Skanowanie odcisków palców, automatyczne rozpoznawanie twarzy – takie technologie są coraz częściej stosowane w celu usprawnienia różnych sfer działalności administratora. Wiążą się one z przetwarzaniem danych biometrycznych. Dane te mogą być przetwarzane jedynie w szczególnych przypadkach wynikających z RODO. W artykule znajdziesz wyjaśnienie, w jakich przypadkach możesz przetwarzać dane biometryczne.
Dane biometryczne zaliczane do szczególnej kategorii - definicja w RODO
Dane biometryczne są zaliczane do szczególnych kategorii danych osobowych (tzw. danych wrażliwych). Z definicji danych biometrycznych zawartej w RODO wynika, że są to dane osobowe, które spełniają 3 warunki:
Przykłady danych biometrycznych jako szczególnych kategorii danych osobowych
Za dane biometryczne uważa się m.in.:
Oczywiście z uwagi na postęp technologiczny nie sposób sklasyfikować wszystkich danych biometrycznych. Właśnie dlatego RODO przewiduje otwartą definicję tych danych.
Co do zasady RODO zabrania przetwarzania danych biometrycznych jako wrażliwych. Od tej reguły przewidziane są jednak wyjątki w postaci podstaw przetwarzana szczególnych kategorii danych osobowych (art. 9 ust. 2 RODO).
|
Podstawy przetwarzania danych biometrycznych |
Objaśnienie |
|
zgoda osoby, której dane dotyczą |
Zgoda na przetwarzanie danych biometrycznych musi być:
Przykładowo, trudno uznać za dobrowolną zgodę na przetwarzanie danych biometrycznych od rodziców dzieci w celu weryfikacji uiszczenia opłaty za posiłek w stołówce szkolnej. Wszak uczniowie, których rodzice nie zgodzili się na przetwarzanie danych biometrycznych, musieli przepuszczać w kolejce po posiłek pozostałych uczniów. Więcej na ten temat przeczytasz tutaj>> W przypadku pracowników zgoda na przetwarzanie danych biometrycznych musi być udzielone z inicjatywy pracownika, a nie pracodawcy. Przeczytaj także: Dane biometryczne a ewidencja czasu pracy Pobierz wzór zgody na przetwarzanie danych osobowych szczególnej kategorii. |
|
prawo pracy, zabezpieczenie społeczne i ochrona socjalna |
Przetwarzanie takich danych musi być niezbędne do wypełnienia obowiązków i wykonywania szczególnych praw przez administratora lub podmiot danych, w dziedzinie:
Muszą jednak pozwalać na to:
W polskim prawie pracy pracodawca może przetwarzać dane biometryczne pracownika, gdy ich podanie jest konieczne ze względu na kontrolę:
Przeczytaj także: |
|
ochrona żywotnych interesów |
Przetwarzanie danych biometrycznych musi być niezbędne do ochrony żywotnych interesów:
Stosowanie takiej podstawy jest możliwe tylko wówczas, gdy podmiot danych jest fizycznie lub prawnie niezdolny do wyrażenia zgody na przetwarzanie danych. |
|
cele polityczne, światopoglądowe, religijne lub związkowe |
Dane biometryczne mogą być przetwarzane przez:
o celach politycznych, światopoglądowych, religijnych lub związkowych. Takie rozwiązanie może być zastosowane, gdy:
|
|
oczywiste upublicznienie |
Przetwarzanie może dotyczyć danych osobowych biometrycznych upublicznionych w sposób oczywisty przez podmiot danych |
|
działalność sądów |
Przetwarzanie danych biometrycznych ma być niezbędne do:
|
|
interes publiczny |
Przetwarzanie danych biometrycznych ma być niezbędne ze względów związanych z ważnym interesem publicznym, na podstawie prawa UE lub krajowego, jeśli służące temu celowi działania:
|
|
ochrona zdrowia |
Przetwarzanie musi służyć celom ochrony zdrowia i odbywać się na podstawie prawa lub umowy z pracownikiem służby zdrowia, i jednocześnie być niezbędne do:
Jednocześnie szczególne kategorie danych muszą być przetwarzane przez:
|
|
zdrowie publiczne |
Przetwarzanie danych biometrycznych musi być niezbędne ze względów związanych z interesem publicznym w dziedzinie zdrowia publicznego (np. służyć zapewnieniu wysokich standardów jakości i bezpieczeństwa opieki zdrowotnej oraz produktów leczniczych lub wyrobów medycznych). Poza tym musi odbywać się na podstawie przepisów prawa unijnego lub krajowego. |
|
cele archiwalne, statystyczne i naukowe |
Przetwarzanie danych biometrycznych musi być niezbędne do celów:
Działania związane z przetwarzaniem muszą:
|
Zgodnie z regułą minimalizacji dane osobowe powinny być
Dane biometryczne można przetwarzać jedynie wtedy, gdy celu przetwarzania nie można w rozsądny sposób osiągnąć innymi sposobami.
Bank przetwarza dane w postaci linii papilarnych pracowników w celu kontroli wejścia do określonych stref banku. W takim przypadku można uznać, że dane biometryczne są przetwarzane zgodnie z regułą minimalizmu. Nie znalazłoby jednak żadnego uzasadnienia ograniczanie dostępu z wykorzystaniem biometrii do pomieszczeń, w przypadku których nie ma potrzeby zapewnienia wysokiego poziomu bezpieczeństwa.
Aby stwierdzić, czy przetwarzanie danych biometrycznych jest zgodne z regułą minimalizmu, należy najpierw przeanalizować ryzyko związane z takim przetwarzaniem. Przeczytaj, jak dokonać analizy ryzyka zgodnie z wytycznymi ENISA.
Przetwarzanie danych biometrycznych bez podstawy prawnej może spotkać się z reakcją Prezesa Urzędu Ochrony Danych Osobowych. 18 lutego 2020 r. Prezes UODO ukarał szkołę za pobieranie odcisków palców uczniów w celu ustalenia, czy korzystają oni ze stołówki szkolnej. Przetwarzanie danych biometrycznych było przedmiotem postępowań innych państwach członkowskich m.in. w głośnej sprawie Clearview AI.
Z uwagi na to, że dane biometryczne powinny być szczególnie chronione, Prezes UODO opublikował wskazówki dotyczące procesów ich przetwarzania.
Przechowywanie danych w chmurze polega na zapisywaniu i zarządzaniu danymi na zdalnych serwerach, które są dostępne przez internet. Zamiast przechowywać pliki na lokalnych dyskach twardych lub serwerach, użytkownicy mogą korzystać z infrastruktury dostarczanej przez dostawców usług chmurowych. Jest to wygodne i efektywne rozwiązanie, które zapewnia dostęp do danych z dowolnego miejsca, elastyczność, skalowalność oraz wysoki poziom bezpieczeństwa i niezawodności.
© Portal Poradyodo.pl
