Dowody osobiste, odciski palców i RODO

Odciski palców w dowodach osobistych mogą być niezgodne z RODO

Od listopada 2021 r. dowody osobiste wydawane w Polsce zawierają zapisane cyfrowo odciski palców posiadacza. Tak samo wygląda to w innych krajach UE, gdyż taki obowiązek wynika z unijnego rozporządzenia 2019/1157 (patrz grafika). Celem wprowadzenia dodatkowych danych biometrycznych (poza zdjęciem twarzy) miało być większe bezpieczeństwo dokumentów. Argumentowano to chęcią lepszego zabezpieczenia ich przed fałszowaniem i łatwością weryfikacji jego autentyczności.

Żaden z tych motywów nie przekonuje Digitalcourage - niemieckiej organizacji zajmującej się ochroną prywatności i prawami cyfrowymi.

- Od dłuższego czasu prowadzi ona kampanię przeciwko umieszczaniu odcisków palców w dowodach osobistych. Twierdzi, że przechowywane odciski palców mogą jedynie dostarczyć informacji o tym, czy dowód osobisty należy do osoby, która trzyma go w ręku - ale nie o tym, czy dowód osobisty jako taki jest w ogóle autentyczny, czy sfałszowany. Jej zdaniem nie ma powodu, aby prewencyjnie traktować wszystkich obywateli jak podejrzanych czy wręcz przestępców - mówi Tomasz Borys, ekspert ochrony danych.

Na potrzebę wprowadzenia tego rozwiązania nie wskazuje też skala fałszerstw dowodów. Według Europejskiego Inspektora Ochrony Danych w latach 2013-2017 ujawniono ok. 38 tys. podrobionych dokumentów, co przy 370 mln obywateli UE nie wydaje się dużą liczbą.

Digitalcourage przekonuje, że w przyszłości dane zawarte w dowodach osobistych mogą wymknąć się spod kontroli ze względu na dostęp do nich organów krajowych i zagranicznych, służb specjalnych i usługodawców komercyjnych. Zdaniem organizacji kwestią czasu jest, kiedy pojawią się wezwania do centralnego przechowywania odcisków palców i wykorzystywania ich do coraz szerszych celów. Rośnie też ryzyko przejęcia danych zawierających cyfrowy odcisk palców przez przestępców. To zaś zwiększy radykalnie ryzyko kradzieży cyfrowej tożsamości.

- Nie bez powodu odciski palców należą do szczególnej kategorii danych osobowych. Są niezmienne i towarzyszą nam przez całe życie - zauważa Tomasz Borys. Jak dodaje, ich wykorzystanie stało się modne choćby do dekodowania smartfona, w bankowości, podczas zakupów.

- Ale co się stanie, jeśli dane zapisane na chipie dowodu osobistego zostaną odczytane przez osoby nieuprawnione? Możemy zmienić hasła, PIN-y, ale jeśli w niepowołane ręce wpadną nasze dane biometryczne, nic nie będziemy w stanie poradzić - ostrzega ekspert.

Precedensowy wyrok

Argumentacja ta została przedstawiona w skardze złożonej przez Digitalcourage do Sądu Administracyjnego w Wiesbaden. Ten zaś, przynajmniej częściowo, zgodził się z tymi obawami i postanowił skierować wniosek prejudycjalny do Trybunału Sprawiedliwości Unii Europejskiej. Ma wątpliwości co do zgodności unijnego wymogu z art. 7 i 8 Karty praw podstawowych UE dotyczącymi ochrony prywatności. W swym wniosku odwołuje się również do RODO. Zebrane cechy biometryczne są bowiem danymi osobowymi, które - jak podkreśla sąd - „zawierają obiektywnie niepowtarzalne informacje o osobach fizycznych i umożliwiają ich dokładną identyfikację”. Zgodnie z zasadą proporcjonalności prawa podstawowe zainteresowanych osób mogą być ograniczane tylko wtedy, gdy służy to dobru wspólnemu lub spełnia wymogi ochrony praw i wolności innych osób.

