RODO A DANE BIOMETRYCZNE koniecznywierzbicki.pl Skuteczność Kompetencja Zaufanie
REFORMA OCHRONY DANYCH OSOBOWYCH Przepisy w zakresie ochrony danych osobowych ulegną w ciągu najbliższego roku znaczącej zmianie. Z dniem 25 maja 2018 r. wchodzi w życie nowa regulacja, z obrotu prawnego zniknie znaczna część obowiązujących przepisów, a ustawodawca pracuje nad przygotowaniem nowych. Do zmian, które nadchodzą dużymi krokami warto przygotowywać się już dziś. D Y R E K T Y W A U E Dyrektywa Parlamentu Europejskiego i Rady WE 95/46/WE z dnia 24 października 1995 r. Uchylona ze skutkiem od 25 maja 2018 r. U S T A W A Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. Dz. U. z 2016 r., poz. 922 z późn. zm.) Wkrótce zostanie uchylona A K T Y W Y K O N A W C Z E Obowiązujące rozporządzenia krajowe Wkrótce zostaną wyeliminowane z obrotu prawnego R O Z P O R Z Ą D Z E N I E U E Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. ( RODO ) Z dniem 25 maja 2018 r. zaczyna obowiązywać N O W A U S T A W A O O C H R O N I E D A N Y C H O S O B O W Y C H Projekt w fazie konsultacji R E G U L A C J E S E K T O R O W E Szereg zmian w prawie krajowym, projekt w fazie konsultacji P R Z E P I S Y W Y K O N A W C Z E Mogą być przygotowane zarówno krajowe, jak i unijne nowe akty wykonawcze
A K T U A L N Y S T A N PRAWNY Prawo polskie czy istnieje definicja danych biometrycznych? 1. Dane biometryczne mogą mieścić się w ogólnej definicji danych osobowych Art. 6 ustawy o ochronie danych osobowych 1. W rozumieniu ustawy za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. 2. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. 2. Dane biometryczne wyjątkowo mogą spełniać kryteria dla danych wrażliwych Art. 27 ust. 1 ustawy o ochronie danych osobowych Dane wrażliwe dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również danych o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz danych dotyczących skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym.
A K T U A L N Y S T A N PRAWNY Inne uregulowania prawa polskiego: Ustawa z dnia 13 lipca 2006 r. o dokumentach paszportowych Art. 2 Ilekroć w ustawie mowa jest o: pkt 1) danych biometrycznych - należy przez to rozumieć wizerunek twarzy i odciski palców umieszczone w dokumentach paszportowych w formie elektronicznej;
A K T U A L N Y S T A N PRAWNY Orzecznictwo sądów polskich i GIODO - dane biometryczne pracowników Wyroki Naczelnego Sądu Administracyjnego z dnia 6 września 2011 r. I OSK 1476/10 oraz Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 20 czerwca 2011 r. II SA/Wa 719/11: Wyrażona na prośbę pracodawcy pisemna zgoda pracownika na pobranie i przetworzenie jego danych osobowych, narusza prawa pracownika i swobodę wyrażenia przez niego woli. Brak równowagi w relacji pracodawca - pracownik stawia pod znakiem zapytania dobrowolność w wyrażeniu zgody na pobieranie i przetworzenie danych osobowych (biometrycznych). Wykorzystanie danych biometrycznych do kontroli czasu pracy pracowników jest nieproporcjonalne do zamierzonego celu ich przetwarzania. Decyzja GIODO z 15 grudnia 12 2009 r. D IS/DEC-1261/46988/09 Przetwarzanie danych biometrycznych z pewnością nie jest niezbędne dla osiągnięcia celu, jakim jest rejestracja czasu pracy. Czas pracy pracownika może być przez pracodawcę kontrolowany za pomocą innych środków, mniej ingerujących w prywatność osoby zatrudnionej. Złożenie przez pracownika oświadczenia, którego treścią jest wyrażenie zgody na przetwarzanie danych osobowych w postaci linii papilarnych, nie stanowi przesłanki legalizującej przetwarzanie danych osobowych pracowników.
Prawo unijne A K T U A L N Y S T A N PRAWNY Dyrektywa 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych - brak osobnej regulacji - dane szczególne - ujawniające pochodzenie rasowe lub etniczne, opinie polityczne, przekonania religijne lub filozoficzne, przynależność do związków zawodowych, jak również przetwarzanie danych dotyczących zdrowia i życia seksualnego. Orzecznictwo Trybunału Sprawiedliwości UE przetwarzanie danych biometrycznych jest dopuszczalne w zakresie kontroli przekraczania granic UE
A K T U A L N Y S T A N PRAWNY Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO) Wyraźna definicja Art. 4 pkt 14) RODO Dane biometryczne oznaczają dane osobowe, które: wynikają ze specjalnego przetwarzania technicznego, dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej oraz umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby, takie jak wizerunek twarzy lub dane daktyloskopijne.
Fotografie dane biometryczne, czy nie? Motyw 51 RODO Przetwarzanie fotografii nie powinno zawsze stanowić przetwarzania szczególnych kategorii danych osobowych, gdyż fotografie są objęte definicją danych biometrycznych tylko w przypadkach, gdy są przetwarzane specjalnymi metodami technicznymi, umożliwiającymi jednoznaczną identyfikację osoby fizycznej lub potwierdzenie jej tożsamości. Łatwość wykorzystania porównania wizerunku twarzy jako metody identyfikacji: brak wymaganego specjalistycznego urządzenia, powszechność aparatów w urządzeniach przenośnych i systemów monitoringu.
