Wiele osób z zaskoczeniem przyjęło wyrok WSA w sprawie szkoły podstawowej, która używała biometrii do weryfikacji uprawnienia do korzystania ze stołówki. Myślę, że potrzebne jest kilka zdań wprowadzenia w tematykę, aby zrozumieć tytuł dzisiejszego felietonu. 

Reklama

Biometria nie była przymusem. Było kilkoro dzieci, których rodzice nie zgodzili się na używanie odcisku palca do weryfikacji i one miały bardziej klasyczne sposoby. Za wiele w Internecie nie ma, załóżmy że był to kwit z kasy lub coś podobnego. 

Wprowadzenie do przepisów prawa

Dane biometryczne oznaczają dane osobowe, które wynikają ze specjalnego przetwarzania technicznego, dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej oraz umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby, takie jak wizerunek twarzy lub dane daktyloskopijne;

Czy możemy je przetwarzać? Tak, po spełnieniu co najmniej jednej z przesłanek, określonych w art 9 RODO:

osoba, której dane dotyczą, wyraziła wyraźną zgodę na przetwarzanie tych danych osobowych w jednym lub kilku konkretnych celach, chyba że prawo Unii lub prawo państwa członkowskiego przewidują, iż osoba, której dane dotyczą, nie może uchylić zakazu, o którym mowa w ust. 1;

Podsumowując krótko te dwa przepisy w punktach:

  1. Zgoda jest wystarczającą przesłanką do przetwarzania danych osobowych, w tym danych biometrycznych;
  2. Zgoda według informacji została wyrażona poprawnie. 

Przetwarzanie danych dzieci jest chronione w RODO w sposób szczególny. Zgoda wyrażona przez prawnych opiekunów, czy dokładniej jej weryfikacja opisana została też w art 9. Choć dotyczy społeczeństwa informacyjnego, a więc przetwarzania danych dzieci w sieci Internet możemy znaleźć w niej pewną wskazówkę. Ocenie ma podlegać to, czy została wyrażona. Absolutnie nie ma tutaj zapisu o ograniczeniu praw do opieki, bo tym nieco trąci wiele komentarzy w Internecie, dotyczących tego przypadku. 

Żandarm, czy doradca?

Wiele osób ze środowiska RODO, często prawników stosuje pewne niepisane zasady traktując je jako prawo. Tak też odbieram komentarze o tej decyzji. Zaskoczenie to najsłabsza z reakcji. W tym momencie wracam do kwestii czytania przepisu jak jest. A w cytacie wyżej jest przecież bardzo znamienna fraza:

chyba że prawo Unii lub prawo państwa członkowskiego przewidują, iż osoba, której dane dotyczą, nie może uchylić zakazu, o którym mowa w ust. 1;

Oznacza to, że prawodawca krajowy może zakazać przetwarzania danych biometrycznych w konkretnych przypadkach. A skoro nie zakazał, to nie zakazał. Zgoda jest jak najbardziej poprawna.

Warsztat RODO

W ramach wielu działań związanych z tworzeniem systemów ochrony danych osobowych realizuje tzw. ocenę prawnie uzasadnionego interesu administratora. Jednym z jego elementów jest ocena przez test równowagi. Jednym z, bo narzędzie zostało opracowane tak, aby korzystać z niego w innych przypadkach. W takich, w których często są “nigdzie nie wyrażone zasady” (nieuprawnione zawężanie przepisu prawa, wprowadzanie dodatkowych zakazów) takie jak:

  • Zgoda nie może być podstawą przetwarzania w stosunku pracy
  • Dane biometryczne nie mogą być podstawą weryfikacji uprawnień
  • Alkomat nie może być stosowany przez pracodawcę

I wiele innych. A teraz weźmy do ręki test równowagi i rozważmy go w szkole. 

Model klasyczny: dziecko posiada potwierdzenie płatności. Czy to jest zaszyte w karcie zbliżeniowej, czy na dokumencie, który dziecko musi okazać. Nie ma znaczenia, choć elektronicznie będzie szybciej.

Są jednak pewne “ale”:

  • Dziecko może zgubić lub zapomnieć, karty kartki. A przerwa leci. 
  • Ktoś może dziecku to ukraść. I nie zje. 

Co jest tutaj interesem osoby, której dane dotyczą? Przesadna i nadmierna ochrona danych w imię poprawności prawie-prawnej (bo to przekonania środowiska, nie przepis) czy jednak to, aby dziecko zjadło obiad? 

