Dokument biometryczny a prawa człowieka

Transkrypt

1 Adam Bodnar 1 Jakub Michalski 2 Dokument biometryczny a prawa człowieka I. Wstęp 12 Szybki rozwój technologii biometrycznych i ich coraz szersze wprowadzanie w oficjalnych dokumentach identyfikacyjnych rodzi szereg pytań o zgodność takich praktyk z prawami człowieka. Technologie odnoszące się do unikalnych cech ludzkiego organizmu, dotychczas wykorzystywane głównie w systemach weryfikacji i regulowane jedynie w stosunkach pomiędzy podmiotami prywatnymi, wkraczają na pole regulacji publicznoprawnej. W konsekwencji muszą być poddane drobiazgowej analizie z punktu widzenia ich oddziaływania na jednostkę. Państwa wprowadzając nowe środki zabezpieczeń przed zagrożeniami związanymi z terroryzmem międzynarodowym i nawiązując współpracę w zakresie przetwarzania i wymiany danych powinny szczegółowo informować i uzasadniać swoje postępowanie. Ma to szczególne znaczenie w kontekście danych wrażliwych, których gromadzenie lub przetwarzanie może stanowić istotną ingerencję w prawa człowieka. W celu należytego zbadania wpływu zastosowania technologii biometrycznych na tą delikatną sferę należy na wstępie przyjrzeć się cechom charakterystycznym stosowanych technologii i systemów biometrycznych. 1 Dr Adam Bodnar jest adiunktem w Zakładzie Praw Człowieka na Wydziale Prawa i Administracji Uniwersytetu Warszawskiego, sekretarzem Zarządu Helsińskiej Fundacji Praw Człowieka. 2 Jakub Michalski jest studentem IV roku prawa na Wydziale Prawa i Administracji Uniwersytetu Warszawskiego.

2 52 Adam Bodnar, Jakub Michalski II. Krótka charakterystyka technologii 3 Technologie biometryczne są jedną z metod poświadczania tożsamości osoby. Ich możliwe zastosowania obejmują kontrole dostępu do określonych obszarów, redukcję ryzyka oszustw, autoryzację osób uprawnionych do podejmowania czynności w imieniu innej osoby (np. do głosowania), jak również identyfikacji potencjalnych sprawców przestępstw czy osób sprawiających zagrożenie dla bezpieczeństwa lub porządku publicznego. Poszczególne systemy i technologie stosowania danych biometrycznych wykorzystują różne cechy ludzkiego organizmu wykazujące uniwersalność (występowanie o wszystkich ludzi), unikalność (brak powtarzalności określonych danych biometrycznych) oraz trwałość i niezmienność w czasie. Brak lub odchylenia od powyższych zasad obniżają bądź uniemożliwiają skuteczne działanie danej metody. Skuteczność każdego z systemów potwierdzania tożsamości można opisać trzema, wzajemnie reagującymi wskaźnikami. Wskaźnik 4 ominięcia obejmuje sytuacje, w których przepuszczana jest osoba nie posiadająca uprawnień (w efekcie zatem system weryfikacji przepuszcza więcej osób niż powinien). Z kolei wskaźnik fałszywego alarmu obejmuje sytuację, w których zatrzymywana jest osoba posiadająca uprawnienia i wskaźnik obejmujący osoby, które z jakichś powodów nie mogły być poddane weryfikacji (przyczyny fizyczne, religijne itd.). Powyższe wskaźniki można opisać na funkcji wzajemnej zależności gdzie fałszywy alarm i ominięcie spotykają się w punkcie maksymalnej efektywności. Jest on wypadkową obu wskaźników tzn. zmniejszanie lub podnoszenie jednego ze wskaźników wywołuje skutek odwrotnie proporcjonalny w drugim. Zmniejszając prawdopodobieństwo fałszywego alarmu zwiększa się wskaźnik ominięcia i na odwrót. Stąd można wyciągnąć wniosek, iż istnieje pewien idealny stan zabezpieczeń i dodawanie kolejnych czynników weryfikacyjnych nie jest w stanie go poprawić. Idealnym rozwiązaniem byłby system posiadający niskie wskaźniki fałszywego alarmu i ominięcia, który byłby akceptowany przez użytkowników, działał sprawnie i nieinwazyjnie, dodatkowo będąc objętym szczegółową regulacją. Żadna z obecnie dostępnych technologii biometrycznych