PROBLEM: Przedsiębiorcy coraz chętniej wykorzystują dane biometryczne w systemach identyfikacji i autoryzacji klientów. Przykład? Niedawno jedna z sieci salonów fitness poinformowała, że we wszystkich swoich lokalach wprowadziła wejście na odcisk palca. Ale nie ona jedyna. Technologiczne nowinki przyciągają, zatem coraz więcej przedsiębiorców podąża za modą i oczekiwaniami klientów. W coraz większej liczbie klubów sportowych pojawiają się czy to szafki na odcisk palca, czy otwierane w ten sposób bramki. Niestety praktyka pokazuje, że nie unikają błędów. Nie zawsze wiedzą, że wprowadzając takie rozwiązania, muszą pamiętać o dopełnieniu obowiązków w zakresie ochrony danych osobowych. Jakie to są obowiązki, jakie warunki musi spełnić przedsiębiorca, który planuje wdrożyć u siebie tego typu rozwiązania?
Technologie biometrycznej identyfikacji i autoryzacji coraz szerzej wkraczają do naszego życia. Niewykorzystywanie ich w biznesie to w niektórych branżach strzał w stopę, ponieważ ich klienci idą z duchem czasu i oczekują tego samego od usługodawców. Klucz w tym, by działać mądrze, a przez to – skutecznie.
Jednak wdrażaniu rozwiązań opartych na danych biometrycznych wciąż towarzyszy wiele wątpliwości wynikających ze szczególnego charakteru takich danych oraz sposobów ich weryfikacji. Ten stan niepewności powstrzymuje niektórych przedsiębiorców przed inwestowaniem w tego typu środki.
Przedmiot ochrony
Pierwsze pytanie, które pojawia się w związku z biometrią, to kwestia, czy w ogóle mamy do czynienia z danymi osobowymi. Odpowiedź na to pytanie jest kluczowa, ponieważ od charakteru danych zależy to, czy musimy stosować wobec nich rygory wynikające z ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych. (t.j. Dz.U. z 2016 r. poz. 922; dalej: u.o.d.o.). Zdarza się bowiem, że podmioty korzystające z systemów polegających na biometrii funkcjonują w przekonaniu, iż owe dane– w sytuacji, gdy nie są bezpośrednio powiązane z takimi informacjami o osobie jak imię, nazwisko, adres itd. – nie stanowią danych osobowych.
W rzeczywistości jest inaczej. Zgodnie z treścią u.o.d.o. dane osobowe to wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Szczególną kategorią danych osobowych, choć niewymienioną wprost w u.o.d.o., są dane biometryczne. Ich przykłady to: odcisk palca, układ naczyń krwionośnych palca, głos, obraz tęczówki oka, obraz siatkówki oka, sposób chodzenia, siedzenia, geometria dłoni, termogram dłoni, owal twarzy, obraz rytmu serca.
Dlaczego stosowanie biometrycznych metod identyfikacji i autoryzacji staje się tak popularne? Niewątpliwie główną przyczyną jest to, że metody te wykorzystują cechy fizyczne i fizjologiczne człowieka, a więc cechy, które w większości przypadków są niezmienne, podczas gdy np. PIN można zapomnieć lub pomylić, kluczyk do szafki zgubić, a kartę dostępu przekazać innej osobie. Dane biometryczne z zasady przynależą do konkretnej osoby.
Należy powiedzieć zatem, że niewątpliwie dane biometryczne mogą być danymi osobowymi. Niektóre wprost, jak np. fotografia osoby, jeżeli ją znamy lub jesteśmy w stanie łatwo ją wskazać. Na tym bazują systemy face recognition, niektóre natomiast dopiero w zestawieniu z innymi informacjami dotyczącymi konkretnej jednostki. Jeśli nie posiadamy dodatkowych danych, to np. sam odcisk palca nie pozwoli nam na wskazanie osoby, która go pozostawiła. Identyfikacja to bowiem nic innego jak możliwość wskazania osoby, której dane dotyczą.
Dane wrażliwe
Nierzadko zdarza się, że dane biometryczne od razu utożsamiane są z danymi wrażliwymi (sensytywnymi), czyli danymi, które objęte są szczególnym rygorem ochrony zgodnie z u.o.d.o. Wbrew pozorom, w kontekście obecnie obowiązujących przepisów, nie zawsze tak jest. Ustawa zawiera bowiem zamknięty katalog danych wrażliwych, wśród których nie wymienia się danych biometrycznych.
