Czy zgoda zawsze legalizuje przetwarzanie danych biometrycznych?

Zgoda musi być wyraźna, dobrowolna, konkretna i świadoma, a osoba może ją w każdej chwili wycofać. Jeśli zgoda była wymuszona warunkiem świadczenia usługi albo niejasno sformułowana, może zostać uznana za nieważną. Wtedy potrzebna jest inna przesłanka z art. 9 ust. 2 RODO.

Jakie kary grożą za nielegalne przetwarzanie danych biometrycznych?

Po stronie administracyjnej grożą kary pieniężne RODO - w przypadku danych szczególnych kategorii do 20 mln euro lub 4 proc. obrotu. Polska ustawa o ochronie danych osobowych przewiduje też odpowiedzialność karną (grzywna, ograniczenie wolności albo pozbawienie wolności) za przetwarzanie danych, gdy jest to niedopuszczalne lub przez osobę do tego nieuprawnioną.

Czy osoba może żądać usunięcia swoich danych biometrycznych?

Tak. Na podstawie prawa do usunięcia danych (art. 17 RODO), zwłaszcza po cofnięciu zgody lub gdy dane nie są już niezbędne, administrator co do zasady ma obowiązek je usunąć, chyba że istnieje inna podstawa prawna ich dalszego przetwarzania.

Nielegalne przetwarzanie danych biometrycznych - jakie obrony prawne?

RODO i dane osobowe · 2 min czytania · Redakcja zaufanyprawnik.pl

Dane biometryczne - takie jak wizerunek twarzy przetwarzany w celu identyfikacji, odciski palców czy skan tęczówki - należą do danych szczególnych kategorii w rozumieniu RODO. Ich przetwarzanie jest co do zasady zakazane i dopuszczalne wyłącznie po spełnieniu jednego z wyjątków przewidzianych w przepisach. Organizacja, której zarzuca się bezprawne przetwarzanie takich danych, musi wykazać, że dysponowała ważną podstawą prawną oraz że przestrzegała zasad ochrony danych. To właśnie wokół tych dwóch elementów buduje się linię obrony.

Status danych biometrycznych w RODO

Definicję danych biometrycznych zawiera art. 4 pkt 14 RODO - to dane wynikające ze specjalnego przetwarzania technicznego cech fizycznych, fizjologicznych lub behawioralnych, umożliwiające lub potwierdzające jednoznaczną identyfikację osoby. Dane biometryczne przetwarzane w celu jednoznacznego zidentyfikowania osoby fizycznej należą do szczególnych kategorii danych z art. 9 ust. 1 RODO, których przetwarzanie jest zasadniczo zakazane. Warto zaznaczyć, że nie każde użycie np. fotografii jest przetwarzaniem danych biometrycznych - kluczowe jest, czy następuje specjalne przetwarzanie techniczne służące identyfikacji.

Podstawy legalizujące przetwarzanie

Zakaz z art. 9 ust. 1 RODO uchyla się wyłącznie w przypadkach wymienionych w art. 9 ust. 2. Najczęstszą podstawą jest wyraźna zgoda osoby, której dane dotyczą (art. 9 ust. 2 lit. a) - musi być ona dobrowolna, konkretna, świadoma i jednoznaczna, wyrażona oświadczeniem lub wyraźnym działaniem potwierdzającym. Inne przesłanki to m.in. ustalenie, dochodzenie lub obrona roszczeń, ważny interes publiczny przewidziany prawem, czy ochrona żywotnych interesów. Należy podkreślić, że w odniesieniu do danych szczególnych kategorii sam 'uzasadniony interes administratora' (art. 6 ust. 1 lit. f RODO) nie wystarcza - konieczne jest spełnienie jednej z przesłanek z art. 9 ust. 2. W przypadku danych dziecka korzystającego z usług społeczeństwa informacyjnego zastosowanie mają dodatkowe wymogi dotyczące zgody (art. 8 RODO).

Jak budować obronę i ograniczać ryzyko

Skuteczna obrona opiera się na udokumentowaniu zgodności z RODO: wskazaniu konkretnej podstawy z art. 9 ust. 2, przeprowadzeniu oceny niezbędności i proporcjonalności, stosowaniu zasady minimalizacji danych (art. 5 ust. 1 lit. c) oraz wykazaniu rozliczalności (art. 5 ust. 2). Istotne są też środki bezpieczeństwa - szyfrowanie, kontrola dostępu, procedury reagowania na naruszenia oraz, gdy przetwarzanie wiąże się z wysokim ryzykiem, ocena skutków dla ochrony danych (DPIA, art. 35 RODO). Po stronie sankcji RODO przewiduje administracyjne kary pieniężne (za naruszenia dotyczące danych szczególnych kategorii nawet do 20 mln euro lub 4 proc. rocznego światowego obrotu). Niezależnie polska ustawa o ochronie danych osobowych z 2018 r. przewiduje odpowiedzialność karną za przetwarzanie danych, gdy jest to niedopuszczalne lub przez osobę nieuprawnioną.

Najczęstsze pytania

Czy zgoda zawsze legalizuje przetwarzanie danych biometrycznych?
Zgoda musi być wyraźna, dobrowolna, konkretna i świadoma, a osoba może ją w każdej chwili wycofać. Jeśli zgoda była wymuszona warunkiem świadczenia usługi albo niejasno sformułowana, może zostać uznana za nieważną. Wtedy potrzebna jest inna przesłanka z art. 9 ust. 2 RODO.
Jakie kary grożą za nielegalne przetwarzanie danych biometrycznych?
Po stronie administracyjnej grożą kary pieniężne RODO - w przypadku danych szczególnych kategorii do 20 mln euro lub 4 proc. obrotu. Polska ustawa o ochronie danych osobowych przewiduje też odpowiedzialność karną (grzywna, ograniczenie wolności albo pozbawienie wolności) za przetwarzanie danych, gdy jest to niedopuszczalne lub przez osobę do tego nieuprawnioną.
Czy osoba może żądać usunięcia swoich danych biometrycznych?
Tak. Na podstawie prawa do usunięcia danych (art. 17 RODO), zwłaszcza po cofnięciu zgody lub gdy dane nie są już niezbędne, administrator co do zasady ma obowiązek je usunąć, chyba że istnieje inna podstawa prawna ich dalszego przetwarzania.

Podstawa prawna i źródła

Treść ma charakter informacyjny i edukacyjny — nie stanowi porady prawnej. W indywidualnej sprawie skonsultuj się ze zweryfikowanym prawnikiem.

Masz podobną sprawę?

Opisz ją — dobierzemy zweryfikowanego prawnika.

Zgłoś sprawę