AI Act wprowadza zasady biometrii, łącząc zakazy i wymogi dla systemów wysokiego ryzyka. W budownictwie biometria zwiększa bezpieczeństwo i kontrolę, lecz wymaga certyfikacji, dokumentacji, edukacji oraz stałego monitorowania zgodności z RODO 2025.
Rozwój technologii biometrycznych, takich jak rozpoznawanie twarzy, identyfikacja głosu, analiza zachowań lub wykorzystanie danych śladów linii papilarnych, stał się jednym z kluczowych elementów współczesnych systemów bezpieczeństwa, kontroli dostępu i nadzoru. Ich rosnąca popularność wynika zarówno ze względów praktycznych, jak i ekonomicznych. Jednakże wykorzystanie biometrii to szczególne zagadnienie prawne, etyczne i techniczne w kontekście ochrony danych osobowych oraz ewentualnej inwigilacji. Sama nazwa biometria pochodzi od greckich słów „bíos” – życie oraz „métron” – miara. Zatem z naukowego punktu odniesienia biometria jest nauką o badaniu zmienności cech wśród populacji organizmów żywych, gdzie pomiar odbywa się z wykorzystaniem metod statystyki matematycznej [1].
Fot. © deepagopi2011 – stock.adobe.com
Pierwszy na świecie kompleksowy akt normatywny dotyczący sztucznej inteligencji – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2024/1689 z dnia 13 czerwca 2024 r. w sprawie ustanowienia zharmonizowanych przepisów dotyczących sztucznej inteligencji oraz zmiany rozporządzeń (WE) nr 300/2008, (UE) nr 167/2013, (UE) nr 168/2013, (UE) 2018/858, (UE) 2018/1139 i (UE) 2019/2144 oraz dyrektyw 2014/90/UE, (UE) 2016/797 i (UE) 2020/1828 (akt w sprawie sztucznej inteligencji) [2] określa ramy prawne dla systemów AI, w tym systemów wykorzystujących dane biometryczne.
Zgodnie z AI Act pojęcie danych biometrycznych stosowane w tym rozporządzeniu należy interpretować w świetle pojęcia danych biometrycznych zdefiniowanych w art. 4 pkt 14 rozporządzenia (UE) 2016/679 [3], art. 3 pkt 18 rozporządzenia (UE) 2018/1725 [4] i art. 3 pkt 13 dyrektywy (UE) 2016/680 [5]. Zatem nie jest to pojęcie nowe, gdyż po raz pierwszy zostało użyte w Rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) [3]. Zgodnie z rozporządzeniem według [3]: „«dane biometryczne» oznaczają dane osobowe, które wynikają ze specjalnego przetwarzania technicznego, dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej oraz umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby, takie jak wizerunek twarzy lub dane daktyloskopijne”.
Podobnie w Rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2018/1725 z dnia 23 października 2018 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje, organy i jednostki organizacyjne Unii i swobodnego przepływu takich danych oraz uchylenia rozporządzenia (WE) nr 45/2001 i decyzji nr 1247/2002/WE [4]: „«dane biometryczne» oznaczają dane osobowe, które wynikają ze specjalnego przetwarzania technicznego, dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej oraz umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby, takie jak wizerunek twarzy lub dane daktyloskopijne”.
Finalnie w Dyrektywie Parlamentu Europejskiego i Rady (UE) 2016/680 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych oraz uchylającej decyzję ramową Rady 2008/977/WSiSW [5]: „«dane biometryczne» oznaczają dane osobowe, które wynikają ze specjalnego przetwarzania technicznego, dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej oraz umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby fizycznej, takie jak wizerunek twarzy lub dane daktyloskopijne”.
Zatem kluczowe jest pojęcie danych biometrycznych, które w ramach AI Act odnosi się bezpośrednio do rozporządzenia RODO i jest ściśle związane z danymi osobowymi. Tym samym biometria, jako szczególna kategoria danych, jest bezpośrednio powiązana z pojęciem identyfikacji biometrycznej. Z kolei identyfikacja biometryczna to – zgodnie z AI Act – zautomatyzowane rozpoznawanie fizycznych, fizjologicznych i behawioralnych cech człowieka, takich jak: twarz, ruch gałki ocznej, kształt ciała, głos, właściwości mowy, chód, postawa, tętno, ciśnienie krwi, zapach lub sposób pisania na klawiaturze, w celu ustalenia tożsamości osoby fizycznej poprzez porównanie jej danych biometrycznych z danymi biometrycznymi osób fizycznych przechowywanymi w referencyjnej bazie danych, niezależnie od tego, czy osoba ta wyraziła na to zgodę. W tym kontekście AI Act zakazuje stosowania systemów AI, które wykorzystują biometrię w sposób naruszający prawa podstawowe. Przede wszystkim zakazana jest kategoryzacja biometryczna na podstawie takich aspektów jak płeć, wiek, kolor włosów, kolor oczu, tatuaże, cechy behawioralne bądź osobowości, język, religia, przynależność do mniejszości narodowej, orientacja seksualna lub poglądy polityczne.