- Sprawa jest precedensowa przede wszystkim z uwagi na to, że rozporządzenie 2019/1157 zostało wydane już po przyjęciu RODO. Formalne prace nad nim rozpoczęto w 2018 r. i wskazywano, że obowiązek pobierania danych biometrycznych nie narusza systemu danych osobowych, a nawet go wzmacnia - poprzez odpowiednie zabezpieczenie dokumentów przed fałszerstwem. Dopuszczalność tych działań opierano m.in. na wyroku TSUE w sprawie C-291/12 dotyczącej paszportów - zwraca uwagę Sylwester Szczepaniak, uczestnik prac legislacyjnych nad wdrażaniem RODO w Polsce, radca prawny of Counel w kancelarii Maruta & Wachta.

Niemiecki sąd również zwrócił uwagę na wskazany wyrok TSUE dopuszczający umieszczanie linii papilarnych w paszportach. Tyle że, jego zdaniem, niekoniecznie można go odnieść do dowodów osobistych. Dowody osobiste nie są bowiem wydawane jako główne dokumenty podróży w strefie Schengen, tak jak paszporty. To, co jest więc uzasadnione przy paszportach, nie musi już automatycznie znajdywać uzasadnienia przy dowodach osobistych.

- TSUE, rozpoznając sprawę merytorycznie, będzie musiał więc zdefiniować ponownie interes publiczny uzasadniający ingerencję władzy w autonomię danych osobowych obywatela. Te rozważania w przyszłości wpłyną - w mojej ocenie bardzo mocno - na inne sprawy z zakresu prawa publicznego, gdzie UE lub państwa członkowskie będą chciały opierać zbieranie danych na podstawach prawnych takich jak obowiązek prawny czy interes publiczny - ocenia Sylwester Szczepaniak.

Dowody niekoniecznie nieważne

Sąd zarzucił również naruszenie zasady minimalizacji danych osobowych wynikającej z RODO. Do identyfikacji wystarczyłby tylko fragment odcisku palca, a nie cały. Przy pozyskaniu całego odcisku przez osoby nieuprawnione szkody będą nieporównywalnie większe. Dodatkowo wprowadzając obowiązek zaszywania odcisków w warstwie cyfrowej dowodów, nie przeprowadzono również oceny skutków w zakresie ochrony danych, co samo z siebie może już prowadzić do nieważności tej normy.

- Korzyści wynikające z tego obowiązku nie uzasadniają tak poważnej ingerencji w prawa podstawowe wszystkich obywateli Europy. Potwierdzają to wypowiedzi władz federalnych. Podczas debaty parlamentarnej na pytanie grupy posłów rząd federalny przyznał, że „nie są znane konkretne przypadki przestępstw sklasyfikowanych jako terrorystyczne, w których brak przechowywanych odcisków palców na dowodach osobistych i innych dokumentach identyfikacyjnych oznaczałby, że nie można tym czynom zapobiegać, a sprawców zidentyfikować” - zwraca uwagę Tomasz Borys.

Sylwester Szczepaniak również nie wyklucza możliwości uznania zakwestionowanego przepisu za całkowicie nieważny. Oznaczałoby to nieważność wszystkich krajowych przepisów wydanych na podstawie tej normy. W Polsce wprowadzono je nowelizacją ustawy o dowodach osobistych oraz niektórych innych ustaw (Dz.U. z 2021 r. poz. 1000).

- O ile w przypadku rejestrów możliwe jest usunięcie odcisków, choć niebezproblemowo od strony technicznej, o tyle powstaje pytanie, co z już wydanym dowodem tożsamości. Czy nieważność zbierania danych powoduje konieczność zniszczenia samej warstwy elektronicznej dowodu osobistego już wydanego? Mam co do tego wątpliwości - zastanawia się mec. Szczepaniak. ©℗