nie spełnia tych wymogów. Wszystkie posiadają wady możliwe do stwierdzenia nawet przed rozpoczęciem ich analizy z punktu widzenia litery prawa. Analiza odręcznego podpisu, mająca początki już w starożytnych Chinach, jest jedną z najpopularniejszych, choć mocno niedoskonałych, technik biometrycznych. Podstawowym problemem z nią związanym jest brak możliwości przeprowadzenia porównania weryfikacyjnego przez osoby uprawnione. Poza tym poważ- 3 Na podstawie opracowania Security Engineering (6op/cu) przygotowanego przez Katedrę Informatyki Uniwersytetu w Kuopio 4 False Akcept Rate-FAR i False Reject Rate FRR, obliczane na podstawie wzoru wskaźnik = liczba incydentów/ogólna liczba prób (-100%)

3 Dokument biometryczny a prawa człowieka 53 nym problemem jest defi nicja samego podpisu i metody automatycznej weryfikacji. Badania wykazały, że nawet profesjonaliści źle oceniają około 6,5% pełnowartościowych próbek pisma (nie tylko podpisów). Trwają pracę nad udoskonalonymi systemami weryfikacji obejmującymi badanie dynamiki ruchu i siły nacisku podczas podpisywania się na specjalnym urządzeniu. Systemy rozpoznawania twarzy najczęściej bazują na elemencie ludzkim jako wykrywaczu, jednak wprowadzane są systemy automatycznej weryfikacji z użyciem metody eigenface, porównujące obraz z podstawowymi wzorami w bazie i dopiero następnie przeprowadzające indywidualne rozpoznanie. Metoda ta, choć skuteczna w procesie selekcjonowania z grupy osób interesującego nas obiektu, jest jednak obarczona problemem, zbyt często dochodzi do tzw. fałszywego alarmu. Wpływ ma na to wiele czynników, począwszy od oświetlenia, jakości kamery aż do chwilowego wyrazu twarzy obiektu. Inną metodą jest odczytywanie geometrii twarzy. W odróżnieniu od systemu rozpoznawania twarzy stosuje się ją przy weryfikacji tożsamości zindywidualizowanego obiektu. Metoda ta polega na identyfikacji kilkunastu punktów na twarzy oraz odległości pomiędzy nimi, co tworzy unikalny wizerunek każdej osoby. Rozwiązanie to jest przyjęte w ustawie z dnia 7 lipca 2006 r. o dokumentach paszportowych w art. 2 wizerunek twarzy jest elementem składowym danych biometrycznych zawartych w paszporcie. Najpopularniejszą metodą weryfikacji tożsamości są odciski linii papi larnych. Policja używa ich do dwóch celów. Udowadnia, że podejrzany był na miejscy przestępstwa i identyfikuje osoby poprzez porównanie ich odcisków z bazą danych. Sposób ten odznacza się wysoką skutecznością, sięgającą do 1 do prawdopodobieństwa błędu przy idealnym materiale porównawczym. Problemem są osoby z dodatkowymi palcami, amputowanymi kończynami czy też osoby nieposiadające linii papilarnych (te są bardzo rzadkie, ale jednak występują). Jednak skuteczność porównania odcisków palców może być zachwiana poprzez proste unikanie pozostawiania materiału porównawczego czy próby oszukania czytnika (poprzez sztuczne wzory odcisków czy po prostu chuchnięcie na czujnik). Odczytywanie geometrii dłoni jest metodą znaną od dość dawna, ale wystarczającą do procesu weryfikacji tożsamości. Nie jest ona natomiast wystarczająca do zadań identyfikacyjnych. Trwają prace nad termowizyjnym odczytem układu naczyń krwionośnych w dłoni, a więc nad stworzeniem nowej technologii odczytywania danych biometrycznych. Kolejnymi systemami są rozpoznawanie źrenicy i tęczówki oka. Systemy te, choć niezwykle dokładne, stwarzają problemy związane z akceptacja przez użytkowników, których współpraca jest niezbędna przy weryfikacji. Mogą być one także oszukane poprzez przedstawienie zdjęcia obiektu w wysokiej rozdzielczości co wprowadza wymóg badania czy badany obiekt jest żywy. Zagrożeniem przyszłości byłoby nałożenie obrazu oka na szkło kontaktowe jednak obecnie dostępne technologie jeszcze na to nie pozwalają.

