Strona główna Aktualności Odciski linii papilarnych a dostęp do strzeżonego osiedla

Odciski linii papilarnych a dostęp do strzeżonego osiedla

3194
PODZIEL SIĘ
linie papilarne Lexagit.pl porady prawne online

Linie papilarne są danymi biometrycznymi, które mieszczą się w definicji danych osobowych zawartej w art. 6 jeszcze obowiązującej Ustawy o ochronie danych osobowych (Dalej UODO), gdyż z uwagi na swą niepowtarzalność stanowią cechę fizyczną osoby, umożliwiającą jej identyfikację (zob. Wyrok WSA w Warszawie z 27.11.2008 r., II SA/Wa 903/08).

Należy zauważyć, że na podstawie aktualnie obowiązujących przepisów UODO odcisk palca nie został zakwalifikowany jako „dane wrażliwe”, które zostały enumeratywnie wymienione w art. 27 UODO (co się zmieni w maju 2018 r.). Nie znaczy to jednak, że tego rodzaju dane biometryczne można w sposób dobrowolny przetwarzać.

Art. 26 ust. 1 pkt 3) UODO stanowi zasadę adekwatności przetwarzania danych osobowych, zgodnie z którą każdy podmiot przetwarzający dane powinien zrównoważyć potrzeby wynikające z  celu ich zbierania w stosunku do uprawnienia osoby fizycznej do dysponowania swoimi danymi osobowymi. Taka proporcja nie jest zachowana, jeżeli przetwarzanie danych nadmiernie ingeruje w prawo do prywatności, a więc zebrane dane okazują się zbędne dla realizacji danego celu.

Zbieranie przez np. wspólnotę mieszkaniową danych osobowych w postaci linii papilarnych celem umożliwienia wejścia na teren zamknięty osiedla wydaje się być nieproporcjonalnym środkiem dla zablokowania dostępu na teren prywatny osobom postronnym. Tym bardziej, że w praktyce zarówno listonosz czy osoba roznosząca ulotki, a nawet goście odwiedzający innych mieszkańców osiedla mogą wejść na teren zamknięty, co w szczególności wskazuje na zbędność zastosowanej technologii, a więc i jej nieadekwatność. Uniemożliwienie osobom postronnym wejścia na osiedle zamknięte może być osiągnięte w innym sposób, bądź za pomocą innych technik – nie związanych z przetwarzaniem linii papilarnych lokatorów.

Nawet zgoda mieszkańców osiedla na przetwarzanie danych osobowych wydaje się bezprzedmiotowa, na co może wskazywać Uzasadnienie Wyroku NSA z 01.12.2009 r., I OSK 249/09 będącego wynikiem skargi kasacyjnej wniesionej przez GIODO od wyżej wspomnianego Wyroku WSA.

NSA powołując się na Dokument Roboczy w Sprawie Biometrii sporządzony przez organ konsultacyjny – Grupę Roboczą art. 29 (organ, który czuwa nad jednolitą wykładnią Dyrektywy nr 95/46/WE w sprawie ochrony danych osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu kapitału przez państwa członkowskie) zaaprobował pogląd, że ryzyko naruszeń swobód i fundamentalnych praw obywatelskich musi być proporcjonalne do celu, któremu służy, a więc należy stwierdzić, że wykorzystanie danych biometrycznych jest nieproporcjonalne do zamierzonego celu ich przetwarzania (sprawa dotyczyła wykorzystania tych danych do kontroli czasu pracy pracowników spółki).

Pojawia się pytanie – czy w przypadku innego rozwiązania, gdy dane biometryczne nie są przechowywane przez podmiot trzeci np. mieszkaniec osiedla przechowuje te dane na karcie magnetycznej w formie zdjęcia, a otwiera bramę przykładając kartę i swój palec do domofonu, Inspektorzy upoważnieni przez Generalnego Inspektora Ochrony Danych Osobowych (GIODO) nie mieliby zastrzeżeń podczas przeprowadzenia kontroli?

Pytanie to stanie się jednak bezprzedmiotowe od 25 maja 2018 r., czyli w dniu wejścia europejskiego Rozporządzenia o Ochronie Danych Osobowych (RODO, GDPR – General Data Protection Regulation) w życie. RODO nie tylko zawiera definicję danych biometrycznych (art. 4 pkt 14 RODO), ale również zalicza je do „szczególnych kategorii” (motyw 51 RODO) – będących aktualną kategorią „danych wrażliwych” (UODO).

Uregulowania znajdujące się w RODO stanowią ogólny zakaz przetwarzania „szczególnych kategorii” danych osobowych, w tym danych biometrycznych (art. 9 ust. 1 RODO). Jednak zarówno motyw 52 RODO jak i art. 9 ust. 2 RODO ustanawiają wyjątki od powyższej zasady i dopuszczają przetwarzanie m. in. linii papilarnych pod pewnymi warunkami. Powyższy zakaz przetwarzania „szczególnych kategorii” nie ma zastosowania jeżeli osoba, której dane dotyczą, wyraziła wyraźną zgodę na przetwarzanie tych danych osobowych w jednym lub w kilku konkretnych celach (art. 9 ust. 2 lit. a) RODO). Jednak należy zwrócić uwagę, że ustawodawca krajowy może przyjąć inną regulację, o czym informuje nas dalsza część przepisu (zob. też art. 9 ust. 4 RODO).

Zgodnie z art. 4 pkt 11) zgoda osoby, której dane dotyczą jest rozumiana jako dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych. Przybliżona definicja może potwierdzać, że zgoda wyrażona w sposób dobrowolny przez mieszkańców osiedla zamkniętego, do którego dostęp jest umożliwiony dzięki odciskowi palca (bądź skanera siatkówki oczu czy twarzy) powinna być wystarczająca dla zastosowania technologii zezwalającej na jednoznaczne zidentyfikowanie osoby fizycznej przy pomocy danych biometrycznych. Jednak wydaje się, że GIODO (a po 25.05.2018 r Prezes Urzędu Ochrony Danych Osobowych) opierając się na zasadzie minimalizacji danych (zawartej w art. 5 pkt 1 lit. c) będzie oponował przeciwko takim rozwiązaniom, twierdząc że cel (niewpuszczanie innych osób na teren prywatny) można osiągnąć metodami mniej inwazyjnymi (zob. np. Uwagi Generalnego Inspektora Ochrony Danych Osobowych do projektu ustawy – Przepisy wprowadzające ustawę o ochronie danych osobowych, str. 16, http://www.giodo.gov.pl/pl/1520280/10202 ).

Należy więc pamiętać, że zgoda mimo iż będzie wyraźna i zawierała informację o celu przetwarzania danych biometrycznych – może być niewystarczająca ze względu na niezbędność i adekwatność (a czasami brak dobrowolności) – do zbierania wrażliwych danych osobowych.

Przemysław Siarka – prawnik, kancelaria GACH, MIZINSKA w Krakowie

Kancelaria Prawna GACH MIZINSKA