Abstrakt
Tematyka przetwarzania danych biometrycznych budzi wiele emocji i wywołuje burzliwe dyskusje.
W niniejszym artykule autorka podejmuje próbę analizy zagadnienia biometrii, danych biometrycznych i ich wykorzystywania. W szczególności omawia aspekty przetwarzania danych biometrycznych pracowników przez pracodawców. Celem jest przybliżenie – przede wszystkim pracodawcom – podstawowych pojęć związanych z przetwarzaniem danych biometrycznych, a także przedstawienie sugestii, którymi pracodawcy powinni się kierować, podejmując decyzję o wykorzystywaniu tych danych pochodzących od swoich pracowników.
Uwagi wstępne
Dane biometryczne, takie jak: obraz twarzy, DNA, kształt ucha czy barwa głosu, pozwalają na niemal jednoznaczne ustalenie tożsamości oraz weryfikację osoby, której dotyczą. Z uwagi na niewątpliwe walory tych danych, pomimo braku jasnych uregulowań prawnych dotyczących dopuszczalności przetwarzania danych biometrycznych (w szczególności w miejscu pracy), wielu przedsiębiorców coraz częściej sięga po zabezpieczenia wykorzystujące ten rodzaj cech osobowych przede wszystkim do weryfikacji tożsamości osób fizycznych (swoich pracowników).
Przetwarzanie danych biometrycznych na gruncie relacji pracodawca – pracownik było już przedmiotem analizy NSA. Również Generalny Inspektor Ochrony Danych Osobowych (dalej jako: Generalny Inspektor) uznał problematykę danych biometrycznych za istotną i wymagającą komentarza, poświęcając klika swoich oficjalnych wypowiedzi tematowi biometrii i danym biometrycznym.
Przetwarzanie danych biometrycznych, jako szczególnego rodzaju danych osobowych, to w polskim prawie tematyka uregulowana jedynie fragmentarycznie. Do przetwarzania danych biometrycznych zastosowanie znajduje oczywiście ustawa z 29.8.1997 r. o ochronie danych osobowych1, jednakże bezpośrednio do tych danych i do prawa ich pozyskiwania od osoby, której dane dotyczą, wprost odnoszą się jedynie szczególne przepisy „branżowe”. Na możność przetwarzania danych biometrycznych wskazują bezpośrednio akty prawne, na podstawie których dane te mogą przetwarzać niektóre organy państwowe, wykonujące zadania publiczne. Są nimi dla przykładu: Policja2, Straż Graniczna3, Żandarmeria Wojskowa4 oraz organy paszportowe – minister właściwy do spraw wewnętrznych, minister właściwy do spraw zagranicznych, wojewodowie i konsulowie5.
Warto również nadmienić, że danych biometrycznych wprost lub pośrednio dotyczą regulacje o charakterze europejskim m.in. Konwencja z 28.1.1981 r. Rady Europy Nr 108 o ochronie osób w związku z automatycznym przetwarzaniem danych osobowych6, dyrektywa 95/46/WE Parlamentu Europejskiego i Rady z 24.10.1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych7, rozporządzenie z 18.12.2000 r. Nr 45/2001 Parlamentu Europejskiego i Rady o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje i organy wspólnotowe i o swobodnym przepływie takich danych8 czy też rozporządzenie Rady z 13.12.2004 r. Nr 2252/2004 w sprawie norm dotyczących zabezpieczeń i danych biometrycznych w paszportach i dokumentach podróży wydawanych przez państwa członkowskie9.
Biometria i dane biometryczne jako dane osobowe
Punkt wyjścia rozważań dotyczących wykorzystywania danych biometrycznych w stosunkach pracy stanowi wyjaśnienie podstawowych wyrażeń związanych z tematyką prezentowanego zagadnienia. Są nimi „biometria”, „dane biometryczne”, „identyfikacja” oraz „weryfikacja”.
Termin „biometria” (z języka greckiego, gdzie bios oznacza życie, a metron mierzyć) w tradycyjnym ujęciu oznacza technikę dokonywania pomiaru istot żywych10. Wyrażenie to w nowszym znaczeniu dotyczy natomiast automatycznego rozpoznawania osób na podstawie posiadanych przez nie indywidualnych cech11 bądź, innymi słowy, ustalania tożsamości osób przy wykorzystaniu zautomatyzowanego pomiaru uniwersalnych cech biologiczno-fizycznych lub behawioralnych12. W tym miejscu nawiązujemy do kolejnej definicji: „danych biometrycznych”, inaczej zwanych „biometrykami”. Są to unikalne cechy fizjologiczne i behawioralne ludzkiego organizmu, pozwalające odróżnić jedną osobę od drugiej. Cechy biologiczno – fizyczne (inaczej zwane anatomicznymi, fizjologicznymi) to takie unikalne właściwości ludzkiego ciała, które posiada każdy człowiek, niezależnie od swej woli (np. barwa głosu, wzorzec linii papilarnych, wzorzec tęczówki oka, geometria dłoni, układ naczyń krwionośnych, DNA). Cechy behawioralne natomiast to takie właściwości, których nabywamy bądź uczymy się na kolejnych etapach swojego rozwoju; takie cechy, które możemy zidentyfikować na podstawie zachowania danej osoby (np. charakterystyka chodu, dynamika i sposób pisania na klawiaturze komputera, sposób składania podpisu odręcznego).
Podkreślić należy, że na dzień przygotowywania niniejszego opracowania w prawie polskim nie istnieje legalna (zawarta w jakiejkolwiek ustawie) definicja danych biometrycznych. Dane biometryczne są szczególnym rodzajem danych osobowych, niewyodrębnionym jednak w OchrDanU. W rozumieniu tej ustawy mają one charakter danych zwykłych, z wyjątkiem danych o kodzie genetycznym, które są danymi wrażliwymi (art. 27 ust. 1 OchrDanU). Warto w tym miejscu zwrócić uwagę, że niektóre dane biometryczne (np. dane z charakterystyki EEG, dane o sposobie chodzenia, pisania ręcznego) mogą być uznane za [...]