4 54 Adam Bodnar, Jakub Michalski Systemy rozpoznawania osoby mówiącej są tworzone z myślą o zastosowaniu kryteriów sposobu mówienia. Są oparte na wypowiedzeniu danego tekstu bądź analizują dowolny fragment mowy. Wyniki badań wskaźników zawodności wyraźnie wskazują na potrzebę stosowania metody kombinowanej weryfikacji (wraz z innym systemem). Jeszcze inna technologia biometryczna to odczytywanie geometrii ciała każdej osoby, za pomocą specjalnych urządzeń prześwietlających. System ten budzi jednak wątpliwości z powodu bardzo głębokiej ingerencji w prywatność. Trwają prace nad coraz to nowymi sposobami weryfikacji, obejmują one już wcześniej wspomniane badanie układu naczyń krwionośnych w dłoni, odczytu temperatury twarzy, uścisku dłoni, unikalnego zapachu ciała czy też szybkiej analizy porównawczej próbek DNA. Żadna technologia biometryczna nie jest doskonała. Dlatego coraz częściej stosowaną praktyką jest wykorzystywanie dla danego rodzaju badań dwóch lub trzech technologii biometrycznych (np. geometria twarzy i badanie linii papilarnych), dzięki czemu zmniejszone jest niebezpieczeństwo pomyłki. III. Wykorzystanie biometrii i regulacje prawne odnoszące się do danych biometrycznych w sferze prywatnej i publicznej Opisane wyżej systemy identyfikacji biometrycznej od wielu lat odgrywają niebagatelną rolę w sektorze prywatnym. Owocem ich ciągłego udoskonalania jest coraz to szersze stosowanie systemów identyfikacji biometrycznej w instytucjach biznesowych, bankach, fabrykach 5 itp. Biometria umożliwia szybki i względnie niezawodny proces rozpoznania i akceptacji osoby badanej. W przypadku konieczności kontroli dostępu większej liczby pracowników, szczególnie w połączeniu z poufnością danych w przedsiębiorstwie, omawiane rozwiązania stanowią optymalną metodę usprawniania procesów identyfikacji. Konieczność zaostrzenia procedur kontrolnych wobec obywateli i pozytywne doświadczenia sektora prywatnego z wykorzystywaniem biometrii spowodowały, iż państwa sięgnęły po systemy identyfikacji biometrycznej w celu zwiększenia 5 Por. np. wykorzystywanie technologii odczytywania linii papilarnych w LG Electronics w Mławie. Przetwarzanie tego typu danych osobowych zostało zakwestionowane przez Generalnego Inspektora Ochrony Danych Osobowych, jednakże Wojewódzki Sąd Administracyjny w Warszawie wyrokiem z 27 listopada 2008 r. (sygn. II SA/ Wa 903/08) nie uznał racji GIODO. WSA w Warszawie uznał, że pracodawcy mają prawo użyć odcisku palca pracownika w systemie elektronicznej kontroli obecności, jeżeli pracownik wyrazi na to zgodę. Wyrok jest nieprawomocny i GIODO zapowiedziało wniesienie skargi kasacyjnej. Por także oficjalną interpretację GIODO na ten temat pl/348/id_art/2056/j/pl/.

5 Dokument biometryczny a prawa człowieka 55 bezpieczeństwa powszechnego. Systemów zabezpieczeń opartych częściowo na biometrii zaczęto używać w paszportach rozwiązanie to, będąc stosunkowo nowatorskim, wymagało odpowiednich regulacji prawnych. Pierwszą regulacją podejmującą wprowadzenie uregulowań prawnych dotyczących biometrii było rozporządzenie Rady (WE) nr 2252/2004 z dnia 13 grudnia 2004 r. 6 w sprawie norm dotyczących zabezpieczeń i danych biometrycznych w paszportach i dokumentach podróży wydawanych przez państwa członkowskie (dalej Rozporządzenie 2252/2004 ). Art. 1 ust. 2 Rozporządzenia 2252/2004 stwierdza, że Paszporty oraz dokumenty podróży zawierają nośnik pamięci, w którym znajduje się obraz twarzy. Państwa Członkowskie mogą również dołączyć odciski palców w interoperacyjnych formatach. Dane są zabezpieczane, a nośnik pamięci posiada wystarczającą pojemność i wydajność, aby zagwarantować integralność, autentyczność i poufność tych danych. Z kolei art. 4 ust. 3 Rozporządzenia 2252/2004 używa określenia cechy biometryczne Do celów niniejszego rozporządzenia cechy biometryczne w paszportach i dokumentach podróży są wykorzystywane wyłącznie w celu sprawdzenia: a) autentyczności dokumentu; b) tożsamości jego posiadacza za pomocą bezpośrednio dostępnych porównywalnych cech w przypadkach, gdy okazanie paszportu lub dokumentu podróży jest wymagane zgodnie z przepisami. Zakres przedmiotowy powyższego rozporządzenia wyłącza jego zastosowanie do dowodów osobistych, paszportów tymczasowych i dokumentów podróży, których okres ważności wynosi 12 miesięcy lub jest krótszy (art. 1 