Біометричні дані, між перевагами технологій та проблемами безпеки людини

Автор: Александру Урзіке/Дата публікації: 13-02-2017 13:02

технологій

У Румунії процеси, пов’язані з біометричними даними, не підлягають детальному або спеціальному регламенту, і Національний орган з нагляду за обробкою персональних даних, але також суди виявляють досить консервативний аналіз пропорційності використання біометричних технологій.

уривок: Біометрія поєднує технології, що ідентифікують людину/підтверджують ідентифікацію людини на основі фізичних або навіть поведінкових характеристик. Розвиток біометрії відбувався запаморочливими темпами, починаючи від технологій, заснованих на відбитках пальців, і закінчуючи такими, що базуються на розпізнаванні райдужки, розпізнаванні обличчя або навіть біологічному ритмі або поведінкових характеристиках, таких як специфічні особливості ходи людини. Оскільки ми знаходимося в епоху швидкості та спрощення, біометрична аутентифікація стає все більш поширеною, в тому числі в системах доступу в установах, у громадських чи приватних приміщеннях, а також у торгівлі.

Якщо біометричні технології можуть полегшити наше життя, то не менш вірно те, що вони збирають дані, які переходять у ширшу сферу персональних даних та пов’язані з проблемами безпеки особистості.

У Румунії процеси, пов'язані з біометричними даними, не підлягають детальному або спеціальному регламенту, а Національний орган з нагляду за обробкою персональних даних ("авторитет”), Але також суди були досить консервативними при аналізі пропорційності використання біометричних технологій. Однак реальність показує нам, що в цьому питанні ми знаходимось на односторонній магістралі, і органи влади, які мають право приймати рішення та приймати рішення, завжди повинні знаходити баланс між перевагами біометричних технологій та ризиками, які вони несуть.

Біометричні технології передбачають збір біометричних даних людини, перетворення їх у біометричний шаблон, зберігання в базі даних, а потім перевірку особистості цієї людини шляхом порівняння біометричного візерунка з відповідною характеристикою особи.

Ці системи забезпечують швидку ідентифікацію та мають низький рівень відмов. Очевидно, що ідентифікація за допомогою сканера відбитків пальців відбувається швидше, ніж використання, наприклад, посвідчення особи. У той же час, оскільки ідентифікація здійснюється за унікальною характеристикою людини та шляхом усунення людського фактора, ідентифікація є більш безпечною.

Однак біометричні технології та їх результати в процесі ідентифікації/автентифікації не захищені від критики. По-перше, технології також критикують з точки зору безпеки, оскільки вони не виключають ризик викрадення особистих даних (наприклад, за допомогою використання фальшивих відбитків пальців зі штучних матеріалів). Більше того, є заперечення щодо інвазивного, агресивного та невідповідного (нав’язливого) характеру цих технологій, які виходили б за мету, для якої вони використовуються (наприклад, згідно з деякими дослідженнями, відбитки пальців можуть виявити інші конфіденційні дані про людину, відповідно інформацію про походження етнічна приналежність людини).

Також використовуються ризики безпеки баз даних, що містять біометричні дані. З цієї точки зору слід зазначити, що, схоже, існують більш зручні для користувача технології, що усувають цей ризик, оскільки це дозволило б біометричну ідентифікацію та автентифікацію особи, не ведучи до збереження даних у базі даних, а до їх зберігання в базі даних. пристрій, який знаходиться під контролем цієї особи (наприклад, смартфон).

  1. Біометричні дані в законіţвзяти персональні дані

Поняття біометричних даних чітко не визначене і не регламентоване в Законі №. 677/2001 про захист фізичних осіб при обробці персональних даних та про вільне переміщення таких даних ("Закон 677/2001'); крім того, це не визначено в Директиві 95/46/ЄС про захист фізичних осіб при обробці персональних даних та про вільне переміщення таких даних ("Директива 95/46/ЄС").

Однак визначення випливає з думки робочої групи за статтею 29, згідно з якою біометричні дані - це „біологічні, поведінкові властивості, психологічні характеристики, риси або повторювані дії, якщо ці характеристики чи дії є унікальними для людини, що піддаються вимірюванню, навіть якщо моделі, що використовуються на практиці для їх вимірювання передбачає ступінь імовірності (невизначеності) "

Більше того, сам закон 677/2001 можна розглядати шляхом тлумачення як посилання на цей тип даних, що регулює категорію "особисті дані, що мають функцію ідентифікації загальної застосовності", які можуть також включати біометричні дані з огляду на те, що вони складаються з характеристики тіла, які загалом неможливо змінити і які можна прочитати за допомогою автоматичних приладів. Крім того, біометричні дані прямо зазначені серед категорій даних, щодо яких зобов’язання щодо повідомлення залишається чинним у Рішенні органу №. 200/2015 про встановлення справ щодо обробки персональних даних, щодо яких не вимагається повідомлення, а також про внесення змін та скасування певних рішень. Отже, можна зробити висновок, що біометричні дані регулюються законодавством Румунії, хоча в дуже обмеженому порядку та актом вторинного правового характеру.

