Weryfikacja głosem to nowy, dodatkowy sposób weryfikacji wprowadzony przez Orange.
– Głos jest unikatową cechą każdej osoby. Podobnie jak odcisk palca, każdy głos ma indywidualne cechy, takie jak ton, barwa, szybkość mówienia czy akcent, które przypisane są do każdej osoby. Tak jak nie ma dwóch identycznych odcisków palców, Twój głos jest również niepowtarzalny – można przeczytać na stronie Orange.
Kilka dni temu czytelnik zadzwonił na infolinię Orange. W pewnym momencie Max (sztuczna inteligencja) zapytał, czy pan Marek wyraża zgodę na weryfikację poprzez jego głos. Czytelnik kategorycznie oświadczył, że nie wyraża zgody.
Parę dni później, pan Marek ponownie musiał zadzwonić na infolinię. Podczas weryfikacji usłyszał, że Max rozpoznał jego głos i weryfikacja przebiegła pomyślnie.
Problem, z jakim zgłosił się czytelnik:
– Czy weryfikacja głosem jest dopuszczalna w przypadku braku wyrażenia zgody na taką formę weryfikacji?
– Jak powinna wyglądać zgoda na weryfikację głosem i w jakiej formie musi być wyrażona?
– Jakie sankcje grożą firmie/osobie, która przeprowadza weryfikację głosem bez zgody osoby zainteresowanej?
Pola Neis
foto: Pixabay
Aktualizacja: 15 czerwca
Karol Witowski, p.o. rzecznika prasowego, Departament Komunikacji Społecznej – Urząd Ochrony Danych Osobowych:
Jednoznaczne zajecie stanowiska przez UODO możliwe jest po przeprowadzeniu postępowania administracyjnego w konkretnej sprawie i zbadaniu wszelkich okoliczności z nią związanych. Dlatego poniższe wyjaśnienia mają jedynie charakter pomocniczy.
Głos osoby w świetle definicji „danej biometrycznej” określonej w art. 4 pkt 14 RODO będzie stanowił daną biometryczną wyłącznie wówczas, gdy będzie przetwarzany za użyciem specjalnych metod technicznych, które umożliwią jednoznaczną (czyli nie budzącą wątpliwości) identyfikację osoby fizycznej lub potwierdzenie jej tożsamości.
Zwykłe nagranie głosu konsumenta np. podczas wykonywania usługi za pomocą środków komunikowania się na odległość nie będzie stanowić o tym, iż dojdzie do przetwarzania danej biometrycznej, o ile nagranie to będzie służyć wyłącznie np. kontroli jakości obsługi telefonicznej.
Z uwagi na unikalność i stałość danych biometrycznych, przekładających się na ich niezmienności w czasie, wykorzystywanie danych biometrycznych powinno odbywać się ze szczególną ostrożnością i rozwagą. Ewentualny wyciek danych biometrycznych będzie skutkować dużym ryzykiem naruszenia praw i wolności osób fizycznych.
RODO zalicza dane biometryczne do szczególnej kategorii danych, o których mówi art. 9 tego aktu prawnego. Przetwarzanie tych danych jest dopuszczalne w ścisłe określonych sytuacjach.
Jedną z przesłanek dopuszczających przetwarzanie danych szczególnej kategorii (np. ich zbieranie) jest zgoda osoby, której dane dotyczą. Przesłankę tę wymienia art. 9 ust. 2 RODO. Zgoda powinna być wyrażona w drodze jednoznacznej, potwierdzającej czynności, która wyraża odnoszące się do określonej sytuacji dobrowolne, świadome i jednoznaczne przyzwolenie osoby, których dane dotyczą, na przetwarzanie dotyczących jej danych osobowych i która ma na przykład formę pisemnego (w tym elektronicznego) lub ustnego oświadczenia.
W odniesieniu do szczególnej kategorii danych, należy zwrócić uwagę także na to że zgoda powinna być wyrażona w sposób wyraźny. Zgodnie w z wytycznymi Grupy Roboczej art. 29 dot. zgody : „Zgodnie z RODO wyraźna zgoda odgrywa istotną rolę w przetwarzaniu szczególnych kategorii danych zgodnie z art. 9 (…) Termin „wyraźna” odnosi się do sposobu wyrażenia zgody przez osobę, której dane dotyczą. Oznacza to, że osoba, której dane dotyczą, musi złożyć w sposób wyraźny oświadczenie o wyrażeniu zgody.
