Nielegalne przetwarzanie danych biometrycznych – odpowiedzialność i obrona (RODO, art. 107-108 u.o.d.o.)

Odciski palców, skan twarzy, wzór tęczówki, geometria dłoni czy próbka głosu wykorzystywane do jednoznacznej identyfikacji osoby to dane biometryczne – w prawie polskim i unijnym należące do tzw. danych szczególnej kategorii. Ich przetwarzanie jest co do zasady zakazane (art. 9 ust. 1 RODO), a dozwolone tylko wtedy, gdy spełniony jest jeden z wyjątków z art. 9 ust. 2 RODO. Przetwarzanie danych biometrycznych bez podstawy prawnej rodzi w Polsce trojaką odpowiedzialność: administracyjną (kary nakładane przez Prezesa Urzędu Ochrony Danych Osobowych), cywilną (roszczenia osób, których dane dotyczą) oraz – w określonych sytuacjach – karną na podstawie ustawy z 10 maja 2018 r. o ochronie danych osobowych. W tym artykule wyjaśniamy, kiedy przetwarzanie danych biometrycznych jest legalne, jakie sankcje realnie grożą i na jakich argumentach administrator może oprzeć obronę swojej zgodności z prawem. Punktem odniesienia jest wyłącznie prawo obowiązujące w Polsce – RODO jako rozporządzenie unijne stosowane bezpośrednio oraz polska ustawa wdrażająca.

Czym są dane biometryczne i dlaczego są szczególnie chronione

Zgodnie z art. 4 pkt 14 RODO dane biometryczne to dane osobowe, które wynikają ze specjalnego przetwarzania technicznego, dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej oraz umożliwiają lub potwierdzają jej jednoznaczną identyfikację. Kluczowe jest słowo „jednoznaczna identyfikacja”: samo zdjęcie twarzy nie jest jeszcze daną biometryczną – staje się nią dopiero wtedy, gdy zostaje poddane technicznemu przetworzeniu (np. wygenerowaniu wzorca matematycznego twarzy) służącemu identyfikacji konkretnej osoby. Warto odróżnić identyfikację (model „jeden do wielu” – ustalenie tożsamości spośród wielu osób) od weryfikacji (model „jeden do jednego” – potwierdzenie, że osoba jest tym, za kogo się podaje, np. odblokowanie telefonu). Dane biometryczne podlegają wzmożonej ochronie, ponieważ są nieodwołalne: skradzionego hasła można zmienić, a wzoru tęczówki czy linii papilarnych już nie. Dlatego art. 9 ust. 1 RODO zalicza je do danych szczególnej kategorii i co do zasady zakazuje ich przetwarzania.

Kiedy przetwarzanie danych biometrycznych jest legalne

Aby przetwarzanie danych biometrycznych było zgodne z prawem, muszą być spełnione łącznie dwa warunki. Po pierwsze, musi istnieć ogólna podstawa przetwarzania z art. 6 ust. 1 RODO (np. zgoda, umowa, obowiązek prawny, prawnie uzasadniony interes administratora). Po drugie – co ważniejsze przy danych biometrycznych – musi zachodzić jeden z wyjątków znoszących zakaz z art. 9 ust. 1, wymienionych w art. 9 ust. 2 RODO. Najczęstsze z nich to: wyraźna zgoda osoby, której dane dotyczą (lit. a), niezbędność do wykonywania obowiązków w dziedzinie prawa pracy i zabezpieczenia społecznego (lit. b), ochrona żywotnych interesów (lit. c), ustalenie, dochodzenie lub obrona roszczeń (lit. f) czy ważny interes publiczny na podstawie przepisu prawa (lit. g). W stosunkach pracy szczególne znaczenie ma art. 22(1b) Kodeksu pracy, który dopuszcza przetwarzanie danych biometrycznych pracownika tylko wtedy, gdy jest to niezbędne ze względu na kontrolę dostępu do szczególnie ważnych informacji lub pomieszczeń wymagających szczególnej ochrony. Sama wygoda pracodawcy (np. biometryczna rejestracja czasu pracy) nie jest wystarczającym uzasadnieniem – polskie organy konsekwentnie uznają to za nadmiarowe.

