Przetwarzanie danych biometrycznych pracownika w kontekście zasady rozliczalności. Dr Michał Bąba Uniwersytet Opolski

Transkrypt

1 Przetwarzanie danych biometrycznych pracownika w kontekście zasady rozliczalności Dr Michał Bąba Uniwersytet Opolski

2 ZASADA ROZLICZALNOŚCI: Art. 5 ust. 2 administrator jest odpowiedzialny za przestrzeganie zasad dotyczących przetwarzania danych osobowych i musi być w stanie wykazać ich przestrzeganie (rozliczalność); art. 25 ust. 3 -,,wywiązywanie się z obowiązków (...) można,wykazać art. 24 ust. 3,,(...) może być wykorzystane jako element dla stwierdzenia przestrzegania (...) ciążących (...) obowiązków (...) art. 7 ust. 1 -,,(...) administrator musi być w stanie wykazać (...) art. 12 ust. 1 -,,Administrator podejmuje odpowiednie środki (...) ; ust. 3 (...) bez zbędnej zwłoki (...) udziela (...) informacji ; ust.4 -,,administrator nie podejmuje działań w związku z żądaniem osoby (...) informuje osobę (...) o powodach (..) art. 13 ust. 1 (...) podaje jej wszystkie następujące informacje (...) ; ust. 2,,(...) administrator podaje (...) następujące inne informacje niezbędne do zapewnienia rzetelności i przejrzystości przetwarzania (...)

3 Z czego należy się rozliczyć? a) wdrożenie środków (w tym wewnętrznych procedur) gwarantujących przestrzeganie przepisów o ochronie danych w związku z operacjami ich przetwarzania: art. 5 ust. 1 lit. a w zw. z art. 13 ust. 1 3 w z. z art. 15 (procedura dla rzetelności i przejrzystości), art. 5 ust. 1 lit. a w zw. z art. 6 ust. 1 lit. a w zw. z art. 9 ust. 2 lit. a w zw. z art. 7 (procedura dla zgody w zw. z zasadą zgodności z prawem) art. 5 ust. 1 lit. a w zw. z lit. b i c w zw. z art. 6 ust. 1 lit. b, art. 9 ust. 2 lit. b (procedura zgodności z prawem dla wykazania niezbędności przetwarzania (adekwatność, ograniczenie celu) pozostaje w funkcjonalnym, materialnym i adekwatnym związku z procedurą wyrażania zgody; wymaga analizy zawsze na skutek wniesienia sprzeciwu (art. 21 ust. 1) art. 5 ust. 1 lit. d w zw. z art. 15, art. 16, i 19, art. 18 ust. 1 lit. a, b (procedura dla prawidłowości przetwarzania danych); zasada prawidłowości jest elementem zasady przejrzystości - przenikanie się i uzupełnianie zasad) art. 5 lit. e zasada ograniczonego przechowywania mieści się w procedurach dla wykazania niezbędności; art. 5 ust. 1 lit. a i f w zw. z art. 24, art. 25, 30, 32, 33, 34 36, art. 37 ust. 1 lit. c, 40, 42, (procedura dla integralności i poufności przesądzająca o rzetelności przetwarzania; ma wpływ na wszystkie pozostałe zasady i procedury; stanowi najistotniejszy czynnik motywacyjny na etapie wdrażania systemu biometrycznego, wymaga również od administratora utrzymywania odpowiedniego poziomu bezpieczeństwa; właściwe szacowanie ryzyka na każdym etapie działania systemu biometrycznego zapewnia jego spójność, przesądza o jego wiarygodności i potwierdza jego zgodność ze stawianymi mu wymaganiami (rzetelność przetwarzania) art. 22 ust. 4

4 b) sporządzenie dokumentacji, która wskazuje osobom, których dane dotyczą oraz organom nadzorczym, jakie środki podjęto, aby zapewnić przestrzeganie przepisów o ochronie danych osobowych: art. 7 ust. 2 (przejrzystość, zgodność z prawem), art. 11 ust. 2 w zw. z art. 12 ust. 2 (przejrzystość) art. 12 ust. 1, 3 i 4 (przejrzystość) art. 13 ust. 1, 2, 3 (przejrzystość) art. 14 (przejrzystość) art. 15 (prawo dostępu realizowane poprzez obowiązek udzielenia informacji; przejrzystość) art. 18 ust. 3 (przejrzystość i prawidłowość) art. 19 (przejrzystość) art. 21 ust. 4 (przejrzystość) art. 30 ust. 4 (przejrzystość) art. 33 ust. 5, art. 33 ust. 1, 2 i 4, art. 36 ust. 3 (przejrzystość, rzetelność, integralność i poufność, niezbędność: adekwatność, celowość; zgodność z prawem) art. 37 ust. 7 (przejrzystość, rzetelność, integralność i poufność)