Oczywistym sposobem zapewnienia, aby zgoda była wyraźna, byłoby jej wyraźne potwierdzenie w pisemnym oświadczeniu. W stosownych przypadkach administrator mógłby zapewnić podpisanie pisemnego oświadczenia przez osobę, której dane dotyczą, aby rozwiać wszelkie możliwe wątpliwości i zapobiec możliwemu brakowi dowodów w przyszłości.
Takie podpisane oświadczenie nie jest jednak jedynym sposobem uzyskania wyraźnej zgody i nie można stwierdzić, iż w RODO przewidziano obowiązek uzyskania pisemnych i podpisanych oświadczeń we wszystkich okolicznościach, w których wymagane jest uzyskanie ważnej wyraźnej zgody.
Na przykład w kontekście cyfrowym lub online osoba, której dane dotyczą, może być w stanie złożyć wymagane oświadczenie przez wypełnienie formularza elektronicznego, wysłanie wiadomości e-mail, przesłanie zeskanowanego dokumentu opatrzonego podpisem osoby, której dane dotyczą, lub złożenie podpisu elektronicznego”.
Przetwarzanie szczególnej kategorii danych osobowych jest również dopuszczalne, gdy jest to niezbędne do wypełnienia obowiązków i wykonywania szczególnych praw przez administratora, albo jest to niezbędne do ochrony żywotnych interesów.
Takie dane mogą być również przetwarzane, gdy jest to niezbędne „do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego, leczenia lub zarządzania systemami i usługami opieki zdrowotnej lub zabezpieczenia społecznego na podstawie prawa Unii lub prawa państwa członkowskiego lub zgodnie z umową z pracownikiem służby zdrowia”.
Każdy administrator przetwarzając dane musi przestrzegać zasad określonych w art. 5 RODO, a więc:
• zgodności z prawem,
• ograniczenia celu – która nakazuje, by dane były zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami,
• minimalizacji danych – zgodnie z którą dane muszą być adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane,
• prawidłowości – co oznacza, że muszą być prawidłowe i w razie potrzeby uaktualniane,
• ograniczenia przechowywania – przesądzająca, że dane powinny być przechowywane w formie umożliwiającej identyfikację osób, których dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania; dane można przechowywać przez okres dłuższy, o ile będą one przetwarzane wyłącznie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych, z zastrzeżeniem, że wdrożone zostaną odpowiednie środki techniczne i organizacyjne mające na celu ochronę praw i wolności osób.
• integralności i poufności – nakazująca zapewnienia odpowiedniego bezpieczeństwa danych osobowych, w tym ochrony przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych.
Administrator, np. zbierając dane , musi również pamiętać o obowiązku informacyjnym określonym w art. 13 RODO. Powinien więc dokładnie informować osoby, których dane pozyskuje m.in. o tym, kto jest administratorem danych, jakie dane i w jakim celu będą przetwarzane oraz jak długo i na jakiej podstawie.
Musi również przekazać informacje o odbiorcach danych i kategoriach odbiorców, czyli wskazać komu przetwarzane dane będą przekazywane.
Ponadto należy poinformować o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, gdy ma to miejsce. Należy wówczas przekazać również informacje o zasadach podejmowania takich zautomatyzowanych decyzji, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.
W przypadku, gdy dane są przetwarzane na podstawie zgody osoby, której dane dotyczą, administrator powinien poinformować o tym, iż zgodę można wycofać w dowolnym momencie bez negatywnych konsekwencji dla tej osoby.
Ponadto osoba, której dane dotyczą, powinna mieć jednocześnie swobodę odmówienia indywidualnie wyrażenia zgody na poszczególne operacje przetwarzania danych, które nie są niezbędne do wykonania umowy, przy czym nie jest ona zobowiązana do całkowitego zrezygnowania z korzystania z usługi oferowanej przez operatora.
Jednocześnie informuję, że każda osoba, która ma wątpliwości, czy administrator właściwie postępuje z jej danymi, w tym przestrzega jej praw, ma prawo złożyć skargę do Prezesa UODO.
Ponadto każdy, kto uważa, że jego dane osobowe są przetwarzane niezgodnie z prawem, może dochodzić swoich praw przed sądem powszechnym (art. 79 RODO). A jeżeli dana osoba uzna, że w wyniku naruszenia przepisów RODO poniosła szkodę majątkową lub niemajątkową, ma też prawo żądać od administratora lub podmiotu przetwarzającego odszkodowania, do czego uprawnia ją art. 82 RODO.