Cyberbezpieczeństwo

Czy informacje biometryczne to dane osobowe według przepisów RODO?

Karol Jerzy Mórawski | aleBank.pl
Czy informacje biometryczne to dane osobowe według przepisów RODO?
Fot. stock.adobe.com/rzoze19
Udostępnij Ikona facebook Ikona LinkedIn Ikona twitter
Jak stosować techniki biometryczne, by pozostawać w zgodzie z obowiązującym prawem? Podczas tegorocznego Forum Bezpieczeństwa Banków mówił o tym dr Arwid Mednis, pracownik naukowy Wydziału Prawa i Administracji Uniwersytetu Warszawskiego.

#ArwidMednis: Jeżeli mamy profil biometryczny, ale nie jesteśmy w stanie wskazać, kogo te dane dotyczą, wówczas nie stosuje się zapisów #RODO

Czy informacje biometryczne stanowią dane osobowe na gruncie RODO? Odpowiedź na to pytanie wydaje się być twierdząca, tymczasem ekspert przypomniał, że w niektórych przypadkach przetwarzanie informacji na temat cech biometrycznych nie podlega pod reżim unijnego rozporządzenia i przepisów rangi krajowej, stojących na straży prywatności.

– Dane osobowe, jak sama nazwa wskazuje, muszą mieć odniesienie do jakiejś konkretnej osoby. Jeżeli mamy profil biometryczny, ale nie jesteśmy w stanie wskazać, kogo te dane dotyczą, wówczas nie stosuje się zapisów RODO. Obowiązki z tytułu rozporządzenia pojawiają się wówczas, kiedy dane odnoszą się do osoby, którą możemy zidentyfikować na ich podstawie – wskazał dr Arwid Mednis.

Należy także pamiętać, że umieszczona w obecnie obowiązujących przepisach lista cech biometrycznych, na której znalazł się między innymi wizerunek twarzy czy odciski palców, ma charakter jedynie przykładowy i nie wyczerpuje wszystkich kategorii tego typu informacji. Obok rozlicznych cech fizycznych mamy wszak do czynienia z biometrią behawioralną.

– Do tej kategorii zaliczyć możemy sposób korzystania z urządzenia, takiego jak tablet bądź smartfon – przypomniał ekspert, dodając, że niektórzy przedsiębiorcy specjalizują się wręcz w obrocie informacjami behawioralnymi.

10 wyjątków od zakazu przetwarzania danych biometrycznych

Posługując się danymi biometrycznymi, zarówno klientów jak i pracowników, należy jednak pamiętać, iż na gruncie RODO są one zaliczane do szczególnej kategorii.

– Co do zasady obowiązuje zakaz przetwarzania takich informacji, a więc także i danych biometrycznych – nadmienił dr Mednis, dodając, iż art. 9 ust. 2 ogólnego rozporządzenia o ochronie danych wskazuje dziesięć wyjątków od tej reguły.

– Pierwszy wyjątek, najważniejszy, stanowi wyraźna zgoda osoby której dane dotyczą – zaznaczył ekspert. Co do zasady należy w takich przypadkach uzyskać stosowne oświadczenie woli od podmiotu danych, jednak zgoda takowa musi być udzielona w sposób świadomy i dobrowolny.

A to oznacza konieczność poinformowania osoby, której dane dotyczą, że będą one przetwarzane, wraz ze wskazaniem celu owego procesowania.

Z kolei dobrowolność wyklucza możliwość uzależnienia podjęcia  jakiegokolwiek działania przez dostawcę usług od wyrażenia zgody na przetwarzanie danych biometrycznych przez jego klienta.

KNF: wideoweryfikacja dopuszczalna

Dane osobowe o charakterze szczególnym, w tym także i biometryczne, mogą być procesowane także z uwagi na ważny interes publiczny. Przesłanka takowa musi być rzecz jasna określona w stosownym akcie prawa krajowego lub tez wspólnotowego, który zawierałby stosowne gwarancje ochrony praw osoby, której dane dotyczą.

W przypadku sektora bankowego do takich kryteriów należy bez wątpienia identyfikacja klienta oraz autoryzacja transakcji. W procesach tych coraz częściej posługujemy się danymi biometrycznymi, zwłaszcza w kanale mobilnym, gdzie liczne sensory smartfona pozwalają na taką formę uwierzytelnienia.