ust. 3). Rozporządzenie ustanawia w art. 2 poziom wymagań technicznych wobec paszportów. Wprowadzenie dodatkowych zabezpieczeń i standardów, wraz z możliwością ich utajnienia (art. 3) stanowi dobrą teoretyczną podstawę do bezpiecznego wykorzystania systemów identyfikacji biometrycznej. Art. 4 ustanawia konieczność ochrony danych osoby posługującej się paszportem, między innymi wskazując na sposób konstrukcji nośnika danych uniemożliwiający mechaniczne ich odczytanie. Rozporządzenie ustanowiło terminy dla państw członkowskich odnoszące się do wprowadzenia do paszportów owalu twarzy- 18 miesięcy i odcisków palców 36 miesięcy. Ustawodawca polski wprowadził rozporządzenie Rady (WE) nr 2252/2004 z dnia 13 grudnia 2004 r. 7 do polskiego systemu prawa poprzez przyjęcie ustawy z dnia 7 lipca 2006 r. o dokumentach paszportowych 8. Ustawa, której pierwsze czytanie miało miejsce dnia 23 czerwca 2006 r. 9 została przyjęta przez Sejm RP przy zaledwie 4 głosach sprzeciwu i podpisana przez Prezydenta RP w dniu 2 sierp- 6 Dziennik Urzędowy L 385 z 29 grudnia 2004 r., s Dziennik Urzędowy L 385 z 29 grudnia 2004 r., s Dz. U. z dnia 10 sierpnia 2006 r. Nr 143 poz z późn. zmianami; dalej: ustawa z dnia 7 lipca 2006 r. 9 Druk sejmowy nr 665

6 56 Adam Bodnar, Jakub Michalski nia 2006 r. Tak szybka procedura legislacyjna była spowodowana obowiązkiem dostosowania polskich przepisów do regulacji unijnych. Ustawa definiuje dane biometryczne jako wizerunek twarzy i odciski palców umieszczone w dokumentach paszportowych w formie elektronicznej, natomiast sporządzenie dokumentu paszportowego należy rozumieć jako przeniesienie danych osobowych i biometrycznych osoby ubiegającej się o wydanie dokumentu paszportowego do książeczki paszportowej w postaci graficznej i elektronicznej. Nie sposób oprzeć się wrażeniu, że ustawodawca wprowadzając pojęcie danych biometrycznych dość wąsko zdefiniował jego zakres. Ustawa o dokumentach paszportowych przewiduje powstanie centralnej ewidencji, która ma stanowić zbiory danych zgromadzonych w ewidencjach paszportowych. Do centralnej ewidencji paszportowej wpisywane będą również informacje o utraconych niespersonalizowanych książeczkach paszportowych, o dokumentach paszportowych utraconych i unieważnionych przed odbiorem przez obywatela. Dane przetwarzane w centralnej ewidencji paszportowej udostępnia się w zakresie niezbędnym wskazanym w ustawie podmiotom (przykładowo chodzi tu o Agencję Bezpieczeństwa Wewnętrznego, Agencję Wywiadu, Centralne Biuro Antykorupcyjne, prokuraturę). Dane z centralnej ewidencji będą mogły być również udostępniane na podstawie umów międzynarodowych, których stroną jest Rzeczpospolita Polska. Powyższe założenia mają szczególne znaczenie z punktu widzenia zastrzeżeń Grupy Roboczej Artykuł 29 do prowadzenia centralnej bazy danych z danymi biometrycznymi (por. uwagi poniżej). W świetle powyższej ustawy Rozporządzenie z dnia 19 czerwca 2007 r. w sprawie ewidencji paszportowych i centralnej ewidencji 10 również zawiera regulacje dotyczące przetwarzania danych biometrycznych. I tak: definicja danych z art. 18 ust. 1 pkt. 1 ustawy o dokumentach paszportowych (dotycząca także dane biome trycznych.) jest, zgodnie z 6 pkt. 1 rozporządzenia, częścią danych zawartych w paszporcie. Pobrane dane są przekazywane do centralnej ewidencji ( 8) skąd trafiają do Centrum Personalizacji Danych Ministerstwa Spraw Wewnętrznych i Administracji. Rozporządzenie weszło w życie z dniem 3 lipca 2007 r. a jego konstrukcja prawna, w zakresie rodzaju danych wpisywanych do paszportu, odsyła do ustawy o dokumentach paszportowych. Warto zauważyć, iż rozporządzenie bezpośrednio dopuszcza możliwość przekazania danych z centralnej ewidencji za granicę przy spełnieniu wymagań nakreślonych w ustawie (art. 52 ust. 2 ustawy). Podkreślany jest także obowiązek ochrony danych osobowych zarówno tych zawartych w ewidencji, jak i podmiotu ubiegającego się o ich udostępnienie ( 17, 18 rozporządzenia). Międzynarodowym dokumentem odnoszącym się do gromadzenia i przetwarzania danych biometrycznych jest tzw. Konwencja z Prüm 11, będąca przedsięwzię- 10 Dz. U. z dnia 6 lipca 2007 r. Nr 121 poz Konwencja z dnia 27 maja 2005 r. w sprawie intensywniejszej współpracy transgranicznej, szczególnie w walce z terroryzmem, przestępczością transgraniczną i nielegalną migracją.

