Η ραγδαία ανάπτυξη των βιομετρικών τεχνολογιών και η αύξηση της εφαρμογής τους σε διάφορους τομείς, δημιουργούν αρκετούς προβληματισμούς από την άποψη της προστασίας των δεδομένων.
Τα δεδομένα προσωπικού χαρακτήρα που συλλέγονται από βιομετρικά συστήματα έχουν ιδιαίτερο χαρακτήρα καθώς αφορούν είτε τα φυσικά χαρακτηριστικά ενός ανθρώπου (όπως δακτυλικά αποτυπώματα, γεωμετρία της παλάμης, ανάλυση της κόρης του ματιού, του DNA) είτε τα στοιχεία της συμπεριφοράς του (όπως υπογραφή, χροιά φωνής, τρόπο πληκτρολόγησης) και τα οποία τον προσδιορίζουν κατά μοναδικό τρόπο.
Βιομετρικές μέθοδοι είναι οι τεχνικές πιστοποίησης της ταυτότητας των ατόμων μέσω της ανάλυσης σταθερών χαρακτηριστικών τους. Συνήθως χρησιμοποιούνται σε εφαρμογές που σχετίζονται με:
-Έλεγχο πρόσβασης σε φυσικούς χώρους
-Ασφάλεια χρήσης λογισμικών
-Συνοριακό έλεγχο, έκδοση βιομετρικών διαβατηρίων
-Καταγραφή χρόνου εργασίας προσωπικού εταιριών
-Εγκληματολογία για τον εντοπισμό δραστών
-Εφαρμογές διαδικτύου (ηλεκτρονικό εμπόριο, ηλεκτρονική τραπεζική, κ.ά.)
-Η συλλογή των βιομετρικών δεδομένων (π.χ. εικόνα του δακτυλικού αποτυπώματος, εικόνα της οφθαλμικής ίριδας) υλοποιείται κατά τη διαδικασία της εγγραφής του ατόμου στο βιομετρικό σύστημα.
Ένας ειδικός αισθητήρας (συνήθως κάμερα) μεταβάλει το συγκεκριμένο βιομετρικό χαρακτηριστικό σε ηλεκτρονικό κώδικα τον οποίο αποθηκεύει (εφεξής "πρότυπο") και αντιστοιχίζει με το συγκεκριμένο φυσικό πρόσωπο.
Κάθε φορά που το φυσικό πρόσωπο προσπαθεί να αποκτήσει πρόσβαση μέσα από το συγκεκριμένο σύστημα, γίνεται έλεγχος της ταυτότητάς του, ο οποίος επιτυγχάνεται με την επανάληψη της σάρωσης, τον υπολογισμό του ηλεκτρονικού κώδικα εκ νέου και τη σύγκρισή του με το αποθηκευμένο πρότυπο.
Ένα πρότυπο μπορεί να συνδυαστεί με πρόσθετα μέτρα ελέγχου πρόσβασης όπως για παράδειγμα έναν κωδικό πρόσβασης (PIN).
Το αξιοσημείωτο είναι ότι το βιομετρικό σύστημα δεν αποθηκεύει την πρωταρχική εικόνα του βιομετρικού χαρακτηριστικού του ατόμου αλλά το πρότυπο, που είναι σε ψηφιακή μορφή.
Σε αρκετές περιπτώσεις χρησιμοποιούνται και μικτά βιομετρικά συστήματα. Ένα μικτό βιομετρικό σύστημα ταυτοποίησης συνδυάζει δύο ή περισσότερες βιομετρικές μεθόδους, χρησιμοποιώντας τα θετικά στοιχεία της καθεμίας από αυτές ώστε να επιτευχθεί ακόμα μεγαλύτερη αξιοπιστία.
Σύμφωνα με το σχετικό νομικό πλαίσιο, προσωπικό δεδομένο είναι κάθε στοιχείο που μπορεί να χρησιμοποιηθεί για την εξακρίβωση της ταυτότητας του φυσικού προσώπου. Η ταυτότητα του ατόμου μπορεί να προσδιορισθεί και εξακριβωθεί και με την συνδυαστική αξιολόγηση στοιχείων που χαρακτηρίζουν την υπόστασή του από φυσική, βιολογική, ψυχική, οικονομική ή κοινωνική άποψη
Επομένως, συμπεραίνουμε ότι το πρότυπο, το οποίο αποθηκεύει ένα βιομετρικό σύστημα, είναι προσωπικό δεδομένο, καθώς δύναται να χρησιμοποιηθεί για την εξακρίβωση της ταυτότητας ενός φυσικού προσώπου.
Τα βιομετρικά συστήματα που σχετίζονται με φυσικά χαρακτηριστικά και που δεν αφήνουν ίχνη (π.χ. γεωμετρία χεριού αλλά όχι δακτυλικά αποτυπώματα) ή που αφήνουν ίχνη αποθηκεύοντας τα δεδομένα σε ένα μέσο που είναι στην κατοχή του χρήστη (και όχι στη βιομετρική συσκευή) ελλοχεύουν λιγότερους κινδύνους για την παραβίαση των δικαιωμάτων του ατόμου.
Σύμφωνα με τις γενικές αρχές προστασίας των προσωπικών δεδομένων, είναι σημαντικός ο τόπος αποθήκευσης των "προτύπων". Η αποθήκευση εξαρτάται κυρίως από το σκοπό εφαρμογής του βιομετρικού συστήματος καθώς και από το μέγεθος των προτύπων. Τα πρότυπα μπορούν να αποθηκευτούν:
Στη μνήμη της βιομετρικής συσκευής
Σε κεντρική βάση δεδομένων
Σε πλαστικές ή έξυπνες κάρτες.
