Cyfrowy podpis a dane biometryczne. Jakie są obowiązki administratorów?

Cyfrowe długopisy, tablety z rysikami czy podpisy składane na ekranach urządzeń zyskują popularność jako nowoczesna i wygodna forma zawierania umów. Jednak wygoda administratora danych nie może być nadrzędna wobec prawa jednostki do prywatności. Urząd Ochrony Danych Osobowych (UODO) rozwiewa wątpliwości dotyczące kwalifikacji podpisu cyfrowego jako danych biometrycznych i przypomina, że ich przetwarzanie podlega wyjątkowo restrykcyjnym regulacjom RODO.

Kiedy podpis cyfrowy staje się danymi biometrycznymi?

Zgodnie z definicją z art. 4 ust. 14 RODO, dane biometryczne to takie, które:

• wynikają ze specjalistycznego przetwarzania technicznego,
  
• dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej,
  
• umożliwiają jednoznaczną identyfikację tej osoby.

W kontekście podpisów elektronicznych oznacza to, że jeśli system rejestruje dynamiczne cechy podpisu – takie jak siła nacisku, rytm pisania, kąt nachylenia narzędzia czy prędkość ruchu ręki, a następnie wykorzystuje je do identyfikacji osoby, to mamy do czynienia z przetwarzaniem danych biometrycznych, a takie dane są uznawane za wrażliwe.

RODO mówi jasno: zakaz przetwarzania, chyba że…

Art. 9 ust. 1 RODO wprowadza generalny zakaz przetwarzania danych wrażliwych, w tym biometrycznych, dopuszczając wyjątki tylko w ściśle określonych przypadkach – przede wszystkim na podstawie obowiązujących przepisów prawa. W relacjach z klientami kluczową podstawą może być dobrowolna, świadoma i wyraźna zgoda osoby, której dane dotyczą (art. 9 ust. 2 lit. a). Co więcej, zgoda ta musi być udzielona po uprzednim poinformowaniu użytkownika o:

• charakterze gromadzonych danych,
  
• ryzyku związanym z ich przetwarzaniem,
  
• prawie do odmowy bez negatywnych konsekwencji,
  
• alternatywnej możliwości zawarcia umowy bez użycia podpisu biometrycznego.

Podkreślić należy, że zgoda dla zachowania swej ważności nie może zostać wymuszona na użytkowniku. Niestety, nie istnieje na ten moment inna podstawa prawna, która pozwoliłaby legalnie skorzystać z narzędzi biometrii bez pozyskania zgody. Stąd, jeżeli administrator decyduje się na wdrożenie tak innowacyjnego rozwiązania, musi liczyć się z tym, że część osób nie będzie chciało wyrazić zgody i ten fakt musi uszanować oraz przygotować się na udostępnienie narzędzia zamiennego. W przeciwnym razie, organ nadzorujący mógłby podczas dokonywania kontroli wymierzyć mu karę finansową.

Kiedy przeprowadzać ocenę skutków przetwarzania danych (DPIA)?

Zanim administrator zdecyduje się wdrożyć systemy zbierające dane biometryczne (np. cyfrowe długopisy), musi przeprowadzić Data Protection Impact Assessment (DPIA), czyli ocenę skutków przetwarzania dla ochrony danych. Jest to wymagane, gdy zastosowanie nowych technologii może prowadzić do wysokiego ryzyka naruszenia praw i wolności osób fizycznych (art. 35 RODO).

UODO wskazuje, że przetwarzanie danych biometrycznych w celu identyfikacji osoby fizycznej należy do katalogu operacji wymagających DPIA. Kluczowym pytaniem, jakie powinien sobie zadać administrator, jest to, czy użycie podpisu biometrycznego jest niezbędne do realizacji celu, czy jedynie wygodne z punktu widzenia firmy.

Wymogi zabezpieczenia danych biometrycznych – checklista dla ADO

Administrator, który zdecyduje się na przetwarzanie podpisów biometrycznych, musi wdrożyć odpowiednie środki techniczne i organizacyjne, proporcjonalne do poziomu ryzyka (art. 32 RODO). Powinien rozważyć następujące środki prewencyjne: 

• pseudonimizację i szyfrowanie danych,
  
• zapewnienie ciągłej dostępności i integralności systemów,
  
• procedury szybkiego przywracania dostępu po awarii,
  
• regularne testy skuteczności zabezpieczeń,
  
• oddzielenie baz danych zawierających informacje biometryczne,
  
• mechanizmy automatycznego usuwania danych po zakończeniu celu przetwarzania,
  
• systemy weryfikujące tożsamość osoby podpisującej.

Privacy by design i by default – obowiązki już na etapie projektowania

RODO wymaga, by ochrona prywatności była uwzględniana już na etapie projektowania systemu (privacy by design), a także żeby domyślne ustawienia zapewniały maksymalny poziom ochrony danych (privacy by default). Administrator powinien zapoznać się z Wytycznymi EROD 4/2019, które szczegółowo wyjaśniają, jak zastosować te zasady w praktyce.

Co to oznacza dla firm korzystających z podpisów cyfrowych?

Stosowanie technologii takich jak cyfrowe długopisy może być korzystne i innowacyjne, ale tylko pod warunkiem spełnienia rygorystycznych wymogów RODO. Kluczowe jest:

• rozpoznanie, czy zbierane dane mają charakter biometryczny,
• uzyskanie ważnej, a przede wszystkim świadomej i dobrowolnej zgody,
• przeprowadzenie oceny skutków (DPIA),
• wdrożenie adekwatnych zabezpieczeń,
• zapewnienie alternatywy dla osób, które nie wyrażają zgody.

Biometria – nie dla wygody ADO, lecz dla dobra klienta

Nowe technologie nie mogą przesłaniać podstawowych wartości ochrony danych osobowych. Jak podkreśla UODO – korzyści z zastosowania systemów biometrycznych mają służyć osobom fizycznym, a nie wygodzie administratorów. W przeciwnym razie zamiast innowacji, firma może ponieść konsekwencje w postaci nadszarpniętej reputacji. A tę, jak wiadomo, trudno odbudować. 

Masz klienta, który używa podpisów biometrycznych? Upewnij się, że robi to zgodnie z RODO. A jeśli potrzebujesz w tej kwestii opinii specjalistów, skontaktuj się z nami: bok@asystahr.pl