Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.



17.09.2019

PLNOG23 czyli sieci 5G,...

Największa polska konferencja telekomunikacyjna powraca do Krakowa! Wśród nowości ścieżka...
05.09.2019

Cloudya – nowa usługa NFON

Po ponad dekadzie ciągłego rozwoju technologii Cloudya, swobodna i niczym nie ograniczona...
02.09.2019

Na dużą skalę

Kaspersky Hybrid Cloud Security
02.09.2019

Bezpieczny brzeg sieci

Fortinet Secure SD-Branch
02.09.2019

Nowoczesne centra danych

AMD EPYC
30.08.2019

Dostęp do AI i ML

VMware Cloud Foundation
30.08.2019

Lekkość i moc

Toshiba Portégé A30-E
30.08.2019

Bez przestojów

APC Easy UPS On-Line
29.08.2019

Duże moce

Lenovo ThinkSystem SR635 i SR655

Czy biometria jest bezpieczna

Data publikacji: 26-07-2016 Autor: Dominika Nowak

Czy biometryczne systemy kontroli dostępu stanowią zagrożenie dla ochrony danych osobowych i prywatności? Przedstawiamy regulacje prawne określające legalność zastosowania systemów kontroli dostępu opartych na biometrii.

Coraz częściej systemy oparte na danych biometrycznych służą do fizycznej i logicznej kontroli dostępu, gdyż ich wykorzystanie daje gwarancję, że wyłącznie osoby uprawnione mają dostęp do danego obszaru. Obecnie do tych celów najczęściej wykorzystywane są technologie oparte na biometrii linii papilarnych lub biometrii naczyń krwionośnych palca lub dłoni. Warto jednak zastanowić się nad prawnymi ograniczeniami stosowania takich systemów kontroli dostępu. Już na wstępie należy wskazać, że Grupa Robocza powołana na podstawie art. 29 dyrektywy nr 96/46/WE (dalej zwana „Grupa Robocza art. 29”) w 2003 r. sygnalizowała, że „powszechne i niekontrolowane wykorzystanie biometrii budzi niepokój co do fundamentalnych praw i wolności obywatelskich”1.

> Definicja danych biometrycznych

Obecnie w polskim ustawodawstwie nie występuje legalna definicja danych biometrycznych. Definicję danych biometrycznych zawiera natomiast rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), które ma zastosowanie od 25 maja 2016 r.

Zgodnie z art. 4 pkt 14 ogólnego rozporządzenia o ochronie danych osobowych dane biometryczne oznaczają dane osobowe, które wynikają ze specjalnego przetwarzania technicznego, dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej oraz umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby, takie jak wizerunek twarzy lub dane daktyloskopijne.

> Dane biometryczne jako dane osobowe

Klasyfikacji danych biometrycznych jako danych zwykłych lub danych wrażliwych należy dokonywać każdorazowo, analizując ich źródło, którym mogą być cechy fizyczne, fizjologiczne, behawioralne lub psychologiczne danej osoby. W praktyce w przypadku systemów kontroli dostępu zwykle będą miały zastosowanie cechy fizyczne danej osoby. Jest to istotne gdyż od tego czy są to dane zwykłe czy też dane wrażliwe zależy, jakie są dopuszczalne podstawy przetwarzania danych biometrycznych. W pierwszym przypadku podstawy prawnej należy szukać w art. 23 ust. 1 ustawy z dnia 29 sierpnia z 1997 r. o ochronie danych osobowych (DzU z 2015 r., poz. 2135 ze zm., uodo), a w drugim w art. 27 ust. 2 uodo.

Zgodnie z art. 6 ust. 1 uodo za dane osobowe uważa się informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Przykładowo identyfikacja na podstawie odcisków palców opiera się na tym, że każda osoba fizyczna posiada niepowtarzalne linie papilarne wykazujące cechy charakterystyczne, które można zmierzyć w celu stwierdzenia, czy dany odcisk palca pasuje do zarejestrowanej próbki2. Podobnie sytuacja wygląda w przypadku układu naczyń krwionośnych.

Dane biometryczne mogą zostać zaklasyfikowane jako tzw. dane wrażliwe zgodnie z art. 27 ust. 1 uodo, jeżeli na ich podstawie możliwe jest ustalenie takich cech jak: pochodzenie rasowe lub etniczne, stan zdrowia lub kod genetyczny osoby, której dane dotyczą. Do metod, które umożliwiają odczytanie takich danych, zalicza się m.in. automatyczne rozpoznawanie twarzy ujawniające pochodzenie rasowe, a także rozpoznawanie tożsamości po tęczówce oka, z której m.in. można odczytać informacje o przebytych chorobach.

Jednakże Grupa Robocza art. 29 wskazała, że samo przetwarzanie tych danych biometrycznych nie oznacza przetwarzania tzw. danych wrażliwych. To, czy tzw. dane wrażliwe są przetwarzane, zależy od tego, jakie cechy biometryczne są przetwarzane, oraz od zastosowania danej metody biometrycznej3. W przypadku wdrażania systemu kontroli dostępu opartego na danych biometrycznych trzeba będzie zwrócić uwagę na ilość i zakres przetwarzanych cech biometrycznych oraz czy taki zakres może służyć do innych celów niż identyfikacja.

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik "IT Professional"