Τα συστήματα που επιτρέπουν την αποθήκευση των προτύπων σε μέσα που είναι υπό τον πλήρη έλεγχο του υποκειμένου θεωρούνται περισσότερο φιλικά ως προς την προστασία των προσωπικών δεδομένων.
Ειδικά θέματα μπορούν να προκύψουν όταν τα βιομετρικά δεδομένα περιέχουν περισσότερες από τις απαραίτητες πληροφορίες για τις λειτουργίες της αναγνώρισης ή ταυτοποίησης. Για παράδειγμα, όταν αποκαλύπτονται δεδομένα φυλετικής προέλευσης ή δεδομένα που σχετίζονται με την υγεία του προσώπου (π.χ. DNA) και τα οποία αποτελούν ευαίσθητα προσωπικά δεδομένα. Στην τελευταία αυτή περίπτωση, η Αρχή Προστασίας Προσωπικών Δεδομένων πρέπει να εξετάσει το συγκεκριμένο σύστημα και να εκδώσει σχετική άδεια. Έτσι, ενδεικτικά αναφέρουμε ότι κατ΄ εξαίρεση επιτρέπεται η συλλογή και η επεξεργασία ευαίσθητων δεδομένων, καθώς και η ίδρυση και λειτουργία σχετικού αρχείου, ύστερα από άδεια της Αρχής, όταν συντρέχουν μία ή περισσότερες από τις ακόλουθες προϋποθέσεις:
"α) Το υποκείμενο έδωσε τη γραπτή συγκατάθεσή του εκτός εάν η συγκατάθεση έχει αποσπασθεί με τρόπο που αντίκειται στο νόμο ή τα χρηστά ήθη ή νόμος ορίζει ότι η συγκατάθεση δεν αίρει την απαγόρευση.
β) Η επεξεργασία είναι αναγκαία για τη διαφύλαξη ζωτικού συμφέροντος του υποκειμένου ή προβλεπόμενου από το νόμο συμφέροντος τρίτου, εάν το υποκείμενο τελεί σε φυσική ή νομική αδυναμία να δώσει τη συγκατάθεσή του.
γ) Η επεξεργασία αφορά δεδομένα που δημοσιοποιεί το ίδιο το υποκείμενο ή είναι αναγκαία για την αναγνώριση, άσκηση ή υπεράσπιση δικαιώματος ενώπιον δικαστηρίου ή πειθαρχικού οργάνου.
δ) Η επεξεργασία αφορά θέματα υγείας και εκτελείται από πρόσωπο που ασχολείται κατ' επάγγελμα με την παροχή υπηρεσιών υγείας και υπόκειται σε καθήκον εχεμύθειας ή σε συναφείς κώδικες δεοντολογίας, υπό τον όρο ότι η επεξεργασία είναι απαραίτητη για την ιατρική πρόληψη, διάγνωση, περίθαλψη ή τη διαχείριση υπηρεσιών υγείας.
ε) Η επεξεργασία εκτελείται από Δημόσια Αρχή και είναι αναγκαία είτε αα) για λόγους εθνικής ασφάλειας είτε ββ) για την εξυπηρέτηση των αναγκών εγκληματολογικής ή σωφρονιστικής πολιτικής και αφορά τη διακρίβωση εγκλημάτων, ποινικές καταδίκες ή μέτρα ασφαλείας είτε γγ) για λόγους προστασίας της δημόσιας υγείας είτε δδ) για την άσκηση δημόσιου φορολογικού ελέγχου ή δημόσιου ελέγχου κοινωνικών παροχών.
στ) Η επεξεργασία πραγματοποιείται για ερευνητικούς και επιστημονικούς αποκλειστικά σκοπούς και υπό τον όρο ότι τηρείται η ανωνυμία και λαμβάνονται όλα τα απαραίτητα μέτρα για την προστασία των δικαιωμάτων των προσώπων στα οποία αναφέρονται.
ζ) Η επεξεργασία αφορά δεδομένα δημοσίων προσώπων, εφόσον αυτά συνδέονται με την άσκηση δημοσίου λειτουργήματος ή τη διαχείριση συμφερόντων τρίτων, και πραγματοποιείται αποκλειστικά για την άσκηση του δημοσιογραφικού επαγγέλματος. Η άδεια της αρχής χορηγείται μόνο εφόσον η επεξεργασία είναι απολύτως αναγκαία για την εξασφάλιση του δικαιώματος πληροφόρησης επί θεμάτων δημοσίου ενδιαφέροντος καθώς και στο πλαίσιο καλλιτεχνικής έκφρασης και εφόσον δεν παραβιάζεται καθ' οιονδήποτε τρόπο το δικαίωμα προστασίας της ιδιωτικής και οικογενειακής ζωής.
Η χρήση βιομετρικών μεθόδων για τη διαπίστωση της ταυτότητας των εργαζομένων και την πρόσβαση στο σύνολο ή τμήμα των χώρων εργασίας είναι επιτρεπτή μόνο στις περιπτώσεις που αυτό επιβάλλεται από ιδιαίτερες απαιτήσεις ασφαλείας των χώρων εργασίας και εφόσον δεν υπάρχει άλλο μέσο για την επίτευξη του σκοπού αυτού (π.χ. εργαστήρια υψηλού κινδύνου). Κατά συνέπεια, ο υπεύθυνος επεξεργασίας οφείλει να σταθμίζει κάθε φορά αφενός τους υπάρχοντες κινδύνους, την έκταση των κινδύνων αυτών και τις υπάρχουσες εναλλακτικές δυνατότητες αντιμετώπισης των κινδύνων και, αφετέρου, τις προσβολές της ανθρώπινης προσωπικότητας και της ιδιωτικότητας από τη χρήση τέτοιων μεθόδων.