7 Dokument biometryczny a prawa człowieka 57 ciem rządów niektórych państw członkowskich mająca na celu pogłębienie współpracy w zwalczaniu przestępstw, terroryzmu, nielegalnej imigracji oraz usprawnienie wspólnej działalności policji i sądownictwa. Konwencja ta podpisana przez Austrię, Belgię, Francję, Hiszpanię, Luksemburg, Niderlandy i Niemcy przewiduje, oprócz określenia zasad wymiany danych, budowę sieci wymiany informacji, zawierających także dane biometryczne, w ramach współpracy w realizacji celów Konwencji. Konwencja z Prüm zawiera również szereg rozwiązań mających w założeniu redukować negatywne oddziaływanie jej postanowień na sferę praw i wolności obywateli. Współpraca w ramach wymiany informacji opiera się na krajowych bazach danych, z których do współpracy międzynarodowej na poziomie podstawowym przekazywany jest tylko profil DNA i inne posiadane dane biometryczne. Podstawowa kontrola nie stwierdzi tożsamości danej osoby, a jedynie wskaże czy znajduje się ona w którejś z istniejących baz danych. Dopiero na dalszym etapie śledztwa, przy wstępnym uzasadnieniu takiej potrzeby, ujawnione zostaną dane osobowe jednostki, której profil biometryczny jest przedmiotem postępowania. Konwencja z Prüm w swoich postanowieniach dotyczących weryfikacji dokumentów w sprawach imigracyjnych urzeczywistnia postulat udziału czynnika ludzkiego jako uzupełnienia systemu automatycznej weryfikacji wzoru. Państwastrony konwencji są zobowiązane do prowadzenia szkoleń z zakresu sprawdzania autentyczności dokumentów dla funkcjonariuszy innych państw. IV. Potencjalne zagrożenia dla sfery praw człowieka i przykłady orzeczeń sądowych podejmujących kwestie danych biometrycznych Grupa Robocza Artykuł 29 ds. Ochrony Danych Osobowych 12 w swoich raportach (WP 80, WP 112) 13 uwidacznia wiele potencjalnych zagrożeń związanych z szerokim zastosowaniem technologii biometrycznych. 12 Grupa Robocza Artykułu 29 ds. ochrony osób fizycznych w zakresie przetwarzania danych osobowych to niezależny organ doradczy w sprawach ochrony danych i prywatności, powołany na mocy artykułu 29 Dyrektywy o ochronie danych 95/46/WE. W jej skład wchodzą przedstawiciele krajowych organów ochrony danych z państw członkowskich UE, Europejskiego Inspektora Ochrony Danych oraz Komisji Europejskiej. Jej zadania opisane zostały w artykule 30 Dyrektywy 95/46/WE i artykule 15 Dyrektywy 2002/58/WE. Do kompetencji Grupy Roboczej należy badanie kwestii dotyczących zastosowania środków krajowych przyjętych na mocy dyrektyw o ochronie danych w celu przyczynienia się do jednolitego stosowania dyrektyw. Grupa Robocza realizuje to zadanie wydając rekomendacje, opinie i dokumenty robocze. Szczegółowe informacje na temat jej działania znajdują się na stronie europa.eu/justice_home/fsj/privacy/workinggroup/index_en.htm. Opinie Grupy Roboczej cieszą się dużym uznaniem, ze względu na pogłębione i rzetelne podejście do kwestii ochrony danych osobowych. 13 Opinia Grupy Roboczej art. 29 ds. Ochrony Danych 12168/02/EN WP 80 1 sierpnia 2003; opinia 1710/05/PL-rev WP /09/12.

