Kontynuujemy serię poświęconą pojęciom, które zostały w RODO zdefiniowane przez prawodawcę unijnego. Niniejszy odcinek newsletteru zostanie poświęcony dwóm kategoriom danych osobowych, zdefiniowanych w art. 4 odpowiednio w pkt. 13 i 14.
Prawodawca unijny zalicza „dane genetyczne” i „dane biometryczne” do szczególnych kategorii danych osobowych (tzw. danych wrażliwych). Kwestie dopuszczalności przetwarzania tego rodzaju danych uregulowano w art. 9 RODO, który będzie tematem późniejszego odcinka newsletteru.
DEFINICJA „DANYCH GENETYCZNYCH”
Zgodnie z art. 4 pkt. 13 RODO „dane genetyczne” oznaczają „dane osobowe dotyczące odziedziczonych lub nabytych cech genetycznych osoby fizycznej, które ujawniają niepowtarzalne informacje o fizjologii lub zdrowiu tej osoby i które wynikają w szczególności z analizy próbki biologicznej pochodzącej od tej osoby fizyczne”. Pierwszym aktem prawa międzynarodowego regulującym kwestie ochrony danych genetycznych była Deklaracja UNESCO o danych genetycznych człowieka. Wskazuje ona na wyjątkowy charakter danych genetycznych. Wynika on m.in. stąd, że dane te mogą wskazywać na genetyczne predyspozycje jednostek.
Z kolei w motywie (34) preambuły RODO wyjaśniono, że „Dane genetyczne należy zdefiniować jako dane osobowe dotyczące odziedziczonych lub nabytych cech genetycznych osoby fizycznej, uzyskane z analizy próbki biologicznej danej osoby fizycznej, w szczególności z analizy chromosomów, kwasu dezoksyrybonukleinowego (DNA) lub kwasu rybonukleinowego (RNA) lub z analizy innych elementów umożliwiających pozyskanie równoważnych informacji”.
Dane genetyczne dotyczą zatem cech, które mogą być odziedziczone po przodkach lub nabyte w inny sposób. Natomiast nośnikiem informacji genetycznej jest tzw. kod genetyczny (zawarty w sekwencji nukleotydów kwasu nukleinowego DNA lub RNA). Zaś odczytanie tej informacji jest możliwe na podstawie badania próbki biologicznej (np. krwi lub śliny).
Według dr hab. Pawła Fajgielskiego powołującego się na innych przedstawicieli doktryny „(…) informację genetyczną tradycyjnie utożsamia się z informacją wynikającą z genomu człowieka; genom składa się z całości DNA obecnego w komórce określającego wszystkie funkcje organizmu, a zatem są to wszystkie geny i odcinki międzygenowe zawarte w jednym zespole chromosomów. Z powyższego wynika zatem, że do danych genetycznych zalicza się zarówno informacje, które mają charakter dziedziczny, jak również swoiste dla danej osoby lub też te powstałe na skutek mutacji genetycznej (pod wpływem zastosowania terapii genowej, czy wpływu środowiska).” (P. Fajgielski [w:] Ochrona danych osobowych. Komentarz, Warszawa 2015).
DEFINICJA „DANYCH BIOMETRYCZNYCH”
Zgodnie z art. 4 pkt. 14 RODO „dane biometryczne” oznaczają „dane osobowe, które wynikają ze specjalnego przetwarzania technicznego, dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej oraz umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby, takie jak wizerunek twarzy lub dane daktyloskopijne”.
Każdy człowiek posiada unikalne cechy, które mogą być wykorzystywane do jego identyfikacji. Jest to m.in. wizerunek twarzy lub informacje nt. wzoru linii papilarnych. Jednak parametry tych cech zapisywane w systemie nie zawsze mają charakter jednoznaczności. Oznacza to, że np. cyfrowy zapis linii papilarnych umożliwia ustalenie tożsamości ich właściciela z pewnym prawdopodobieństwem. Zatem gdy znaleziony na miejscu przestępstwa odcisk palca będzie można przypisać do więcej niż jednej osoby, wymóg jednoznaczności nie będzie spełniony. Wówczas nie będą to dane biometryczne w rozumieniu RODO.
Danymi biometrycznymi mogą być również cechy behawioralne, takie jak np. brzmienie głosu lub charakterystyczne dla osoby fizycznej schematy ruchowe. Dane biometryczne są coraz częściej wykorzystywane np. w dokumentach tożsamości czy w systemach kontroli dostępu. W wielu modelach telefonów możliwe jest wprowadzenie zabezpieczeń wykorzystujących dane biometryczne, takie jak face ID (system rozpoznawania twarzy) lub czytnik linii papilarnych. Można stwierdzić, że wraz z rozwojem technologii dane biometryczne będą coraz częściej wykorzystywane w systemach zabezpieczeń codziennego użytku. Być może już za parę lat każdy z nas drzwi do domu lub mieszkania zamiast kluczem otwierał będzie za pomocą odcisku palca… 😊
SPECJALNE METODY TECHNICZNE
W w/w przykładach i zgodnie z definicją RODO, informacje biometryczne są przetwarzane specjalnymi metodami technicznymi. W związku z tym jeżeli np. pracodawca dysponuje jedynie zdjęciem pracownika w aktach osobowych lub narzędziach do komunikacji wewnętrznej, nie oznacza to, że przetwarza dane biometryczne w rozumieniu RODO.
Według dr Pawła Litwińskiego „Wizerunek osoby fizycznej będzie jej daną biometryczną tylko wtedy, gdy dzięki specjalnym technikom przetwarzania będzie umożliwiał identyfikację tej osoby lub potwierdzenie jej tożsamości. Nie wystarczy więc, że pracodawca będzie wiedział, do kogo należy konkretny wizerunek – aby wizerunek został uznany za dane biometryczne, taka możliwość identyfikacji musi wynikać z technologii przetwarzania wizerunku” (P. Litwiński [w:] Ogólne rozporządzenie o ochronie danych osobowych. Ustawa o ochronie danych osobowych. Wybrane przepisy sektorowe. Komentarz, 2021).
Podsumowując, dane biometryczne (w rozumieniu RODO) to dane spełniające jednocześnie następujące warunki:
- dane osobowe – zatem dotyczące konkretnej osoby, a nie grupy osób (np. grupy etnicznej),
- poddane specjalnym technikom przetwarzania (najczęściej zautomatyzowanego) – nie wystarczy je przechowywać lub prezentować,
- pozwalające na jednoznaczną identyfikację konkretnej osoby – nie obejmuje przypadków ustalenia przynależności do określonej grupy osób lub tożsamości z pewnym prawdopodobieństwem.