Защитени ли са лицата и отпечатъците ни
Абонирайте се за Капитал

Всеки петък икономически анализ и коментар на текущите събития от седмицата.
Съдържанието е организирано в три области, за които Капитал е полезен:

K1 Средата (политическа, макроикономическа регулаторна правна)
K2 Бизнесът (пазари, продукти, конкуренция, мениджмънт)
K3 Моят капитал (лични финанси, свободно време, образование, извън бизнеса).

Абонирайте се за Капитал

Защитени ли са лицата и отпечатъците ни

Shutterstock

Защитени ли са лицата и отпечатъците ни

Какво следва от GDPR за видеонаблюдението и използването на биометрични данни

7342 прочитания

Shutterstock

© Shutterstock


Статията е част от специалното издание на Капитал GDPR, посветено на новите правила за личните данни. Повече информация за изданието можете да видите тук. Може да го поръчате тук.

През февруари 2016 г. четирима мъже пребиха шофьор на Околовръстния път в София. Няколко дни по-късно те бяха идентифицирани като охранители на един от подземните босове благодарение на видеорегистратор в колата на жертвата.

Възможно е служителите на МВР да са разпознали биячите, непосредствено, гледайки видеото, което обиколи студията на трите национални ефирни телевизии. Но тъй като процесът отне няколко дни, не е изключено да са използвани технически средства за видеообработка.

В този случай разпознаването на лицата включва две основни действия - идентификация и проверка. Ако се извършва от машина, идентификацията предполага сравняване на данните за лицето с тези на много други, а проверката съчетава физическите, физиологичните и/или поведенческите характеристики с определен човек. Софтуерите, прилагани за тази цел, обикновено оценяват различни фактори (например разстоянието между очите и носа, носа и устата и т.н.), за да се установи еднозначно едно лице.

С напредването на технологиите и все по-ниската цена на IP камерите, биометричните технологии, използващи лицево разпознаване, сканиране на пръстов отпечатък и т.н., навлязоха в системите за контрол на достъпа дори в мобилните телефони. Доскоро обаче липсваше изрично европейско законодателство относно тези форми на данни и съпътстващите технологии.

Опит за регулация на видеонаблюдението

GDPR слага малко ред в тази насока. Съгласно новата регулация информацията за физиологичните или поведенческите характеристики на дадено лице се квалифицира като "биометрични данни" само ако се обработва чрез специфични технически средства, които позволяват уникално разпознаване или проверка на самоличността на човека. GDPR определя биометричните данни като нова категория "чувствителни данни" заради това, че най-често се използват за идентификация. Обикновените снимки или видео, записано от охранителната камера в офиса или входа на сградата, в която живеете, не се квалифицират от GDPR като биометрични данни.

Това обаче не означава, че могат да ви заснемат неограничено. Работодателите имат право да наблюдават дейността на служителите, но трябва да оправдаят действията си със законово основание и да съобщят за мониторинга. Много компании в момента разчитат на мълчаливо съгласие за наблюдението, но GDPR изисква то да бъде дадено доброволно и за него да има правни основания. Най-подходящите основания вероятно ще бъдат свързани със законен интерес (например спазване на трудовата дисциплина) или задължения (гарантиране на сигурността). Регламентът изисква бизнесът да извърши оценка на въздействието върху защитата на данните (data protection impact assessment или DIPA), за да се прецени какво наблюдение се изисква и при какви обстоятелства.

Ако планирате да следите с технически средства служителите си, трябва да имате в предвид редица обстоятелства. Например данните трябва да се използват и съхраняват само за първоначалната си цел. Ако тя е да се идентифицират лицата, извършващи престъпна дейност, кадрите трябва да бъдат с достатъчно качество, за да го направят и да бъдат на разположение на полицията, ако тя ги поиска. Записите от видеонаблюдение и другите дневници трябва да се съхраняват сигурно и да се кодират, когато е възможно. Лицата имат право да поискат копие от заснетите кадри, чрез които могат да бъдат идентифицирани. Същото важи и за други видове данни, свързани с мониторинга на служителите, например ако на компютрите и телефоните им се инсталират програми за проследяване.

Нужно е да има и уведомление, обикновено под формата на стикер. Хората, които са обект на заснемане, трябва да са известени за целите на наблюдението, кой ще има достъп до кадрите и ще се предоставят ли на трета страна. Ако тя е различна от органите на реда, трябва да бъде поискано писмено съгласие, което да се даде доброволно и информирано.

Европейски правила за биометричните данни

За разлика от паролите биометричните данни няма как (лесно) да бъдат манипулирани или променени. Точно затова те са важни. Неоторизиран достъп или изтичане на подобна информация може да доведе до кражба на идентичност или достъп на престъпници до охранявани системи. Биометричните данни обаче са едновременно твърде лични и чувствителни, но и прекалено публични. Дори когато пиете кафе, вие оставяте отпечатъците си по чашата, а лицето ви може да е съхранено на десетки видеозаписи благодарение на голямото количество охранителни камери.

Според GDPR страните, които анализират биометрични данни с помощта на технологии, трябва да отговарят на определени изисквания. По принцип регулацията забранява обработката на такива данни, но има и изключения. Компании, които използват системи за достъп с лицево разпознаване или пръстов отпечатък например, ще трябва да получат съгласието на служителите си. Всъщност обаче съществуват различни тълкувания дали наетите по трудово правоотношение могат да дадат доброволно съгласие. Според някои това е възможно, а според други - не.

