Biometrikus adatok, a technológia előnyei és az emberi biztonsággal kapcsolatos aggályok között

Szerző: Alexandru Urzică/Megjelenés dátuma: 2017-02-13 13:02

részlet: A biometria olyan technológiákat ötvöz, amelyek azonosítják az embert/hitelesítik a személy azonosítását fizikai vagy akár viselkedési jellemzők alapján. A biometria fejlődése szédítő ütemben zajlott, az ujjlenyomat-alapú technológiáktól az írisz-felismerésen, arcfelismerésen vagy akár biológiai ritmuson vagy viselkedési jellemzőkön, például az ember járásának sajátosságain alapuló technológiákig. Mivel a sebesség és az egyszerűsítés korában vagyunk, a biometrikus hitelesítés egyre gyakoribbá válik, ideértve az intézmények hozzáférési rendszereit, illetve a nyilvános vagy magántereket, de a kereskedelemben is.

Ha a biometrikus technológiák megkönnyíthetik életünket, nem kevésbé igaz, hogy olyan adatokat gyűjtenek, amelyek a személyes adatok szélesebb körébe kerülnek, és aggályokkal járnak az egyén biztonsága miatt.

Romániában a biometrikus adatokkal kapcsolatos folyamatokra nem vonatkozik részletes vagy külön szabályozás, és a személyes adatok feldolgozásának felügyeletét ellátó nemzeti hatóság (”hatóság”), De a bíróságok is meglehetősen konzervatívan elemezték a biometrikus technológiák alkalmazásának arányosságát. A valóság azonban azt mutatja számunkra, hogy ebben a kérdésben egyirányú autópályán haladunk, és a törvényhozás és döntés jogkörrel rendelkező hatóságoknak mindig meg kell találniuk az egyensúlyt a biometrikus technológiák előnyei és az ezzel járó kockázatok között.

A biometrikus technológiák magukban foglalják a személy biometrikus adatainak rögzítését, átalakítását biometrikus mintává, tárolást adatbázisban, majd az adott személy személyazonosságának igazolását a biometrikus minta és az egyén megfelelő jellemzőinek összehasonlításával.

Ezek a rendszerek biztosítják a gyors azonosítást és alacsony a meghibásodási arányuk. Nyilvánvaló, hogy az ujjlenyomat-olvasóval történő azonosítás gyorsabb, mint például egy személyi igazolvány használata. Ugyanakkor, mivel az azonosítás a személy egyedi tulajdonságán keresztül történik, és az emberi tényező kiküszöbölésével, az azonosítás biztonságosabb.

A biometrikus technológiák és azok eredményei az azonosítási/hitelesítési folyamatban azonban nem mentesek a kritikától. Először is, a technológiákat biztonsági szempontból is kritizálják, mert nem zárják ki a személyazonosság-lopás kockázatát (például mesterséges anyagokból készített hamis ujjlenyomatok használatával). Ezenkívül kritikák értendők e technológiák invazív, agresszív és nem megfelelő (tolakodó) jellege miatt, amelyek túllépnének azon a célon, amelyre használják őket (például egyes tanulmányok szerint az ujjlenyomatok más érzékeny adatokat is felfedhetnek a személyről, illetve az eredetre vonatkozó információk a személy etnikuma).

A biometrikus adatokat tartalmazó adatbázisok biztonsági kockázataira is hivatkoznak. Ebből a szempontból meg kell jegyezni, hogy úgy tűnik, hogy vannak olyan felhasználóbarát technológiák, amelyek megszüntetik ezt a kockázatot, mivel lehetővé tennék egy személy biometrikus azonosítását és hitelesítését anélkül, hogy az adatbázisban tárolnák az adatokat, hanem az adatbázisban tárolják őket. az adott személy ellenőrzése alatt álló eszköz (például okostelefon).

