Narodowe Centrum Badań i Rozwoju

Aktualności

Artykuł Nowe regulacje w ochronie biometrycznych danych osobowych

Nowe regulacje w ochronie biometrycznych danych osobowych

Już w przyszłym roku, a dokładnie od 25 maja 2018 roku będzie miało zastosowanie nowe Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (Dz.U. UE L 119/1), wprowadzające szereg kluczowych zmian w zakresie ochrony danych osobowych (dalej zwane „Rozporządzeniem”). Jest ono odpowiedzią na rozwój technologii i tym samym zagrożeń jakie mogą się wiązać z elektronicznym wykorzystywaniem danych osobowych w rzeczywistości wirtualnej. Wydaje się, że ta perspektywa jest dość odległa – w końcu to dopiero przyszły rok, ale biorąc pod uwagę kalendarz konkursów np. organizowanych przez Narodowe Centrum Badań i Rozwoju w 2017 roku i ich zakres merytoryczny, który w dużym stopniu może dotyczyć m.in. wykorzystywania również danych biometrycznych sprawa może być kluczowa dla wnioskodawców już w tym roku. Problem ten może mieć szczególną wagę zarówno w projektach, których badania dotyczą możliwości przetwarzania tego typu danych w życiu codziennym, jak i w obszarze bezpieczeństwa publicznego, zwłaszcza, że harmonogramy tych projektów planowanych obecnie znacznie wykraczają poza 2018 rok. Nowe regulacje mogą być istotne również dla tych wnioskodawców, którzy planują wdrożenia i komercjalizację w oparciu o dane osobowe i dane biometryczne.

Obecnie nie ma właściwie definicji prawnej pojęcia danych biometrycznych w aktach normatywnych zarówno w prawie polskim, jak i w prawie unijnym. W art. 27 Ustawy o ochronie danych osobowych (tekst jednolity opracowany na podstawie Dz. U. z 2015 r. poz. 2135, 2281, z 2016 r. poz. 195, 677) – regulującym tzw. dane wrażliwe – nie odnajdziemy ww. pojęcia. Dlatego też w doktrynie i orzecznictwie dominuje pogląd, że nie są to nawet dane wrażliwe, podlegające szczególnym regulacjom, a jedynie „zwykłe” dane osobowe ujęte w art. 6 ww. Ustawy.

Po raz pierwszy – biorąc pod uwagę prawo unijne i przepisy prawa polskiego - wejdzie w życie definicja legalna pojęcia danych biometrycznych, rozumianych in expressis verbis jako: dane osobowe, które wynikają ze specjalnego przetwarzania technicznego, dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej oraz umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby, takie jak wizerunek twarzy lub dane daktyloskopijne. Na końcu zostały wymienione przykładowe dane biometryczne i należy traktować niniejsze wyliczenie jako katalog otwarty. Zgodnie z art. 9 ust. 1 Rozporządzenia zostały one również w sposób jednoznaczny zakwalifikowane jako dane szczególnej kategorii, których przetwarzanie zostało co do zasady zakazane. Ustęp 2 tego samego artykułu przewiduje wyjątki od ww. reguły, w szczególności w przypadku zgody na przetwarzanie tych danych przez osoby, których one dotyczą, jeżeli ich przetwarzanie jest niezbędne do wypełnienia obowiązków i wykonywania szczególnych praw przez administratora lub osobę, której dane dotyczą, w dziedzinie prawa pracy, zabezpieczenia społecznego o ochrony socjalnej, o ile jest to dozwolone prawem. Wyłączenie będzie miało miejsce również, jeżeli przetwarzanie takich danych jest niezbędne ze względów związanych z ważnym interesem publicznym lub do celów profilaktyki zdrowotnej lub medycyny pracy, a także w dziedzinie zdrowia publicznego albo gdy przetwarzanie jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń lub w ramach sprawowania wymiaru sprawiedliwości przez sądy. To tylko niektóre wyłączenia zasady nie przetwarzania danych biometrycznych, jako szczególnej kategorii danych. Musi mieć zatem zastosowanie jedno z wyłączeń wymienionych w art. 9 ust. 2 Rozporządzenia, aby było możliwe przetwarzanie danych biometrycznych zgodnie z prawem.