Zgoda jako podstawa i jej granice

Zgoda na przetwarzanie danych biometrycznych musi być – zgodnie z art. 4 pkt 11 i art. 7 RODO – dobrowolna, konkretna, świadoma i jednoznaczna, a przy danych szczególnej kategorii dodatkowo wyraźna (art. 9 ust. 2 lit. a). Oznacza to wyrażenie zgody w drodze wyraźnego oświadczenia lub działania potwierdzającego, odrębnie dla konkretnego celu. Domniemana zgoda, zgoda „pakietowa” czy domyślnie zaznaczone okienko nie spełniają tych wymogów. Istotnym ograniczeniem jest przesłanka dobrowolności: tam, gdzie między stronami występuje wyraźna nierównowaga (np. pracodawca – pracownik), zgoda zwykle nie będzie uznana za w pełni dobrowolną, bo pracownik obawia się negatywnych konsekwencji odmowy. Z tego powodu w relacjach pracowniczych podstawą bywa nie zgoda, lecz przepis prawa (art. 22(1b) Kodeksu pracy). Przy danych dzieci konieczna jest – w odpowiednim zakresie – zgoda osoby sprawującej władzę rodzicielską lub opiekę. Zgodę można w każdej chwili wycofać, a wycofanie musi być równie łatwe jak jej wyrażenie.

Jakie kary realnie grożą za nielegalne przetwarzanie

Sankcje są trojakie. Po pierwsze – administracyjne kary pieniężne nakładane przez Prezesa UODO. Za naruszenie przepisów dotyczących danych szczególnej kategorii (w tym biometrycznych) art. 83 ust. 5 RODO przewiduje karę do 20 mln euro, a w przypadku przedsiębiorstwa do 4% całkowitego rocznego światowego obrotu z poprzedniego roku – w zależności od tego, która kwota jest wyższa. Po drugie – odpowiedzialność cywilna: na podstawie art. 82 RODO każda osoba, która poniosła szkodę (majątkową lub niemajątkową) w wyniku naruszenia, ma prawo do odszkodowania od administratora lub podmiotu przetwarzającego. Po trzecie – odpowiedzialność karna z polskiej ustawy o ochronie danych osobowych: art. 107 u.o.d.o. przewiduje za przetwarzanie danych, gdy jest ono niedopuszczalne albo gdy sprawca nie jest do tego uprawniony, karę grzywny, ograniczenia wolności albo pozbawienia wolności do lat 2, a jeżeli czyn dotyczy danych szczególnych kategorii (jak biometryczne) – do lat 3. Z kolei art. 108 u.o.d.o. penalizuje udaremnianie lub utrudnianie kontroli przestrzegania przepisów (grzywna, ograniczenie wolności albo pozbawienie wolności do lat 2). To realne ostrzeżenie: chodzi o odpowiedzialność osobistą, nie tylko o karę dla firmy.

Linie obrony administratora – wyraźna zgoda i podstawa prawna

Pierwszą i najsilniejszą linią obrony jest wykazanie ważnej podstawy przetwarzania. Jeśli administrator opiera się na zgodzie, musi udowodnić (zasada rozliczalności – art. 5 ust. 2 RODO), że uzyskał ją zgodnie z wymogami: odrębnie, w sposób wyraźny, dobrowolny i dla konkretnego celu, z możliwością łatwego wycofania. Praktyczne dowody to: treść klauzuli zgody, dziennik zgód (rejestr, kto i kiedy wyraził zgodę), informacja spełniająca obowiązek z art. 13 RODO. Jeżeli zgoda nie była właściwą podstawą (np. w relacji pracowniczej), obrona polega na wskazaniu innej przesłanki z art. 9 ust. 2 – najczęściej przepisu prawa (art. 22(1b) Kodeksu pracy) albo niezbędności do ustalenia, dochodzenia lub obrony roszczeń. Druga linia obrony to kwestionowanie samej kwalifikacji danych jako biometrycznych: jeżeli zdjęcia czy nagrania nie były poddawane specjalnemu przetwarzaniu technicznemu w celu jednoznacznej identyfikacji, mogą nie spełniać definicji z art. 4 pkt 14 RODO, co zmienia reżim prawny. Każdy argument powinien być poparty dokumentem lub metryką techniczną, a nie samym oświadczeniem.

