RODO, biometria, Kodeks Pracy i rynek finansowy
Przykładem zastosowania tej technologii na dużą skalę są Chiny, które takie rozwiązania stosują m.in. do zapewnienia bezpieczeństwa w ruchu drogowym (automatyczne punkty karne) czy kontroli nietypowych zachowań, np. na lotniskach.
W Unii Europejskiej na razie nie ma planów wprowadzenia szerokiego zastosowania rozpoznawania twarzy w miejscach publicznych. Biometria jako element identyfikacji nadal budzi wiele emocji. Powstały nawet liczne rekomendacje w kontekście ochrony granic wewnętrznych UE.
Bezpieczeństwo wrażliwych danych
Jednym z obszarów, gdzie rozpoznawanie twarzy czy skanu siatkówki może znaleźć zastosowanie jest kontrola dostępu do miejsc związanych z przetwarzaniem wrażliwych danych czy cyberbezpieczeństwem.
Surowe wymogi w tym zakresie stawiają m.in. Wytyczne EBA w sprawie zarządzania ryzykami IT oraz bezpieczeństwa, czy też ustawa o krajowym systemie cyberbezpieczeństwa.
Coraz więcej instytucji decyduje się na wprowadzanie tego typu rozwiązań, tym bardziej, że technologie biometryczne są dużo bardziej skuteczne niż uwierzytelnianie oparte o „wiedzę” (PIN) czy „posiadanie” (kartę) – warto tu zajrzeć do raportu „Study on Face Identification Technology for its Implementation in the Schengen Information System”.
Możliwość wykorzystania danych biometrycznych
Rozporządzenie 2016/679 (RODO) jest dość „konserwatywne” w kontekście wykorzystania tzw. szczególnych kategorii danych. Art. 9 ust. 1 wskazuje wyraźnie, że „zabrania się (…) przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej (…)”.
Furtkę pozostawiono jednak w ust. 2, który dopuszcza przetwarzanie tego typu danych m.in. w przypadku, gdy „przetwarzanie jest niezbędne do wypełnienia obowiązków i wykonywania szczególnych praw przez administratora lub osobę, której dane dotyczą, w dziedzinie prawa pracy (…), o ile jest to dozwolone prawem Unii lub prawem państwa członkowskiego (…) przewidującymi odpowiednie zabezpieczenia praw podstawowych i interesów osoby, której dane dotyczą” (lit b).
Dodatkowo mamy tutaj art. 88 ust. 1 Rozporządzenia 2018/389. Uprawnia on państwa członkowskie do ustanowienia bardziej szczegółowych przepisów w zakresie ochrony danych osobowych pracowników oraz osób dopiero zatrudnianych, również w kontekście wykonywania obowiązków służbowych.
Istotny będzie również art. 5 Rozporządzenia 2016/679, który wyznacza podstawowe standardy w zakresie przetwarzania.
Czytaj także: Już od 4 miesięcy pracodawcy nie mogą używać ukrytych kamer
Kontrola pomieszczeń czyli monitoring w miejscu pracy
Kodeks Pracy w art. 22(2) dopuszcza wprowadzenie monitoringu, szczególnego nadzoru nad terenem zakładu pracy. Jest to jednak możliwe jedynie, jeżeli jest to m.in. niezbędne do zachowania w tajemnicy informacji, których ujawnienie mogłoby narazić pracodawcę na szkodę.
Takim przypadkiem będzie więc wprowadzenie monitoringu pomieszczeń, w których przetwarzane są dane stanowiące tajemnicę bankową czy zawodową.
Przepis wprowadza kilka obostrzeń. M.in. wyłączenia określonych pomieszczeń czy skrócenie okresu przechowywania nagrań do 3 miesięcy. Mamy również określone obowiązki informacyjne, wyraźnie i czytelnie.
To jednak jeszcze nie jest kontrola dostępu
Tym, co jednak najbardziej interesuje nas w kontekście identyfikacji, to jednak art. 22(1b) par. 2 Kodeksu Pracy, bo wspomniany wyżej monitoring nie musi jednoznacznie identyfikować osób tam przebywających.
Przepis ten wyraźnie umożliwia przetwarzanie danych biometrycznych pracownika, gdy podanie takich danych jest niezbędne ze względu na kontrolę dostępu do szczególnie ważnych informacji (ponownie tajemnica bankowa i zawodowa), a także jeżeli wymaga tego udzielenie dostępu do pomieszczeń wymagających szczególnej ochrony.
W praktyce więc osoby, które pełnią szczególne funkcje, zgodnie z zasadą „wiedzy koniecznej”, mogą zostać poproszone o „udostępnienie” swoich danych biometrycznych dla celów uzyskania dostępu do takich pomieszczeń.
Przepis ten nie wymaga także, aby pracodawca w takim przypadku odbierał dodatkową zgodę (RODO), o której mowa w art. 22(1b) par. 1 Kodeksu Pracy, na co wskazuje stwierdzenie, że przetwarzanie danych zgodne z par. 2 jest „dopuszczalne także wtedy”. Dodatkowo w par. 1 mówimy przecież o inicjatywie pracownika lub osoby ubiegającej się o zatrudnienie.
Czytaj także: Nowe wymogi w zakresie cyberbezpieczeństwa dla Operatorów Usług Kluczowych
Pytanie, które się tutaj nasuwa, dotyczy stosowania art. 12 i 13 Rozporządzenia 2016/679. Przykładowo art. 22(2) par. 9 Kodeksu Pracy przewiduje, że obowiązki informacyjne i zasada przejrzystości doznają pewnego ograniczenia, ponieważ do spełnienia tego obowiązku wystarczy oznaczenie pomieszczenia i terenu monitorowanego w sposób widoczny i czytelny za pomocą odpowiednich znaków lub ogłoszeń dźwiękowych.
W przypadku udzielania dostępu z użyciem danych biometrycznych mamy jednak inną sytuację. Pracodawca „pobiera” tutaj dane wrażliwe, a więc obowiązek z art. 12 i 13 wydaje się tutaj mieć zastosowanie.
Inne wymogi po stronie pracodawcy
Nie można też zapominać o tym, że pracodawca powinien zapewnić bezpieczeństwo tych danych, w szczególności stosując odpowiednie rozwiązania operacyjne w zakresie cyberbezpieczeństwa (jeżeli komunikacja odbywa się z użyciem kanałów zdalnych).
Z punktu widzenia instytucji finansowych ważne będzie również dostosowanie się do Rekomendacji D oraz Rozporządzenia wydanego na podstawie ustawy o krajowym systemie cyberbezpieczeństwa (w kontekście rozwiązań organizacyjnych).
Szczególne znaczenie ma tutaj art. 2 ust. 2, który zobowiązuje Operatorów Usług Kluczowych (w uproszczeniu) do wprowadzenia systemu kontroli dostępu obejmującego wszystkie wejścia i wyjścia kontrolowanego obszaru, w którym co najmniej rozpoznanie osoby uprawnionej następuje w wyniku odczytu identyfikatora lub odczytu cech biometrycznych, oraz rejestrujący zdarzenia.
Warto w tym miejscu nadmienić, że UKNF planuje powołać w niedługim czasie zespół ds. cyberbezpieczeństwa i w związku z tym mogą pojawić się dodatkowe rekomendacje.
Można jeszcze zwrócić uwagę na rekomendację 4.7 w „Rekomendacjach dotyczących obszaru bezpieczeństwa dla podmiotów korzystających ze standardu PolishAPI”.
Czytaj także: RODO a PSD2: przetwarzanie wrażliwych danych osoby trzeciej przez dostawcę AIS