Kategorie

Ochrona danych przy płatnościach biometrycznych (pytania i odpowiedzi)

Paweł Fedczyszyn
Chałas i Wspólnicy
Kancelaria Prawna
Definicja „danych biometrycznych” jest zawarta w art. 4 pkt 12) Ogólnego rozporządzenia o ochronie danych osobowych („RODO”)./Fot. Shutterstock
shutterstock
Weryfikacja tożsamości przy wykorzystaniu danych biometrycznych to rozwiązanie stosunkowo nowe. Warto zatem znać odpowiedzi na najczęściej pojawiające się pytania dotyczące bezpieczeństwa danych.

Płatności biometryczne a ochrona danych

Robienie zakupów przy wykorzystaniu nowych technologii jest już standardem, jednak weryfikacja tożsamości przy wykorzystaniu danych biometrycznych to rozwiązanie stosunkowo nowe, które może budzić pewne wątpliwości prawne. Czy takie uwierzytelnianie jest bezpieczne pod kątem ochrony danych osobowych? Na często pojawiające się pytania odpowiada mec. Paweł Fedczyszyn z kancelarii Chałas i Wspólnicy.

Czy rozporządzenie RODO odnosi się bezpośrednio do danych biometrycznych?

Tak. Definicja „danych biometrycznych” jest zawarta w art. 4 pkt 12) Ogólnego rozporządzenia o ochronie danych osobowych („RODO”) Oznaczają one dane osobowe, które wynikają ze specjalnego przetwarzania technicznego, dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej oraz umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby. Za daną biometryczną może być uznany np. wizerunek twarzy lub dane daktyloskopijne.

Polecamy: Restrukturyzacja firmy poprzez elastyczne formy zatrudnienia. Poradnik Gazety Prawnej 6/2020

Czy można przetwarzać dane osobowe ujawniające dodatkowe informacje np. dane dotyczące poglądów politycznych lub sfer intymności osoby fizycznej?

Nie. Zgodnie z art. 9 ust. 1 RODO „zabrania się przetwarzania danych osobowych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby”. Przepis wprowadza zakaz przetwarzania danych szczególnych kategorii, w tym danych biometrycznych, bez podania należytej podstawy prawnej. Podstawy przetwarzania danych wrażliwych zawarte są w art. 9 ust. 2 RODO. Jedną z podstaw przetwarzania jest zgoda, która powinna być wyraźna lecz nie musi być wrażona na piśmie (można zebrać zgodę np. w postaci checkboxów).  

Jaka powinna być podstawa prawna przetwarzania danych w przypadku usług finansowych?

W przypadku usług finansowych możliwą przesłanką przetwarzania będzie art. 9 ust. 1 lit. g) RODO, zgodnie z którym przetwarzanie jest niezbędne ze względów związanych z ważnym interesem publicznym, na podstawie prawa Unii lub prawa państwa członkowskiego, które są proporcjonalne do wyznaczonego celu, nie naruszają istoty prawa do ochrony danych i przewidują odpowiednie i konkretne środki ochrony praw podstawowych i interesów osoby, której dane dotyczą. Wskazana podstawa prawna odnosi się do dość szerokiego pojęcia „interesu publicznego”, a za taki można uznać m.in. umożliwienie korzystania z usług bankowych bez ograniczeń.

Jaka podstawa przetwarzania danych jest najkorzystniejsza dla administratora?

Z punktu widzenia administratora danych najkorzystniejsze będzie przetwarzanie danych osobowych na podstawie art. 9 ust. 1 lit. g) RODO, który nie wymaga zbierania każdorazowych zgód, a daje możliwość wykonania operacji przetwarzania danych osobowych w celach realizacji płatności. W związku ze stosowaniem rozwiązań wykorzystujących biometrię, konieczne jest posiadanie odpowiednich urządzeń oraz infrastruktury technicznej, która jest niezbędna do weryfikacji tożsamości. W ostatnim czasie pojawiają się autorskie rozwiązania dotyczące płatności za pomocą tęczówki oka. W zasadzie tęczówka będzie działała podobnie jak zbliżeniowa karta płatnicza. Nie należy jednak mylić przetwarzania danych osobowych w celach weryfikacji tożsamości z płatnościami danymi osobowymi za usługę, gdyż w takich przypadkach nie dochodzi do potwierdzenia tożsamości, a jedynie do umożliwienia dostępu do usługi.

Czy podawanie danych jest bezpieczne?