Rozporządzenie wprowadza szereg zmian w ochronie danych osobowych – w tym biometrycznych. Na uwagę zasługuje brak regulacji dotyczącej obowiązku rejestracji zbioru danych osobowych w organizacji nadzorującej przetwarzanie (w Polsce GIODO). W zamian pojawi się zasada uwzględniania ochrony danych w fazie projektowania (protection by design) oraz domyślna ochrona danych. Będzie to implikowało obowiązek po stronie wykonawców projektów B+R i innych przedsięwzięć biznesowych w fazie ich planowania, aby przewidzieć wprowadzenie środków technicznych i organizacyjnych odpowiadających prawdopodobieństwu wystąpienia i wadze zagrożenia wynikającego z przetwarzania danych osobowych – w tym danych biometrycznych - z uwzględnieniem zasady proporcjonalności i celowości (art. 25 Rozporządzenia).

Jeżeli dany rodzaj przetwarzania – w szczególności z użyciem nowych technologii – ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator przed rozpoczęciem przetwarzania dokonuje oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych. Dla podobnych operacji przetwarzania danych wiążących się z podobnym wysokim ryzykiem można przeprowadzić pojedynczą ocenę (art. 35 Rozporządzenia). Administrator dokonując ww. oceny konsultuje te kwestię z Inspektorem ochrony danych osobowych, który zostaje wprowadzony w miejsce dotychczasowego fakultatywnie powoływanego Administratora Bezpieczeństwa Informacji (ABI).

Od maja 2018 roku administratorzy danych osobowych będą zatem zobowiązani po pierwsze dokonywać oceny zagrożeń i skutków związanych z przetwarzaniem danych i po drugie, będą zobligowani do powoływania Inspektora Danych Osobowych. Ułatwieniem ma być natomiast możliwość angażowania jednego inspektora dla kilku, powiązanych ze sobą podmiotów (np. grupy kapitałowej). Warto dodać, ze jeżeli ocena skutków dla ochrony danych, o której mowa w art. 35, wskaże, że przetwarzanie powodowałoby wysokie ryzyko, gdyby administrator nie zastosował środków w celu zminimalizowania tego ryzyka, to przed rozpoczęciem przetwarzania administrator konsultuje się z organem nadzorczym (GIODO). Obowiązek konsultacji na etapie oceny ryzyka z organem nadzorującym oznacza de facto zgodę GIODO na poszczególne rozwiązania, jeszcze przed rozpoczęciem prac B+R co powinno wykluczyć, a przynajmniej ograniczyć, powszechne obecnie zjawisko braku akceptacji wdrożeń po przeprowadzeniu kontroli następczych i tym samym blokowania lub eliminowania dokonanych wdrożeń jako efektów projektów B+R z powodu naruszenia zasad ochrony danych osobowych.

Rozporządzenie wprowadza szereg uprawnień dla osób, których dane osobowe są przetwarzane oraz związane z nimi obowiązki administratorów tych danych. Oprócz zobowiązania informowania takich osób o przetwarzaniu ich danych, przysługującego im prawnie sprzeciwu, możliwości ograniczenia przetwarzania ich danych przez nich samych, na szczególną uwagę zasługuje zupełnie nowe uprawnienie zwane prawem do bycia zapomnianym, zgodnie z którym osoba, której dane dotyczą, ma prawo żądania od administratora niezwłocznego usunięcia dotyczących jej danych osobowych, a administrator ma obowiązek bez zbędnej zwłoki usunąć jej dane osobowe, w sytuacji kiedy:

 • dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane;
 • osoba, której dane dotyczą, cofnęła zgodę, na której opiera się przetwarzanie (cofnięcie zgody również przewiduje Rozporządzenie);
 • osoba, której dane dotyczą, wnosi sprzeciw;
 • dane osobowe były przetwarzane niezgodnie z prawem;
 • dane osobowe muszą zostać usunięte w celu wywiązania się z obowiązku prawnego przewidzianego w prawie Unii lub prawie państwa członkowskiego, któremu podlega administrator oraz kiedy dane osobowe zostały zebrane w związku z oferowaniem usług społeczeństwa informacyjnego (art. 17 Rozporządzenia).

Nadto osoba, której dane osobowe są przetwarzane może przenieść swoje dane ze zbioru jednego administratora – bez jego zgody – do zbioru innego administratora.