8 58 Adam Bodnar, Jakub Michalski Grupa Robocza Artykuł 29 w szczególności zwraca uwagę na konieczność używania poprawnej siatki pojęciowej w dyskusji nad biometrią. Nieprecyzyjne używanie terminów może doprowadzić do powstania regulacji nieskutecznych bądź nawet niemożliwych do zastosowania. Znaczenie ujednolicenia siatki pojęciowej podkreśla też Els Kindt 14 zwracając uwagę na kompatybilność nowych regulacji z istniejącymi systemami prawa. Istotnym jest wyjaśnienie różnicy pomiędzy procesem weryfikacji i identyfikacji. Weryfikacja odpowiada na pytanie czy jestem osobą, za którą się podaje?, system porównuje dane zapisane na dokumencie zawierającym dane biometryczne z próbkami pobranymi od osoby badanej. W ten sposób możliwa jest weryfikacja np. osoby posługującej się danym paszportem i potwierdzenie czy jej dane biometryczne (gromadzone np. poprzez analizę geometrii twarzy) odpowiadają tym zapisanym na dokumencie, którym ta osoba się posługuje. Jest to skuteczne ze swojej natury porównanie w stosunku 1:1. Identyfikacja 15 natomiast odpowiada na pytanie kim jestem?, system bada pobrane od danej osoby próbki i porównując je z posiadanymi wzorami ustala tożsamość badanego obiektu. Jeżeli zatem w systemie zgromadzone są liczne dane biometryczne, to system może nie tylko weryfikować tożsamość osoby posługującej się danym dokumentem, ale nawet bez przedstawiania dokumentu porównać dane takiej osoby z danymi zgromadzonymi w systemie komputerowym. Faza wstępna gromadzenia danych biometrycznych jest punktem newralgicznym w uniknięciu naruszeń praw człowieka. Pomijając regulujące ją przepisy prawne, należy skupić się na fazie rejestrowania danych na specjalnym wzorze. Proces ten powinien zapewniać, w zależności od rodzaju danych, utworzenie kilku oddzielnych woluminów. Jest to istotne dla zapobiegania nieautoryzowanemu odczytowi danych innych niż wykorzystywane w aktualnym badaniu. Wiąże się to pośrednio z systemami przechowywania zarejestrowanych wzorów. Utworzenie powszechnej centralnej bazy danych jest rozwiązaniem szeroko krytykowanym 16. Stwarza ono pole do nadużyć i jest niekorzystne z punktu widzenia ochrony prywatności. Uzasadnienie dostępu do danych danej osoby, niezwiązanego z procesem weryfikacyjnym, wymagałoby każdorazowo przeprowadzenia testu proporcjonalności 17 ewentualnie możliwych do osiągnięcia celów z naruszanym prawem do prywatności. Działanie takie z dużym prawdopodobieństwem odbywałoby się poza świadomością osoby identyfikowanej, tym samym pozbawiałoby ją jakiejkolwiek 14 E. Kindt, Biometric applications and the data protection legislation, Datenschutz und Datensicherheit 31/2007/3. 15 Por. Wspólny Komitet Techniczny ISO/IEC JTC 1, SUBCOMITTEE SC 37, Technical Text of Standing Document 2, version 5- Harmonized Biometric Vocabulary, 31 stycznia 2006 r. 16 Tak m.in. opinia Grupy Roboczej art.29 ds. Ochrony Danych 12168/02/EN WP 80 1 August 2003; opinia 1710/05/PL-rev WP /09/12, a także Koalicja Organizacji Pozarządowych we Francji 17 Tak m.in. Els Kindt, patrz przypis 14.

9 Dokument biometryczny a prawa człowieka 59 możliwości odwołania czy badania legalności i, jako takie, budzi poważne wątpliwości z punktu widzenia ochrony praw człowieka. Grupa Robocza Artykuł 29 podkreśla znaczenie decentralizacji przechowywania danych biometrycznych w celu uniknięcia powyższego zagrożenia. Gromadzenie i wykorzystanie danych, jako sfera wkraczająca w obszar ochrony praw człowieka, wymaga szerokiego uzasadnienia. Przyczyny pobierania wzorów od jednostek powinny być, zgodnie z Europejską Konwencją Praw Człowieka, ustanowione w ustawie. Gromadzenie danych biometrycznych musi być uzasadnione konkretnym celem (np. bezpieczeństwem publicznym), a zakres gromadzonych danych, tryb gromadzenia, rodzaj danych powinien spełniać wymogi testu proporcjonalności. Należy bowiem pamiętać, że każde gromadzenie i przetwarzanie danych biometrycznych niezależnie od celu jakiemu służy stanowi głęboką ingerencję w prawo do prywatności. Dlatego też stosowanie technologii wykorzystujących takie dane musi być zawsze wyważone na szali dwóch interesów interesu publicznego (np. bezpieczeństwa lub porządku publicznego) oraz prawa do prywatności. Nie należy przy tym zapominać, że nawet najbardziej szczegółowe uzasadnienie ustawy i jej kontrola prewencyjna co do zgodności z Konstytucją nie są w stanie wyeliminować pewnych uniwersalnych zagrożeń dla systemów weryfikacji czy identyfikacji. Niebezpieczeństwa związane z samą charakterystyką poszczególnych danych biometrycznych zostały już wstępnie opisane w części II jednak podkreślić należy inne niebezpieczeństwa związane z przetwarzaniem danych. Dotyczą