Biometric data as a special category of personal data in the light of new EU regulations

Jednym z najcenniejszych dóbr we współczesnym społeczeństwie jest informacja. Stanowi ona podstawowy przedmiot cyfrowych technologii komunikacyjnych i informacyjnych, które zwiększają dostępność informacji oraz ułatwiają jej przechowywanie, modyfikowanie oraz rozpowszechnianie. W XXI wieku technologie te stały się istotnym elementem życia codziennego obywatela społeczeństwa informacyjnego. Ich powszechne wykorzystanie tworzy jednak poważne ryzyko naruszenia konstytucyjnych praw i wolności obywateli, a przede wszystkim prawa do ochrony życia prywatnego . Ryzyko takie powstaje z pewnością wówczas, gdy przetwarzane są informacje dotyczące osób fizycznych, czyli dane osobowe. Wyróżnia się wśród nich dane wrażliwe (,,delikatne”), które dotyczą sfery intymnej człowieka i wymagają szczególnej ochrony prawnej . Jedną z ich podkategorii stanowią zaś dane biometryczne, czyli informacje o cechach związanych niejako z naturą człowieka. Powszechność, unikalność oraz niezmienność cech biometrycznych sprawiają, iż wraz z postępem technologicznym znajdują one co raz szersze zastosowanie w systemach służących do identyfikacji i weryfikacji tożsamości. Rzadko wspomina się o tym, iż mogą one stanowić niezwykle skuteczne narzędzie inwigilacji. Innym fundamentalnym zagrożeniem związanym z utratą danych biometrycznych jest ich wykorzystanie do kradzieży cudzej tożsamości. W przeciwieństwie do ,,zwykłych” danych osobowych, takich jak nazwisko, adres czy numer PESEL, jakakolwiek modyfikacja danych biometrycznych nie jest bowiem zasadniczo możliwa. Mając to na uwadze prawodawca europejski postanowił zdefiniować dane biometryczne, a także objąć je podwyższoną ochroną prawną na gruncie nowych przepisów unijnych.Celem niniejszej pracy było dokonanie kompleksowej analizy zagadnienia danych biometrycznych, jako szczególnej kategorii danych osobowych, na gruncie rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679, które weszło w życie 25 maja 2018 r.W pierwszej części pracy przedstawione zostały podstawowe pojęcia dotyczące danych osobowych oraz najważniejsze zagadnienia z zakresu danych biometrycznych (Rozdział I). Następnie dokonano analizy warunków dopuszczalności oraz ogólnych zasad przetwarzania danych wrażliwych, z wyszczególnieniem danych biometrycznych (Rozdział II). Kolejna część pracy miała na celu przybliżenie specyfiki przetwarzania danych biometrycznych oraz określenie środków, które powinny zostać wdrożone w celu zapewnienia zgodności przetwarzania z rozporządzeniem (Rozdział III). W ostatnim rozdziale przedstawiono natomiast ogólny zarys dotychczasowych oraz projektowanych przepisów prawa polskiego dotyczących danych biometrycznych (Rozdział IV).

One of the most valuable assets in contemporary society is information. It is the basic subject of digital communication and information technologies which increase the availability of information and facilitate its storage, modification and dissemination. In the 21st century, these technologies have become an important element of the everyday life of the information society citizen. However, their widespread use creates a serious risk of violation of the constitutional rights and freedoms of citizens, especially with regard to the right to protection of privacy. Such a risk arises certainly when personal information is processed, i.e. personal data. Among them are sensitive data ("delicate data") that concern the intimate sphere of a human being and require special legal protection. One of their subcategories are biometric data, that is information about features related to the human nature. The universality, uniqueness and persistence of biometric features make them, along with technological progress, find wider and wider application in systems used to identify and verify identity of natural persons. However, it is rarely mentioned that biometric data can be used as an extremely effective tool for surveillance. Another fundamental threat to privacy is their use to steal someone else's identity. Importantly, unlike "ordinary" personal data, such as name, address or personal identification number, any modification of biometric data is not generally possible. With this in mind, the European legislator decided to define biometric data, and also include increased legal protection under new EU regulations. The objective of the thesis was to carry out a comprehensive analysis of biometric data as a special category of personal data under the new Regulation 2016/679 of the European Parliament and of the Council (EU) which entered into force on May 25, 2018.The first part of the thesis presents basic concepts regarding personal data and the most important issues in the field of biometric data (Chapter I). Next, the admissibility conditions and general rules for the processing of sensitive data are analyzed, with a special focus on the biometric data (Chapter II). The next part of the thesis aims at introducing the specificity of biometric data processing and defining the measures that should be implemented in order to ensure compliance of the processing with the regulation (Chapter III). The last chapter presents a general outline of the existing and proposed provisions of Polish law regarding biometric data (Chapter IV).