Umieszczanie cyfrowego odcisku palca w dowodach osobistych jest uzasadnione kwestiami bezpieczeństwa i nie narusza RODO – uważa rzecznik generalny Trybunału Sprawiedliwości Unii Europejskiej.

Przeciwne rozstrzygnięcie mogłoby oznaczać nie tylko konieczność usunięcia odcisków z cyfrowych rejestrów, lecz także wymianę już wydanych dowodów osobistych. Zarówno w Polsce, jak i w innych krajach UE zawierają one odwzorowanie linii papilarnych właściciela dowodu. Wymóg ten wynika z unijnego rozporządzenia 2019/1157 w sprawie poprawy zabezpieczeń dowodów osobistych obywateli Unii. Uzasadnieniem dla jego wprowadzenia była chęć lepszego zabezpieczenia dokumentów przed fałszowaniem i ułatwienie weryfikacji ich autentyczności.

Wątpliwości organizacji

Argumenty te nie przekonały Digitalcourage – niemieckiej organizacji zajmującej się ochroną prywatności i prawami cyfrowymi. Jej zdaniem odciski palców mogą jedynie potwierdzać, czy dowód osobisty należy do osoby, która się nim posługuje, ale w żaden sposób nie ułatwiają weryfikacji jego autentyczności. Państwo zaś nie powinno traktować wszystkich obywateli jako potencjalnych przestępców. Tym bardziej że ryzyko związane z przechowywaniem tak szczególnych danych jak odciski palców jest znaczące. W skardze złożonej do Sądu Administracyjnego w Wiesbaden na niemieckie przepisy dotyczące dowodów osobistych Digitalcourage przekonuje, że w przyszłości dane zawarte w dowodach osobistych mogą wymknąć się spod kontroli ze względu na dostęp do nich organów krajowych i zagranicznych, służb specjalnych i usługodawców komercyjnych. Zdaniem organizacji kwestią czasu jest, kiedy pojawią się wezwania do centralnego przechowywania odcisków palców i wykorzystywania ich do coraz szerszych celów. Rośnie też ryzyko przejęcia danych zawierających cyfrowy odcisk palców przez przestępców. To zaś zwiększy radykalnie ryzyko kradzieży cyfrowej tożsamości.

Argumentacja ta zasiała ziarno wątpliwości w niemieckim sądzie, który skierował do TSUE wniosek prejudycjalny. Pyta w nim o zgodność wymogu dotyczącego zamieszczania odcisków z art. 7 i 8 Karty praw podstawowych UE, które dotyczą ochrony prywatności. Odwołuje się również do RODO. Zebrane cechy biometryczne są bowiem danymi osobowymi, które – jak podkreśla sąd – „zawierają obiektywnie niepowtarzalne informacje o osobach fizycznych i umożliwiają ich dokładną identyfikację”.

Rzecznik opiniuje

W minionym tygodniu w sprawie wypowiedziała się rzecznik generalna Laila Medina (opinia z 29 czerwca 2023 r. w sprawie C 61/22). Jej zdaniem, choć przepisy bez wątpienia stanowią ograniczenie prawa do prywatności, to jest to uzasadnione interesem ogólnym, a konkretnie kwestami bezpieczeństwa. Rzecznik przyznała, że pobieranie i przechowywanie odcisków palca zwiększa ryzyko nieupoważnionego dostępu przez organy publiczne do identyfikatorów biometrycznych oraz ryzyko związanych z tym nadużyć, niemniej jednak jest to uzasadnione wspomnianymi kwestiami bezpieczeństwa, jak również poszanowaniem praw i wolności obywateli UE. Rozumowanie jest następujące – skoro odcisk palca i ujednolicenie wyglądu dowodów osobistych zmniejszają ryzyko fałszowania dokumentów, to jednocześnie służą upowszechnianiu tych dokumentów, a tym samym ułatwiają posługiwanie się nimi i uznawanie ich w innych państwach UE. To zaś służy swobodzie podróżowania.

Rzecznik przeanalizowała też alternatywne sposoby zabezpieczenia przed fałszowaniem dokumentów. Jej zdaniem samo umieszczenie zdjęcia nie jest wystarczające. „Z uwagi na fakt, że cechy anatomiczne twarzy człowieka mogą ulegać znaczącym zmianom ze względu na rozmaite okoliczności życiowe, takie jak starzenie się lub początki choroby, kojarzenie wyłącznie wizerunku twarzy na krajowym dowodzie osobistym z twarzą posiadacza tego dowodu może z większym prawdopodobieństwem prowadzić do błędów w identyfikacji niż porównanie wizerunku twarzy na dowodzie osobistym z odciskami palców tegoż posiadacza. W tym względzie, jak podkreśla rząd niemiecki, nawet kojarzenie zdjęć biometrycznych może prowadzić do błędu na skutek wykorzystania nowoczesnych technik morfingu umożliwiających łączenie różnych twarzy w jeden wizerunek twarzy” – napisała w uzasadnieniu swej opinii.

Wystarczająca ochrona

Jednocześnie, mimo wspomnianego ryzyka nieupoważnionego dostępu do odcisków, uznała, że przyjęte zabezpieczenia zapewniają wystarczającą ochronę. Zgodnie z rozporządzeniem 2019/1157 państwa członkowskie powinny zapewnić wprowadzenie „właściwych i skutecznych procedur pobierania identyfikatorów biometrycznych”. Przepisy ograniczają też okres przechowywania odcisku.

„Zgodnie z art. 10 ust. 3 tego rozporządzenia przechowywanie identyfikatorów biometrycznych przez właściwe organy po ich pobraniu jest ograniczone do okresu między ich zgromadzeniem a dniem wydania dowodu osobistego, który to okres w żadnym wypadku nie może przekraczać 90 dni od daty jego wydania. W tym okresie dane muszą być przechowywane w wysoce bezpieczny sposób. Po jego upływie pobrane odciski palców zostają natychmiast usunięte lub zniszczone” – podkreśliła rzecznik.

W sprawie pojawiła się też wątpliwość, czy Komisja Europejska była zobowiązana do dokonania oceny skutków w przypadku wysokiego ryzyka naruszenia praw lub wolności osób fizycznych przed wydaniem rozporządzenia. Zdaniem Laili Mediny obowiązek taki nie wynika z RODO. Jego art. 35 nie ma zastosowania do prawodawcy unijnego, gdy uchwala on normę prawa wtórnego. ©℗