Wizerunek naszej twarzy zalicza się do tzw. danych biometrycznych. Są to dane szczególnej kategorii, które oznaczają dane osobowe, wynikające ze specjalnego przetwarzania technicznego, dotyczące cech fizycznych, fizjologicznych lub behawioralnych danej osoby. Dane te umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby.

ZMIANY WPROWADZONE PRZEZ RODO

Jest to jedna z największych zmian wprowadzonych przez RODO, gdyż polska ustawa o chronię danych osobowych nie zaliczała danych biometrycznych do kategorii danych wrażliwych (RODO obecnie nie posługuje się już tym terminem, „dane wrażliwe” zostały zastąpione przez „dane szczególnej kategorii”).

Przepis art. 4 pkt 14 RODO, zawierający definicję danych biometrycznych, zalicza do nich przykładowo wizerunek twarzy oraz dane daktyloskopijne.

Zgodnie z regulacjami RODO, wprost zabrania się przetwarzania danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby.

WYJĄTKI OD ZAKAZU PRZETWARZANIA DANYCH SZCZEGÓLNEJ KATEGORII

Powyższy zakaz nie ma jednak zastosowania, jeżeli zostaje spełniony m.in. jeden z poniższych warunków:

1. osoba, której dane dotyczą, wyraziła wyraźną zgodę na przetwarzanie tych danych osobowych w jednym lub kilku konkretnych celach,

2. przetwarzanie jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń lub w ramach sprawowania wymiaru sprawiedliwości przez sądy,

3. przetwarzania dokonuje się w ramach uprawnionej działalności prowadzonej z zachowaniem odpowiednich zabezpieczeń przez fundację, stowarzyszenie lub inny niezarobkowy podmiot o celach politycznych, światopoglądowych, religijnych lub związkowych, pod warunkiem że przetwarzanie dotyczy wyłącznie członków lub byłych członków tego podmiotu lub osób utrzymujących z nim stałe kontakty w związku z jego celami oraz że dane osobowe nie są ujawniane poza tym podmiotem bez zgody osób, których dane dotyczą,

4. przetwarzanie dotyczy danych osobowych w sposób oczywisty upublicznionych przez osobę, której dane dotyczą.

Co istotne, Państwa Członkowskie mogą zachować lub wprowadzić dalsze warunki, w tym ograniczenia w odniesieniu do przetwarzania danych genetycznych, danych biometrycznych lub danych dotyczących zdrowia.

KIEDY PRACODAWCA MOŻE PRZETWARZAĆ DANE BIOMETRYCZNE PRACOWNIKÓW?

Przetwarzanie danych biometrycznych pracowników przez pracodawców jest zatem możliwe, jeżeli pracownik wyraził zgodę na takie przetwarzanie. Zgoda pracownika powinna być dobrowolna (osoby odmawiające udzielenia zgody nie powinny być przez pracodawcę gorzej traktowane) oraz wyraźna (złożona najlepiej w formie pisemnej lub elektronicznej).

SZCZEGÓŁOWE WYTYCZNE

Komitet Rady Europy przyjął dokument („Wytyczne dotyczące rozpoznawania twarzy”) dotyczący zastosowań technologii rozpoznawania twarzy, w tym technologii rozpoznawania twarzy na żywo. Wytyczne mają ogólny zakres i obejmują zastosowania technologii rozpoznawania twarzy w sektorze prywatnym i publicznym.

Administratorzy danych powinni wziąć pod uwagę w szczególności, że polityka prywatności oraz materiały informacyjne powinny obejmować następujące kwestie:

1. czy i w jakim zakresie dane dotyczące rozpoznawania twarzy mogą być przekazywane stronom trzecim (i gdy ma to zastosowanie, informacje o tożsamości kontrahentów będących stronami trzecimi, otrzymujących dane w trakcie dostarczania produktu lub usługi);

2. okres zatrzymywania, usuwania lub deidentyfikacji (pozbawianie elementów identyfikacyjnych) danych przetwarzanych w formie rozpoznawania twarzy.

Administratorzy muszą również ustalić okres przechowywania tego typu danych, który nie może być dłuższy niż okres niezbędny do konkretnego celu przetwarzania, oraz muszą zapewnić usunięcie szablonów biometrycznych po zakończeniu tego celu. Przy określaniu okresu przechowywania należy wziąć pod uwagę biometryczny charakter danych osobowych.

Ponadto, podmioty stosujące technologie rozpoznawania twarzy powinny uwzględnić następujące środki organizacyjne:

1. wdrażanie przejrzystych polityk, procedur i praktyk w celu zapewnienia, że ochrona praw osób, których dane dotyczą, leży u podstaw stosowania przez nie technologii rozpoznawania twarzy;

2. publikowanie sprawozdań na temat przejrzystości dotyczących konkretnego wykorzystania technologii rozpoznawania twarzy;

3. ustanawianie i dostarczanie programów szkoleniowych i procedur audytu dla osób odpowiedzialnych za przetwarzanie danych dotyczących rozpoznawania twarzy;

4. ustanawianie wewnętrznych komitetów weryfikacyjnych w celu oceny i zatwierdzania wszelkiego przetwarzania danych dotyczących rozpoznawania twarzy;

5. umowne rozszerzenie odpowiednich wymogów na dostawców usług będących stronami trzecimi, partnerów biznesowych lub inne podmioty wykorzystujące technologię rozpoznawania twarzy (oraz odmowa dostępu stronom trzecim, które by ich nie przestrzegały).

Powyższy katalog stanowi wyłącznie rekomendację Komitetu Rady Europy, warto jednak rozważyć wdrożenie odpowiednich środków organizacyjnych i technicznych, aby dostosować się do nowych wytycznych.

dr Marcin Stupak – adwokat w kancelarii COGENTS Skibicki Dończyk Adwokaci. Specjalizuje się w tematyce compliance, prawie farmaceutycznym oraz prawie karnym gospodarczym. Doradza m.in. spółkom z branży farmaceutycznej, w tym podmiotom prowadzącym apteki.