one głównie wzorów, które odnoszą się do cech psychofizycznych pozostawiających ślady 18 (tj. np. odcisków palców). Nietrudno sobie wyobrazić, że pozostawiony nieświadomie odcisk palca zostanie wykorzystany do stworzenia identyfikatora z fałszywą tożsamością. Rozwój techniki w szybkim tempie powiększa katalog danych możliwych do zebrania w sposób zupełnie nieinwazyjny. Systemy rozpoznawania twarzy na odległość są już w użyciu, kamera o wysokiej rozdzielczości jest w stanie zarejestrować dokładny obraz źrenicy czy tęczówki. Przy odpowiednich warunkach możliwe jest zarejestrowanie niezakłóconej próbki głosu. To wszystko rodzi pytanie o potencjalne zagrożenia związane z kradzieżą tożsamości. Zakładając ciągły rozwój technologii wykorzystujących dane biometryczne należy brać pod uwagę zmniejszenie czynnika ludzkiego w procesach weryfikacji i identyfikacji. Idące za tym ułatwienia w codziennym funkcjonowaniu okupione najpewniej zostaną zwiększonym ryzykiem utraty danych i wykorzystania ich do nielegalnych celów. Trudno jest znaleźć potencjalne rozwiązanie dla sytuacji kradzieży tożsamości, nawet tej wykrytej. Osoba taka zostałaby pozbawiona możliwości posługiwania się swoimi danymi biometrycznymi będącymi już w nielegalnym obiegu. Co 2003 r., s Por. opinia Grupy Roboczej art. 29 ds. Ochrony Danych 12168/02/EN WP 80 1 sierpnia

10 60 Adam Bodnar, Jakub Michalski wtedy? Jak przeprowadzić weryfikację tożsamości wiedząc, że dane mogą zostać wykorzystane do stworzenia fałszywego wzoru biometrycznego? Jest to jedno z pytań, na które należałoby udzielić odpowiedzi jeszcze przed wprowadzeniem danych biometrycznych do szerokiego obiegu. Charakter danych biometrycznych i potencjalne skutki dla ochrony praw jednostki wykorzystywania tych danych były przedmiotem analizy przeprowadzonej w 2005 r. na zlecenie 19 Komisji LIBE 20 Parlamentu Europejskiego. Wskazano w niej, iż dane, które będą gromadzone na skalę masową przez instytucje rządowe mają charakter wrażliwy i konieczne jest przeprowadzenie konsultacji społecznych celem ustalenia czy obywatele Europy są gotowi poddać się pobieraniu wzorów danych biometrycznych. Dotychczas procedury te kojarzone były wyłącznie z walką z przestępczością. Kolejnym negatywnym aspektem jest możliwe skoncentrowanie systemu na osobach o potencjalnie trudnej do ustalenia tożsamości, jak imigranci. Techniczne aspekty porównywania wzorów mogą prowadzić do dyskryminacji osób, które nie będą mogły poddać się badaniu cech biometrycznych. Dotyczy to zarówno osób niepełnosprawnych jak i tych, które odmówią badania ze względu na przekonania religijne czy też z innych względów. Wraz z upowszechnieniem przetwarzania danych biometrycznych zwiększa się ryzyko ujawnienia poufnych danych medycznych możliwych do odczytania z DNA czy nawet, jak wykazują ostatnie badania, odcisków palców. Przykładowo, pewne wzorce linii papilarnych wydają się być przypisane do pewnych schorzeń przewlekłych, fakty te, choć niepotwierdzone jeszcze badaniami, są przedmiotem debaty naukowej i powinny być wzięte pod uwagę w regulacjach dotyczących wykorzystywania danych biometrycznych 21. Parlament Europejski w dniu 2 grudnia 2004 r. w drodze decyzji legislacyjnej żądał wprowadzenia zakazu utworzenia centralnej bazy danych o paszportach i dokumentach podróżny Unii Europejskiej 22. Postulat ten jest popierany przez Grupę Roboczą Artykuł 29 w opinii WP 112. Przytoczone tam argumenty mają szerokie znaczenie w dyskusji na temat tworzenia centralnych baz danych zawierających wzorce biometryczne. Utworzenie takiej powszechnej bazy stałoby w sprzeczności z zasadą proporcjonalności. Każda kolejna baza wzmagałaby ryzy- 19 Analiza została zlecona przez Instytut Perspektywicznych Studiów Technologicznych, DG Wspólne Centrum Badawcze; Misją centrum jest zapewnienie, zgodnie z potrzebami klientów, wsparcia naukowego i technicznego dla koncepcji, rozwoju, wdrażania i monitorowania polityki Unii Europejskiej. DG WCB działa jako centrum informacji w zakresie nauki i techniki dla Unii. eu/dgs/jrc/downloads/jrc_reference_report_200704_biotech.pdf 20 Komisja LIBE posiada uprawnienia w zakresie ochrony praw człowieka i praw podstawowych, w tym także ochrony mniejszości, zgodnie z postanowieniami Traktatów i Karty Praw Podstawowych Unii Europejskiej, zajmuje się także ustawodawstwem w obszarze przejrzystości oraz ochrony osób fizycznych pod kątem przetwarzania danych osobowych. 21 Por. w opinii Grupy Roboczej art /05/PL-rev WP /09/ Inne stanowisko prezentuje Rząd Wielkiej Brytanii, gdzie rejestr krajowy powstanie na podstawie Identity Cards Act 2006, który będzie obejmował przechowywanie danych biometrycznych.

