Czynniki behawioralne – czyli właściwie co?

Najogólniej rzecz ujmując, są to cechy związane z analizą zachowania człowieka. Cechy behawioralne człowieka w kontekście przetwarzania danych osobowych od dłuższego czasu stanowiły pole zainteresowania Grupy Roboczej Art. 29 i łączone były z szeroko rozumianymi technikami biometrycznymi, umożliwiającymi identyfikację tożsamości osoby fizycznej.

W przyjętym w dniu 1 sierpnia 2003 r. przez Grupę Roboczą Art. 29 dokumencie „Working document on biometrics” (WP 80) wśród technik biometrycznych wyróżnione zostały m.in. techniki behawioralne, przy pomocy których mierzy się zachowanie danej osoby np. sprawdzanie odręcznego podpisu, analiza dynamiki pisania na klawiaturze, analiza sposobu poruszania się, wzory wskazujące na myślenie podświadome (np. kłamanie). Ponadto, w opinii Grupy Roboczej Art. 29 przyjętej w dniu 20 czerwca 20007 r. „Opinion 4/2007 on the concept of personal data” (WP 136) pojawiło się pojęcie „danych biometrycznych”, do których zaliczono m.in. cechy życiowe lub powtarzalne czynności które dotyczą „wyłącznie danej osoby, a są jednocześnie wymierne, nawet jeżeli schematy używane w praktyce do ich pomiaru charakteryzuje pewien stopień prawdopodobieństwa”.

Z kolei w opinii Grupy Roboczej Art. 29 przyjętej w dniu 27 kwietnia 2012 r. „Opinia nr 3/2012 w sprawie zmian w sytuacji w dziedzinie technologii biometrycznych” (WP 193) sformułowane zostały wytyczne i zalecenia dotyczące wdrażania zasad prywatności i ochrony danych biometrycznych, skierowane m.in. do podmiotów sektora prywatnego wykorzystujących szeroko rozumiane systemy biometryczne. Powyższe dokumenty nie posiadały charakteru wiążącego, jednakże Grupa Robocza Art. 29 przyjmowała w nich stanowisko, że dane biometryczne należy częstokroć uznawać za dane osobowe.

Szczególnego znaczenia czynnikom behawioralnym w kontekście przetwarzania danych osobowych przyznało mające zastosowanie w państwach członkowskich UE począwszy od dnia 25 maja 2018 r. Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 94/46/WE (Ogólne rozporządzenie o ochronie danych, dalej w skrócie: „RODO”), które nie tylko wprowadziło do porządku prawnego państw członkowskich legalną definicję danych biometrycznych, do których zakwalifikowane zostały m.in. dane wynikające ze specjalnego przetwarzania cech behawioralnych osoby fizycznej (art. 4 pkt 14) RODO), ale również włączyło dane biometryczne do tzw. szczególnych kategorii danych osobowych (art. 9 ust. 1 RODO), będących danymi o podwyższonych rygorach szeroko rozumianej ochrony prawnej.

Czynniki behawioralne a dane biometryczne i przetwarzanie w oparciu o techniki behawioralne

Zasadniczo rozważania dotyczące prawnych aspektów możliwości identyfikacji tożsamości osoby fizycznej w oparciu o czynniki behawioralne tj. o zachowanie człowieka, sprowadzają się do analizy regulacji prawnych dotyczących danych biometrycznych. Podkreślić trzeba, że w kontekście regulacji danych biometrycznych przyjętej w RODO (zaczerpniętej częściowo z dokumentów uprzednio przyjmowanych uprzednio przez Grupę Roboczą Art. 29), dane biometryczne należy rozpatrywać wyłącznie w kontekście weryfikacji lub identyfikacji osób fizycznych.

Zgodnie bowiem z art. 4 pkt 14) RODO, dane biometryczne to dane osobowe, które wynikają ze specjalnego przetwarzania technicznego, dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej oraz umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby, takie jak wizerunek twarzy lub dane daktyloskopijne. Na potrzeby tematyki niniejszego artykułu, przyjęta w RODO regulacja danych biometrycznych będzie rozważana tylko w zakresie cech behawioralnych osoby fizycznej, z pominięciem danych biometrycznych wynikających z cech fizycznych i fizjologicznych człowieka.

Co prawda, dane uzyskane ze zwykłej analizy zachowania człowieka np. wskutek fizycznej obserwacji sposobu poruszania się człowieka będą stanowiły dane osobowe, jeśli powstały w wyniku obserwacji opis zostanie powiązany z daną osobą fizyczną. Jednakże wyniki takich analiz same w sobie nie będą jeszcze umożliwiały lub potwierdzały jednoznacznej identyfikacji osoby fizycznej, a więc nie będą stanowiły danych biometrycznych, i jako takie pozostają one poza zasięgiem niniejszych rozważań.

RODO to podstawa

Podkreślić trzeba, że w świetle RODO informacje uzyskane w oparciu o analizę zachowania się człowieka będą uznawane za umożliwiające jednoznaczną identyfikację osoby fizycznej lub potwierdzające jej tożsamość wyłącznie wówczas, gdy informacje takie będą przetwarzane specjalnymi metodami technicznymi. Za takie specjalne metody techniczne należy zaś uznać wymienione wyżej przykładowo techniki behawioralne (WP 80).

