Rozwiązania bazujące na technologii biometrycznej gwarantują wysoką niezawodność i są wygodne dla użytkownika, co przekłada się na ich popularność. Jednak z przetwarzaniem danych biometrycznych nierozerwalnie są związane liczne zagrożenia, które są przedmiotem zainteresowania regulatorów i organizacji społecznych dbających o prawo do prywatności.

Dynamiczny rozwój technologii biometrycznych jest jednym z wyraźniejszych trendów technologicznych ostatnich lat. Narzędzia wykorzystujące biometrię są coraz powszechniejsze, a ich popularność rośnie dzięki łatwości, z jaką można się nimi posługiwać.

Dane biometryczne

Zgodnie z przepisami rodo, aby można było mówić o danych biometrycznych, muszą one spełnić łącznie następujące kryteria:

• są danymi osobowymi;
• wynikają ze specjalnego przetwarzania technicznego;
• dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej;
• umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby, takie jak wizerunek twarzy lub dane daktyloskopijne.

Danymi biometrycznymi nie będą zatem np. dane o ubiorze osoby fizycznej, nawet jeśli na ich podstawie możliwa jest jednoznaczna identyfikacja lub potwierdzenie identyfikacji (weryfikacja) tej osoby. Nie dotyczą one cech fizycznych, fizjologicznych ani behawioralnych osoby fizycznej. Opisują co prawda wygląd, ale nie są trwałą cechą lub właściwością osoby. Można je łatwo zmienić.

W świetle tej definicji jako dane biometryczne będziemy kwalifikować informacje spełniające jednocześnie kryteria określone w definicji danych osobowych. Muszą one zatem dotyczyć zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Z tego powodu za dane biometryczne nie powinny być uznane informacje, których powiązanie ze zidentyfikowaną osobą nie jest możliwe, np. zdjęcia znamion, wydruki z badania ultrasonograficznego, o ile zostały pozbawione opisów i metadanych.

Szczególną właściwością danych biometrycznych jest to, że ściśle dotyczą szeroko rozumianego wyglądu osoby, zmian tego wyglądu, dynamiki sylwetki, głosu czy możliwych do uchwycenia reakcji ciała np. wywołanych określonymi bodźcami. Chociaż dane biometryczne najczęściej kojarzą się z odciskami palców lub geometrią twarzy, to pojemna definicja tych danych zawarta w rodo powoduje, że za takie można uznać także tatuaże, blizny, linię zarostu itp.

Dane biometryczne muszą wynikać ze specjalnego przetwarzania technicznego, które sprawia, że mogą zostać wykorzystane do celów wskazanych w ich definicji. Nie będzie za nie uznawane samo zdjęcie lub nagranie obejmujące wizerunek osoby ani graficzna reprezentacja odręcznego podpisu. Kryterium specjalnego przetwarzania technicznego powoduje, że dane osobowe nie mogą zostać zakwalifikowane jako dane biometryczne na podstawie tzw. ujawnienia pośredniego. Dopiero techniczne przetworzenie tych danych w sposób prowadzący do powstania pochodnych danych osobowych, tj. próbki lub wzorca, które mogą następnie służyć jednoznacznej identyfikacji lub ją potwierdzać, skutkuje powstaniem danych biometrycznych.

Co wynika ze zdjęcia twarzy?

Zdjęcie twarzy zidentyfikowanej osoby fizycznej jest nośnikiem danych osobowych, w tym w sposób najbardziej oczywisty – wizerunku osoby, czyli tzw. danych zwykłych. Zakres i charakter danych osobowych, które wynikają ze zdjęcia, jest jednak potencjalnie szerszy. Zdjęcie osoby może ją przedstawiać w okularach lub z widocznymi zmianami na skórze, co prowokuje pytanie o to, czy wykorzystanie zdjęcia powoduje jednocześnie przetwarzanie danych o stanie zdrowia przedstawionej na nim osoby. Może także zdradzać pochodzenie etniczne, a wykorzystanie technologii uczenia maszynowego może pozwalać na określenie z wysokim prawdopodobieństwem orientacji seksualnej przedstawionej na nim osoby (tinyurl.com/AI-photograph-TheGuardian [dostęp: 26.02.2024]).