Wielu może sądzić, że podanie danych nie jest bezpieczne i są one narażone na ujawnienie lub utratę, a następnie wykorzystanie np. w celach wyłudzenia kredytów lub pożyczek. Choć istnieje taka możliwość to zabezpieczeniem jest przeprowadzenie wdrożenia Privacy by Design lub wykonanie analizy ryzyka (DPIA). Te instytucje gwarantują uwzględnienie zasad wynikających z Ogólnego Rozporządzenia, w tym zasad ograniczenia celu oraz minimalizacji danych, a DPIA powinno zostać przeprowadzone zgodnie z art. 35 ust. 1 RODO, czyli w sytuacji przetwarzania na dużą skalę szczególnych kategorii danych osobowych. Oznacza to, że nasze dane zostaną prawidłowo zabezpieczone w myśl reguły Risk-based approach, która uzależnia niejednokrotnie złożoność zastosowanych środków technicznych i organizacyjnych ochrony danych od charakteru danej operacji przetwarzania. DPIA powinna obejmować ocenę, czy operacje przetwarzania są niezbędne oraz proporcjonalne w stosunku do celów oraz ocenę ryzyka naruszenia praw lub wolności osób, których dane dotyczą.

Jakie środki zabezpieczenia danych można stosować w przypadku danych biometrycznych?

Wśród środków bezpieczeństwa mogą być m.in. zastosowanie pseudonimizacji tj. przetworzenie danych osobowych w taki sposób, by nie można ich było już przypisać konkretnej osobie, której dane dotyczą, bez użycia dodatkowych informacji, pod warunkiem że takie dodatkowe informacje są przechowywane osobno i są objęte środkami technicznymi i organizacyjnymi uniemożliwiającymi ich przypisanie zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. Administratorzy mogą wdrożyć środki stosownie do dokonanej analizy ryzyka, tak aby przechowywane dane biometryczne zostały objęte należytymi odpowiednimi organizacyjnymi środkami ochrony, a także technicznymi środkami bezpieczeństwa. Można również wdrożyć odpowiednie procedury nadawania upoważnień do przetwarzania danych, w tym w zbiorach przetwarzanych w formie elektronicznej lub poprzez odpowiednie procedury uzyskiwania dostępu do tych danych. 

Polecamy serwis: Prawa konsumenta

Źródło: INFOR
Czy ten artykuł był przydatny?
tak
nie
Dziękujemy za powiadomienie
Jeśli nie znalazłeś odpowiedzi na swoje pytania w tym artykule, powiedz jak możemy to poprawić.
UWAGA: Ten formularz nie służy wysyłaniu zgłoszeń . Wykorzystamy go aby poprawić artykuł.
Jeśli masz dodatkowe pytania prosimy o kontakt

Komentarze(0)

Uwaga, Twój komentarz może pojawić się z opóźnieniem do 10 minut. Zanim dodasz komentarz -zapoznaj się z zasadami komentowania artykułów.
    QR Code

    © Materiał chroniony prawem autorskim - wszelkie prawa zastrzeżone. Dalsze rozpowszechnianie artykułu za zgodą wydawcy INFOR PL S.A.

    Prawo
    1 sty 2000
    23 cze 2021
    Zakres dat:
    Zapisz się na newsletter
    Zobacz przykładowy newsletter
    Zapisz się
    Wpisz poprawny e-mail

    Ojciec na macierzyńskim to wciąż rzadkość [AUDIO]

    Przepisy dopuszczają, by część okresu pobierania zasiłku macierzyńskiego przejmowali mężczyźni. Okazuje się, że ojcowie niechętnie korzystają z tej możliwości.

    Uznanie ojcostwa przed porodem w 2021 r.

    Uznanie ojcostwa przed porodem wywołuje ważne skutki dla rodziców i dziecka. Jakie zasady obowiązują w 2021 r.?

    Prawa autorskie - odpowiedzialność operatorów platform internetowych

    Prawa autorskie. W obecnym stanie prawa UE operatorzy platform internetowych, co do zasady, sami nie dokonują publicznego udostępniania treści chronionych prawem autorskim, bezprawnie zamieszczanych na tych platformach przez ich użytkowników. Niemniej jednak owi operatorzy dokonują tej czynności z naruszeniem prawa autorskiego, jeżeli przyczyniają się – w inny sposób niż samo udostępnienie tych platform – do publicznego udostępniania takich treści. Tak orzekł Trybunał Sprawiedliwości Unii Europejskiej w wyroku z 22 czerwca 2021 r. w sprawach połączonych C-682/18, YouTube i C-683/18, Cyando.