Niemniej dane biometryczne mogą być danymi sensytywnymi, o ile na ich podstawie uda się uzyskać informacje na temat stanu zdrowia. Nie będzie to częsta sytuacja, bowiem w oparciu o obraz linii papilarnych, będących jedną z najpopularniejszych danych wykorzystywanych w biometrii tożsamości, trudno jest otrzymać informacje o zdrowiu. Jednak już przy analizie owalu twarzy czy skanie siatkówki oka pojawiają się wątpliwości, czy niektóre wady genetyczne lub uszkodzenia nie byłyby możliwe do rozpoznania.
Dane biometryczne w RODO
Wkrótce kwestia charakteru danych biometrycznych ulegnie jednak znaczącej zmianie. Od 25 maja 2018 r. u.o.d.o. zostanie w większości zastąpiona przez przepisy o randze europejskiej, obowiązujące jednolicie w całej UE. Mowa o rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych; dalej: RODO). W przeciwieństwie do aktualnych przepisów RODO zawiera wyraźną definicję danych biometrycznych i statuuje generalny zakaz ich przetwarzania, jak to ma miejsce w przypadku danych wrażliwych, o ile oczywiście nie zachodzi jeden z wyjątków dopuszczających przetwarzanie.
Podstawa prawna: zgody
Przedsiębiorcy chcący korzystać z technologii biometrycznych muszą pamiętać przede wszystkim o dwóch rzeczach: podstawie przetwarzania danych i rejestracji zbioru danych.
Zgodnie z u.o.d.o. przetwarzanie zwykłych (niesensytywnych) danych osobowych możliwe jest tylko wtedy, gdy istnieje ku temu podstawa prawna, przy czym katalog możliwych podstaw prawnych zawarto w ustawie.
Jedną z podstaw, z których można skorzystać, jest zgoda podmiotu danych. Chcąc przetwarzać dane biometryczne, np. do kontroli dostępu czy w celu umożliwienia klientom skorzystania z określonych usług, przedsiębiorca powinien się postarać o zebranie takich zgód i udokumentowanie tego faktu.
Zgoda na przetwarzanie danych nie może stanowić części innego oświadczenia woli. Przedsiębiorca nie powinien wpisywać takiej zgody w treść np. regulaminu usług czy miejsca.
Dla celów dowodowych wydaje się, że zbieranie zgody w formie pisemnej jest bezpiecznym rozwiązaniem. Podstawą prawną może być także umowa z klientem, przy czym przedsiębiorca musi wyraźnie wskazać, że taka kategoria danych jak dane biometryczne będzie również przetwarzana. Powinno to stanowić część obowiązku informacyjnego.
Obowiązek zgłoszenia zbioru danych
Jeśli u danego przedsiębiorcy nie funkcjonuje administrator bezpieczeństwa informacji (ABI) lub nawet gdy takiego powołano, a przetwarzane są dane wrażliwe, zachodzi obowiązek zgłoszenia zbioru danych do rejestracji przez GIODO. W sytuacji, gdy zamierzamy oferować klientom usługi czy towary dostępne pod warunkiem wykorzystania danych biometrycznych, to – co istotne – taką kategorię danych osobowych należy również podać w zgłoszeniu. [ramka 1]
Niepodawanie tego to jak się okazuje jeden z błędów popełnianych przez przedsiębiorców. [ramka 2]
Niezbędne zabezpieczenia
Obecnie zabezpieczenie przetwarzanych danych osobowych leży w gestii administratora danych, przy czym regulacje w tym zakresie zawiera u.o.d.o. oraz rozporządzenie wykonawcze MSWiA z 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. z 2004 r. nr 100, poz. 1024).
Akty te precyzują rodzaje środków technicznych i organizacyjnych, jakie muszą być zastosowane w zależności od kategorii danych. Nie ma przy tym znaczenia, czy przedsiębiorca przetwarza dane 50 czy 500 osób, jednak trzeba mieć na uwadze, że większe grono podmiotów danych zawsze bardziej wzbudza zainteresowanie GIODO, bo też i skutki potencjalnego naruszenia bezpieczeństwa danych, np. ich wycieku, mogą dotknąć wielu osób.
Natomiast pod rządami unijnego rozporządzenia RODO, czyli już od 25 maja 2018 r., obowiązywać będzie w tym zakresie risk-basedapproach, tzn. przedsiębiorcy nie dostaną prostych wskazówek co do oczekiwanych przez regulatora zabezpieczeń, lecz będą sami musieli stwierdzić, jakie rozwiązania wdrożyć wobec ryzyka, które zachodzi w zakresie przetwarzanych przez nich danych osobowych.