W myśl teorii ujawnienia pośredniego, która została zastosowana w kontrowersyjnym wyroku TSUE z 1 sierpnia 2022 r. (C-184/20), okoliczność, że możliwe jest wywnioskowanie danych osobowych na podstawie innych danych, powoduje przetwarzanie tych możliwych do wywnioskowania danych. Wykorzystywanie zdjęcia może zatem skutkować przetwarzaniem m.in. danych o stanie zdrowia, orientacji seksualnej lub pochodzeniu etnicznym – danych szczególnych kategorii, których przetwarzanie jest, co do zasady, zakazane. W świetle wyroku nie ma przy tym znaczenia, że intencją administratora jest przetwarzanie jedynie samego wizerunku. Wykorzystanie zdjęcia osoby nie będzie jednak z całą pewnością samo w sobie skutkowało przetwarzaniem danych biometrycznych, mimo że istnieje możliwość przetworzenia danych ze zdjęcia do postaci wzorca biometrycznego. Umieszczenie w definicji danych biometrycznych kryterium specjalnego technicznego przetwarzania sprawia, że o danych biometrycznych można mówić dopiero po tej operacji. Sama możliwość pozyskania tych danych nie ma znaczenia wobec sformułowania definicji danych biometrycznych w sposób wyłączający ich pozyskanie w drodze ujawnienia pośredniego. Brak podobnego „bezpiecznika” dla innych typów danych szczególnych kategorii wywołuje istotną niepewność prawną.

Na gruncie rodo zabronione jest przetwarzanie danych biometrycznych, z zastrzeżeniem wyjątków określonych w przepisach. Z treści art. 9 ust. 1 rodo wynika jednak, że zakaz dotyczy nie każdego przetwarzania danych biometrycznych, a tylko takiego, które służy jednoznacznemu zidentyfikowaniu osoby fizycznej.

Definicja danych biometrycznych określa natomiast dwa cele przetwarzania danych biometrycznych, wymieniając obok jednoznacznej identyfikacji także jej potwierdzenie.

Identyfikacja a weryfikacja

Identyfikacja w kontekście danych biometrycznych oznacza mechanizm rozpoznawania osoby, który odbywa się poprzez analizę porównawczą jej unikalnych cech z wieloma rekordami przechowywanymi w bazie danych. Jest to proces opisywany modelem jeden do wielu, gdzie system próbuje dopasować prezentowane dane biometryczne do jednego z wielu zapisanych wzorców. W procesie identyfikacji brakuje wstępnego założenia, kim może być dana osoba. Celem jest jej zidentyfikowanie na podstawie danych biometrycznych spośród grupy wielu innych osób.

Przykładem wykorzystania technologii biometrycznej do jednoznacznej identyfikacji są systemy bezpieczeństwa wykorzystujące rozpoznawanie twarzy w miejscach publicznych. Działania systemu skupiają się na poszukiwaniu osoby w tłumie. Systemy bezpieczeństwa skanują twarze wszystkich osób znajdujących się w monitorowanym obszarze i porównują je z bazą danych, aby znaleźć potencjalne dopasowania z osobami poszukiwanymi. Innym przykładem może być śledzenie osoby, która została uchwycona przez kamerę monitoringu na jednym obszarze, na innych obszarach objętych monitoringiem. Systemy sprawdzają wtedy, skanując twarze osób w tych innych obszarach, czy dana osoba pojawiła się bądź nie w tych obszarach.

Weryfikacja jest procesem, który można opisać modelem jeden do jednego. System porównuje w nim pozyskane dane biometryczne z zarejestrowanym wzorcem danych, pobranym wcześniej od zidentyfikowanej osoby, aby potwierdzić jej tożsamość. W tym przypadku przyjmujemy założenie, że dana osoba jest tym, za kogo się podaje, lub jest uprawniona do działania, które zamierza podjąć (np. odblokować urządzenie, uzyskać dostęp do pomieszczenia zabezpieczonego zamkiem biometrycznym). System wykorzystuje wcześniej zebrane dane biometryczne tej osoby, aby jednoznacznie potwierdzić, w kwalifikowany sposób, jej tożsamość lub uprawnienie. Weryfikacja biometryczna nie zakłada zatem – w odróżnieniu od identyfikacji – przetwarzania danych wielu osób postronnych. Przetwarzanie danych biometrycznych w tym celu jest ograniczone do osób, które świadomie inicjują proces weryfikacji biometrycznej, aby móc wywołać określony efekt, np. otworzenie drzwi lub uruchomienie urządzenia.

