Pobierz najnowszy numer

Newsletter

Zapisz się do naszego Newslettera, aby otrzymywać informacje o nowościach z branży!

Jesteś tutaj

Biometria w kontekście problemów prawnych

Printer Friendly and PDF

Biometria i związane z nią problemy (zarówno techniczne, jak i prawne) to ostatnio coraz modniejszy temat do debat. Wykorzystywanie jej na co dzień to nie futurystyczna wizja, ale rzeczywistość, zatem warto przedstawić związane z nią uregulowania prawne.

Za biometrię uważa się zbiór technik służących do pomiarów cech fizycznych i behawioralnych człowieka w celu automatycznej weryfikacji tożsamości. Sprawdza się m.in. barwę głosu, zapach, linie papilarne układ naczyń krwionośnych palców, geometrię dłoni, geometrię i rysy twarzy, rozkład temperatury twarzy, fakturę skóry twarzy, geometrię ucha, geometrię ust, cechy charakterystyczne tęczówki i siatkówki oka, układ żył nadgarstka, strukturę włosów i paznokci, EEG, ECG, DNA. Do sprawdzanych cech behawioralnych należy głos, sposób mówienia, sposób poruszania ustami, ruch gałki ocznej, charakter pisma, sposób pisania na klawiaturze, sposób chodzenia.

Wśród prawników oraz informatyków nie brakuje zwolenników oraz przeciwników wykorzystywania biometrii w życiu codziennym. Entuzjaści uznają ją za najbezpieczniejsze i najwygodniejsze narzędzie służące do weryfikacji tożsamości i uprawnień. Przeciwnicy zwracają uwagę na możliwość ingerencji w prawa człowieka, a także na fakt, że w dobie nowych technologii dane biometryczne łatwo sfałszować. Zdaniem przeciwników biometrii gromadzenie i przetwarzanie danych biometrycznych może naruszać prawa obywateli. Podkreśla się bowiem, że dane te – jako odnoszące się do cech behawioralnych i fizjologicznych – umożliwiają absolutną identyfikację osób. Ponadto możliwe jest ich sfałszowanie, które może mieć groźne konsekwencje. Przykładowo, w 2010 r. na Politechnice Warszawskiej w ramach ćwiczeń laboratoryjnych studenci stworzyli sztuczne odciski palców. Podobno wystarczyło zrobić zdjęcie odcisków czyichś palców, np. zostawionych na szklance, i wydrukować je na folii. Barwnik drukarki na folii tworzy nierówności analogiczne do odcisków palców. Taką folię wystarczy pokryć odpowiednią kleistą substancją i mamy gotowy odcisk palca. Podobnie jest z tęczówką oka, do sfałszowania której potrzebne jest tylko zdjęcie oka o rozdzielczości 3 Mpx.

Same dane biometryczne nie są zdefiniowane wprost w ustawie o ochronie danych osobowych, jeśli jednak odpowiadają one przesłance z art. 6 tej ustawy (dotyczą zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej, zgodnie z ust. 2 i 3 art. 6), będą chronione na podstawie tego aktu prawnego. Brak legalnej definicji biometrii i danych biometrycznych w ustawie o ochronie danych osobowych nie oznacza, że w polskim lub unijnym ustawodawstwie takich definicji nie ma. Pojęcie danych biometrycznych pojawia się w ustawie o dokumentach paszportowych, która definiuje je jako wizerunek twarzy i odciski palców umieszczone w dokumentach paszportowych w formie elektronicznej (art. 2 pkt 1). Zgodnie z tą ustawą sporządzeniem dokumentu paszportowego jest przeniesienie danych osobowych i biometrycznych osoby ubiegającej się o wydanie dokumentu paszportowego do książeczki paszportowej w postaci graficznej i elektronicznej (art. 2 pkt 4). Definicja przedstawiona w ustawie o dokumentach paszportowych jest dość wąska, gdyż rodzajów danych biometrycznych jest więcej.

W prawie unijnym kwestie związane z danymi biometrycznymi są regulowane przez rozporządzenie Rady (WE) nr 2252/2004 z dnia 13 grudnia 2004 r. w sprawie norm dotyczących zabezpieczeń i danych biometrycznych w paszportach i dokumentach podróży wydawanych przez Państwa Członkowskie, w którym za dane biometryczne uznaje się wyraz twarzy oraz odcisk palców (art. 1 ust. 2).