11 Dokument biometryczny a prawa człowieka 61 ko niewłaściwego bądź nieuprawnionego wykorzystania zawartych w niej danych osobowych. Warto także wskazać, że zagrożenie dla praw człowieka niesie ze sobą standaryzacja formatu zapisu wzorców biometrycznych. Z jednej strony jest ona konieczna dla sprawnego funkcjonowania systemu weryfikacji. Z drugiej strony jednak stanowi zagrożenie utworzenia połączeń pomiędzy poszczególnymi bazami, a tym samym utworzenia nieregulowanej szerokiej bazy danych wzorców biometrycznych. Informacje takie byłby narażone ze względu na rosnącą wartość danych osobowych i coraz szerszego łamania prawa do prywatności poprzez ich nielegalny obrót. Zagrożenia dla praw człowieka wynikają także z czysto technicznych aspektów przechowywania wzorów danych biometrycznych. Ryzyko jest związane z zastosowaniem bezkontaktowych mikroprocesorów RFID 23. Dane zawarte na takim nośniku nie spełniają wymogów bezpieczeństwa sugerowanych przez Parlament Europejski. Istnieje możliwość odczytu danych bez wiedzy i zgody osoby posiadającej kartę z mikroprocesorem (np. poprzez zbliżenie na pewną odległość). Wątpliwości te były przedmiotem interpelacji posła Marka Biernackiego 24. W odpowiedzi Podsekretarz Stanu w MSWiA Piotr Piętak wskazał na możliwość ograniczenia zasięgu kontroli odległości np. do 10 centymetrów. Rozwiązanie to nie jest przekonujące z punktu widzenia mnogości urządzeń elektrycznych i rozmaitych kontroli tożsamości, podczas których karta RFID mogłaby być odczytana przez nieuprawnione podmioty. Niepokój budzi pewien entuzjazm Komisji Europejskiej 25 wobec tego standardu. Stwierdza ona, że Zastosowanie RFID w UE może być motorem wzrostu i powstania nowych obszarów zatrudnienia, będących wsparciem w realizacji celów Strategii Lizbońskiej. Komunikat KE podkreśla konieczność utworzenia uregulowań prawnych dotyczących spraw związanych z ochroną danych, prywatności i bezpieczeństwa. Jak czytamy w Druku Sejmowym nr 2119 Rzeczpospolita Polska, zgodnie ze stanowiskiem Rządu przyjętym przez KERM 24 kwietnia 2007 r., popiera kroki Komisji Europejskiej zmierzające do wykorzystywania bez konieczności uzyskiwania przez ich użytkowników indywidualnych uprawnień różnych zakresów częstotliwości dostępnych dla systemów RFID w krajach Wspólnoty Europejskiej oraz 23 Za: Pismo Przewodniczącego Grupy Roboczej Artykuł 29 do Przewodniczącego Parlamentu Europejskiego z dnia 18 sierpnia 2004 r. 24 Interpelacja nr 7113 do Ministra Spraw Wewnętrznych i Administracji w sprawie zapewnienia bezpieczeństwa paszportów z wbudowanym chipem RFID (Radio Frequency Identification); treść interpelacji i odpowiedź ministra Piętaka: 25 Za: Komunikat KE do Parlamentu Europejskiego, Rady, Europejskiego Komitetu Ekonomiczno-Społecznego i Komitetu Regionów w sprawie identyfikacji radiowej (RFID) w Europie przywołany w druku sejmowym nr 2119, s. 126