根據《通用數據保護條例》GDPR的規定，除某些例外情況，一般應禁止處理生物特征識別數據。使用特殊的技術方法處理的數據，例如指紋、臉部圖像、視網膜、眼睛的虹膜、人的行為或心理特征，由于這些數據在一定程度上來說是不容易改變的，所以可以唯一地標識和定義到個人。因此，個人一般無法像改變姓名、居住地址等數據一樣更改生物特征識別數據。這類特殊類型的個人數據如果發生泄露，對個人的權利和自由帶來的侵害風險將非常高，而且持續時間也會非常長，極有可能伴隨個人終生。因此，數據控制者和數據處理者應當僅在非常例外的情況下才能讀生物特征數據進行處理。

　　GDPR的主要規定：個人同意條款和相關的條件

　　GDPR規定，針對生物特征識別數據的收集和處理，數據主體必須以書面（包括電子形式）或口頭陳述的形式明確、自愿、知情并直接地表示同意。因此，同意的基本前提是自愿的、特定的、有意識的和明確的。此外，同意方應知道同意的目的。

　　自愿同意的要求意味著，在表達同意方面，數據主體必須有真正進行選擇的自由，并且可以自由的拒絕或撤回同意，而不會產生不利后果。因此，如果個人對處理其個人數據沒有賦予同意，那么也不應該導致歧視個人、所提供的的服務質量下降或無法使用的不良后果。

　　生物識別技術的現實應用：既普遍又有吸引力

　　在實踐中，數據控制者越來越希望使用個人的生物識別數據。導致這一情況的原因有很多。其中最為重要的就是，生物識別特征數據的使用能夠給數據控制者提供服務和開展業務帶來極大的便利。在實踐中，數據控制者很容易獲得一些生物特征數據使得服務的效率更高，例如，通過將手指放在閱讀器上或將眼睛放在掃描儀上就可以實現對個人身份的驗證；通過個人的指紋數據的使用就可以控制房間或建筑物的出入。這些生物特征識別數據的收集和使用更加高效和精準，相較于以往的輸入密碼和使用感應卡來說，都具有很大的優勢，速度更快，方式更便捷，準確性也更高。

　　生物識別技術的應用范圍非常廣，這同時也意味著，歐洲數據保護監管機構將在執法等實踐中遇到越來越多的與生物識別技術有關的個人數據保護問題。

　　但是，同時也應當確定，如果生物特征識別數據的使用沒有滿足相關領域或行業規定的最小化原則，那么，數據控制者就無法對生物特征數據進行處理。因此，在實踐中，數據控制者應當特別注意，可以通過僅獲得實現特定目的所需的數據來實現對個人數據的處理。

　　波蘭數據保護機構在2020年4月28日的指南中指出了這一點，強調數據控制者和數據處理者應當評估是否必須通過生物特征識別數據來對個人進行身份驗證，是否考慮了其中可能存在的安全問題等。波蘭數據保護機構表示，生物特征識別數據的使用非常需要確保安全性，因此可以使用生物識別技術來賦予個人控制對房間進行訪問的權利，但進入其他房間（例如車間）時，則不宜使用生物特征識別數據。

　　另外，在2019年，瑞典個人數據保護監管機構也對一所學校處理生物特征數據的行為進行了調查。該學校使用學生面部特征數據確認學生的相關狀態。該學校表示同意是這一數據處理行為的合法性基礎。但在這種情況下，瑞典個人數據保護機構仍然對學校進行了罰款。瑞典個人數據保護機構給出的理由是：處理特殊類別的數據一方面必須具有處理的合法性基礎，同時也必須遵守個人數據處理的基本原則。因此，如果同意的事項并不符合GDPR中規定的最小化、目的限制等基本原則，那么同意也就不能成為處理個人數據的合法性基礎。瑞典法院對該學校處理生物特征數據的依據也提出異議，該法院裁定，基于學生與學校行政管理部門之間的“不平等”關系，學生無法針對個人數據處理行為自由的表達同意。

