Jak to wygląda w Polsce?

Danymi biometrycznymi nazywamy dane opisujące nasze cechy fizyczne w sposób umożliwiający zweryfikowanie tożsamości danej osoby. Najbardziej typowymi danymi biometrycznymi są wizerunek twarzy oraz linie papilarne. Funkcja rozpoznawania twarzy użytkowników portalu społecznościowego na zdjęciach polega na algorytmie, który przetwarza zeskanowaną twarz danej osoby na dane cyfrowe pozwalające stworzyć cyfrowy wzorzec twarzy danej osoby, umożliwiające zidentyfikowanie jej na kolejnych fotografiach. Ten zapisany cyfrowy wzorzec twarzy danej osobowy niewątpliwe stanowi dane biometryczne. Należy pamiętać, że polskie przepisy regulujące przetwarzanie danych osobowych zawierają bardzo szeroką definicję tego, co można uznać za dane osobowe. Są nimi wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby. W takim przypadku nie budzi wątpliwości, że zeskanowany obraz twarzy stanowi dane osobowe, nawet przetwarzany w oderwaniu od innych danych identyfikujących daną osobę, gdyż zawsze umożliwia zidentyfikowanie tej osoby. Tutaj dodatkowo dane te są przetwarzane w bezpośrednim powiązaniu z danymi takimi jak imię i nazwisko.

Ochrona danych osobowych i biometrycnych

By przetwarzać takie dane trzeba dysponować do tego podstawą prawną (np. wyraźna zgoda użytkownika na przetwarzanie danych tego rodzaju) oraz wypełnić szereg wymogów organizacyjnych i technicznych. Sprawa komplikuje się, gdy mamy do czynienia z podmiotami spoza Unii Europejskiej, a w szczególności z podmiotami z USA gdzie regulacje dotyczące przetwarzania danych osobowych praktycznie nie funkcjonują.

Do niedawna firmy typu Facebook czy Google radziły sobie z tym problem uczestnicząc w programie Safe Harbour, zgodnie z którym Unii wystarczała deklaracja firm z USA, że ich postępowanie z danymi osobowymi odpowiada wymogom prawa unijnego. Sytuacja nieco zmieniła się pod koniec 2015 roku. Wtedy, w październiku 2015 r. w sprawie zainicjowanej ze skargi austriackiego prawnika Maximilliana Schremsa Europejski Trybunał Sprawiedliwości orzekł, że program Safe Harbour jest niezgodny z prawem UE, w szczególności w obliczu informacji ujawnionych o programach inwigilowania sieci przez amerykańskie służby ujawnionych przez Edwarda Snowdena.

Aktualnie jednak trwają pracę nad nowym programem o nazwie Privacy Shield umożliwiających amerykańskim korporacjom internetowym swobodne działanie na terenie UE, tym razem jednak mają być wdrożone mechanizmy pozwalające na egzekwowanie od nich przestrzegania europejskich standardów ochrony danych osobowych. Póki co przekazywanie danych poza obszar UE jest utrudnione i jest co prawda możliwe, ale np. za zgodą odpowiedniego krajowego organu typu GIODO.

Polska firma, która chce skanować twarze – to możliwe?

W takiej sytuacji, Polska firma chcąca oferować podobną usługę musi pamiętać o spełnieniu wszelkich ustawowych wymogów dotyczących przetwarzania danych osobowych, począwszy od odpowiedniej podstawy prawnej, takiej jak np. zgoda osoby, której dane dotyczą, poprzez wdrożenie odpowiednich zabezpieczeń organizacyjnych i technicznych, aż po zgłoszenie zbioru danych osobowych do GIODO, lub, w przypadku gdy taka osoba została w firmie powołana, zgłoszenie do GIODO danych Administratora Bezpieczeństwa Informacji. Należy też pamiętać, że zakres przetwarzanych danych osobowych musi być zgodny z celem ich przetwarzania. Należy pamiętać, że w Polsce nie jest dopuszczalne przetwarzanie danych biometrycznych bez wiedzy osoby, której te dane dotyczą. (czyli sytuacja w której otrzymujemy dostęp do usługi tagowania tylko dlatego, że zuploadowaliśmy w serwisie nasze zdjęcie, nie ma prawa się pojawić). Powinniśmy przynajmniej zostać o fakcie przetwarzania tego typu danych osobowych powiadomieni, a najczęściej będzie wymagana do tego nasza wyraźna zgoda.

Wojciech Krawiec

Adwokat w krakowskim oddziale Kancelarii Adwokackiej Lassota i Partnerzy. Specjalizuje się w prawie własności intelektualnej, prawie pracy oraz ochronie danych osobowych.