Rozliczalność, DPIA i minimalizacja danych jako dowód zgodności

Sercem obrony w sprawach RODO jest zasada rozliczalności (art. 5 ust. 2 RODO): to administrator musi być w stanie wykazać zgodność, a nie organ udowodnić jej brak. Przy danych biometrycznych prawo wymaga wcześniejszej oceny skutków dla ochrony danych – DPIA (art. 35 RODO), ponieważ przetwarzanie danych szczególnej kategroii na dużą skalę zwykle wiąże się z wysokim ryzykiem. Brak DPIA sam w sobie bywa naruszeniem i osłabia obronę. Kluczowa jest też zasada minimalizacji danych (art. 5 ust. 1 lit. c): przetwarzamy tylko to, co niezbędne dla celu. W praktyce oznacza to wybór rozwiązania najmniej ingerującego – np. przechowywanie wzorca biometrycznego (szablonu matematycznego) lokalnie na karcie pracownika zamiast w centralnej bazie, albo zastosowanie alternatywy nieingerującej w biometrię tam, gdzie cel można osiągnąć inaczej. Dokumentacja, którą warto mieć: rejestr czynności przetwarzania (art. 30 RODO), DPIA, test równowagi przy prawnie uzasadnionym interesie, polityki bezpieczeństwa i dowody szkoleń. Ta dokumentacja jest najlepszym materiałem dowodowym w razie kontroli.

Bezpieczeństwo, naruszenia danych i prawa osób, których dane dotyczą

Art. 32 RODO nakłada obowiązek wdrożenia odpowiednich środków technicznych i organizacyjnych adekwatnych do ryzyka – przy biometrii oznacza to silne szyfrowanie wzorców, ścisłą kontrolę dostępu, pseudonimizację i regularne testowanie zabezpieczeń. W razie naruszenia ochrony danych (np. wycieku wzorców biometrycznych) administrator musi w ciągu 72 godzin zgłosić je Prezesowi UODO (art. 33 RODO), a gdy naruszenie powoduje wysokie ryzyko dla osób – zawiadomić również te osoby (art. 34 RODO). Sprawne wykonanie tych obowiązków łagodzi odpowiedzialność. Trzeba też pamiętać o prawach osób: prawie dostępu (art. 15), sprostowania (art. 16), usunięcia (art. 17 – „prawo do bycia zapomnianym”, m.in. po wycofaniu zgody lub ustaniu celu) oraz ograniczenia przetwarzania (art. 18). Osoba, której dane biometryczne są przetwarzane bez podstawy, może żądać ich usunięcia, a także złożyć skargę do Prezesa UODO (art. 77 RODO). Terminowa i rzetelna obsługa tych żądań to nie tylko obowiązek, ale i element budowania linii obrony, bo dowodzi działania w dobrej wierze.

Co zrobić, gdy organizacja stoi w obliczu zarzutu lub kontroli UODO

Po pierwsze, zabezpiecz całą dokumentację: rejestr czynności przetwarzania, DPIA, treści zgód i klauzul informacyjnych, polityki bezpieczeństwa, umowy powierzenia (art. 28 RODO) oraz logi systemów biometrycznych. Po drugie, nie utrudniaj kontroli – udaremnianie lub utrudnianie czynności kontrolnych jest osobnym czynem zagrożonym karą (art. 108 u.o.d.o.). Po trzecie, jak najszybciej skonsultuj się z inspektorem ochrony danych (jeśli jest powołany) oraz z prawnikiem specjalizującym się w ochronie danych – wczesna analiza pozwala ustalić, czy w ogóle doszło do naruszenia i którą linię obrony przyjąć. Po czwarte, jeżeli naruszenie faktycznie wystąpiło, rozważ działania naprawcze (usunięcie danych zebranych bez podstawy, wstrzymanie przetwarzania, wdrożenie alternatywy) – ich podjęcie z własnej inicjatywy jest okolicznością łagodzącą uwzględnianą przy wymiarze kary (art. 83 ust. 2 RODO). W postępowaniu administracyjnym przed Prezesem UODO przysługuje prawo do czynnego udziału i wniesienia skargi do sądu administracyjnego na decyzję organu. Rzetelny doradca nie obiecuje uniknięcia kary, lecz realnie ocenia ryzyko i minimalizuje sankcje.