W niektórych krajach europejskich już istnieją tego typu regulacje. Przykładem może być Słowacja, Włochy i Luksemburg. Ustawy krajowe dla ujawnienia tych informacji przewidują albo zgodę osoby zainteresowanej albo nadzór organu kontrolującego przepływ danych.
W polskim prawie brakuje definicji legalnej danych biometrycznych - podkreśla dr Mednis. Co do danych wrażliwych, reguluje je dyrektywa unijna nr 95/46/WE z 1995 roku. Art.8 tej dyrektywy wymienia kategorie danych sensytywnych. Podobną definicję zawiera nasza ustawa o ochronie danych osobowych. Do polskich uregulowań dodano jedną cechę identyfikującą osobę – nałogi. A zatem niektóre dane wrażliwe to cechy biometryczne.

Ważny cel i zasada proporcjonalności

Orzecznictwo polskie w tej materii jest dość skąpe. Mamy jeden wyrok NSA w sprawie linii papilarnych z 1 grudnia 2009 roku (I OSK 249/09). Sąd nie kategoryzował tych danych jako sensytywnych.
Zgodnie z sentencja wyroku brak równowagi w relacji pracodawca pracownik stawia pod znakiem zapytania dobrowolność wyrażeniu zgody na pobieranie i przetworzenie danych biometrycznych. Z tego względu ustawodawca ograniczył art. 22 kodeksu pracy katalog danych, których pracodawca może żądać od pracownika. Uznanie faktu wyrażenia zgody na podstawie art. 23 ust. 1 pkt 1 ustawy o ochronie danych osobowych , jako okoliczności legalizującej pobranie od pracownika stanowiłoby obejście tego przepisu. Ryzyko naruszenia swobód i fundamentalnych praw obywatelskich musi być proporcjonalne do celu, któremu służy. Skoro zasada proporcjonalności wyrażona w art. 26 ust. 1 pkt 3 ustawy o ochronie danych osobowych, jest głównym kryterium przy podejmowaniu decyzji dotyczących przetwarzania danych biometrycznych , to stwierdzić należy, że wykorzystanie danych biometrycznych, do kontroli czasu pracy pracowników jest nieproporcjonalne do zamierzonego celu ich przetwarzania.   

Problemy praktyczne

Eksperci zwracają uwagę, że rozwój biometrii ogranicza prawa człowieka, narażone jest prawo do prywatności i swobodnego przemieszczania się. Z drugiej strony - dane biometryczne są bardzo przydatne w praktyce dla administracji, wymiaru sprawiedliwości i policji. Dlatego, że są uniwersalne, unikalne i niezmienne. I właśnie ze względu na te cechy należy rozważyć, czy nie stworzyć odrębnej kategorii danych sensytywnych.
Jak podaje dr Wojciech Wiewiórowski, GIODO, nowy projekt rozporządzenia w sprawie ochrony danych przygotowany przez Komisję UE, zgodnie z sugestią Inspektorów Danych państw członkowskich obejmuje tę problematykę. Projekt ma być poddany pod konsultacje, i wejdzie w życie dopiero w 2014 roku. Zastąpi obecnie obowiązującą dyrektywę w sprawie ochrony danych osobowych.
W projekcie znalazła się definicja danych biometrycznych określanych jako jakiekolwiek dane odnoszące się do fizycznych, fizjologicznych lub behawioralnych cech osób, które pozwalają jej unikalna identyfikację, takiej jak rozpoznawanie twarzy, czy daktyloskopia.
To rozporządzenie zalicza dane biometryczne do danych sensytywnych. Wobec tego przetwarzanie tych danych będzie ryzykowane. I będzie w szczególny sposób regulowane.