Биометрични данни, между предимствата на технологията и опасенията за човешката сигурност

Автор: Александру Урзика/Дата на публикуване: 13-02-2017 13:02

опасенията

В Румъния процесите, свързани с биометрични данни, не подлежат на подробен или специален регламент, а Националният орган за надзор на обработката на лични данни, но също така съдилищата са доста консервативни при анализа на пропорционалността на използването на биометрични технологии.

откъс: Биометрията комбинира технологии, които идентифицират лице/удостоверяват идентификацията на човек въз основа на физически или дори поведенчески характеристики. Развитието на биометрията се е развило със зашеметяващи темпове, от технологии, базирани на пръстови отпечатъци, до такива, базирани на разпознаване на ириса, разпознаване на лицето или дори биологичен ритъм или поведенчески характеристики, като специфични характеристики на походката на човек. Тъй като сме в ерата на скоростта и опростяването, биометричното удостоверяване става все по-често, включително в системите за достъп в институции или в публични или частни пространства, но също и в търговията.

Ако биометричните технологии могат да улеснят нашия живот, не по-малко вярно е, че те събират данни, които влизат в по-широката сфера на личните данни и са свързани с опасения за сигурността на индивида.

В Румъния процесите, свързани с биометрични данни, не са предмет на подробен или специален регламент, а Националният орган за надзор на обработката на лични данни ("власт”), Но също така съдилищата са доста консервативни при анализа на пропорционалността на използването на биометрични технологии. Реалността обаче ни показва, че по този въпрос сме на еднопосочна магистрала и властите, имащи правомощията да приемат законодателство и да вземат решения, винаги трябва да намерят баланса между предимствата на биометричните технологии и рисковете, които те пораждат.

Биометричните технологии включват улавяне на биометричните данни на човек, трансформирането им в биометричен модел, съхраняването им в база данни и след това проверка на самоличността на това лице чрез сравняване на биометричния модел със съответната характеристика на индивида.

Тези системи осигуряват бърза идентификация и имат нисък процент на откази. Очевидно е, че идентификацията с четец на пръстови отпечатъци е по-бърза от използването на например лична карта. В същото време, тъй като идентификацията се извършва чрез уникална характеристика на човека и чрез елиминиране на човешкия фактор, идентификацията е по-сигурна.

Биометричните технологии и техните резултати в процеса на идентификация/удостоверяване обаче не са имунизирани срещу критики. Първо, технологиите също са критикувани от гледна точка на сигурността, тъй като не изключват риска от кражба на самоличност (например чрез използване на фалшиви пръстови отпечатъци от изкуствени материали). Освен това има критики относно инвазивния, агресивен и неподходящ (натрапчив) характер на тези технологии, които биха надхвърлили целта, за която се използват (например, според някои проучвания, пръстовите отпечатъци могат да разкрият други чувствителни данни за човека, съответно информация за произхода етническа принадлежност на лицето).

Позовават се и на рисковете за сигурността на бази данни, съдържащи биометрични данни. От тази гледна точка трябва да се отбележи, че изглежда има по-лесни за ползване технологии, които премахват този риск, тъй като биха позволили идентифицирането и биометричното удостоверяване на дадено лице, без да води до съхранение на данни в база данни, а до тяхното съхранение в база данни. устройство за управление на това лице (например смартфон).

  1. Биометрични данни в законатвземете лични данни

Понятието биометрични данни не е изрично дефинирано или регламентирано в Закон №. 677/2001 относно защитата на физическите лица по отношение на обработката на лични данни и относно свободното движение на такива данни ("Закон 677/2001'); освен това не е определено в Директива 95/46/ЕО относно защитата на физическите лица по отношение на обработката на лични данни и относно свободното движение на такива данни ("Директива 95/46/ЕО").

Определението обаче произтича от становището на работната група по член 29, според която биометричните данни са „биологични, поведенчески свойства, психологически характеристики, черти или повтарящи се действия, ако тези характеристики или действия са уникални за даден индивид, измерими, дори ако моделите, използвани на практика за тяхното измерване предполага степен на вероятност (несигурност) "

Освен това самият Закон 677/2001 може да бъде разглеждан чрез тълкуване, като се позовава на този тип данни, регулиращи категорията „лични данни, имащи функция за идентифициране на обща приложимост“, които могат да включват и биометрични данни, при положение че те се състоят от характеристики на тялото, които по принцип не могат да бъдат променяни и които могат да се разчитат от автоматични инструменти. В допълнение, биометричните данни са изрично посочени сред категориите данни, за които задължението за уведомяване остава валидно в Решение № на органа. 200/2015 за установяване на дела за обработка на лични данни, за които не се изисква уведомяване, както и за изменение и отмяна на определени решения. Следователно може да се заключи, че биометричните данни се регулират от румънското законодателство, макар и по много ограничен начин и чрез акт от вторичен правен характер.