Biometrikus adatok a törvénybenţszemélyes adatokat vegyen fel

Törvény nem határozza meg vagy szabályozza kifejezetten a biometrikus adatok fogalmát. A személyes adatok feldolgozása vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról szóló 677/2001.Törvény a 677/2001'); ráadásul a személyes adatok feldolgozása vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról szóló 95/46/EK irányelv ("95/46/EK irányelv").

A meghatározás azonban a 29. cikk szerinti munkacsoport véleményéből származik, amely szerint a biometrikus adatok „biológiai, viselkedési tulajdonságok, pszichológiai jellemzők, tulajdonságok vagy ismételt cselekvések, ha ezek a jellemzők vagy cselekvések egyediekre jellemzőek, mérhetők, még akkor is, ha a gyakorlatban használt minták mérésük bizonyos fokú valószínűséget (bizonytalanságot) feltételez "

Ezenkívül maga a 677/2001-es törvény értelmezhető úgy, hogy hivatkozik az ilyen típusú adatokra, amelyek szabályozzák a „személyes adatok általános alkalmazhatóságát meghatározó funkcióval rendelkező személyek” kategóriáját, amelyek magukban foglalhatják a biometrikus adatokat is, mivel a test jellemzői, amelyek általában nem változtathatók meg, és amelyeket automatikus műszerek leolvashatnak. Ezenkívül a biometrikus adatokat kifejezetten megemlítik azon adatkategóriák között, amelyekre a bejelentési kötelezettség továbbra is érvényes a Hatósági határozatban. A személyes adatok feldolgozásának eseteinek megállapításáról, amelyekről nincs szükség bejelentésre, valamint egyes határozatok módosítására és hatályon kívül helyezésére vonatkozó 200/2015. Ezért arra a következtetésre lehet jutni, hogy a biometrikus adatokat a román jogszabályok szabályozzák, bár nagyon korlátozottan és másodlagos jogi természetű aktusok.

A biometrikus adatfeldolgozás korlátai a törvény szerintţRomániából származik

A 677/2001 törvény szerint a személyes adatoknak általában "megfelelőnek, relevánsnak és nem túlzott mértékűnek kell lenniük ahhoz a célhoz képest, amelyre gyűjtik és később feldolgozzák". Ezenkívül a biometrikus adatokat csak az érintett kifejezett beleegyezése alapján lehet feldolgozni, vagy ha a feldolgozást a törvény kifejezetten megengedi.

Ami a megfelelőséget, relevanciát és a túlzott mértékűséget illeti, sem a törvény, sem a másodlagos szabályozás nem ad iránymutatást. Ilyen módon az összegyűjtött adatok megfelelősége, relevanciája és nem túlzott mértékű értelmezése válik függővé.

Például a Hatóság úgy vélte, hogy az ujjlenyomat-olvasó alapján működő időmérő rendszer túlzott feldolgozást igényelt a rendeltetéshez képest. A Hatóság értelmezését a Hatóság értelmezésének és intézkedéseinek megsemmisítésére felszólított bíróság fogadta el, a bíróság úgy ítélte meg, hogy „nincs indok a munkavállalók elektronikus időmérési rendszeréhez folyamodni, időzítésük más módon is megvalósítható […] megsértenék magánéletüket és a kitűzött cél közötti egyensúlyt, nevezetesen a munkahelyi jelenlétük figyelemmel kísérését és a munkavállalók jogainak tiszteletben tartását. ” Ehhez hasonlóan egy másik bíróság megállapította, hogy „a biometrikus adatokkal ellátott elektronikus időmérő rendszer nem hatékony, mivel ennek a rendszernek a használata nem indokolt, mindaddig, amíg az alkalmazottak időmérése más eszközökkel is elvégezhető, amelyek nem károsítják a munkavállalók magánéletét. ".