Systemy kontroli dostępu, które wymagają od użytkowników np. skanowania odcisku palca, żeby uzyskać dostęp do chronionego obszaru lub urządzenia, polegają zatem na weryfikacji. Użytkownik najpierw identyfikuje się (np. przez wprowadzenie numeru identyfikacyjnego), a następnie jego skan biometryczny jest używany do potwierdzenia, że dane biometryczne zgadzają się z tymi zapisanymi w bazie danych.

Stanowisko rozróżniające sytuację regulacyjną przetwarzania danych biometrycznych w zależności od celu przetwarzania danych biometrycznych opiera się na doktrynie [1] jako uzasadnione na gruncie wykładni gramatycznej oraz celowościowej. Uzasadnieniem tego rozróżnienia jest mniejsze ryzyko dla praw i wolności podmiotów danych związane z przetwarzaniem danych biometrycznych w celu weryfikacji, w porównaniu do ich przetwarzania w celu jednoznacznej identyfikacji. Prezentowany pogląd potwierdza EROD w wytycznych dotyczących stosowania technologii rozpoznawania twarzy w obszarze egzekwowania prawa [2].

Można spotkać się z odmiennymi poglądami na ten temat. Hiszpański organ nadzorczy AEPD w swoich wytycznych [3] odnoszących się do wykorzystania danych biometrycznych w celu kontroli obecności i dostępu uznał, że przetwarzanie tych danych potrzebnych zarówno do identyfikacji, jak i weryfikacji jest objęte zakazem, o którym mowa w art. 9 ust. 1 rodo. Zdaniem AEPD przetwarzanie danych biometrycznych wymaga zatem, w każdym przypadku, uchylenia zakazu przetwarzania danych szczególnych kategorii w drodze zastosowania wyjątków z art. 9 ust. 2 rodo. Stanowisko prezentowane przez hiszpański organ nadzorczy jest jednak stanowiskiem mniejszościowym. Z niezrozumiałych względów organ hiszpański nie dostrzega wyraźnego zawężenia zakazu przetwarzania danych biometrycznych tylko do przetwarzania w celu jednoznacznej identyfikacji.

Ryzyko związane z przetwarzaniem danych biometrycznych

Unikalny charakter i trwałość danych biometrycznych niosą za sobą ryzyko. Dane biometryczne, takie jak odciski palców, geometria twarzy czy wzorce tęczówki, są niezmienne i ściśle związane z tożsamością jednostki, co oznacza, że ich ujawnienie może mieć długotrwałe konsekwencje dla jednostki. W przeciwieństwie do haseł, które można łatwo zmienić w przypadku naruszenia bezpieczeństwa, dane biometryczne pozostają niezmienne przez całe życie osoby, co sprawia, że ich ochrona jest wyjątkowo ważna.

Jednym z głównych zagrożeń dla praw i wolności podmiotów danych są możliwe skutki ewentualnego naruszenia bezpieczeństwa danych. W przypadku wycieku danych biometrycznych informacje te mogą zostać wykorzystane do nieautoryzowanego dostępu do systemów lub usług, kradzieży tożsamości lub innych działań naruszających autonomię informacyjną podmiotu danych.

W kontekście tych ryzyk i dyskusji o dopuszczalności przetwarzania danych biometrycznych jako danych zwykłych należy podkreślić, że przyjęcie stanowiska prezentowanego w tym artykule nie oznacza automatycznie, że dane te będą mogły być przetwarzane w związku z weryfikacją biometryczną służącą błahym celom. O ile w takim przypadku uznajemy, że przetwarzanie nie jest objęte zakazem, o tyle zastosowanie będą miały inne, wynikające z przepisów m.in. rodo, ograniczenia dotyczące np. adekwatności zastosowanych rozwiązań technicznych do realizowanych celów.

Przypisy

1. Jest m.in. prezentowane w komentarzu General Data Protection Regulation, red. I. Spiecker gen. Dohman i in., s. 224 i n. oraz w komentarzu The EU General data protection regulation, red. Ch. Kuner, L. Bygrave, Ch. Docksey, s. 213 i n.
2. Wytyczne EROD 05/2022, tinyurl.com/EROD-05-2022 [dostęp: 26.02.2024].
   
3. Wytyczne AEPD 23 listopada 2023 r., tinyurl.com/AEPD-2023 [dostęp: 26.02.2024].

Autor

Sławomir Kowalski

Autor jest adwokatem, partnerem w Just_LAW Jastrun Kowalski sp.k.