Tym samym biometria została zakwalifikowana jako system wysokiego ryzyka. Część systemów biometrycznych nie jest zakazana, lecz podlega ścisłym wymogom właściwym dla systemów wysokiego ryzyka. Dotyczy to m.in. biometrycznych systemów identyfikacji osób, systemów kontroli obecności pracowników, systemów dostępu fizycznego (np. na place budowy) oraz systemów weryfikacji tożsamości.
>> Kradzież tożsamości w świecie cyfrowym – analiza prawna w aspekcie uprawnień budowlanych
>> Ochrona danych osobowych osób i pracowników na budowie
>> Praca inżyniera ze sztuczną inteligencją. Na jakie przepisy powinien się on przygotować
>> Odpowiedzialność dyscyplinarna inżynierów budownictwa
Można zatem postawić pytanie, czy pracodawca, stosując jako podstawę prawną art. 22ª Kodeksu pracy [6], może wprowadzić monitoring czasu pracy ustalający obecność pracownika na podstawie danych geolokalizacyjnych zawartych w telefonie, z uwzględnieniem potwierdzania tej obecności za pomocą wizerunku twarzy pracownika przesyłanego z wykorzystaniem internetu lub sieci GSM [7]. Urząd Ochrony Danych Osobowych w publikowanych wytycznych i stanowiskach wskazuje, że rejestracja czasu pracy za pomocą danych biometrycznych nie jest zgodna z RODO. Podobnie korzystanie z geolokalizacji na bazie telefonów pracowników to zbyt daleko idąca ingerencja w ich prywatność, która nie jest uzasadniona celem przetwarzania danych.
W kontekście aktualnego stanu prawnego należy rozważyć, czy pracodawca może zastosować system rozpoznawania twarzy w miejscu pracy [8]. Co do zasady według M. Olender [8]: „pracodawca nie może stosować systemu rozpoznawania twarzy w miejscu pracy w celu identyfikowania osób obcych na terenie budynku, chyba że pracodawca wykaże, że wykorzystanie biometrii jest niezbędne ze względu na kontrolę dostępu do szczególnie ważnych informacji, których ujawnienie może narazić pracodawcę na szkodę, lub kontrolę dostępu do pomieszczeń wymagających szczególnej ochrony”.
AI Act wprowadza przełomowe regulacje dotyczące biometrii, tworząc spójne ramy prawne obejmujące zarówno zakazy, jak i wymogi dotyczące systemów wysokiego ryzyka. Biometria w budownictwie ma ogromny potencjał – poprawia bezpieczeństwo, usprawnia zarządzanie kadrą i minimalizuje ryzyko nadużyć. Jednocześnie jej stosowanie musi uwzględniać odpowiednie przygotowanie dokumentacji, wybór certyfikowanych systemów wysokiego ryzyka, edukację pracowników i podwykonawców oraz stałe monitorowanie zgodności z AI Act i RODO.
dr Waldemar Szymański
prokurator, wykładowca akademicki, wykładowca na studiach podyplomowych Warszawskiego Uniwersytetu Medycznego
Literatura
[1] Tomaszewska-Michalak M., Pismo ręczne jako cecha biometryczna [dostęp 18.11.2025], Academicon: https://ojs.academicon.pl.
[2] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2024/1689 z dnia 13 czerwca 2024 r. w sprawie ustanowienia zharmonizowanych przepisów dotyczących sztucznej inteligencji oraz zmiany rozporządzeń (WE) nr 300/2008, (UE) nr 167/2013, (UE) nr 168/2013, (UE) 2018/858, (UE) 2018/1139 i (UE) 2019/2144 oraz dyrektyw 2014/90/UE, (UE) 2016/797 i (UE) 2020/1828 (akt w sprawie sztucznej inteligencji).
[3] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U.UE.L.2016.119.1).
[4] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2018/1725 z dnia 23 października 2018 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje, organy i jednostki organizacyjne Unii i swobodnego przepływu takich danych oraz uchylenia rozporządzenia (WE) nr 45/2001 i decyzji nr 1247/2002/WE (Dz.U.UE.L.2018.295.39).
[5] Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/680 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych oraz uchylająca decyzję ramową Rady 2008/977/WSiSW (Dz.U.UE.L.2016.119.89).
[6] Ustawa z dnia 26 czerwca 1974 r. Kodeks pracy (t.j. Dz.U. z 2025 r. poz. 277).
[7] Grzegorczyk M., Czy rejestracja czasu pracy na podstawie biometrii i geolokalizacji jest dopuszczalna”, 4A 1639418, LEX/el.
[8] Olender M., Czy pracodawca może zastosować system rozpoznawania twarzy w miejscu pracy, w celu identyfikowania osób obcych na terenie budynku”, 4A 2729669, LEX/el.
