stać wrażliwe. Przedsiębiorcy i instytucje publiczne powinni być przygotowani do rozwoju prawa w tym kierunku.