Widmo kar
Jeśli przedsiębiorca chce korzystać z rozwiązań biometrycznej identyfikacji czy autoryzacji osób w swojej działalności gospodarczej, powinien przypilnować kilku kwestii, by uniknąć ryzyka narażenia się generalnemu inspektorowi ochrony danych osobowych. Trzeba pamiętać bowiem, że organ ten może wszcząć kontrolę z własnej inicjatywy, jak i w konsekwencji otrzymania informacji o nieprawidłowościach, np. od konkurencji.
Obecnie GIODO nie może nakładać kar finansowych. Przedsiębiorcy grozi co najwyżej grzywna za niewykonanie decyzji nałożonych przez ten organ. Nie zmienia to jednak faktu, że GIODO jest władne np. zakazać dalszego przetwarzania określonych danych lub nakazać ich usunięcie (sankcje administracyjne) lub też złożyć zawiadomienie do prokuratury (w tym wypadku grozi nawet kara więzienia dla zarządu). Co ważne, po wejściu w życie RODO zaczną funkcjonować kary finansowe, które będą mogły sięgać nawet 20 mln euro albo 4 proc. globalnego obrotu całej grupy kapitałowej.
RAMKA 1
Jak prawidłowo poinformować GIODO
Zgłoszenia zbioru danych należy dokonać na formularzu, którego wzór wskazano w załączniku do rozporządzenia ministra spraw wewnętrznych i administracji z 11 grudnia 2008 r. w sprawie wzoru zgłoszenia zbioru danych do rejestracji generalnemu inspektorowi ochrony danych osobowych (Dz.U. nr 229, poz. 1536). Zawartość wniosku wskazano w art. 41 ust. 1 u.o.d.o. Zgłoszenie powinno zawierać wszystkie informacje, o których mowa w art. 41 ust. 1 pkt 1–7 u.o.d.o. Powinno być podpisane przez administratora danych (np. osobę fizyczną prowadzącą działalność gospodarczą jednoosobowo) lub inną osobę upoważnioną do reprezentowania wnioskodawcy. Zgłoszenie można przesłać pocztą, złożyć w biurze GIODO albo przesłać drogą elektroniczną.
RAMKA 2
Nauka na cudzych błędach
Zapewnienie zgodności przetwarzania z prawem wydaje się szczególnie ważne wobec faktu, że niektórzy przedsiębiorcy doświadczyli już na własnej skórze sporu z GIODO o rozwiązania biometryczne. Zapadł nawet w jednej z takich spraw istotny wyrok (sygn. akt II SA/Wa 658/15). Mianowicie w 2014 r. GIODO przeprowadziło kontrolę w jednej z sieci klubów fitness – po uzyskaniu informacji, że sieć ta stosuje szafki dla klientów zamykane na odcisk palca. Problemem dla organu nie była sama technologia biometryczna, którą wykorzystano do identyfikacji klientów, lecz niedopełnienie przez klub obowiązków wynikających z u.o.d.o. oraz nietrafna argumentacja.
Po pierwsze GIODO zarzuciło spółce prowadzącej kluby fitness, że przetwarza dane biometryczne klientów (odcisk palce) bez podstawy prawnej, np. w postaci zgody klienta. Ponadto w zgłoszonym do rejestracji w GIODO zbiorze danych spółka nie wymieniła danych biometrycznych. Właściciel klubów fitness kwestionował zarówno sam fakt zbierania danych biometrycznych, jak również fakt przechowywania ich. Nie zgadzał się również z kwalifikowaniem tych informacji jako danych osobowych.
Co do podstawy prawnej to próbował wywieść zgodę klienta z akceptacji ogólnych warunków członkostwa w klubach, jednak w dokumencie tym zapisano, że w celu zapewnienia bezpieczeństwa (...) kontrola wstępu może się odbywać z wykorzystaniem biometrycznego systemu weryfikacji przy pomocy opaski członkowskiej zawierającej kod alfanumeryczny utworzony na podstawie danych biometrycznych członka. Jednak w kolejnym zdaniu podano, że „nie gromadzi ani nie przechowuje danych biometrycznych”.
GIODO wywiodło, że do gromadzenia danych dochodziło, a sąd poparł jego tok myślenia. Potwierdził, że nieprawidłowe w działaniu spółki było też to, iż wprawdzie dokonała zgłoszenia zbioru do rejestracji i ujawniła, że w zbiorze przetwarzane są dane osobowe klientów, jednak nie wskazała przy tym informacji o pozyskiwaniu danych biometrycznych.
!GIODO przypomina, że przetwarzanie danych biometrycznych wiąże się z obowiązkiem uzyskania od klientów zgody na ich gromadzenie. Niezależnie od tego, czy przedsiębiorca uzyskał wcześniej zgodę na przetwarzanie danych osobowych.