Wydaje się, że w niedalekiej przyszłości dzięki danym biometrycznym będziemy mogli otworzyć drzwi do domu, samochodu, etc. Jednakże istotnym jest, żeby nasze dane biometryczne były bezpieczne, a podmioty je przetwarzające spełniały najwyższe standardy i normy. Zgodnie z ustawą o ochronie danych osobowych dane biometryczne nie stanowią, niestety, danych osobowych wrażliwych (sensytywnych). Nie są w związku z tym chronione w szczególny sposób. Wydaje się to oczywistym błędem, gdyż trudno sobie wyobrazić ważniejsze dane, pozwalające na identyfikację osoby, niż jej dane biometryczne. Co więcej, obowiązujące prawo nie reguluje zakresu wykorzystywania tych danych.
Sytuacja ta najprawdopodobniej ulegnie jednak zmianie w ciągu dwóch najbliższych lat. Stanie się to za sprawą wejścia w życie ogólnego rozporządzenia o ochronie danych osobowych, tj. Rozporządzenia Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem tych danych. W rozporządzeniu zawarta jest m.in. definicja danych biometrycznych, które oznaczają wszelkie dane osobowe, wynikające z określonej obróbki technicznej, odnoszące się do fizycznych, fizjologicznych lub behawioralnych cech jednostki, co pozwala na jednoznaczną identyfikację tej osoby lub ją potwierdza, na przykład obraz twarzy lub dane daktyloskopijne. Co do zasady, przetwarzanie takich danych będzie zabronione, jednakże rozporządzenie zawiera wyjątki od tej zasady, w tym m.in. wyraźną i dobrowolną zgodę podmiotu, którego dane dotyczą.
Odbierz pakiet bezpłatnych poradników i mikroszkoleń RODO
Rozwój technologii wykorzystującej nasze cechy biometryczne jest spowodowany przede wszystkim stałym dążeniem do wygody i ułatwień. Mamy już dość wszechogarniających nas PIN-ów, haseł, etc. Szukamy alternatywy, którą wydają się być właśnie dane biometryczne – hasło głosowe, odcisk palca, itp. Potwierdzają to wyniki badań polskich internautów, przeprowadzone przez TNS Polska w listopadzie 2014.. Badanie jest prawdopodobnie najbardziej szczegółową analizą postaw polskich konsumentów wobec obecnie stosowanych metod autoryzacji. Już rok temu użytkownicy internetu i urządzeń mobilnych oczekiwali bardziej przyjaznych metod autoryzacji. Prawie połowa badanych (47%) czuje się zmęczona liczbą haseł dostępu, kodów, PIN-ów, które trzeba zapamiętać. 46% denerwuje się kiedy system wymusza tworzenie skomplikowanych haseł. 27% uważa, że nie lubi tokenów. Jednakże najważniejszym wniosek płynący z badania, to wskazanie iż połowa respondentów uważa, że bezpieczeństwo ich danych zależy od instytucji, a nie od nich samych.
Autoryzacja głosem jest już rzeczywistością. Stosuje ją w kontakcie ze swoimi klientami Bank ING w Holandii. W Polsce Krajowa Informacja Podatkowa zamierzała identyfikować dzwoniących podatników za pomocą głosu, jednakże uruchomienie tego projektu zostało wstrzymane ze względu na zastrzeżenia Generalnego Inspektora Ochrony Danych Osobowych (GIODO), co tylko potwierdza brak odpowiednich regulacji w przedmiotowej sprawie. Należy jednak zauważyć, że GIODO nie jest przeciwnikiem wykorzystywania danych biometrycznych. Przykładowo, popiera wraz ze Związkiem Banków Polskich (vide: Dokument Forum Technologii Bankowych), dobre praktyki dotyczące zachęcania klientów korzystających, np. z bankomatów, do posługiwania się danymi biometrycznymi. Biometria w bankowości ma świetlaną przyszłość. W Polsce już w 2010 roku pojawiły się pierwsze bankomaty, które autoryzują wypłatę z bankomatu poprzez skan naczyń krwionośnych w palcu klienta banku. A to dopiero początek. Z dobrodziejstw nowych technologii wykorzystujących dane biometrycznie już teraz chętnie korzystają niektórzy pracodawcy, na przykład w celu kontroli czasu pracy lub dostępu do określonych pomieszczeń. Najpopularniejsze są czytniki linii papilarnych, wykorzystujące odciski palców. Odciski są co do zasady indywidualne i niepowtarzalne, dzięki czemu pozwalają na bezbłędną kontrolę praktycznie nieograniczonej liczby osób. Czytniki skanują obraz linii papilarnych, a następnie przetwarzają je na cyfrowy kod.
