Biometrické údaje medzi výhodami technológie a obavami o bezpečnosť ľudí

Autor: Alexandru Urzică/Dátum uverejnenia: 13-02-2017 13:02

údaje

V Rumunsku procesy súvisiace s biometrickými údajmi nepodliehajú podrobným ani osobitným predpisom a Národný úrad pre dohľad nad spracovaním osobných údajov, ale aj súdy sú pri analýze proporcionality používania biometrických technológií skôr konzervatívne.

výňatok: Biometria kombinuje technológie, ktoré identifikujú osobu/overujú identifikáciu osoby na základe fyzických alebo dokonca behaviorálnych charakteristík. Vývoj biometrických údajov prebiehal závratným tempom, od technológií založených na odtlačkoch prstov až po technológie založené na rozpoznávaní dúhovky, rozpoznávaní tváre alebo dokonca biologickom rytme či vlastnostiach správania, ako sú napríklad špecifické črty chôdze človeka. Pretože sme v dobe rýchlosti a zjednodušovania, biometrická autentifikácia je čoraz bežnejšia, a to aj v prístupových systémoch v inštitúciách alebo vo verejných alebo súkromných priestoroch, ale aj v obchode.

Ak biometrické technológie môžu uľahčiť náš život, nie je menej pravdou, že zhromažďujú údaje, ktoré sa dostávajú do širšej sféry osobných údajov a sú spojené s obavami o bezpečnosť jednotlivca.

V Rumunsku nepodliehajú procesy súvisiace s biometrickými údajmi podrobným ani osobitným predpisom a Národný úrad pre dohľad nad spracovaním osobných údajov (“orgánu”), Ale aj súdy boli pri analýze proporcionality používania biometrických technológií skôr konzervatívne. Realita nám však ukazuje, že v tejto veci sme na jednosmernej diaľnici a orgány, ktoré majú právomoc vydávať zákony a rozhodovať, musia vždy nájsť rovnováhu medzi výhodami biometrických technológií a rizikami, ktoré z nich vyplývajú.

Biometrické technológie zahŕňajú zachytenie biometrických údajov osoby, ich transformáciu do biometrického vzoru, ich uloženie do databázy a následné overenie identity tejto osoby porovnaním biometrického vzoru s príslušnou charakteristikou jednotlivca.

Tieto systémy zabezpečujú rýchlu identifikáciu a majú nízku poruchovosť. Je zrejmé, že identifikácia pomocou čítačky odtlačkov prstov je rýchlejšia ako pri použití napríklad občianskeho preukazu. Zároveň sa identifikácia stáva bezpečnejšou, pretože sa identifikácia uskutočňuje prostredníctvom jedinečných charakteristík osoby a elimináciou ľudského faktora.

Biometrické technológie a ich výsledky v procese identifikácie/autentifikácie však nie sú imunné voči kritike. Po prvé, technológiám sa tiež kritizuje bezpečnosť, pretože nevylučujú riziko krádeže identity (napríklad použitím falošných odtlačkov prstov vyrobených z umelých materiálov). Okrem toho sa kritizuje invazívna, agresívna a nevhodná (dotieravá) povaha týchto technológií, ktorá by presahovala účel, na ktorý sa používajú (napríklad podľa niektorých štúdií môžu odtlačky prstov odhaliť ďalšie citlivé údaje o osobe, respektíve informácie o pôvode). etnická príslušnosť osoby).

Uvádzajú sa tiež bezpečnostné riziká databáz obsahujúcich biometrické údaje. Z tohto hľadiska je potrebné poznamenať, že sa zdá, že existujú užívateľsky prívetivejšie technológie, ktoré toto riziko odstraňujú, pretože by umožňovali biometrickú identifikáciu a autentifikáciu osoby bez toho, aby to viedlo k ukladaniu údajov do databázy, ale k ich ukladaniu do databázy. zariadenie, ktoré táto osoba ovláda (napríklad smartphone).

  1. Biometrické údaje v zákoneţbrať osobné údaje

Pojem biometrické údaje nie je výslovne definovaný ani upravený v zákone č. 677/2001 o ochrane fyzických osôb pri spracovaní osobných údajov a voľnom pohybe týchto údajov ("Zákon 677/2001'); okrem toho to nie je definované v smernici 95/46/ES o ochrane fyzických osôb pri spracovaní osobných údajov a voľnom pohybe týchto údajov ("Smernica 95/46/ES„).

Definícia však vyplýva zo stanoviska pracovnej skupiny podľa článku 29, podľa ktorej sú biometrické údaje „biologické, behaviorálne vlastnosti, psychologické vlastnosti, vlastnosti alebo opakované činnosti, ak sú tieto vlastnosti alebo činnosti pre jednotlivca jedinečné, merateľné, aj keď vzorce používané v praxi pre ich meranie predpokladá stupeň pravdepodobnosti (neistoty) "

Samotný zákon 677/2001 navyše možno interpretáciou považovať za odkaz na tento typ údajov regulujúcich kategóriu „osobných údajov, ktoré majú všeobecnú použiteľnosť“, čo môže zahŕňať aj biometrické údaje, pretože sa skladajú z vlastnosti tela, ktoré sa spravidla nedajú zmeniť a ktoré je možné načítať automatickými prístrojmi. Okrem toho sú biometrické údaje výslovne uvedené medzi kategóriami údajov, pre ktoré oznamovacia povinnosť zostáva v platnosti v rozhodnutí orgánu č. 200/2015 o zisťovaní prípadov spracúvania osobných údajov, pri ktorých sa nevyžaduje oznámenie, ako aj o zmene a zrušení niektorých rozhodnutí. Preto možno vyvodiť záver, že biometrické údaje sú regulované rumunskými právnymi predpismi, aj keď veľmi obmedzeným spôsobom a aktom sekundárnej právnej povahy.

