Wykorzystywanie masowej inwigilacji biometrycznej w miejscach publicznych staje się w ostatnich latach stopniowo i po cichu regularną praktyką – możemy przeczytać w raporcie pozarządowej organizacji European Digital Rights. Autorzy badania wskazują na lukę prawną umożliwiającą przetwarzanie dane biometryczne, tak jakby były to „normalne dane osobowe”. Obecnie mamy do czynienia z tak zwanym dzikim zachodem – prywatne spółki, zysk i impulsywne decyzje państw stoją ponad prawem.
Dane biometryczne należą w pełni do informacji umożliwiających identyfikację osoby lub potwierdzających jednoznaczną identyfikację, a do tego są to dane tym cenniejsze, że niepowtarzalne i niezmienne przez całe życie. Dlatego podlegają szczególnej ochronie (art. 2 „RODO”).
Według Urzędu Ochrony Danych Osobowych dane biometryczne mogą być wykorzystywane tylko w wyjątkowych sytuacjach, przy czym według organizacji EDRi to za mało, aby zagwarantować prywatność nadaną przez konstytucje państw i Unię Europejską.
Biometria a poszanowanie prywatności, niedyskryminowanie
Polska Konstytucja uwzględnia poszanowanie godności człowieka i prawo do ochrony danych osobowych, jak i europejskie prawo do prywatności, ochrony danych osobowych i niedyskryminacji. Jednakże dominują praktyki dążące do stworzenia idealnych warunków do masowej inwigilacji biometrycznej.
Eksperci przytaczają za przykład system Pegasus – po tajnym przetargu wartym ok. 5 milionów euro system szpiegowski Pegasus z funkcjonalnością gromadzenia danych biometrycznych został wdrożony w Polsce.
To przestroga przed tym, jak ukierunkowana inwigilacja może być szkodliwa – bez kontroli sądowej i organów nadzoru może skutkować powszechnym przeświadczeniem o masowej inwigilacji całej populacji.
Pandemia usprawiedliwi wszystko…
W decyzji UODO czytamy, że „rozporządzenie ogólne o ochronie danych osobowych (RODO) nieprzypadkowo co do zasady zabrania przetwarzania danych biometrycznych, poza pewnymi wyjątkami.
Dane takie jak odciski palców, wizerunek twarzy, siatkówka czy tęczówka oka, czy behawioralne lub psychiczne cechy danej osoby, przetwarzane specjalnymi metodami technicznymi, pozwalają nie tylko jednoznacznie nas zidentyfikować i określić, ale są to dane niezmienne. A więc w ciągu całego naszego życia nie da się ich zmienić, tak jak np. nazwiska, numeru identyfikacyjnego, adresu zamieszkania.”
Biometria kusi
W Polsce różne podmioty chętnie sięgają po dane biometryczne. Nie zawsze przetwarzanie takich danych idzie w parze z odpowiednio przeprowadzoną oceną ryzyka bądź analizą, czy tych samych celów nie można osiągnąć w inny, mniej ingerujący w prywatność, sposób, przy którym nie będzie konieczne przetwarzanie danych biometrycznych.
W jednym z takich przypadków dane biometryczne przetwarzała szkoła. Wprowadziła ona system identyfikacji biometrycznej przy wejściu do stołówki szkolnej, który pozwala dokonać weryfikacji wśród dzieci uiszczenia opłaty za posiłek.
UODO prowadząc postępowanie administracyjne wobec tego administratora ustalił, że żaden z nich nie zezwala szkole na przetwarzanie danych biometrycznych.
Szkoła w tym przypadku pozyskiwała dane biometryczne w postaci odcisku palca i przetwarzała je na podstawie pisemnej zgody rodziców lub opiekunów prawnych.
UODO w swojej decyzji stwierdził, że przetwarzanie danych biometrycznych nie jest niezbędne dla osiągnięcia celu, jakim jest identyfikacja uprawnienia dziecka do odebrania obiadu.
Szkoła może przeprowadzić identyfikację za pomocą innych środków, które nie ingerują tak dalece w prywatność dziecka. Ponadto szkoła obok systemu identyfikacji na podstawie odcisku linii papilarnych, miała system identyfikacji w oparciu o karty elektroniczne. Weryfikacja uczniów z opłaconymi posiłkami odbywała się również na podstawie nazwiska i numeru umowy. Zatem, w szkole były alternatywne formy identyfikacji uprawnienia dziecka do odebrania obiadu.”
…nawet różne traktowanie wobec prawa
Organ nadzoru uznał więc, że doszło do dyskryminacji tych osób. Ponadto wykorzystywanie danych biometrycznych w zestawieniu z celem, w jakim są one przetwarzane, było w tym przypadku nieproporcjonalne.
Państwa członkowskie i instytucje unijne powinny podjąć działania i zakazać praktyki masowej inwigilacji biometrycznej, by zagwarantować ochronę podstawowych praw człowieka. Taki zakaz wymagałby, aby przytoczone praktyki były absolutnym wyjątkiem.