Gromadzenie i procesowanie informacji biometrycznych przez instytucje finansowe jest też niezbędne dla realizacji obowiązków, przewidzianych w ustawie o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu. Z obszarem tym korespondują podejmowane przez banki działania antyfraudowe, choć zbieżność nie jest stuprocentowa.

– Pewne działania są jednocześnie fraudem i próbą prania pieniędzy, ale mamy też całe spektrum działań zmierzających do wykorzystania banku do działalności przestępczej, która niekoniecznie polega na praniu pieniędzy – wskazał dr Mednis.

Odnosząc się do tej kwestii, ekspert wskazał na stanowisko KNF z czerwca ubiegłego roku odnośnie identyfikacji klienta i możliwości stosowania wideoweryfikacji w bankach oraz oddziałach instytucji kredytowych.

– Urząd w tym stanowisku wyraźnie wskazuje, że biometria jest dopuszczalna jako jeden ze wzmożonych środków bezpieczeństwa finansowego, tylko musimy pamiętać, że użycie tych środków jest zależne od oceny ryzyka – zauważył ekspert. Równocześnie zasugerował on konieczność doprecyzowania przepisów, tak, by zezwolenie na korzystanie z danych biometrycznych w celach antyfraudowych było dopuszczone wprost na gruncie ustawowym.

Kiedy decyzja kredytowa ma charakter zautomatyzowany?

Najwięcej kontrowersji budzi rzecz jasna korzystanie z danych biometrycznych w celu analizy zdolności kredytowej. Dr Mednis przypomniał, że kwestie te stanowiły przedmiot dyskusji podczas prac legislacyjnych nad tzw. ustawą sektorową RODO.

– Postanowiono wówczas  wprowadzić upoważnienie banków i innych instytucji finansowych do tego, aby można było w celu oceny zdolności kredytowej i analizy ryzyka kredytowego podejmować tak zwane zautomatyzowane decyzje – przypomniał ekspert.

Podmioty, które posługują się tego typu procesami, obowiązane są do zapewnienia osobie, której dotyczy decyzja, prawa do uzyskania wyjaśnień odnośnie jej podjęcia, do uzyskania interwencji ludzkiej w przypadku jej zakwestionowania przez klienta oraz do wyrażenia własnego stanowiska.

– Wzorem RODO, wprowadzono do naszego prawa bankowego zakaz opierania tego rodzaju decyzji o dane osobowe, o których mowa w artykule 9 RODO, czyli między innymi o dane biometryczne – dodał dr Mednis.

Stanowczy wydźwięk tej regulacji nie oznacza, że zakazane jest jakiekolwiek powiązanie pomiędzy profilowaniem rozumianym w kontekście RODO a podejmowaniem decyzji kredytowych.

– Decyzja nie jest zautomatyzowana jeśli system tylko podpowiada tak ale ostateczną decyzje podejmuje człowiek. Nie zgadzam się ze stanowiskami które mówią, że nie można dokonywać samej oceny predykcji zachowania w oparciu o dane biometryczne – mówił ekspert.

Dane biometryczne pracowników: nie zawsze konieczna zgoda

Odrębną kwestią na gruncie RODO pozostaje wykorzystywanie danych szczególnej kategorii w celu realizacji obowiązków wynikających z prawa pracy.

– Dane biometryczne naszych pracowników mogą być przetwarzane w dwóch zasadniczych przypadkach.  Po pierwsze jeżeli pracownik wyrazi na to zgodę – powiedział dr Mednis, dodając wszakże, iż sytuacja takowa zawsze będzie budzić dyskusję odnośnie dobrowolności takowego oświadczenia woli w relacjach z pracodawcą.

Istnieje też możliwość procesowania danych biometrycznych bez zgody pracownika, jeżeli ich pobranie byłoby konieczne z uwagi na kontrolę dostępu do informacji, których ujawnienie może narazić firmę na szkodę, lub do pomieszczeń wymagających szczególnej ochrony.

– Tutaj zgoda nie jest wymagana, a korzystanie z biometrii jest dopuszczalne na podstawie cytowanego przepisu RODO, jak i Kodeksu pracy – uzupełnił ekspert.

Źródło: aleBank.pl