  1. Limity spracovania biometrických údajov podľa zákonaţsi z Rumunska

Podľa zákona č. 677/2001 musia byť osobné údaje vo všeobecnosti „adekvátne, relevantné a neprimerané vo vzťahu k účelu, na ktorý sa zhromažďujú a následne spracúvajú“. Okrem toho môžu byť biometrické údaje spracúvané výlučne na základe výslovného súhlasu dotknutej osoby alebo ak je spracúvanie výslovne povolené zákonom.

Pokiaľ ide o primeranosť, relevantnosť a neprebytočnosť, zákon ani sekundárne nariadenia neposkytujú usmernenie. Rozsah, v akom sú zhromaždené údaje adekvátne, relevantné a neprimerané, sa tak stáva predmetom interpretácie.

Dozorný úrad napríklad usúdil, že systém časomiery fungujúci na základe čítačky odtlačkov prstov vyžadoval nadmerné spracovanie v súvislosti so zamýšľaným účelom. Výklad Dozorného orgánu prijal súd vyzvaný na zrušenie výkladu a opatrení Dozorného orgánu, pričom súd rozhodol, že ich súkromie a porušilo by rovnováhu medzi sledovaným účelom, a to monitorovaním ich prítomnosti v práci a rešpektovaním práv zamestnancov “. Iný súd rovnako zistil, že „systém elektronického časomiery s biometrickými údajmi nie je efektívny, pretože jeho použitie nie je opodstatnené, pokiaľ je možné zamestnancov načasovať inými prostriedkami, ktoré nepoškodia súkromie zamestnancov. „.

Bez spochybnenia hodnotového úsudku v rozhodnutiach uvedených vyššie, vo vzťahu k rozsahu týchto technológií, ich rizikám, ale aj ich výhodám, je potrebné predpokladať a konštruktívne úsilie o hodnotenie a interpretáciu orgánov. Napríklad vždy budú existovať alternatívne riešenia na sledovanie prítomnosti zamestnancov, ale biometrické technológie už nebude možné za žiadnych okolností odmietnuť. V dobe umelej inteligencie bude čoraz potrebnejšia analýza rozsahu, v akom technológia neposkytuje dostatočnú ochranu.

Z tohto pohľadu pripomíname, ako sme to už robili vyššie, že existujú informácie o existencii užívateľsky príjemných technológií, ktoré neumožňujú ukladanie biometrických údajov do databáz, ale ich okamžité vymazanie po dosiahnutí účelu autentifikácie. Podobne pracovná skupina zriadená podľa článku 29 v jednom zo svojich stanovísk uvádza, že šifrovanie biometrických údajov a ukladanie kódu vo forme, v ktorej sa informácie nemôžu použiť na vykreslenie biometrických údajov v pôvodnej podobe, by mali poskytovať úroveň primeraná bezpečnosť. Orgány budú potrebovať potrebnú podporu na vyhodnotenie argumentov strán, na vyžiadanie záväzkov a na prijatie vhodných rozhodnutí.

Ako príklad uvádzame rozhodnutie francúzskeho orgánu na ochranu údajov, ktorý 27. septembra 2016 oznámil, že aktualizoval svoju doktrínu a prijal rozhodnutie o spracovaní biometrických údajov, aby držal krok s vývojom technológie. Pokiaľ ide o systémy prístupu do pracovného priestoru založené na biometrických údajoch, úrad ukladá tri hlavné povinnosti: i) zdôvodniť použitie systému zohľadnením rozsahu, v akom je možné použiť menej invazívne prostriedky; ii) preukázanie, že systémy sú určené na zabezpečenie bezpečnosti a dôvernosti spracovania, a iii) poskytnutie záruky, ako budú údaje uložené. Zároveň sa odporúča prijatie opatrení na zníženie bezpečnostných rizík, napríklad šifrovania.

  1. Perspektíva

Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracovaní osobných údajov a o voľnom pohybe týchto údajov, ktoré nadobudne účinnosť v máji 2018 výslovne biometrické údaje a uvádza ich medzi špeciálnymi kategóriami údajov. Ich spracúvanie je spravidla možné so súhlasom dotknutej osoby, ako aj za určitých podmienok na účely plnenia určitých povinností a výkonu konkrétnych práv prevádzkovateľa alebo dotknutej osoby v oblasti zamestnania, ak je spracúvanie nevyhnutné na súvisiace účely. preventívneho alebo pracovného lekárstva. Členské štáty môžu navyše zaviesť ďalšie obmedzenia týkajúce sa spracovania biometrických údajov.

Vzhľadom na uvedené je užitočný zásah úradu vydaním postupov a usmernení o prijateľnosti spracovania biometrických údajov. Vývoj technológie je nevyhnutný a orgány (regulačné aj súdne) nemôžu ignorovať vývoj zmien a zrýchlenú adaptabilitu konkurenčného ekonomického prostredia. Orgány ako také, pokiaľ ide o reguláciu a rokovania v prípadoch, keď sú vyzvané k vládnutiu, musia nájsť rovnováhu uvedenú na začiatku tohto materiálu medzi užitočnosťou najmodernejších technológií a ich rizikami, aby chránili rovnako ako dotknutá osoba, ale aj ekonomické záujmy prevádzkovateľov.

Monica Iancu, partnerka PeliFilip
Marcu Florea, spolupracovníčka PeliFilip