Przypomnę tytuł aktu prawnego, bo naprawdę wiele osób zapomina:

w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych

A nie 

W sprawie ochrony danych osobowych 

A więc może poprawnie będzie najpierw rozważyć interes osoby, których dane dotyczą, a dopiero potem bezpieczeństwo tej osoby związane z przetwarzaniem jej danych, a nie zaczynamy od danych i niepisanych zasad? I stawiamy, jakże powszechnie w RODO, zakaz “na wszelki wypadek”. Z “co do zasady można, ale nie”.

Dane wrażliwe

To termin, który kryje za sobą wiele ciekawych wątków. Otóż w wielu przypadkach młodzi eksperci RODO (tak do 2-3 lat doświadczenia) uważają, że są to dane opisane właśnie jako biometryczne, genetyczne, dotyczące zdrowia, w skrócie opisane w art. 9 i 10 RODO. A to nie do końca tak, bo wrażliwość w podejściu do danych wynika z wrażliwości zasobu chronionego, a więc osoby której dotyczą. Nie będę za bardzo dziś wchodził w kwestię szacowania i oceny ryzyka, żeby nie zgubić wątku głównego. Jednak z ryzykiem to jest powiązane. 

  • Dlaczego karta kredytowa, jej numer z numerem CCV/CVC to dane wrażliwe? Bo jej nieautoryzowane wykorzystanie może grozić obniżeniem warunków ekonomicznych osoby. 
  • Dlaczego dane biometryczne są wrażliwe? Bo identyfikują osobę w sposób bezpośredni i jednostkowy, całkowicie niezaprzeczalny. Każda osoba ma własny krój odciska palca, w kryminalistyce te wszystkie linie, zagięcia, węzełki mają swoje nazwy. Dodatkowo do pełnej identyfikacji używa się co najmniej kilku-kilkunastu z nich. 

To o odciskach palców to wiedza ze szkolenia z technik kryminalistycznych, jakie przechodziłem spory czas temu, ale pamiętam. Pamiętam też, z tego samego szkolenia organizowanego między innymi przez Centralne Laboratorium Kryminalistyczne KGP, że w identyczny sposób identyfikowana jest osoba po piśmie. Nacisk na długopis, zawijasy, kropki, odległości, skupienie liter, szczyty – one wszystkie są tak, jak w odcisku palca. Katalog podstawowy cech pisma zawiera aż sześć grup. 

  • Dlaczego podpis może być wrażliwy? Bo w zestawieniu z numerem dowodu i numerem PESEL stanowić może podstawę wypłaty gotówki z banku. 

Podsumowanie

Podgrzanie Internetu decyzją sądu jest dla mnie dość zrozumiałe i powtarzalne. Po raz kolejny dotyczy rozkładania na części aktu prawnego, często w odniesieniu do “niepisanych zasad”, które wiele osób myli z prawem. Rozkminianie w lewo i prawo czy wykładnia celowościowa, czy słownikowa, a tymczasem w przepisie jest wprost. MOŻNA. I prawodawca może ograniczyć. Jeśli nie ograniczył, znaczy drugi raz – MOŻNA. Tak samo jak zgodę w relacji pracownik-pracodawca. Ograniczyć za to nie może organ nadzorczy, ani doradca RODO, ani IOD. Co wynika wprost z wyroku. 

W tych dyskusjach mam wrażenie, że zapomina się o istocie RODO, czyli ochronie osoby fizycznej. To też wygoda osoby fizycznej, w posługiwaniu się danymi. Też uprawnienie korzystania. 

PS czyli podsumowanie 2. Czy ujmujecie w swoich “klauzulach informacyjnych”  przetwarzanie unikalnych danych, jakimi są podpisy? Np., w Instrukcji Bezpieczeństwa Pożarowego, w dokumencie z dziedziny BHP, na karcie zapoznania z czynnikami ryzyka na obiekcie, z listami na bramie u ochrony fizycznej, czy w recepcji. Wiele tych miejsc jest. Ale najciekawsze dla mnie to podpisanie zapoznania się z klauzulą informacyjną. Bez informacji, że wzór mojego podpisu będzie przechowywany razem z klauzulą. Podstawy prawnej na to też nie dostałem. A IOD do dziś tworzy odpowiedź. Czyżby sposób na ciekawe zawiadomienie?