Ochrona danych przy płatnościach biometrycznych (pytania i odpowiedzi)

Płatności biometryczne a ochrona danych

Robienie zakupów przy wykorzystaniu nowych technologii jest już standardem, jednak weryfikacja tożsamości przy wykorzystaniu danych biometrycznych to rozwiązanie stosunkowo nowe, które może budzić pewne wątpliwości prawne. Czy takie uwierzytelnianie jest bezpieczne pod kątem ochrony danych osobowych? Na często pojawiające się pytania odpowiada mec. Paweł Fedczyszyn z kancelarii Chałas i Wspólnicy.

Czy rozporządzenie RODO odnosi się bezpośrednio do danych biometrycznych?

Tak. Definicja „danych biometrycznych” jest zawarta w art. 4 pkt 12) Ogólnego rozporządzenia o ochronie danych osobowych („RODO”) Oznaczają one dane osobowe, które wynikają ze specjalnego przetwarzania technicznego, dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej oraz umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby. Za daną biometryczną może być uznany np. wizerunek twarzy lub dane daktyloskopijne.

Polecamy: Restrukturyzacja firmy poprzez elastyczne formy zatrudnienia. Poradnik Gazety Prawnej 6/2020

Czy można przetwarzać dane osobowe ujawniające dodatkowe informacje np. dane dotyczące poglądów politycznych lub sfer intymności osoby fizycznej?

Nie. Zgodnie z art. 9 ust. 1 RODO „zabrania się przetwarzania danych osobowych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby”. Przepis wprowadza zakaz przetwarzania danych szczególnych kategorii, w tym danych biometrycznych, bez podania należytej podstawy prawnej. Podstawy przetwarzania danych wrażliwych zawarte są w art. 9 ust. 2 RODO. Jedną z podstaw przetwarzania jest zgoda, która powinna być wyraźna lecz nie musi być wrażona na piśmie (można zebrać zgodę np. w postaci checkboxów).  

Jaka powinna być podstawa prawna przetwarzania danych w przypadku usług finansowych?

W przypadku usług finansowych możliwą przesłanką przetwarzania będzie art. 9 ust. 1 lit. g) RODO, zgodnie z którym przetwarzanie jest niezbędne ze względów związanych z ważnym interesem publicznym, na podstawie prawa Unii lub prawa państwa członkowskiego, które są proporcjonalne do wyznaczonego celu, nie naruszają istoty prawa do ochrony danych i przewidują odpowiednie i konkretne środki ochrony praw podstawowych i interesów osoby, której dane dotyczą. Wskazana podstawa prawna odnosi się do dość szerokiego pojęcia „interesu publicznego”, a za taki można uznać m.in. umożliwienie korzystania z usług bankowych bez ograniczeń.