Rozporządzenie nakłada na administratorów oraz podmiotów przetwarzających dane z upoważnienia administratorów (zwanych podmiotami przetwarzającymi), obowiązek prowadzenia rejestru czynności przetwarzania, zawierającego w szczególności:

 • imię i nazwisko lub nazwę oraz dane kontaktowe administratora;
 • cele przetwarzania;
 • opis kategorii osób, których dane dotyczą oraz kategorii danych osobowych;
 • kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione;
 • planowane terminy usunięcia poszczególnych kategorii danych (jeśli to możliwe);
 • a także ogólny opis technicznych i organizacyjnych środków bezpieczeństwa (jeśli to możliwe).

Prowadzenie rejestru jest obligatoryjne w stosunku do danych biometrycznych i innych danych szczególnej kategorii, o których mowa w art. 9 ust. 1 Rozporządzenia i nie podlegają one w tym zakresie żadnym wyłączeniom (art. 30 Rozporządzenia). Nadto administratorzy w przypadku naruszenia ochrony danych osobowych będą zobowiązani, bez zbędnej zwłoki – w miarę możliwości nie później niż w ciągu 72 godzin po stwierdzeniu naruszenia – zgłosić je organowi nadzorującemu (GIODO). Ponadto o takowym incydencie powinna zostać powiadomiona osoba, której te dane dotyczą, chyba, że:

 • administrator wdrożył odpowiednie techniczne i organizacyjne środki ochrony;
 • następnie środki eliminujące prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności osoby, której dane dotyczą;
 • albo powiadomienie wymagałoby niewspółmiernie dużego wysiłku.

W takim przypadku wydany zostaje publiczny komunikat lub zastosowany zostaje podobny środek, za pomocą którego osoby, których dane dotyczą, zostają poinformowane w równie skuteczny sposób (art. 34 Rozporządzenia).

Rozporządzenie nie zawiera regulacji mówiących wprost o obowiązku posiadania polityki bezpieczeństwa i instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych przez administratora tych danych. Dominuje jednak pogląd, że wynika on z treści art. 32 Rozporządzenia, zgodnie z którym uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku.

Nowa regulacja dopuszcza możliwość wprowadzenia przez państwa członkowskie dodatkowych ograniczeń w zakresie ochrony danych osobowych w ich krajowych porządkach prawnych. Zgodnie z art. 23 Rozporządzenia będzie to możliwe jeżeli ograniczenie takie nie naruszy istoty podstawowych praw i wolności oraz jest w demokratycznym społeczeństwie środkiem niezbędnym i proporcjonalnym, służącym:

 • bezpieczeństwu narodowemu, obronie, bezpieczeństwu publicznemu, zapobieganiu, wykrywaniu lub zwalczaniu przestępczości i prowadzeniu postępowań przygotowawczych;
 • ochronie niezależności sądów i postępowania sądowego;
 • zapobieganiu naruszeniom zasad etyki w zawodach regulowanych;
 • funkcjom kontrolnym lub inspekcyjnym;
 • a także ochronie osoby, której dane dotyczą, lub praw i wolności innych osób;
 • oraz egzekucji roszczeń cywilnoprawnych.

Wymaga podkreślenia, że rozszerzono jurysdykcję stosowania Rozporządzenia poza terytorium Unii Europejskiej poprzez przyjęcie, ze ma ono zastosowanie do przetwarzania danych osobowych osób, których dane dotyczą, przebywających w Unii przez administratora lub podmiot przetwarzający niemających jednostek organizacyjnych w Unii, jeżeli czynności przetwarzania wiążą się z oferowaniem towarów lub usług takim osobom, których dane dotyczą, w Unii – niezależnie od tego, czy wymaga się od tych osób zapłaty - lub w związku z monitorowaniem ich zachowania, o ile do zachowania tego dochodzi w Unii Europejskiej. Nadto Rozporządzenie ma zastosowanie do przetwarzania danych osobowych przez administratora niemającego jednostki organizacyjnej w Unii, ale posiadającego jednostkę organizacyjną w miejscu, w którym na mocy prawa międzynarodowego publicznego ma zastosowanie prawo państwa członkowskiego. Wprowadzenie niniejszych regulacji jest odpowiedzią na przetwarzanie danych osobowych – w tym niejednokrotnie danych biometrycznych – przez takie podmioty jak np. Google, czy Facebook.