  1. Граници на обработка на биометрични данни съгласно законатвие сте от Румъния

Съгласно Закон 677/2001 като цяло личните данни трябва да бъдат „адекватни, подходящи и не прекомерни по отношение на целта, за която се събират и впоследствие се обработват“. В допълнение, биометричните данни могат да бъдат обработвани изключително въз основа на изричното съгласие на субекта на данните или ако обработването е изрично разрешено от закона.

Що се отнася до адекватността, релевантността и непрекомерността, нито законът, нито вторичните разпоредби не дават насоки. По този начин степента, до която събраните данни са адекватни, подходящи и не са прекомерни, става обект на тълкуване.

Като пример Органът счете, че системата за отчитане на времето, работеща на базата на четец на пръстови отпечатъци, включва прекомерна обработка по отношение на предвидената цел. Тълкуването на Органа беше възприето от съда, призован да отмени тълкуването и мерките на Органа, като съдът постанови, че „няма оправдание за използването на електронната система за измерване на времето на служителите, времето им може да бъде направено по друг начин [...] неприкосновеността на личния им живот и балансът между преследваната цел, а именно наблюдението на присъствието им на работа и спазването на правата на служителите, биха били нарушени ”. По същия начин друг съд констатира, че „електронната система за хронометриране с биометрични данни не е ефективна, тъй като няма оправдание за използването на тази система, стига хронометрирането на служителите да може да се извършва с други средства, които не увреждат поверителността на служителите. ".

Без да се оспорва преценката на стойността в горепосочените решения, по отношение на мащаба на тези технологии, техните рискове, но също така и техните ползи, усилията за оценка и тълкуване на властите трябва да бъдат приети и конструктивни. Винаги ще има алтернативни решения за наблюдение на присъствието на служители, например, но биометричните технологии вече няма да могат да бъдат отхвърлени при никакви обстоятелства. В ерата на изкуствения интелект анализът на степента, до която дадена технология не осигурява достатъчна защита, ще бъде все по-необходим.

От тази гледна точка, ние напомняме, както направихме по-горе, че има информация за съществуването на лесни за ползване технологии, които не позволяват съхраняването на биометрични данни в бази данни, но тяхното незабавно изтриване след постигане на целта за удостоверяване. По същия начин Работна група по член 29 посочва в едно от своите възгледи, че криптирането на биометрични данни и съхраняването на код във форма, в която информацията не може да се използва за представяне на биометрични данни в първоначалния им вид, трябва да осигури ниво на адекватна сигурност. Властите ще се нуждаят от необходимата подкрепа за оценка на аргументите на страните, искане на ангажименти и вземане на подходящи решения.

Като пример споменаваме решението на френския орган за защита на данните, който обяви на 27 септември 2016 г., че е актуализирал своята доктрина и е приел решение за обработката на биометрични данни, за да е в крак с развитието на технологиите. По отношение на системите за достъп до работното пространство, основани на биометрични данни, Органът налага три основни задължения: (i) да обоснове използването на системата, като вземе предвид степента, до която могат да се използват по-малко инвазивни средства; (ii) демонстриране, че системите са проектирани да гарантират сигурността и поверителността на обработката; и (iii) осигуряване на начин за съхранение на данните. Същевременно се насърчава приемането на мерки за намаляване на рисковете за сигурността, като криптиране.

  1. Перспектива

Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 г. относно защитата на физическите лица по отношение на обработването на лични данни и относно свободното движение на такива данни, който ще влезе в сила през май 2018 г. изрично биометрични данни, като ги споменава между категориите специални данни. По правило тяхната обработка е възможна със съгласието на субекта на данните, както и при определени условия с цел изпълнение на определени задължения и упражняване на специфични права на оператора или субекта на данни в областта на заетостта, когато обработването е необходимо за свързани цели. на превантивна или трудова медицина. Освен това държавите-членки могат да въведат допълнителни ограничения за обработката на биометрични данни.

Предвид гореизложеното, намесата на Органа чрез издаване на процедури и насоки относно приемливостта на обработката на биометрични данни е полезна. Еволюцията на технологиите е неизбежна и властите (както регулаторни, така и съдебни) не могат да игнорират вятъра на промяната и ускорената адаптивност на конкурентната икономическа среда. Като такива, както по отношение на регулирането, така и обсъждането в случаите, когато те са призовани да се произнесат, властите трябва да намерят баланса, за който се позовава в началото на този материал, между полезността на най-съвременните технологии и техните рискове, за да защитят не по-малко субектът на данни, но и икономическият интерес на операторите.

Моника Янку, партньор на PeliFilip
Марку Флореа, сътрудник PeliFilip