5 Rozliczalność pozwala odpowiedzieć na następujące pytania: a) czy pracownik może swobodnie, w sposób nieskrępowany podejmować decyzje w sprawie dotyczących go danych osobowych mieszczących się w sferze wolnej od dozwolonej prawnie ingerencji pracodawcy? b) czy i w jakim zakresie pracodawca pozostawił pracownikom swobodę w określeniu sfery dostępności wiedzy o sobie, c) czy i na ile pracodawca utrzymuje stan tej swobody w trakcie zatrudnienia (art. 12, art. 13, art. 15, art. 17, art. 18 RODO)? d) czy pracodawca zakłócił zdolność pracownika do samostanowienia informacyjnego? e) jakie konkretnie działania w tym zakresie podjął pracodawca i ze względu na co je podjął? f) jakiego rodzaju informacje uzyskali pracownicy, czy na ich podstawie mogli zorientować się o skali zagrożeń, stopniu zabezpieczeń danego systemu, celach przetwarzania, wymiernych korzyściach dla ochrony ich praw pracowniczych? g) czy pracodawca przestawił alternatywne procedury przetwarzania danych osobowych na wypadek sprzeciwu lub braku zgody ze strony pracownika? h) na ile bezpieczna jest dana technologia, jaki jest poziom akceptowalnego ryzyka, w jaki sposób i za pomocą jakich działań zostało ono zdefiniowane przez pracodawcę oraz i) czy mamy do czynienia z wewnętrzną spójnością systemu do przetwarzania danych osobowych (biometrycznych)

6 Zasada rozliczalności sposób, w jaki, pracodawca może się rozliczyć z nałożonych obowiązków w zakresie przetwarzania danych biometrycznych wymaga uwzględnienia szeregu przepisów, które wzajemnie się uzupełniają i doprecyzowują zakres możliwych obszarów (pól) odpowiedzialności pracodawcy. Niektóre z regulacji nakładają obowiązki, inne natomiast wskazują na możliwość określonych działań. Brak nakazu nie stanowi okoliczności ekskulpacyjnej. Powinność działania może wynikać z określonego ryzyka. Pracodawca musi je umiejętnie rozpoznać na etapie projektowania oraz wdrażania, a także w fazie korzystania z technologii. Obowiązkiem pracodawcy jest zatem każdorazowe szacowanie ryzyka. Zdefiniowanie ryzyka oznacza jednocześnie zdefiniowanie zakresu czynności niezbędnych do zapewnieni stopnia bezpieczeństwa odpowiadającemu danemu ryzyka. Jeśli pracodawca: a) nie rozpoznał właściwie ryzyka, a podjął działania zmierzające do jego szacowania, będzie ponosił odpowiedzialność; b) ryzyko oszacował i zaniechał działań, które miałyby zabezpieczać system w stopniu niezbędnym, będzie ponosił odpowiedzialność.

7 Wyznaczenie zakresu zasady rozliczalności: funkcja opisowa pojęcie wewnętrznie złożone o niejasnych konturach znaczeniowych obszary (pola) rozliczalności rozliczalność jako mozaika wielu praw i obowiązków rozliczalność a wolność (autonomia) jednostki rozliczalność jako dynamiczny proces kontury znaczeniowe rozliczalności: Na kontury znaczeniowe togo pojęcia składają się więc obowiązki, które wyznaczają zestaw możliwych zachowań o charakterze powinnościowym, koniecznych i niezbędnych do zapewnienia jednostce ochrony prywatności (art. 47 Konstytucji, art. 51 Konstytucji), wyznaczanych w oparciu o szacowanie ryzyka w związku z zamierzonym sposobem przetwarzania danych osobowych przy uwzględnieniu ich rodzaju.

8 rozliczalności jako efektywny instrument zapewniający rzeczywistą ochronę autonomii informacyjnej pracowników Pracownik ma możliwość sprawowania kontroli na realizacją zasady rozliczalności przez pracodawcę. Dysponuje tu określonymi instrumentami oddziaływania. Instrumenty te, to a) prawo do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania i niezależnie od zgodności z prawem przetwarzania art. 7 ust. 3 RODO b) prawo do ograniczenia przetwarzania art. 18 RODO, c) prawo dostępu do danych osobowych art. 15 RODO, d) prawo do usunięcia danych osobowych art. 17 RODO, e) prawo do wniesienia sprzeciwu wobec przetwarzania 21 RODO, f) prawo żądania niepodlegania decyzji opartej wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu art. 22 ust. 1 i ust. 4 RODO, g) Prawo do wniesienia skargi do organu nadzorczego art. 77 RODO, h) Prawo do skutecznego środka ochrony prawnej przed sądem przeciwko organowi nadzorczemu art. 78 RODO, i) Prawo do skutecznego środka ochrony prawnej przed sądem przeciwko administratorowi lub podmiotowi przetwarzającemu art. 79 RODO, j) Prawo do odszkodowania art. 82 RODO.