Artykuł 85 Rozporządzenia przewiduje szczególne sytuacje związane z przetwarzaniem danych osobowych, wśród których konfrontuje przetwarzanie z wolnością wypowiedzi i informacji, publicznym dostępem do dokumentów urzędowych, krajowym numerem identyfikacyjnym i w kontekście zatrudnienia. W tychże sytuacjach Rozporządzenie dopuszcza odrębne regulacje, bardziej szczegółowe lub nawet dopuszczające ujawnienie przetwarzanych danych.

Nie sposób nie wspomnieć również o administracyjnych karach pieniężnych, jakie Rozporządzenie przewiduje w przypadku naruszenia jego regulacji, które będzie mógł nakładać krajowy organ nadzorujący (GIODO) w każdym indywidualnym przypadku, tak, aby były one skuteczne, proporcjonalne i odstrszające zarazem. W gruncie rzeczy nowa regulacja przewiduje dwa stopnie kar. Do 10 000 000 Euro, a w przypadku przedsiębiorstwa w wysokości do 2% całkowitego, rocznego światowego obrotu z poprzedniego roku obrotowego. W zależności od stopnia naruszenia będą one mogły wynosić nawet do 20 000 000 Euro, a w przypadku przedsiębiorstwa w wysokości do 4% całkowitego, rocznego światowego obrotu z poprzedniego roku obrotowego. Takiej właśnie najwyższej karze mogą podlegać naruszenia ochrony danych wrażliwych, a więc również danych biometrycznych (art. 83 Rozporządzenia).

Powyżej zostały wymienione tylko niektóre zmiany – wydaje się najistotniejsze – z punktu widzenia realizacji prac B+R w przyszłości w ramach których wykorzystywane będą dane biometryczne, jako dane szczególnej kategorii (wrażliwe). Warto już na etapie planowania danego przedsięwzięcia zastanowić się nad ryzykiem i skutkami przetwarzania danych osobowych i przewidzieć stosowne środki techniczne oraz organizacyjne – zgodne z Rozporządzeniem PE i Rady (UE) 2016/679.

Niniejsze opracowanie ma jedynie charakter informacyjny i niewiążący - nie stanowi ono porady, opinii ani wyjaśnienia z zakresu doradztwa prawnego czy biznesowego. Przed podjęciem jakichkolwiek decyzji lub działań, konieczna jest każdorazowa indywidualna analiza stanu faktycznego i niezbędna analiza wszystkich uwarunkowań. Autorzy nie ponoszą jakiejkolwiek odpowiedzialności za działania podmiotów podjęte na

Jakub Horn – prawnik, absolwent Wydziału Prawa i Administracji Uniwersytetu im. Adama Mickiewicza w Poznaniu, stały ekspert CoWinners, konsultant ds. prawnych Polskiej Platformy Bezpieczeństwa Wewnętrznego, uczestnik wielu projektów badawczo-rozwojowych w obszarze bezpieczeństwa i obronności państwa oraz innych przedsięwzięć, specjalizujący się w szczególności w zakresie prawa własności intelektualnej i szeroko rozumianych procedur komercjalizacji efektów prac B+R – w tym również prawa zamówień publicznych oraz ochrony danych osobowych

Zbigniew Krzewiński – doktor nauk ekonomicznych, główny konsultant firmy CoWinners Sp. z o.o., ekspert Ministerstwa Nauki i Szkolnictwa Wyższego, Fundacji na rzecz Nauki Polskiej oraz Narodowego Centrum Badań i Rozwoju, doradca w szeregu projektach z zakresu komercjalizacji i wdrożeń nowych technologii, specjalista w zakresie projektowania regulacji i rozwiązań związanych z zarządzaniem własnością intelektualną na uczelniach.

CoWinners Sp. z o.o. specjalistyczna firma doradcza zajmująca się konsultingiem komercjalizacji wyników badań oraz procedur i procesów z tym związanych.               

Poir

Publikacja współfinansowana ze środków Unii Europejskiej z Europejskiego Funduszu Rozwoju Regionalnego w ramach Programu Operacyjnego Inteligentny Rozwój

Przeczytaj również

Tagi:

Treść jest dostępna dla zalogowanych użytkowników.
 
 
 
Nie posiadasz jeszcze konta?
Kliknij tu, aby się zarejestrować
 
Nie pamiętasz hasła?
Kliknij, aby ustanowić nowe hasło