Dane biometryczne mają w RODO specjalny status. Wynika to z faktu, że ich przetwarzanie cechuje silna ingerencja w prywatność osób. Poza tym generują one zagrożenia takie jak np. możliwość ujawnienia danych szczególnych kategorii czy doprowadzenie do dyskryminacji. Z tego względu ich przetwarzanie powinno być poprzedzone DPIA.
W ostatnim czasie przetwarzanie danych biometrycznych ma miejsce coraz częściej. Przykładem jest tu choćby kontrola wejść do pomieszczeń czy budynków na podstawie np. odcisku palca, a więc danych daktyloskopijnych.
Do danych biometrycznych zalicza się:
Dane te, jako objęte szczególną kategorią, mogą być przetwarzane jedynie w przypadkach wskazanych w art. 9 ust. 2 RODO.
Dlaczego przetwarzanie tych danych objęte jest szczególnym statusem? Są to bowiem dane niezmienne. Ich wyciek generuje więc wysokie ryzyko naruszenia praw i wolności podmiotów danych. Naruszenia, które może trwać przez całe życie osoby. Negatywne konsekwencje takiego zdarzenia mogą mieć miejsce przez całe dalsze życie.
Zgoda również z warunkami
Jedną z podstaw przetwarzania danych biometrycznych jest zgoda. Musi być ona:
Zgoda jest dobrowolna, gdy osoba, której dane dotyczą, ma rzeczywisty i wolny wybór co do udzielenia zgody oraz może jej odmówić lub ją wycofać bez niekorzystnych konsekwencji. Zaś brak zgody osoby na przetwarzanie jej danych nie może powodować np. dyskryminacji, pogorszenia jakości świadczonej usługi czy niemożliwości skorzystania z niej.
szwedzki organ nadzorczy oceniał możliwość przetwarzania danych biometrycznych w postaci rysów twarzy uczniów w celu automatycznego potwierdzania ich obecności w klasie. Organ ten nałożył karę na szkołę. Wprawdzie przetwarzanie było w tym przypadku oparte o zgodę, ale nie miała ona przymiotu dobrowolności. Podobnie we Francji sąd administracyjny zakwestionował zgodę jako podstawę przetwarzania danych biometrycznych przez dwie szkoły, które na podstawie decyzji rady regionalnej regionu Prowansja-Alpy-Lazurowe Wybrzeże wykorzystywały technologie rozpoznawania twarzy do kontrolowania wejścia i wyjścia uczniów do budynku. Sąd uznał, że w takiej sytuacji zgoda nie mogła być wyrażona w sposób dobrowolny.
Zgodnie z zasadą minimalizacji administrator danych może pozyskiwać tylko te dane, które są niezbędne dla zrealizowania konkretnych celów (art. 5 ust. 1 lit. c RODO). Reguła ta musi być przestrzegana także w związku z przetwarzaniem danych biometrycznych
Holenderski organ nadzoru w decyzji z 28 kwietnia 2020 r. wskazał, że konieczna jest ocena czy identyfikacja za pomocą danych biometrycznych jest konieczna i proporcjonalna do celów uwierzytelniania lub bezpieczeństwa. Zaznaczył również, że wprawdzie biometria może być wykorzystywana do kontroli wstępu do pomieszczeń z uwagi na bardzo wysoką potrzebę zapewnienia bezpieczeństwa, niemniej jednak nie jest zasadne przy wejściu do innych pomieszczeń, jak np. warsztat.
Sprawą przetwarzania danych biometrycznych w szkole zajął się także polski organ nadzorczy. O jej przebiegu napiszemy niebawem.
Opracowanie: Michał Kowalski
Przechowywanie danych w chmurze polega na zapisywaniu i zarządzaniu danymi na zdalnych serwerach, które są dostępne przez internet. Zamiast przechowywać pliki na lokalnych dyskach twardych lub serwerach, użytkownicy mogą korzystać z infrastruktury dostarczanej przez dostawców usług chmurowych. Jest to wygodne i efektywne rozwiązanie, które zapewnia dostęp do danych z dowolnego miejsca, elastyczność, skalowalność oraz wysoki poziom bezpieczeństwa i niezawodności.
© Portal Poradyodo.pl