Biometrické údaje sú osobné údaje každej fyzickej osoby, na základe ktorých je možné osobu jednoznačne a nezameniteľne identifikovať (napr. odtlačok prsta, biometria tváre). Na základe Nariadenia GDPR a zákona č. 18/2018 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov sa biometrické údaje zaraďujú do osobitnej kategórie osobných údajov, ide teda o citlivé osobné údaje.
Na základe článku 9 ods. 1. NARIADENIA EURÓPSKEHO PARLAMENTU A RADY (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov) sa spracúvanie osobitných kategórií osobných údajov zakazuje. Osobitnými kategóriami osobných údajov sú údaje, ktoré odhaľujú rasový pôvod alebo etnický pôvod, politické názory, náboženskú vieru, filozofické presvedčenie, členstvo v odborových organizáciách, genetické údaje, biometrické údaje, údaje týkajúce sa zdravia alebo údaje týkajúce sa sexuálneho života alebo sexuálnej orientácie fyzickej osoby.
Podľa článku 9 ods. 2. NARIADENIA EURÓPSKEHO PARLAMENTU A RADY (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov) sa zákaz spracovania citlivých osobných údajov neuplatňuje, ak platí jedna z týchto podmienok:
a) dotknutá osoba vyjadrila výslovný súhlas so spracúvaním týchto osobných údajov na jeden alebo viacero určených účelov, s výnimkou prípadov, keď sa v práve Únie alebo v práve členského štátu stanovuje, že zákaz uvedený v odseku 1 nemôže dotknutá osoba zrušiť;
b) spracúvanie je nevyhnutné na účely plnenia povinností a výkonu osobitných práv prevádzkovateľa alebo dotknutej osoby v oblasti pracovného práva a práva sociálneho zabezpečenia a sociálnej ochrany, pokiaľ je to povolené právom Únie alebo právom členského štátu alebo kolektívnou zmluvou podľa práva členského štátu poskytujúcimi primerané záruky ochrany základných práv a záujmov dotknutej osoby;
c) spracúvanie je nevyhnutné na ochranu životne dôležitých záujmov dotknutej osoby alebo inej fyzickej osoby v prípade, že dotknutá osoba nie je fyzicky alebo právne spôsobilá vyjadriť svoj súhlas;
d) spracúvanie vykonáva v rámci svojej zákonnej činnosti s primeranými zárukami nadácia, združenie alebo akýkoľvek iný neziskový subjekt s politickým, filozofickým, náboženským alebo odborárskym zameraním a pod podmienkou, že spracúvanie sa týka výlučne členov alebo bývalých členov subjektu alebo osôb, ktoré majú pravidelný kontakt s ním v súvislosti s jeho cieľmi, a že bez súhlasu dotknutej osoby sa osobné údaje neposkytnú mimo tohto subjektu;
e) spracúvanie sa týka osobných údajov, ktoré dotknutá osoba preukázateľne zverejnila;
f) spracúvanie je nevyhnutné na preukazovanie, uplatňovanie alebo obhajovanie právnych nárokov, alebo kedykoľvek, keď súdy vykonávajú svoju súdnu právomoc;
g) spracúvanie je nevyhnutné z dôvodov významného verejného záujmu na základe práva Únie alebo práva členského štátu, ktoré sú primerané vzhľadom na sledovaný cieľ, rešpektujú podstatu práva na ochranu údajov a stanovujú vhodné a konkrétne opatrenia na zabezpečenie základných práv a záujmov dotknutej osoby;
h) spracúvanie je nevyhnutné na účely preventívneho alebo pracovného lekárstva, posúdenia pracovnej spôsobilosti zamestnanca, lekárskej diagnózy, poskytovania zdravotnej alebo sociálnej starostlivosti alebo liečby, alebo riadenia systémov a služieb zdravotnej alebo sociálnej starostlivosti na základe práva Únie alebo práva členského štátu alebo podľa zmluvy so zdravotníckym pracovníkom, a podlieha podmienkam a zárukám uvedeným v odseku 3;
i) spracúvanie je nevyhnutné z dôvodov verejného záujmu v oblasti verejného zdravia, ako je ochrana proti závažným cezhraničným ohrozeniam zdravia alebo zabezpečenie vysokej úrovne kvality a bezpečnosti zdravotnej starostlivosti a liekov alebo zdravotníckych pomôcok, na základe práva Únie alebo práva členského štátu, ktorým sa stanovujú vhodné a konkrétne opatrenia na ochranu práv a slobôd dotknutej osoby, najmä profesijné tajomstvo;
j) spracúvanie je nevyhnutné na účely archivácie vo verejnom záujme, alebo na účely vedeckého alebo historického výskumu či na štatistické účely podľa článku 89 ods. 1 na základe práva Únie alebo práva členského štátu, ktoré sú primerané vzhľadom na sledovaný cieľ, rešpektujú podstatu práva na ochranu údajov a určujú vhodné a konkrétne opatrenia na zabezpečenie základných práv a záujmov dotknutej osoby.
Z uvedených výnimiek nariadenia GDPR je zrejmé, že spracúvanie biometrických údajov je možné len vo výnimočných prípadoch. Za oprávnené spracovanie osobných údajov biometriou sa považujú napr. spoločnosti/ organizácie, ktoré prevádzkujú vedecko-výskumné laboratóriá, poprípade informácie s najvyšším stupňom utajenia a pod. Spracúvanie biometrických údajov zamestnanca na účely vedenia dochádzkového systému pre informačný systém mzdy a personalistika sa teda nepovažuje za primerané na dosiahnutie účelu. Je možné nájsť aj menej rázne spôsoby zásahu do súkromia zamestnanca (napr. využitím odfotografovania tváre zamestnanca, poprípade PIN).
Každý úmysel nasadenia biometrickej technológie by mal byť vopred konzultovaný so zodpovednou osobou (pokiaľ ju má prevádzkovateľ poverenú) a prevádzkovateľ by mal rešpektovať jej rady a usmernenia smerujúce k legalizácii úmyslu spojeného s praktickým využívaním a nasadením biometrickej technológie alebo jej nahradenie alternatívnou možnosťou s menším dopadom na ochranu súkromia dotknutých osôb a taktiež musí podliehať posúdeniu vplyvu na ochranu údajov (tzv. DPIA), kde je podstatné zameriavať sa na riziká pôsobiace na práva a slobody dotknutých osôb.