Dane biometryczne czyli dane osobowe, które wynikają ze specjalnego przetwarzania technicznego, dotyczące cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej oraz umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby, takie jak wizerunek twarzy lub dane daktyloskopijne są zdefiniowane w art. 4 pkt. 14 rozporządzenia Parlamentu Europejskiego i Rady (UE) z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).
Co do zasady RODO zabrania przetwarzania tych danych uznając je za dane szczególne, które powinny być szczególnie chronione.
RODO wskazuje na wyjątki w jakich dopuszczalne jest przetwarzanie takich danych. Jednocześnie wskazuje, że państwa członkowskie mogą wprowadzić dalsze ograniczenia lub wyjątki dotyczące przetwarzania m.in. danych biometrycznych.
Wyjątkami przewidzianymi w RODO, które pozwalają przetwarzać dane szczególne w tym dane biometryczne są:
- Wyraźna zgoda osoby w jednym lub kliku konkretnych celach, (jeśli przepisy tego nie zabraniają).
- Niezbędność do wypełnienia obowiązków i szczególnych praw administratora lub osoby, której dane dotyczą, (jeśli jest to dozwolone przepisami).
- Niezbędność do ochrony żywotnych interesów osoby, której dane dotyczą lub innej osoby fizycznej, a osoba, której dane dotyczą, jest fizycznie lub prawnie niezdolna do wyrażenia zgody.
- Upublicznienie w sposób oczywisty przez osobę, której dotyczą.
- Przesłanki związane z ważnym interesem publicznym.
- Niezbędność ustalenia, dochodzenia lub obrony roszczeń lub w ramach sprawowania wymiaru sprawiedliwości przez sądy.
Również polski prawodawca wprowadził wyjątek od zakazu przetwarzania danych biometrycznych. Zgodnie z brzmieniem art. 221b § 2 kodeksu pracy (Dz.U. z 2020 r. poz.1320 t.j.) pracodawca może przetwarzać dane biometryczne pracownika w oparciu o uzasadniony interes pracodawcy, ale tylko wtedy gdy przetwarzanie danych biometrycznych jest niezbędne ze względu na kontrolę dostępu do szczególnie ważnych informacji, których ujawnienie może narazić pracodawcę na szkodę, lub dostępu do pomieszczeń wymagających szczególnej ochrony.
Należy pamiętać, że dane biometryczne czyli np. tęczówka czy siatkówka oka, wizerunek twarzy, odcisk palca, ale także dane behawioralne, przetwarzane specjalnymi metodami technicznymi, pozwalają nie tylko jednoznacznie nas zidentyfikować i określić, ale są to dane niezmienne.
Dlatego jeżeli planujemy przetwarzać dane biometryczne konieczne jest przeprowadzenie oceny skutków dla ochrony danych. Ostateczna decyzja o przetwarzaniu danych biometrycznych powinna także uwzględniać podstawowe zasady ochrony danych jak niezbędność, celowość, minimalizm oraz proporcjonalność.