Pracodawca, dzięki dobrodziejstwom biometrii, może precyzyjnie określić, który z pracowników, do jakich pomieszczeń będzie miał dostęp. Dzięki temu może być pewien, że informacje, stanowiące tajemnicę przedsiębiorstwa, czy firmowe mienie, jest w pełni bezpieczne. Biometria umożliwia też pełny monitoring bieżących zdarzeń – wejść i wyjść do określonych pomieszczeń, czy ruch pracowników na terenie obiektu. Uzupełniłem kontroli biometrycznej jest kontrola ewidencji i rozliczeń czasu pracy zarejestrowanych pracowników. Taki system eliminuje nadużycia, które zdarzają się przy korzystaniu z tradycyjnych metod czasu pracy – kartki i podpisu.
Bezpłatna wiedza o RODO.
Korzystaj do woli!
Czy jednak wykorzystanie biometrii przez pracodawcę jest legalne?
Kodeks pracy nie zakazuje wprost stosowania czytników linii papilarnych czy innych tego typu urządzeń. Zawiera jednak zawiera zamknięty katalog danych, których pracodawca może zażądać od pracownika – art. 221 KP. Nie przewiduje on możliwości pozyskiwania od pracowników danych biometrycznych. Może się więc wydawać, że pracodawca korzystając z biometrii nadmiernie wkracza w sferę prywatności pracownika. Przedsiębiorcy bronią się jednak, że czytniki linii papilarnych są tak skonstruowane, że nie są wstanie samodzielnie odtworzyć odcisku palca pracownika, który wcześniej został zeskanowany i zamieniony w specjalny kod. Poza tym art. 23 ust. 1 pkt 1 ustawy o ochronie danych osobowych zezwala na przetwarzanie danych osobowych za zgodą osoby, której dane dotyczą. Skoro dane biometryczne są danymi osobowymi, to ich przetwarzanie jest dopuszczalne.
Okazuje się jednak, że Naczelny Sąd Administracyjny ma wobec tak prostej interpretacji pewne wątpliwości. W swoim wyroku z 2009 roku przyjął jednoznaczne stanowisko, iż wyrażona na prośbę pracodawcy pisemna zgoda pracownika na pobranie i przetworzenie jego danych osobowych, narusza prawa pracownika i swobodę wyrażenia przez niego woli. Za tak sformułowanym stanowiskiem przemawia zależność pracownika od pracodawcy. Brak równowagi w relacji pracodawca pracownik stawia pod znakiem zapytania dobrowolność w wyrażeniu zgody na pobieranie i przetworzenie danych osobowych (biometrycznych). Uznanie faktu wyrażenia zgody przez pracownika, jako okoliczności legalizującej pobranie od pracownika innych danych niż wskazane w art. 221 Kodeksu pracy, stanowiłoby obejście tego przepisu.
Przede wszystkim kontrola pracownika musi być adekwatna. Przyjmuje się, iż zastosowanie biometrii przez pracodawcę jest usprawiedliwione w zastosowaniu jej w kontroli dostępu przede wszystkim, gdy w posiadaniu pracodawcy jest mienie niebezpieczne.
Problem wykorzystania biometrii w miejscu pracy zauważył również Instytut Informatyki Śledczej i dlatego już w 2010 r. wystosował apel do premiera, aby rząd jak najszybciej zajął się uregulowaniem kontroli biometrycznej pracowników. Niestety, do dziś ustawodawca nie wprowadził w tej kwestii żadnych regulacji. Aktualnie Fundacja Panoptykon skierowała do Rzecznika Praw Obywatelskich, Generalnego Inspektora Ochrony Danych Osobowych oraz Głównego Inspektora Pracy wystąpienie w sprawie stosowania nowoczesnych technologii do kontroli w miejscu pracy. Z obserwacji Fundacji wynika, iż pracodawcy coraz częściej wykorzystują takie narzędzia jak: monitoring wizyjny, programy śledzące aktywność na komputerze, urządzenia geolokalizacyjne, czy właśnie biometryczne urządzenia mierzące czas pracy.
Bez wątpienia biometria to przyszłość, jednakże należy pamiętać, iż najważniejsze jest bezpieczeństwo przetwarzania naszych danych i dobrowolność ich podawania.