Inne dane biometryczne - przykłady linie papilarne DNA biometria oka biometria głosu analiza chodu dynamika pisania na klawiaturze
Ogólna zasada przetwarzania danych biometrycznych wg. RODO Art. 9 ust. 1 RODO Zabrania się przetwarzania danych osobowych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby. W Y J Ą T K I ( K I E D Y P R Z E T W A R Z A Ć W O L N O ) istnieje wyraźna zgoda osoby w jednym lub kilku konkretnych celach (o ile przepisy tego nie zabraniają) przetwarzanie jest niezbędne do wypełnienia obowiązków i szczególnych praw administratora lub osoby, której dane dotyczą, o ile jest to dozwolone przepisami przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą dane w sposób oczywisty upublicznione zostały przez osobę, której dotyczą istnieje ważny interes publiczny, a przetwarzanie następuje na podstawie przepisów, proporcjonalnie do celów, bez naruszenia interesów podmiotu danych
Dalsze warunki ustanawiane w prawie państw członkowskich Art. 9 ust. 4 RODO Państwa członkowskie mogą zachować lub wprowadzić dalsze warunki, w tym ograniczenia w odniesieniu do przetwarzania danych genetycznych, danych biometrycznych lub danych dotyczących zdrowia. Motyw 52 RODO Należy również zezwolić na wyjątki od zakazu przetwarzania szczególnych kategorii danych osobowych o ile przewiduje to prawo Unii lub prawo państwa członkowskiego i podlega to odpowiednim zabezpieczeniom chroniącym dane osobowe i inne prawa podstawowe jeżeli uzasadnia to interes publiczny, w szczególności polegający na przetwarzaniu danych osobowych w dziedzinie prawa pracy, prawa zabezpieczenia społecznego, w tym emerytur, oraz do celów bezpieczeństwa, monitorowania i ostrzegania zdrowotnego, zapobiegania chorobom zakaźnym i innym poważnym zagrożeniom zdrowotnym. Motyw 52 RODO Państwa członkowskie powinny móc zachować lub wprowadzić dalsze warunki, w tym ograniczenia, przetwarzania danych genetycznych, danych biometrycznych lub danych dotyczących zdrowia. Co na to przepisy prawa polskiego? 12 września 2107 r. projekty ustaw: o ochronie danych osobowych oraz przepisy wprowadzające ustawę o ochronie danych osobowych
D a n e p r a c o w n i k ó w Art. 22 2 2 Kodeksu pracy (projekt) Przetwarzanie przez pracodawcę danych biometrycznych obejmuje tylko dane osobowe pracownika, jeśli dotyczą one stosunku pracy i pracownik wyrazi na to zgodę w oświadczeniu złożonym w postaci papierowej lub elektronicznej. brak zgody nie może być podstawą niekorzystnego traktowania osoby ubiegającej się o zatrudnienie lub pracownika, ani innych negatywnych konsekwencji zgoda nie może dotyczyć danych o stanie zdrowia ustawa upoważnia do wydania rozporządzenia wykonawczego Szczególne kategorie pracodawców Art. 13c ust. 2 Prawa bankowego (projekt) Bank ma prawo żądać od pracownika danych biometrycznych, w szczególności w postaci odcisków palców, głosu, obrazu rogówki i sieci żył palców, jeżeli podanie takich danych jest konieczne ze względu na kontrolę dostępu do informacji przetwarzanych przez bank i pomieszczeń. Art. 10a ust. 2 ustawy o usługach płatniczych (projekt) Instytucja płatnicza oraz instytucja pieniądza elektronicznego mają prawo żądać od pracownika danych biometrycznych w szczególności w postaci odcisków palców, głosu, obrazu rogówki i sieci żył palców, jeżeli podanie takich danych jest konieczne ze względu na kontrolę dostępu do informacji i pomieszczeń. - Przetwarzanie dopuszczalne tylko przez okres zatrudnienia!
Działalność bankowa Art. 112b. Prawa bankowego (projekt) 1. Banki w zakresie realizowanych zadań mogą przetwarzać dla celów prowadzonej działalności bankowej informacje zawarte w dokumentach tożsamości osób fizycznych oraz dane biometryczne w rozumieniu art. 4 pkt 14 rozporządzenia nr 2016/679 w celu zidentyfikowania lub weryfikacji tożsamości osoby fizycznej, a także uwierzytelnienia czynności dokonywanej przez osobę fizyczną. 2. Instytucje utworzone na podstawie art. 105 ust. 4 mogą przetwarzać informacje zawarte w dokumentach tożsamości osób fizycznych oraz dane biometryczne w rozumieniu art. 4 pkt. 14 rozporządzenia 2016/679 w celu zidentyfikowania lub weryfikacji tożsamości osoby fizycznej. Ar. 105 ust. 4 Prawa bankowego Banki mogą, wspólnie z bankowymi izbami gospodarczymi, utworzyć instytucje upoważnione do gromadzenia, przetwarzania i udostępniania informacji m.in. Innym bankom. koniecznywierzbicki.pl
Instytucje płatnicze Art. 10 ust. 2 ustawy o usługach płatniczych (projekt) Instytucje płatnicze oraz instytucje pieniądza elektronicznego mogą przetwarzać dla celów prowadzonej działalności w zakresie świadczenia usług płatniczych informacje zawarte w dokumentach tożsamości osób fizycznych oraz dane biometryczne w rozumieniu art. 4 pkt 14 rozporządzenia nr 2016/679. Co z innymi przedsiębiorcami? W przypadku przedsiębiorców, którzy nie otrzymają specjalnego zezwolenia na przetwarzanie danych biometrycznych konieczne będzie uzyskanie innej podstawy na przetwarzanie tych danych (np. wyraźnej zgody udzielonej w danym konkretnym celu).