9 Rozliczalność jako skuteczna przeciwwaga dla kierowniczego podporządkowania zob. art. 7 ust. 3, art. 13 ust. 2 lit. c RODO, sankcja administracyjna (art. 101 ustawy o ochronie danych osobowych w zw. z art. 83 ust. 5 RODO), sankcja karna (art. 107 ustaw o ochronie danych osobowych) oraz cywilnoprawna (art. 82 RODO). Uprawnienia pracowników ze sfery danych osobowych jako element więzi pracowniczej a sfera pracowniczego podporządkowania Status prawny pracownika potrzeba nowego ujęcia? sfera dominacji pracownika nad pracodawcą waga obowiązków pracodawcy z zakresu przetwarzania danych osobowych pracowników niweluje nierównowagę stron stosunku pracy wyznaczaną pracowniczym podporządkowaniem równoważenie się sytuacji stron stosunku pracy aspekt przetwarzania danych osobowych będzie mógł być wykorzystywany przez pracowników dla potrzeb kształtowania pewnych postaw pracodawcy pożądanych z punktu widzenia interesów pracowników, nie wykluczone, że będzie mógł mieć wpływ na zmiany decyzji w przedmiocie rozwiązania stosunku pracy.

10 Szacowanie ryzyka i jej znaczenie dla wewnętrznej spójności (rzetelność) art. 24 i art. 32 ust. 2, i 37 ust. 1 Bezpieczeństwo systemu biometrycznego Art. 25 ust. 1 w zw. z art RODO pracodawca musi uwzględnić ochronę danych biometrycznych już w fazie projektowania systemu biometrycznego. Technologie biometryczne są definiowane jako zautomatyzowane metody identyfikacji lub ustalania autentyczności tożsamości żywej osoby w oparciu o jej cechy fizjologiczne lub behawioralne. Identyfikacja czy weryfikacja Identyfikacja: jedna próbka-wiele wzorców (one-to-many) - porównanie próbki biometrycznej osoby z całą bazą danych zawierającą wszystkie wzorce biometryczne w celu znalezienia dopasowania. Weryfikacja: jedna próbka-jeden wzorzec (one-to-one) - porównanie dwóch próbek w celu ustalenia czy dotyczą tej samej osoby.

11 Różnice i problemy stąd wynikające: Podstawowym problemem w fazie projektowania: przechowywanie wzorców cech biometrycznych. weryfikacja z rozproszoną bazą danych lub z centralną bazą danych biometrycznych a) każdy ma swój wzór odcisku zawsze przy sobie; odcisk palca właściciela karty jest przechowywany bezpośrednio na niej, a nie na zewnętrznym serwerze (rozproszona baza danych); połączenie metod uwierzytelniania b) baza danych zawiera szablony biometryczne (wyizolowane cechy biometryczne) powiązane z podmiotami; inaczej niż w przypadku identyfikacji, z każdym szablonem jest powiązany jednoznaczny identyfikator; szablon jest porównywany ze świeżo ściągniętą próbką biometryczną c) system weryfikacji wykonuje tylko jedno lub co najwyżej kilka biometrycznych porównań, d) weryfikacja jest prostym sprawdzeniem e) Jeśli zatem pracodawca decyduje się na taką postać i sposób rejestracji czasu pracy i przechowywania danych biometrycznych pracowników (odciski palców), a zatem gdy rezygnuje z centralnej bazy danych biometrycznych pracowników na rzecz karty zawierającej zintegrowany czujnik biometryczny wraz z technologią uwierzytelniania biometrycznego, to trudno przyjmować, że cel ich wykorzystywania miał być inny niż polegający na ochronie pracowników przed fałszowaniem ewidencji czasu pracy, tj. ochronie ich prawa do wynagrodzenia, bezpiecznych warunków pracy, godność pracownika, oraz prawa do wypoczynku. identyfikacja zawsze z centralną bazą danych a) wynik samego tylko pomiaru porównywany jest z całą bazą danych zarejestrowanych osób, a nie tylko z jednym rekordem wybranym na podstawie identyfikatora (numerycznego) b) dużo trudniejsze do zaprojektowania i implementacji ze względu na potrzebę przeszukania biometrycznej bazy danych

