Prawne aspekty biometrii: Dane biometryczne i ich rodzaje

Wszystkie dane dotyczące jednostki dokonują opisu cech, stanów czy sytuacji jednostki i jej życia. Nie każde jednak spośród nich, mimo że w pewnych przypadkach ukazują fragmenty życia, adresy, kody i hasła pozwalające pod pewnymi warunkami na rozpoznanie tożsamości, będą danymi osobowymi. Otóż dopiero dane dające możliwość identyfikacji tożsamości dla osób spoza kręgu osób najbliższych, dla bardziej powszechnego gremium, a nie tylko dla wąskiej grupy wybranych podmiotów, będą mogły być danymi osobowymi

Takim przykładem może być tutaj system AFIS (skrót od Automatic Fingerprint Identification System – automatyczny system identyfikacji odcisku palca), oparty na biometrii odcisku palca, powszechnie wykorzystywany przez policję i służby specjalne. Pobierane odciski palców (np. z przedmiotów) z miejsca zdarzenia lub na granicach państw są następnie porównywane z bardzo dużymi bazami zdjęć odcisków palca. Stanowią one także dowód w śledztwie. Można zatem stwierdzić, że w tym przypadku odcisk palca może być uznany za daną osobową, o ile istniałaby możliwość dostępu do systemu AFIS. Systemy AFIS oparte na biometrii odcisku palca są jednakże przypadkiem wyjątkowym i należy traktować je w sposób szczególny. Należy w tym miejscu podkreślić również, że systemy AFIS nie mają zastosowań w bankowości.

Możliwość identyfikacji musi mieć zatem rozsądne ramy i dawać realną ekspektatywę do precyzyjnego bezpośredniego lub pośredniego ustalenia tożsamości, bez wykorzystania dysproporcjonalnych do efektu środków.

Ustawodawca zauważa tego typu problematykę i zakłada, że „informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań”15. W takim przypadku nie będziemy mieli do czynienia z danymi osobowymi. Systemy mogą więc korzystać z odpowiednio zabezpieczonych danych biometrycznych, które po sprawdzeniu testem proporcjonalności nie będą wypełniały przesłanek, które przewidziane zostały przez normy definiujące dane osobowe.

Dlatego też, mając na uwadze powyższe, uznać należy, że nie powinno się apriorycznie zakładać, że wszystkie dane biometryczne będą lub też nie będą danymi osobowymi. Należy więc każdorazowo, ad casum, sprawdzać, czy dzięki nim możliwe jest rozpoznanie danej osoby, bez użycia nadmiernych nakładów (kosztów, czasu lub działań).

Oceniając tzw. nieproporcjonalność nakładów należy uwzględnić:

1. Nakłady potrzebne do dostępu do systemu biometrycznego umożliwiającego porównanie posiadanego wzorca biometrycznego z innym wzorcem lub bazą wzorców.
2. Nakłady potrzebne do odtworzenia oryginalnych surowych danych na podstawie wzorca.
3. Nakłady potrzebne do przygotowania danych biometrycznych pozwalających na pozytywną odpowiedź systemu biometrycznego.
4. Nakłady potrzebne do przygotowania fałszywych obiektów (np. sztuczny palec, sztuczna tęczówka) lub imitacji zachowań pozwalających na pozytywną odpowiedź systemu biometrycznego.

Systemy biometrycznej identyfikacji, z uwagi na konieczność istnienia szybkich algorytmów pozwalających na przeszukiwanie całej populacji biometrycznej oraz ich współpracy z centralnymi repozytoriami danych biometrycznych, stwarzają teoretycznie większe zagrożenie związane z możliwością nielegalnej identyfikacji. Dlatego można przyjąć, iż systemy wykorzystujące biometrię tylko do weryfikacji tożsamości są bezpieczniejsze.

Należy jednak podkreślić, iż ocena konkretnego systemu, a na pewno typu biometrii w nim zastosowanej, nie może być podyktowana tylko i wyłącznie typem systemu (system weryfikacji czy identyfikacji biometrycznej) i konieczna jest analiza bezpieczeństwa takiego systemu w danym scenariuszu.

Ponadto kwestią szczególnej uwagi powinien być sposób powiązania danych biometrycznych z innymi danymi. Mogą istnieć bowiem niebezpieczne systemy, które gromadzą dane osobowe razem z innymi danymi dotyczącymi jednostki. W świetle rekomendacji „25 Best Practices for Privacy-Sympathetic Biometric Deployment”16, wydanych przez International Biometric Group17, powiązanie danych biometrycznych z innymi, zewnętrznymi danymi, zawartymi w innych zbiorach powinno być ograniczone do niezbędnego minimum18.

Równocześnie użyteczny w tym miejscu wydaje się podział na dane pochodzące od osoby (person-related detail = derived from the body)19 oraz dane osobowe (personal detail = can be traced back to a person)20. Nie za każdym razem dane pochodzące od osoby (np. dane biometryczne) będą danymi osobowymi.

Mogą bowiem istnieć rozwiązania wykorzystujące dane dotyczące osoby, które mają charakter anonimowy21, tzn. wzorce biometryczne nie są powiązane z innymi danymi pozwalającymi na weryfikację i/lub identyfikację osoby. Wykorzystywanie takich rozwiązań nie powoduje powstania zagrożeń dla prywatności i dopuszczalne jest w świetle regulacji22, obowiązujących na poziomie europejskim. Ponadto istnienie systemów semi-anonimowych (półanonimowych), w których istnieje jeden podmiot (np. wydawca kart biometrycznych) 23, który na podstawie danych biometrycznych może ustalić tożsamość osoby, zakłada, że dla wszystkich innych podmiotów system taki nadal ma charakter anonimowy. Jest tak dlatego, że przy założeniu zapewnienia odpowiedniej ochrony danych i ujawnianiu odpowiednio zabezpieczonych danych, jedynie uprawnionym podmiotom na podstawie precyzyjnego przepisu prawa lub wyroku sądu, nadal dla wszystkich pozostałych podmiotów/organów weryfikacja biometryczna sprowadza się do tego, że wiedzą one, iż uwierzytelniana osoba jest osobą właściwą, lecz nie wiedzą one, kim ona jest24.

Wydaje się, że prawo jednakowo traktuje dane biometryczne, co oznacza, że formułuje generalną i abstrakcyjną normę określającą warunki dla kwalifikacji poszczególnych danych jako dane osobowe. Inną kwestią pozostaje to, że przy jednakowo określonych warunkach nie każda dana biometryczna będzie daną osobową, gdyż nie każde rozwiązanie biometryczne w wyniku dokonywanej subsumpcji będzie wypełniało hipotezę normy określającej wymogi danych osobowych. Tak więc prawo nie tworzy kazuistycznych przypadków dla danych osobowych. Formułuje ogólne zasady, a różna kwalifikacja poszczególnych danych biometrycznych wynika z zastosowanych zabezpieczeń tych danych i związanych z nimi możliwościami identyfikacji i/lub weryfikacji tożsamości osoby fizycznej.

W systemach biometrycznych ...