Sama ustawa o ochronie danych osobowych zalicza do grupy danych wrażliwych m.in. informacje o kodzie genetycznym, co oznacza, że w większości przypadków dane biometryczne będą traktowane jako wrażliwe, w związku z czym będą się do nich odnosić wszystkie zasady dotyczące danych wrażliwych. Przy ich przetwarzaniu będzie więc potrzebny podwyższony poziom zabezpieczenia (jeśli żaden z komputerów przetwarzających dane biometryczne nie będzie podłączony do sieci publicznej) albo wysoki poziom zabezpieczenia (jeśli co najmniej jeden komputer będzie podłączony do sieci publicznej). Co więcej, zgoda na przetwarzanie tego typu danych będzie musiała być wyrażona na piśmie. W przeciwnym razie będzie nieważna. Brak zgody nie będzie uniemożliwiał przetwarzania takich danych, jednakże ich przetwarzanie będzie musiało odbywać się na podstawie przesłanek określonych w art. 27 ustawy o ochronie danych osobowych, które są mocno rygorystyczne.

Wprowadzanie danych biometrycznych do dokumentów wiąże się z wieloma konsekwencjami. Słusznie sugeruje się, że nie można zapominać o ochronie prywatności.

W dniu 30 września 2005 r. przyjęto opinię 3/2005 Grupy Roboczej Art. 29 ds. Ochrony Danych pod tytułem Dokument roboczy w sprawie biometrii, która dotyczyła wprowadzenia w życie rozporządzenia Rady (WE) nr 2252/2004 z dnia 13 grudnia 2004 r. w sprawie norm dotyczących zabezpieczeń i danych biometrycznych w paszportach i dokumentach podróży wydawanych przez Państwa Członkowskie. Grupa robocza ustosunkowała się następująco: „Wprowadzenie elementów biometryki do paszportów wiąże się z daleko idącymi konsekwencjami dla ich posiadaczy. Dlatego też nie powinno się go dokonywać bez uprzedniej oceny wpływu na ochronę prywatności. Dotychczas wystarczającymi odniesieniami do cech biometrycznych odnotowanymi w paszportach i innych dokumentach podróży były zdjęcia, określenie płci, wzrostu czy koloru oczu. Po wejściu w życie rozporządzenia Rady (WE) nr 2252/2004 dane biometryczne obywateli przybiorą formę cyfrową. Dane te można będzie przechowywać w bazach danych i będą mogły być udostępniane do wielu nieprzewidywalnych celów”. Dokument roboczy w sprawie biometrii pochodzi z 2005 r., jednak wydaje się nadal aktualny.

Wykorzystywanie danych biometrycznych (zarówno w sferze prywatnej, jak i publicznej) powinno być poprzedzone stworzeniem odpowiednich zabezpieczeń przed nieuprawnionym dostępem. Dane biometryczne uznaje się za wrażliwe, dlatego ich przetwarzanie i zabezpieczanie powinno być identyczne jak przetwarzanie i zabezpieczanie danych wrażliwych. Biometria ma swoich zwolenników i przeciwników. Warto zastanowić się nad stanowiskiem, zgodnie z którym zastosowanie biometrii stwarza ryzyko nadużyć, przestępstw, naruszenia prywatności i godności.

Monika Brzozowska
Adwokat


Autorka jest Partnerem w kancelarii PDB LEGAL Pasieka, Derlikowski, Brzozowska i Partnerzy, specjalistą zajmującym się na co dzień problematyką ochrony dóbr osobistych i danych osobowych, prawami autorskimi oraz prawnymi aspektami funkcjonowania cyberprzestrzeni. Jest także ekspertem Instytutu Sobieskiego.

Od redakcji

Poruszone w artykule prawne aspekty wykorzystania danych biometrycznych w różnych dziedzinach dotyczą nie tylko kontroli dostępu, ale również gromadzenia i przechowywania takich danych w celach ewidencyjnych, np. w kartotekach policyjnych.

Inne przykładowe zastosowanie, przedstawione w niniejszym artykule, to umieszczenie ich w paszportach biometrycznych. Dane biometryczne pozyskiwane i przechowywane w systemach kontroli dostępu mają inną specyfikę. Ze względu na ograniczoną pamięć czytników biometrycznych oraz wymaganą dużą szybkość procesu automatycznej identyfikacji osoby na kontrolowanym przejściu pozyskane dane biometryczne są przetwarzane na stosunkowo niewielki ciąg binarny za pomocą specjalnego algorytmu. Z wytworzonego w taki sposób ciągu nie można odtworzyć kompletnego obrazu linii papilarnych palca. Takie „dane biometryczne” nie są porównywalne z ilością informacji zawartą w kompletnym obrazie odcisku palca przechowywanym w bazie policji, dlatego, mówiąc o danych biometrycznych, należy zawsze brać pod uwagę to, co jest finalnie przechowywane i wykorzystywane w danym zastosowaniu.

Zabezpieczenia 6/2012

Wszelkie prawa zastrzeżone. Kopiowanie tekstów bez zgody redakcji zabronione / Zasady użytkowania strony