Raport ujawnia masową inwigilację biometryczną w Polsce, Niemczech i Holandii

7 lipca, 2021

Wykorzystywanie masowej inwigilacji biometrycznej w miejscach publicznych staje się w ostatnich latach stopniowo i po cichu regularną praktyką – możemy przeczytać w raporcie pozarządowej organizacji European Digital Rights. Autorzy badania wskazują na lukę prawną umożliwiającą przetwarzanie dane biometryczne, tak jakby były to „normalne dane osobowe”. Obecnie mamy do czynienia z tak zwanym dzikim zachodem – prywatne spółki, zysk i impulsywne decyzje państw stoją ponad prawem.

Dane biometryczne należą w pełni do informacji umożliwiających identyfikację osoby lub potwierdzających jednoznaczną identyfikację, a do tego są to dane tym cenniejsze, że niepowtarzalne i niezmienne przez całe życie. Dlatego podlegają szczególnej ochronie (art. 2 „RODO”).

Według Urzędu Ochrony Danych Osobowych dane biometryczne mogą być wykorzystywane tylko w wyjątkowych sytuacjach, przy czym według organizacji EDRi to za mało, aby zagwarantować prywatność nadaną przez konstytucje państw i Unię Europejską.

Biometria a poszanowanie prywatności, niedyskryminowanie

Polska Konstytucja uwzględnia poszanowanie godności człowieka i prawo do ochrony danych osobowych, jak i europejskie prawo do prywatności, ochrony danych osobowych i niedyskryminacji. Jednakże dominują praktyki dążące do stworzenia idealnych warunków do masowej inwigilacji biometrycznej.

Eksperci przytaczają za przykład system Pegasus – po tajnym przetargu wartym ok. 5 milionów euro system szpiegowski Pegasus z funkcjonalnością gromadzenia danych biometrycznych został wdrożony w Polsce.

To przestroga przed tym, jak ukierunkowana inwigilacja może być szkodliwa – bez kontroli sądowej i organów nadzoru może skutkować powszechnym przeświadczeniem o masowej inwigilacji całej populacji.

Pandemia usprawiedliwi wszystko…

decyzji UODO czytamy, że „rozporządzenie ogólne o ochronie danych osobowych (RODO) nieprzypadkowo co do zasady zabrania przetwarzania danych biometrycznych, poza pewnymi wyjątkami.

Dane takie jak odciski palców, wizerunek twarzy, siatkówka czy tęczówka oka, czy behawioralne lub psychiczne cechy danej osoby, przetwarzane specjalnymi metodami technicznymi, pozwalają nie tylko jednoznacznie nas zidentyfikować i określić, ale są to dane niezmienne. A więc w ciągu całego naszego życia nie da się ich zmienić, tak jak np. nazwiska, numeru identyfikacyjnego, adresu zamieszkania.”

Biometria kusi

W Polsce różne podmioty chętnie sięgają po dane biometryczne. Nie zawsze przetwarzanie takich danych idzie w parze z odpowiednio przeprowadzoną oceną ryzyka bądź analizą, czy tych samych celów nie można osiągnąć w inny, mniej ingerujący w prywatność, sposób, przy którym nie będzie konieczne przetwarzanie danych biometrycznych.

biometria odcisk palca
Zdjęcie podglądowe: www.wallpaperflare.com

W jednym z takich przypadków dane biometryczne przetwarzała szkoła. Wprowadziła ona system identyfikacji biometrycznej przy wejściu do stołówki szkolnej, który pozwala dokonać  weryfikacji wśród dzieci uiszczenia opłaty za posiłek.

UODO prowadząc postępowanie administracyjne wobec tego administratora ustalił, że żaden z nich nie zezwala szkole na przetwarzanie danych biometrycznych.

Szkoła w tym przypadku pozyskiwała dane biometryczne w postaci odcisku palca i przetwarzała je na podstawie pisemnej zgody rodziców lub opiekunów prawnych.

UODO w swojej decyzji stwierdził, że przetwarzanie danych biometrycznych nie jest niezbędne dla osiągnięcia celu, jakim jest identyfikacja uprawnienia dziecka do odebrania obiadu.

Szkoła może przeprowadzić identyfikację za pomocą innych środków, które nie ingerują tak dalece w prywatność dziecka. Ponadto szkoła obok systemu identyfikacji na podstawie odcisku linii papilarnych, miała system identyfikacji w oparciu o karty elektroniczne. Weryfikacja uczniów z opłaconymi posiłkami odbywała się również na podstawie nazwiska i numeru umowy. Zatem, w szkole były alternatywne formy identyfikacji uprawnienia dziecka do odebrania obiadu.”

…nawet różne traktowanie wobec prawa

Tymczasem w Polsce
dzieci, których rodzice nie wyrazili zgody na przetwarzanie ich danych biometrycznych, musiały przepuścić w kolejce na stołówce wszystkich tych, którzy identyfikowani byli na podstawie odcisku paca.

Organ nadzoru uznał więc, że doszło do dyskryminacji tych osób. Ponadto wykorzystywanie danych biometrycznych w zestawieniu z celem, w jakim są one przetwarzane, było w tym przypadku nieproporcjonalne.

Państwa członkowskie i instytucje unijne powinny podjąć działania i zakazać praktyki masowej inwigilacji biometrycznej, by zagwarantować ochronę podstawowych praw człowieka. Taki zakaz wymagałby, aby przytoczone praktyki były absolutnym wyjątkiem.

Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

Czy ten artykuł był pomocny?

Średnia ocena: 0 / 5. Liczba głosów: 0

guest
0 komentarzy
Inline Feedbacks
View all comments

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]