  1. Межі обробки біометричних даних згідно із законодавствомţти з Румунії

Відповідно до Закону 677/2001, загалом, персональні дані повинні бути "адекватними, релевантними та не надмірними щодо мети, з якою вони збираються та згодом обробляються". Крім того, біометричні дані можуть оброблятися виключно на основі прямої згоди суб’єкта даних або якщо обробка прямо дозволена законом.

Що стосується адекватності, актуальності та непомірності, ні законодавство, ні підзаконні акти не містять вказівок. Таким чином, ступінь, в якій зібрані дані є адекватними, релевантними та не надмірними, стає предметом інтерпретації.

Як приклад, Адміністрація вважала, що система хронометражу, що працює на основі зчитувача відбитків пальців, передбачає надмірну обробку щодо передбачуваного призначення. Тлумачення Органу було прийнято судом, покликаним скасувати тлумачення та заходи Органу, суд визнав це їх конфіденційність та баланс між переслідуваною метою, а саме відстеженням їх присутності на роботі та дотриманням прав працівників, будуть порушені ». Подібним чином інший суд встановив, що «електронна система хронометражу з біометричними даними не є ефективною, оскільки необхідність використання цієї системи не виправдана, доки хронометраж працівників може здійснюватися іншими способами, які не завдають шкоди конфіденційності працівників. ".

Не оскаржуючи оціночного судження в наведених вище рішеннях стосовно масштабу цих технологій, їхніх ризиків, а також їх переваг, зусилля з оцінки та інтерпретації владних повноважень мають бути припустимими та конструктивними. Наприклад, завжди існуватимуть альтернативні рішення для моніторингу присутності працівників, але біометричні технології більше не можна буде відкидати ні за яких обставин. У епоху штучного інтелекту аналіз того, наскільки технологія не забезпечує достатнього захисту, буде все більш необхідним.

З цієї точки зору ми нагадуємо, як і вище, що є інформація про існування зручних технологій, які не дозволяють зберігати біометричні дані в базах даних, але їх негайне видалення після досягнення мети автентифікації. Подібним чином, робоча група зі статті 29 в одному зі своїх поглядів зазначає, що шифрування біометричних даних та зберігання коду у формі, в якій інформація не може бути використана для надання біометричних даних у первісному вигляді, повинна забезпечувати рівень адекватна безпека. Влада потребуватиме необхідної підтримки для оцінки аргументів сторін, вимагання зобов'язань та прийняття відповідних рішень.

Як приклад, ми згадуємо рішення французького органу із захисту даних, який оголосив 27 вересня 2016 року, що оновив свою доктрину та прийняв рішення про обробку біометричних даних, щоб йти в ногу з еволюцією технологій. Стосовно систем доступу до робочої області, заснованих на біометричних даних, Адміністрація покладає три основні обов'язки: (i) обґрунтувати використання системи, беручи до уваги ступінь використання менш інвазивних засобів; (ii) демонстрація того, що системи розроблені для забезпечення безпеки та конфіденційності обробки; і (iii) забезпечення впевненості в тому, як зберігаються дані. У той же час заохочується прийняття заходів щодо зменшення ризиків безпеки, таких як шифрування.

  1. Перспектива

Регламент (ЄС) 2016/679 Європейського Парламенту та Ради від 27 квітня 2016 року про захист фізичних осіб при обробці персональних даних та про вільний рух таких даних, який набере чинності в травні 2018 року чітко біометричні дані, згадуючи їх між спеціальними категоріями даних. Як правило, їх обробка можлива за згодою суб’єкта даних, а також за певних умов з метою виконання певних зобов’язань та реалізації конкретних прав оператора або суб’єкта даних у сфері зайнятості, коли обробка необхідна для пов’язаних цілей. профілактичної або трудової медицини. Крім того, держави-члени можуть ввести додаткові обмеження на обробку біометричних даних.

З огляду на вищевикладене, втручання Органу шляхом видання процедур та вказівок щодо прийнятності обробки біометричних даних є корисним. Еволюція технологій неминуча, і органи влади (як регулятивні, так і судові) не можуть ігнорувати вітер змін та прискорену пристосованість конкурентного економічного середовища. Таким чином, як з точки зору регулювання, так і обговорення у випадках, коли вони покликані прийняти рішення, органи влади повинні знайти баланс, на який посилаються на початку цього матеріалу, між корисністю найсучасніших технологій та їх ризиками, щоб захистити однаково суб'єкт даних, але також економічний інтерес операторів.

Моніка Янку, партнер PeliFilip
Марку Флореа, юрист PeliFilip