　　存在的問題：個人被識別與產生歧視

　　生物特征識別數據的收集和處理一般應在以下目標的限制內進行：一是要符合數據主體的意愿，二是要通過足夠水平的風險評估對其中可能存在的風險進行分析和論證，三是要盡量減少可能對個人隱私產生的侵害。在波蘭，數據控制者和數據處理者都傾向于使用生物特征識別數據。但是對此類數據進行的處理，并不總是能夠達到以上目標。

　　在波蘭的一所學校使用學生的生物特征識別數據的案例中，學校在食堂的入口處設置了生物數據識別系統，使得學生可以通過這種方式進行餐費支付。當針對該學校的管理員進行訴訟時，個人數據保護辦公室確定，波蘭立法中針對學校可以從學生那里收集使用的數據類型已經做出了明確的規定，而且不允許學校處理生物特征數據。在這種情況下，學校依然獲得了指紋形式的生物識別數據，并聲稱根據父母或法定監護人的書面同意對這些生物特征數據進行了處理。個人數據保護辦公室在其決定中指出，對實現學生支付餐費從而正常午餐的目標而言，生物特征識別數據的處理不是必需的，學校完全可以通過其他不會干擾學生隱私的方式進行身份識別。例如，除了指紋識別系統外，學校還設置了一個基于電子卡的識別系統。但是，那些父母不同意處理其生物特征數據的孩子必須在自助餐廳隊列中排在所有進行指紋識別的孩子后面。因此，監管機構得出結論認為，存在對這些人的歧視。此外，在這種情況下，此種生物特征識別數據的處理與其目的是不成比例的。

　　關于法院的判決和先前的判例

　　波蘭個人數據保護辦公室（UODO）的主席對該學校處以20,000波蘭茲羅提的罰款，同時命令學校刪除了這些數據。但是，學校向省行政法院提起了上訴，該法院推翻了UODO的決定。在這種情況下，省級行政法院裁定，《民事訴訟法》和 GDPR中均已經規定了監護人的同意，以使兒童生物特征數據的收集和處理合法化。

　　但是，UODO卻認為，父母授予處理孩子生物特征數據的同意不能被視為是自愿的，因為不做出同意就會產生負面影響，例如必須讓孩子們排在最后吃飯，基于此，父母只能同意。

　　同時，UODO認為，波蘭最高行政法院在2009年12月1日的判決中，提供的參考文件（ OSK 249/09）中明確，使用員工的生物特征數據來控制工作時間違反了個人數據處理的充分性原則，使用生物特征數據控制員工的工作時間與處理工作的預期目的是不成比例的。省行政法院的裁決與最高行政法院的先前裁決是相抵觸的。

　　但省行政法院認為，UODO在應用數據最小化原則方面過于嚴格。該法院指出，應將必要性要求與充分性、適當性要求放在一起進行考慮，同時考慮到各種情況，法院認為在此類案例中允許處理生物特征數據可能大大有助于實現處理目的。

　　UODO不同意這一裁決，其認為數據控制者只能處理實現特定目的所需的數據。如果只是為了幫助實現某一目的而允許不必要的數據處理，可能會導致以各種借口對無限范圍的數據進行處理。數據控制者可以解釋數據雖然不是必需的，但對于實現給定的目的可能是很有用的。這種做法明顯將違反個人數據保護的最小化和適當性原則。

　　考慮到與數據處理相關的風險，以及GDPR中規定的基本原則，UODO針對上述省級行政法院的判決向最高行政法院提出了撤銷原判的上訴從而廢除了該決定。

　　GDPR非常重視保護兒童的個人數據，考慮到對兒童的風險、后果、保障和權利以及生物特征識別數據的不可變性，通過生物特征識別數據的使用可能產生的負面后果將持續一生，因此對這一問題的處理應當慎重。