    Nowelizacja procedur karnych w okresie pandemii

    22 czerwca 2021 r. weszła w życie nowelizacja dotycząca procedur karnych w okresie pandemii. Zmiany dotyczą m.in. liczebności składów orzekających.

    Spis powszechny 2021- wywiady bezpośrednie od 23 czerwca

    Wywiady bezpośrednie w spisie powszechnym rachmistrzowie rozpoczną 23 czerwca 2021 r. Jak można sprawdzić tożsamość rachmistrza?

    Podróże po Europie w wakacje 2021 r.

    Podróże po Europie w wakacje 2021 r. rodzą wiele pytań m.in. o testy czy świadectwa szczepień. Jakie są aktualne zasady w poszczególnych krajach?

    Uznanie ojcostwa w 2021 r. – jak i kiedy?

    Zasady dotyczące uznania ojcostwa w 2021 r. nie zmieniły się. Na czym polega uznanie ojcostwa i jak tego dokonać?

    Kto ponosi odpowiedzialność za wypadek na basenie?

    Czy i od kogo można żądać odszkodowania za wypadek na basenie? Kwestię odpowiedzialności należy wywodzić z Kodeksu cywilnego.

    26.07.2021 wojewodowie ogłoszą termin kwalifikacji wojskowej

    26.07.2021 ogłoszony zostanie termin drugiej w tym roku kwalifikacji wojskowej. Kwalifikacja potrwa do 19.11.2021 i przeprowadzona zostanie przez powiatowe komisje lekarskie. Za powołanie tych komisji odpowiedzialni są wojewodowie.

    Upadłość konsumencka - koszty

    Upadłość konsumencka wiąże się z kilkoma kosztami, które dłużnik zobowiązany jest pokryć. Jak przygotować się do złożenia wniosku?

    RDOŚ powoła nowe strefy ochronne

    Nowe strefy ochronne dla rzadkich gatunków ptaków. Leśnicy z Nadleśnictwa Połczyn (RDLP w Szczecinku) znaleźli aż trzy nowe stanowiska ptaków chronionych, które wymagają ustalenia stref ochrony. Dwa gniazda są zajęte przez bociana czarnego (Ciconia nigra), a jedno przez orlika krzykliwego (Clanga pomarina).

    Delegowanie funkcjonariuszy SW do ośrodka w Gostyninie

    20.06.2021 weszła w życie ustawa mająca zapewnić środki na stworzenie tymczasowej placówki dla pacjentów ośrodka w Gostyninie, w którym przebywają najgroźniejsi przestępcy już po odbyciu kary. Przepisy pozwolą też na czasowe delegowanie tam funkcjonariuszy Służby Więziennej.

    Loty przeciwpożarowe i gaśnicze 2021 r.

    W 2021 r. zmieniły się przepisy ustawy – Prawo lotnicze. Umożliwiono Prezesowi Urzędu Lotnictwa Cywilnego wydanie – na wniosek zainteresowanego podmiotu – zezwolenia na wykonywanie zarobkowych operacji specjalistycznych wysokiego ryzyka statkami powietrznymi pozostającymi pod nadzorem krajowym, a także na wykonywanie zarobkowych operacji polegających na wykonywaniu lotów przeciwpożarowych i gaśniczych.

    500 plus – czerwiec 2021 r.

    Dla świadczeń „500 plus” czerwiec 2021 r. jest ważnym miesiącem. O jakim terminie warto pamiętać?

    Zmiany w zawiadamianiu wojskowych komendantów uzupełnień o osobach podlegających obowiązkowi czynnej służby wojskowej od 29.06.2021

    Od 29.06.2021 obowiązywać będą nowe wzory zawiadomień wojskowych komendantów uzupełnień o osobach podlegających obowiązkowi czynnej służby wojskowej oraz wydawania przez pracodawców, szkoły i inne jednostki organizacyjne zaświadczeń w sprawach powszechnego obowiązku obrony.

    Nowy formularz skierowania do komisji lekarskiej w Służbie Więziennej od 29.06.2021

    29.06.2021 r. w Służbie Więziennej obowiązywać będzie nowy formularz skierowania do komisji lekarskiej. Skierowane dotyczy kandydata, funkcjonariusza, funkcjonariusza zwolnionego, emeryta oraz rencisty.