Anélkül, hogy vitatnánk az értékítéletet a fent hivatkozott döntésekben, e technológiák méretével, kockázataival, de előnyeivel kapcsolatban is, a hatóságok értékelésének és értelmezésének erőfeszítéseit konstruktívnak kell feltételezni. Mindig lesznek alternatív megoldások például az alkalmazottak jelenlétének ellenőrzésére, de a biometrikus technológiákat semmilyen körülmények között már nem lehet elutasítani. A mesterséges intelligencia korában egyre inkább szükség lesz annak elemzésére, hogy egy technológia mennyire nem nyújt megfelelő védelmet.

Ebből a szempontból emlékeztetünk arra, ahogy fentebb tettük, hogy vannak olyan felhasználóbarát technológiák létezéséről, amelyek nem teszik lehetővé a biometrikus adatok adatbázisokban történő tárolását, hanem azok azonnali törlését, miután a hitelesítés célja megvalósult. Hasonlóképpen, a 29. cikk szerinti munkacsoport egyik álláspontjában kijelenti, hogy a biometrikus adatok titkosításának és a kód olyan formában történő tárolásának, amelyben az információk nem használhatók fel a biometrikus adatok eredeti formájában történő előállításához, biztosítani kell a megfelelő biztonság. A hatóságoknak a szükséges támogatásra lesz szükségük a felek érveinek felméréséhez, kötelezettségvállalások kéréséhez és a megfelelő döntések meghozatalához.

Példaként megemlítjük a francia adatvédelmi hatóság azon határozatát, amely 2016. szeptember 27-én bejelentette, hogy aktualizálta doktrínáját és határozatot fogadott el a biometrikus adatok feldolgozásáról, hogy lépést tartson a technológia fejlődésével. A biometrikus adatokon alapuló munkaterület-hozzáférési rendszerek tekintetében a Hatóság három fő kötelezettséget szab ki: i. A rendszer használatának igazolása, figyelembe véve a kevésbé invazív eszközök felhasználásának mértékét; (ii) annak bemutatása, hogy a rendszereket a feldolgozás biztonságának és titkosságának biztosítására tervezték, és (iii) biztosítékot nyújt az adatok tárolására vonatkozóan. Ugyanakkor ösztönözni kell a biztonsági kockázatok, például a titkosítás csökkentésére irányuló intézkedések elfogadását.

Perspektíva

Az Európai Parlament és a Tanács (EU) 2016/679 rendelete (2016. április 27.) a személyes adatok feldolgozása vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról, amely 2018 májusában lép hatályba. kifejezetten biometrikus adatok, megemlítve azokat speciális adatkategóriák között. Feldolgozásuk általában az érintett beleegyezésével lehetséges, valamint bizonyos feltételek mellett bizonyos kötelezettségek teljesítése és az üzemeltető vagy az érintett konkrét jogainak gyakorlása céljából a foglalkoztatás területén, amikor a feldolgozás kapcsolódó célokra szükséges. megelőző vagy foglalkozási orvoslás. Ezenkívül a tagállamok további korlátozásokat vezethetnek be a biometrikus adatok feldolgozásával szemben.

A fentiekre figyelemmel hasznos a Hatóság beavatkozása a biometrikus adatfeldolgozás elfogadhatóságára vonatkozó eljárások és iránymutatások kiadásával. A technológia fejlődése elkerülhetetlen, és a hatóságok (mind a szabályozás, mind az igazságszolgáltatás területén) nem hagyhatják figyelmen kívül a változások szélét és a versenyképes gazdasági környezet gyorsabb alkalmazkodóképességét. Mint ilyen, mind a szabályozás, mind a tanácskozás tekintetében, amikor uralkodásra szólítják fel őket, a hatóságoknak meg kell találniuk az anyag elején hivatkozott egyensúlyt a legmodernebb technológiák hasznossága és kockázataik között a védelem érdekében. ugyanúgy az érintett, hanem az üzemeltetők gazdasági érdeke is.

Monica Iancu, partner PeliFilip
Marcu Florea, PeliFilip munkatárs