Компаниите, които включват биометрични данни в своите ежедневни операции, трябва да са наясно с новите изисквания при използването им. Те включват оценка на въздействието и гарантиране неприкосновеността на личния живот. За разлика от бизнеса силите за обществен ред и здравните заведения се разглеждат под друг режим при обработката на биометричните данни.

Важно е да отбележим, че понятието биометрични данни може да се разширява. С напредъка на технологиите характеристики, които по-рано не са определяни като биометрични, защото не са служели за надеждна идентификация, могат да станат защитени, ако се появи иновация, която еднозначно потвърждава самоличността на човек от същите данни. Относително скорошен пример е използването на лицево разпознаване за отключване на смартфони.

GDPR като рестрикция

Макар че GDPR забранява използването на биометрични данни, това не означава, че се ограничава развитието на подобни технологии. С доброволното съгласие на човека или в определени случаи, при които обработката на тази информация е мотивирана с научна или правна цел, европейската регулация допуска приложението на биометрични технологии.

Тъй като държавите от ЕС не успяха да постигнат ясен консенсус относно използването им, законовите изисквания за боравенето с този вид данни все още могат да варират. Това означава, че и GDPR не успя да завърши хармонизирането на вътрешното законодателство, що се отнася до обработката на биометрична информация.

Въвеждането на GDPR всъщност е повече бизнес проект, отколкото технологичен. Може би причината за погрешното му възприемане е свързана с основната идея на регулацията - да ограничи използването на технологиите в сферата на личното пространство. GDPR е първият европейски нормативен акт в тази посока, а формата му е категорична - въвежда се като регламент, задължителен за всички страни членки. Това вероятно е причината за страховития ореол на новата регулация: технологиите са галеното дете на икономиката, но от друга страна, каква е ползата от тях, ако служат на тесни икономически интереси, а не на обществото като цяло. Регламентът за личните данни обаче няма да е единствената норма, която ще ограничава употребата на технологиите в Европа. От известно време EK подготвя етични стандарти за използването на изкуствения интелект. В началото на 2018 г. влезе в сила предшестващата регулация на изкуствения интелект, известна като Втората директива за пазарите на финансови инструменти (The Markets in Financial Instruments Directive 2 или MiFID II), която цели да се повиши степента на разбиране и наблюдение над "автономните машини" и решенията, които вземат те в човешкия свят - в случая в сферата на финансовите пазари, като се намалят възможностите за измами.

Достатъчно сигурно видеонаблюдение ли използвате

Охранителни камери надничат над главите на бармани и касиери, но и над редовите офис служители, за които работодателят се страхува, че ще откраднат телбода. Камерите обикновено се слагат за сигурност. Въпросът е, че ако на са защитени надеждно, може да се постигне точно обратния ефект. Голяма част от електронните очи, намиращи се на публични места и в частни обекти, не са с необходимите пароли и настройки, така че кадрите от тях са публично достъпни. Най-големият сайт, през който можете да гледате камери, излъчващи онлайн, е Inscream. Целта на уеб страницата е потребителите да проверят с какво качество предават устройствата на световни производители като Axis, Panasonic, Linksys, Sony, TPLink, Foscam.

През платформата вървят видеа от близо 27 000 камери от 126 държави. Показват се кадри от кафенета, авиокомпании, басейни, ферми, пътища, кухни и много други. Към всяко видео има карта и Googlе координати. Сайтът уверява, че са предприети мерки да се гарантира неприкосновеността на личния живот, но от друга страна създателите му са анонимни. В класацията на страните, ползващи незащитени камери, България е на 36-о място с 63 подобни устройства. Голяма част от тях, както може да се види от кадрите, са разположени на булеварди, улици и други обществени места в различни български градове.



GDPR – какво трябва да знаят фирмите за новия регламент за личните данни:
Бизнес доклад на Капитал


- Какво е GDPR и за кого се отнася
- Как да се приложи стъпка по стъпка
- Колко ще струва на компаниите
- Какви са новите маркетинг правила
- Кога трябва да се назначи служител за защита на данните
Поръчайте изданието »
На хартия или PDF

Статията е част от специалното издание на Капитал GDPR, посветено на новите правила за личните данни. Повече информация за изданието можете да видите тук. Може да го поръчате тук.

През февруари 2016 г. четирима мъже пребиха шофьор на Околовръстния път в София. Няколко дни по-късно те бяха идентифицирани като охранители на един от подземните босове благодарение на видеорегистратор в колата на жертвата.


Благодарим ви, че четете Капитал!

Вие използвате поверителен режим на интернет браузъра си. За да прочетете статията, трябва да влезете в профила си.
Влезте в профила си
Всеки потребител може да чете до 10 статии месечно без да има абонамент за Капитал.
Вижте абонаментните планове

0 коментара

Нов коментар

За да публикувате коментари,
трябва да сте регистриран потребител.


Вход

Още от Капитал

С използването на сайта вие приемате, че използваме „бисквитки" за подобряване на преживяването, персонализиране на съдържанието и рекламите, и анализиране на трафика. Вижте нашата политика за бисквитките и декларацията за поверителност. OK