בשנת 2012 התקבלה החלטת ממשלה (מספר 4510) המטילה על הממונה לגבש את המדיניות האמורה. כחלק מהמדיניות, ועל-מנת ליצור תשתית תכליתית ליישום אחראי של יישומים ביומטריים, גובשו גם "קווים מנחים לניהול יישומים ביומטרים", המבקשים להציג את נקודת האיזון בין התועלות הטמונות ביישומים הביומטריים ובין הסיכונים (למידע, לפרטיות ולביטחון).
מסמך המדיניות מציין כי הצורך בקביעתה נובע משלוש סיבות מרכזיות: (1) מדובר בטכנולוגיה שיש בה כדי להביא להתייעלות, לרווחים, לשיפור תהליכים, להרחבה ולהנגשה של שירותים רבים במגזר הממשלתי-ציבורי ובמגזר הפרטי, שיינתנו לתושבי המדינה בצורה יעילה יותר באופן משמעותי וכי יש לוודא כי פוטנציאל זה אכן יבוא לידי ביטוי בצורה נכונה ומאוזנת; (2) הסיכון הפוטנציאלי הקיים בגניבת זהויות ובשיבוש מאגרי מידע, העלולים להוביל לנזק; ו- (3) הצורך לוודא את ההגנה על הפרטיות בכלל ובאשר להקמת מאגרי מידע ביומטריים בפרט.
מסמך המדיניות מציין כי ישראל נמצאת על סיפו של "העידן הביומטרי" וכי האתגר הוא כניסה מתוכננת לעידן זה, כאשר עיקרון היסוד של במסמך הוא איזון בין התועלות הצומחות משימוש ביישומים ביומטריים ובין החובה להגן על הפרטיות, המידע והביטחון.
בבסיס מסמך המדיניות עומדות שלוש שאלות יסוד שעליהן מבקש המסמך להשיב. השאלה הראשונה היא - האם יש צורך בהתערבות המדינה? לכך משיב המסמך בחיוב, היינו - על המדינה להבטיח את הסדרתו המאוזנת של התחום, משום שיישומים ביומטריים הם אמצעי עזר אפקטיבי בתחום ההזדהות הבטוחה, אולם בצד היתרונות הרבים טמון גם פוטנציאל נזק. הואיל ומדובר בטכנולוגיה חדשנית, המתפתחת בקצב מהיר והשפעתה גדולה - היא מצריכה התייחסות מיוחדת. הממונה סבור כי יש להיערך כבר בשלב זה ליצירת תשתית הסדרה מאוזנת המאפשרת את מימוש התועלות הגלומות בביומטריה מחד, וצמצום הסיכונים הטמונים בה מאידך.
שאלת היסוד השנייה היא באיזו מידה ובאיזה אופן על הממשלה להתערב בשוק, על מגזריו השונים, על-מנת להנחות ולכוון את אופן מימושם של יישומים ביומטריים? בעניין זה מציין מסמך המדיניות כי על-מנת לקבוע את מידת המעורבות הממשלתית במגזרים השונים, ביחס לניהול יישומים ביומטריים בישראל, נבנה מודל של "גבולות גזרה", הכולל שורה של תבחינים המסייעים לקבוע באילו מקרים יש מקום למעורבות. מודל זה מצביע על המגזרים, סוג המשתמשים והיקפם וסוגי המידע בעניינם נדרשת הסדרה במסלולים שונים, בהתאם למאפייניו של היישום.
בהקשר זה, הממונה ילווה הקמה של יישומים ביומטריים ממשלתיים חדשים, כאשר אכיפה ופיקוח בתחום זה תבוצע בעיקר על-ידי רגולטורים קיימים (ובפרט הרשות למשפט, טכנולוגיה ומידע במשרד המשפטים (רמו"ט)), במסגרת הסמכויות שמקנה להן הדין ובהתייעצות עם הממונה.
שאלת היסוד השלישית היא כיצד נכון לאפשר הקמה ושימוש ביישומים ביומטריים באופן שיביא למירב התועלות, תוך הגנה מיטבית על הפרטיות, המידע והביטחון? בעניין זה מציין מסמך המדיניות כי מימוש נכון של יישומים ביומטריים יתבסס על "קווים מנחים", שיפרטו כללי "עשה" ו"אל תעשה" במתכונת כללית שתותאם לארגון וליישום הספציפי. כמו כן, יוכנו הנחיות ייעודיות ליישומים מסוימים (כפי שנעשה בעבר ביחס למערכות נוכחות עובדים מבוססות ביומטריה).
הממונה מפרט כי גיבוש המדיניות נועד להתמודד עם הסיכונים הבאים:
- שימוש לרעה במידע ביומטרי, בפרט על-ידי הצלבתו עם מידע נוסף, במטרה לזהות אדם בניגוד לרצונו ולהשתמש במידע בכדי לפגוע פגיעה פיזית, נפשית, כלכלית או בפרטיות, של אדם מסוים או של קבוצת אנשים, עד כדי סיכון בטחוני ברמת המדינה, או פגיעה בניהולה התקין;
- היעדר תשתית חוקית מתאימה הנחוצה להקמת יישומים ביומטריים בצורה אחראית.