    Czy Policja nie będzie musiała już badać stanu trzeźwości pracownika?

    Ministerstwo Rozwoju, Pracy i Technologii przygotowało przepisy, które umożliwią pracodawcom - pod pewnymi warunkami - wprowadzenie prewencyjnego badania pracowników na obecność alkoholu lub podobnie działających środków, a także zasady jego przeprowadzania.

    30.06.2021 r. upływa termin na dokonanie zgłoszenia rejestracyjnego do Centralnego Rejestru Podmiotów Akcyzowych

    Od 1 lipca 2021 r. podmioty, które nie zostały zarejestrowane w CRPA nie będą mogły prowadzić działalności gospodarczej w zakresie wyrobów akcyzowych. Z kolei podmioty zużywające wyroby akcyzowe nieprowadzące działalności gospodarczej i niebędące osobami fizycznymi (takie jak jednostki samorządu terytorialnego, wojsko, policja, straż graniczna) nie będą mogły nabywać zwolnionych od akcyzy - ze względu na ich przeznaczenie - paliw lotniczych, paliw żeglugowych i gazu LPG.

    NIK o resocjalizacji więźniów poprzez aktywizację zawodową

    Nastąpił wzrost aktywności pracowniczej i społecznej więźniów oraz zwiększenie ich zdolności do zatrudnienia. Przyczynił się do tego specjalny program szkoleń, które w ramach resocjalizacji prowadziła Służba Więzienna. Choć praca osadzonych po zakończonych szkoleniach była istotą projektu, to jednak jego założenia nie gwarantowały utrwalania zdobytych umiejętności. W konsekwencji większość uczestników projektu wykonywało nieodpłatne prace porządkowe i pomocnicze na rzecz zakładów karnych. W wielu przypadkach prace te pozostawały bez związku z tematem ukończonego szkolenia a wykonywane były przez krótkie okresy. Ograniczało to skuteczność wejścia na rynek pracy po opuszczeniu jednostki penitencjarnej.

    Podsumowanie operacji Labour Exploitation Empact Action Days 2021

    Od 31 maja do 6 czerwca 2021r. polska Policja uczestniczyła w międzynarodowej operacji Labour Exploitation Empact Action Days 2021 mającej na celu zwalczanie handlu ludźmi wykorzystywanymi do pracy przymusowej. Wydział dw. z Handlem Ludźmi Biura Kryminalnego Komendy Głównej Policji, jako krajowy koordynator platformy EMPACT THB, koordynował działania podjęte przez wszystkie Komendy Wojewódzkie Policji i Komendę Stołeczną Policji. W operacji wzięli udział również funkcjonariusze Straży Granicznej, pracownicy Okręgowych Inspekcji Pracy oraz Sanepidu. Całość działań koordynowana była przez Europol.

    Trwają prace nad projektem nowelizacji przepisów i zasad regulujących obszar przeprowadzania czynności kontrolno-rozpoznawczych oraz prowadzenia postępowań pokontrolnych

    18.06.2021 odbyło się spotkanie zespołu roboczego Komendanta Głównego PSP do spraw opracowania projektu nowelizacji przepisów i zasad regulujących obszar przeprowadzania czynności kontrolno-rozpoznawczych oraz prowadzenia postępowań pokontrolnych.

    Pobieranie torrentów - wyrok TSUE

    Trybunał Sprawiedliwości Unii Europejskiej orzekł, iż dostawca internetu może systematycznie rejestrować adresy IP użytkowników oraz udostępniać ich nazwy i adresy pocztowe podmiotowi praw własności intelektualnej lub osobie trzeciej, zajmującej się windykacją tych praw.

    TSUE o dochodzeniu sprawiedliwości przed polskim sądem za zwrot "polskie obozy"

    Były więzień Auschwitz nie może dochodzić sprawiedliwości przed polskim sądem za zwrot "polskie obozy". Tak uznał Trybunał Sprawiedliwości Unii Europejskiej.

    Pokazy dla seniorów – propozycje zmian

    Pokazy, często kierowane do seniorów, mogą być źródłem nieuczciwych praktyk przedsiębiorców. UOKiK przygotował propozycje zmian w przepisach.

    Zniesławienie – jak można dochodzić odpowiedzialności sprawcy?

    Zniesławienie to przestępstwo, a jego ofiara może dochodzić odpowiedzialności sprawcy w postępowaniu karnym. W jaki sposób?