Robienie zakupów przy wykorzystaniu nowych technologii jest dziś standardem, jednak weryfikacja tożsamości przy wykorzystaniu danych biometrycznych to rozwiązanie nowe, które może budzić pewne wątpliwości prawne. Czy takie uwierzytelnianie jest bezpieczne pod kątem ochrony danych osobowych?
Definicja „danych biometrycznych” jest zawarta w art. 4 pkt 12) Ogólnego rozporządzenia o ochronie danych osobowych („RODO”) Oznaczają one dane osobowe, które wynikają ze specjalnego przetwarzania technicznego, dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej oraz umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby. Za daną biometryczną może być uznany np. wizerunek twarzy lub dane daktyloskopijne.
Przepisy wprowadzają zakaz przetwarzania danych szczególnych kategorii, w tym danych biometrycznych, bez podania należytej podstawy prawnej. Podstawy przetwarzania danych wrażliwych zawarte są w art. 9 ust. 2 RODO. Jedną z podstaw przetwarzania jest zgoda, która powinna być wyraźna lecz nie musi być wrażona na piśmie.
W przypadku usług finansowych możliwą przesłanką przetwarzania będzie art. 9 ust. 1 lit. g) RODO, zgodnie z którym przetwarzanie jest niezbędne ze względów związanych z ważnym interesem publicznym, na podstawie prawa Unii lub prawa państwa członkowskiego, które są proporcjonalne do wyznaczonego celu, nie naruszają istoty prawa do
ochrony danych i przewidują odpowiednie i konkretne środki ochrony praw podstawowych i interesów osoby, której dane dotyczą.
Wskazana podstawa prawna odnosi się do dość szerokiego pojęcia „interesu publicznego”, a za taki można uznać m.in. umożliwienie korzystania z usług bankowych bez ograniczeń.
Z punktu widzenia administratora danych najkorzystniejsze będzie przetwarzanie danych osobowych na podstawie art. 9 ust. 1 lit. g) RODO, który nie wymaga zbierania każdorazowych zgód, a daje możliwość wykonania operacji przetwarzania danych osobowych w celach realizacji płatności. W związku ze stosowaniem rozwiązań wykorzystujących biometrię, konieczne jest posiadanie odpowiednich urządzeń oraz infrastruktury technicznej, która jest niezbędna do weryfikacji tożsamości.
Wśród środków bezpieczeństwa mogą być m.in. zastosowanie pseudonimizacji tj. przetworzenie danych osobowych w taki sposób, by nie można ich było już przypisać konkretnej osobie, której dane dotyczą, bez użycia dodatkowych informacji, pod warunkiem że takie dodatkowe informacje są przechowywane osobno i są objęte środkami technicznymi i organizacyjnymi uniemożliwiającymi ich przypisanie zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej.
Administratorzy mogą również wdrożyć środki stosownie do dokonanej analizy ryzyka, tak aby przechowywane dane biometryczne zostały objęte należytymi odpowiednimi organizacyjnymi środkami ochrony, a także technicznymi środkami bezpieczeństwa. Można także wdrożyć odpowiednie procedury nadawania upoważnień do przetwarzania danych, w tym w zbiorach przetwarzanych w formie elektronicznej lub poprzez odpowiednie procedury uzyskiwania dostępu do tych danych.