12 c) ze względów bezpieczeństwa nie zaleca się stosowania centralnych repozytoriów danych biometrycznych, gdyż przełamanie zabezpieczeń jednego systemu będzie miało konsekwencje dla wszystkich osób, których wzorce biometryczne były tam przechowywane d) empirycznie, jak i teoretycznie stopy błędów identyfikacji biometrycznej (porównanie 1:m) są wysokie, a zatem trzeba poświęcić więcej uwagi obsłudze wyjątków (Bolle, 2008). Ze względu na prywatność oraz ze względu na bezpieczeństwo pożądane może być przechowywanie informacji uwierzytelniających, włączając w to próbkę biometryczną lub wyłuskane cechy biometryczne oraz ich reprezentację cyfrową, w rozproszonej bazie danych. Próbka biometryczna lub same tylko wyizolowane cechy biometryczne są zawsze w posiadaniu swojego właściciela. Na etapie projektowania należy również uwzględniać problem skalowalności biometryk. Skalowalność jest związana z własnością niepowtarzalności biometryki i ma związek ze stopniem błędów.

13 Aspekty, które podnoszą poziom bezpieczeństwa przetwarzania danych biometrycznych: a) pracodawca może wybrać taką technikę weryfikacji biometrycznej, która nie opiera się na przechowywaniu obrazów linii papilarnych, wzorców siatkówki oka czy próbek głosu, lecz na przechowywaniu wyróżniających się cechy tych fizjologicznych charakterystyk w postaci małych wzorców - w skali 1 do 100 czy 1 do 500 rozmiaru oryginalnych danych - zwiększenie poziomu bezpieczeństwa danych biometrycznych i może mieć istotny wpływ na kontekst zgody pracowników; b) wybór takich technologii biometrycznych, które wykorzystują szyfrowanie transmisji danych biometrycznych pomiędzy urządzeniem a biometryczną bazą danych, jak również dążyć szyfrowania wzorców przechowywanych w bazie danych czy to rozproszonej, czy też bazie centralnej, c) architektura systemu biometrycznego uwzględnia aspekt odrębności danych biometrycznych i wzorców biometrycznych oraz dodatkowych identyfikatorów wzmacniających uwierzytelnianie osobnicze, d) znaczenie art. 32 ust. 1 lit a c RODO

14 Wnioski: Rozliczalność to zasada, która wskazuje, jak,,działa autonomia informacyjna, opisuje kryteria legalnego dostępu i korzystania z danych dotyczących osób, nie w oderwaniu od właścicieli danych, lecz z poszanowaniem ich swobody decydowania o zakresie ujawnianego innym dostępu do wiedzy na swój temat. Rozliczalność jest zatem nazwą dla wartości samoistnej o złożonej strukturze i bardzo szerokim zakresie, obejmującą prawa i obszary, w których mogą się one uzewnętrzniać. Rozliczalność eksponuje dające się wyodrębnić aspekty działalności pracodawcy oraz odpowiadające im sfery aktywności pracowników. Posiada ona jednocześnie wiele cech wspólnych z takimi kategoriami jak godność człowieka, wolność, równość czy sprawiedliwość. Zakresy niektórych z tych kategorii do pewnego stopnia pokrywają się ze sobą. Jest to wartość o podstawowej doniosłości dla życia jednostki, wchłania niejako (wartości) cząstkowe przyobleczone w określone prawa jednostek podlegające ochronie. Wartości te tworzą kontury znaczeniowe pojęcia rozliczalności. Ich niejasność oznacza, że wszystkie one razem i każda z osobną nie są zdolne do zbudowania zamkniętej definicji tego pojęcia, pozwalają one jednak na wyróżnienie wspólnego im wszystkim punktu oparcia (istoty) autonomii (wolność) podmiotu rozumianej jako obszar poddany pełnej (absolutnej) kontroli podmiotu danych. Analizując poszczególne obowiązki przetwarzających dane i prawa właścicieli danych, za pomocą których opisuje się rozliczalność, zauważalna jest również pewna prawidłowość, otóż żadne z tych obowiązków i praw nie aspiruje do bycia zasadą naczelną rozliczalności. Jednostka pozbawiona jednego z praw w istocie traci wszystkie pozostałe. Moc tych praw tkwi więc w wewnętrznej ich jedności, w ich można by rzec nienaruszalności, która spaja poszczególne obszary w jedną wspólną im wszystkim aksjologiczną,,nadprzestrzeń określaną mianem prywatności (autonomii informacyjnej).