Wspomniane wyżej opracowania Grupy Roboczej Art. 29 zachowują w dużej mierze aktualność zakresie rozważań prawnych dotyczących uwarunkowań przetwarzania danych biometrycznych, tym danych dotyczących zachowań człowieka. Podkreśla się w nich, że przetwarzanie danych biometrycznych polegające na wykorzystaniu danych wynikających m.in. z cech behawioralnych człowieka w celu dokonania jednoznacznej identyfikacji osoby fizycznej lub potwierdzenia jej tożsamości, sprowadza się zasadniczo do następujących typowych etapów(WP 193):

  1. rejestracja danych biometrycznych z wykorzystaniem technik cyfrowych polegająca np. na zeskanowaniu podpisu albo rejestracji procesu składania podpisu na tablecie elektronicznym i stworzenie tzw. wzorca biometrycznego, polegające na wyodrębnieniu cech behawioralnych wynikających z zachowania człowieka i powiązaniu tych cech z daną osobą fizyczną (np. kąt nachylenia liter, nacisk długopisu na podłoże),
  2. przechowywanie danych biometrycznych, a właściwie stworzonego wzorca biometrycznego w toku rejestracji danych biometrycznych w celu jego późniejszego wykorzystania (np. w bazie systemu biometrycznego),
  3. kojarzenie danych biometrycznych polegające na porównaniu wzorca biometrycznego stworzonego w procesie rejestracji danych biometrycznych ze wzorcem biometrycznym pobranym z nowej próbki danych dostarczonych później do celów identyfikacji lub weryfikacji tożsamości osoby fizycznej (np. porównanie cech podpisu „wzorowego” z później dostarczanymi przez osobę fizyczną podpisami).

Ryzyka związane z wykorzystywaniem czynników behawioralnych w oparciu o technologie specjalnego przetwarzania technicznego

Wykorzystanie technik behawioralnych do identyfikacji lub uwierzytelniania osoby fizycznej bez wątpienia pozwala na przyśpieszenie i ułatwienie prowadzenia procesów biznesowych. Z drugiej strony wskazuje się na potencjalny wpływ takich technik na prywatność i ochronę danych osobowych. Wśród potencjalnych zagrożeń wskazuje się m.in. nieplanowane zebranie innych danych wrażliwych (np. informacji o problemach neurologicznych osoby fizycznej wynikających ze specyfiki złożonego podpisu), trudność w jednoznacznym ustaleniu wzorca biometrycznego z uwagi na możliwe okoliczności zniekształcające proces rejestracji danych (np. pozycja przyjmowana przez osobę przy składaniu pisma), możliwość fałszerstwa (np. idealne podrobienie stylu pisania).

Obowiązki administratorów danych osobowych stosujących techniki behawioralne do identyfikacji lub uwierzytelniania osoby fizycznej

Jako kwestia priorytetowa wśród obowiązków administratorów danych osobowych stosujących techniki behawioralne do identyfikacji lub uwierzytelniania osoby fizycznej, wyłania się obowiązek przeprowadzenia oceny ryzyka wynikającego ze stosowania takich technik oraz zastosowania odpowiednich środków technicznych i organizacyjnych ochrony adekwatnych do poziomu zidentyfikowanego ryzyka, co powinno mieć miejsce jeszcze przed przystąpieniem do ich stosowania (zasada privacy by design).

Ponadto, administratorzy tacy będą również najczęściej zobowiązani do przeprowadzenia oceny skutków dla ochrony danych osobowych (art. 35 RODO), mając na uwadze Komunikat Prezesa Urzędu Ochrony Danych Osobowych z dnia 17 czerwca 2019 r. w sprawie wykazu rodzajów operacji przetwarzania danych osobowych wymagających oceny skutków przetwarzania dla ich ochrony (M.P. z dnia 8 lipca 2019 r.), zgodnie z treścią którego operacje przetwarzania danych biometrycznych wyłącznie w celu identyfikacji osoby fizycznej bądź w celu kontroli dostępu zostały uznane za wymagające przeprowadzenia oceny skutków przetwarzania dla ich ochrony.

Konieczność ustalenia podstawy prawnej

Wśród szczególnych obowiązków administratorów należy wskazać również konieczność ustalenia prawnej podstawy do przetwarzania danych behawioralnych z uwagi na fakt, że jak już wspomniane zostało powyżej, RODO umiejscowiło dane biometryczne wśród tzw. danych szczególnych kategorii, co wiąże się z tym, że swoboda administratora w ustaleniu właściwej przesłanki zostaje mocno ograniczona. Tym samym administrator winien ustalić, czy w konkretnych okolicznościach może powołać się na którąś z podstaw wynikających z art. 9 ust. 2 lit. b) RODO, a zauważyć przy tym trzeba, że przepis ten nie przewiduje okoliczności wykonywania zawartej z podmiotem danych umowy jako podstawy przetwarzania danych biometrycznych.

Podsumowując wskazać trzeba, że przetwarzanie danych behawioralnych w procesie identyfikacji lub uwierzytelniania osoby fizycznej będzie wymagało od administratorów szczególnego uzasadnienia stosowania takich technik, a także zastosowania przemyślanych i zaawansowanych środków technicznych i organizacyjnych bezpieczeństwa danych.

Niewątpliwie administratorzy czerpią liczne korzyści związane z ułatwieniem, w tym z digitalizacją procesów uwierzytelniania czy identyfikacji tożsamości w świadczonych przez siebie usługach, z drugiej zaś strony powinni liczyć się z faktem, że techniki biometryczne, wykorzystujące najczęściej zaawansowane technologie, wiążą się z wysokim ryzykiem naruszenia bezpieczeństwa danych osobowych, a nawet pojedynczy incydent może podważyć zaufanie klientów do rzetelności przedsiębiorcy.

Autorem artykułu jest Milena Artych, aplikant radcowski w Kancelarii Macura, specjalizująca się w problematyce ochrony danych osobowych. www.kancelariamacura.pl