Biometryczny podpis klienta

13 maja 2025
Biometryczny podpis klienta

W związku ze stałym rozwojem możliwości technologicznych ułatwiających biznes, UODO zwraca uwagę, że przy podjęciu decyzji o ewentualnym korzystaniu z cyfrowych podpisów, np. na umowach zawieranych z klientami, należy wziąć pod uwagę zasady RODO obowiązujące przy przetwarzaniu danych biometrycznych.

Biometryczne podpisy klientów to zaawansowane technologicznie i wygodne rozwiązanie, ale ich stosowanie wiąże się z dużą odpowiedzialnością i rygorem prawnym. 

Przed zastosowaniem długopisów cyfrowych należy zadbać o:

  • zgodność z RODO, 

  • właściwe informowanie klientów, 

  • alternatywne opcje podpisu, oraz techniczne,

  • organizacyjne środki ochrony.

 

1. Biometryczny podpis to dane wrażliwe
Jeśli Twoja firma chce stosować cyfrowe długopisy rejestrujące cechy takie jak siła nacisku, szybkość pisania czy kształt liter – zbierasz dane biometryczne. Są one objęte szczególną ochroną zgodnie z art. 9 RODO.

 

2. Wymagana wyraźna zgoda klienta
Przetwarzanie danych biometrycznych jest co do zasady zabronione – wyjątkiem jest wyraźna i świadoma zgoda klienta. Zgoda musi być:

  • dobrowolna i jednoznaczna,

  • oparta na pełnej informacji (cel, okres przechowywania, sposób wycofania),

  • możliwa do wycofania w każdej chwili bez negatywnych konsekwencji.

 

3. Klient musi mieć wybór
Firma nie może wymuszać zgody – klient powinien móc podpisać umowę także w sposób tradycyjny (bez użycia biometrii), jeśli nie wyrazi zgody na dane biometryczne.

 

4. Konieczna ocena skutków dla ochrony danych (DPIA)
Zanim wdrożysz podpis biometryczny, musisz przeprowadzić ocenę skutków przetwarzania danych (DPIA), ponieważ:

  • przetwarzasz dane wrażliwe,

  • używasz nowej technologii,

  • działasz na dużą skalę (np. wiele klientów).

 

5. Ochrona danych – obowiązki administratora
Wdrożenie podpisów biometrycznych wymaga zastosowania szczególnych zabezpieczeń:

  • szyfrowanie, pseudonimizacja, przechowywanie w osobnej bazie,

  • automatyczne usuwanie danych po określonym czasie,

  • testowanie systemów bezpieczeństwa,

  • zapewnienie odporności systemów na incydenty.

 

6. Privacy by design i default
System podpisów biometrycznych musi być zaprojektowany z uwzględnieniem ochrony prywatności od początku (privacy by design) i domyślnej ochrony danych (privacy by default).

 

Źródło: biuletyn UODO Nr 03/03/2025

Zobacz więcej aktualności