Βελγική ΑΠΔΠΧ:Βασικοί κανόνες για την επεξεργασία βιομετρικών δεδομένων

Η Βελγική Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα διευκρινίζει βασικούς κανόνες για την επεξεργασία βιομετρικών δεδομένων

Στις 6 Δεκεμβρίου 2021, η Bελγική Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (εφεξής «Βέλγικη ΑΠΔΠΧ») εξέδωσε τη σύστασή της σχετικά με την επεξεργασία βιομετρικών δεδομένων (εφεξής «Σύσταση»)[1]. Η Σύσταση παρέχει καθοδήγηση σχετικά με τον τρόπο συμμόρφωσης με τον Κανονισμό (ΕΕ) 2016/679 (Γενικός Κανονισμός Προστασίας Δεδομένων, εφεξής «ΓΚΠΔ» ή «GDPR») κατά την επεξεργασία βιομετρικών δεδομένων.

Βασικά συμπεράσματα

  • Το κατά πόσον τα χαρακτηριστικά συμπεριφοράς συνιστά βιομετρικά δεδομένα απαιτεί αξιολόγηση κατά περίπτωση. Σύμφωνα με τον ΓΚΠΔ, η έννοια των «βιομετρικών δεδομένων» δεν καλύπτει μόνο τα δεδομένα σωματικής κατάστασης ή δεδομένα φυσιολογίας (όπως λ.χ. εικόνες προσώπου, δακτυλικό αποτύπωμα ή μοτίβο ίριδας), αλλά και τα χαρακτηριστικά συμπεριφοράς των ατόμων (όπως λ.χ. μοτίβο βάδισης ή μοτίβα χρήσης πληκτρολογίου, οθόνης αφής ή mousepad)[2]. Η Βέλγικη ΑΠΔΠΧ διευκρινίζει ότι τα δεδομένα που σχετίζονται με τη συμπεριφορά θα θεωρούνται βιομετρικά δεδομένα εάν επιτρέπουν την αδιαμφισβήτητη ταυτοποίηση του ενδιαφερόμενου ατόμου.
  • Αποθήκευση σε τοπικό δίσκο (δηλαδή όχι σε cloud/δίκτυο). Η Βέλγικη ΑΠΔΠΧ αναφέρει ότι, κατά κανόνα, τα ακατέργαστα βιομετρικά δεδομένα θα πρέπει να μετατρέπονται σε βιομετρικά πρότυπα κατά την αρχική συλλογή, μετά την οποία τα ακατέργαστα δεδομένα θα πρέπει να διαγράφονται αμέσως[3]. Τυχόν δείγματα δεδομένων που συλλέγονται για τη διενέργεια βιομετρικής σύγκρισης δεν θα πρέπει να διατηρούνται για περισσότερο χρόνο από όσο είναι απαραίτητο για τη σύγκριση των συλλεχθέντων δεδομένων με το πρότυπο. Η Βέλγικη ΑΠΔΠΧ συνιστά περαιτέρω ότι τα βιομετρικά πρότυπα θα πρέπει να αποθηκεύονται σε τοπικό δίσκο ή σε βιομετρικό αισθητήρα εγκατεστημένο σε συσκευή που είναι ξεχωριστή από άλλα συστήματα IT (π.χ. έξυπνη κονκάρδα ή μάρκα)[4]. Οι υπεύθυνοι επεξεργασίας μπορούν να παρεκκλίνουν από αυτό μόνο σε εξαιρετικές περιπτώσεις, για παράδειγμα, όταν η απώλεια μιας έξυπνης μάρκας ή κονκάρδας θα μπορούσε να έχει σοβαρές συνέπειες, όπως λ.χ. η απώλεια της πρόσβασης σε δωμάτιο έκτακτης ανάγκης ή σε πυρηνικό εργοστάσιο. Επιπλέον, η Βέλγικη ΑΠΔΠΧ ευνοεί τη βιομετρική επαλήθευση έναντι της βιομετρικής ταυτοποίησης, δεδομένου ότι η βιομετρική επαλήθευση δεν απαιτεί αποθήκευση δεδομένων σε κεντρική βάση δεδομένων. Η βιομετρική ταυτοποίηση συνεπάγεται τη σύγκριση των βιομετρικών δεδομένων ενός ατόμου με όλα τα προκαταχωρημένα βιομετρικά δεδομένα που είναι διαθέσιμα σε μια βάση δεδομένων («σύγκριση ένα προς πολλά»). Σε μια λειτουργία βιομετρικής επαλήθευσης, τα βιομετρικά δεδομένα συγκρίνονται με τις προκαταχωρημένες πληροφορίες ενός ατόμου («σύγκριση ένα προς ένα»).
  • Η οικιακή εξαίρεση του ΓΚΠΔ[5] εφαρμόζεται μόνο υπό αυστηρές προϋποθέσεις. Ο ΓΚΠΔ δεν εφαρμόζεται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα από φυσικό πρόσωπο κατά την άσκηση αμιγώς προσωπικής ή οικιακής δραστηριότητας. Για να επικαλεστεί αυτή την «οικιακή εξαίρεση», ο πάροχος βιομετρικών υπηρεσιών ή συσκευών πρέπει να αποδείξει ότι πληρούνται σωρευτικά οι ακόλουθες προϋποθέσεις:
    • Το υποκείμενο των δεδομένων χρησιμοποιεί τη βιομετρική συσκευή ή υπηρεσία ιδιωτικά (δηλαδή, τα βιομετρικά δεδομένα μπορούν να χρησιμοποιηθούν μόνο από το ίδιο το υποκείμενο των δεδομένων),
    • Το υποκείμενο των δεδομένων αποφασίζει ανεξάρτητα να χρησιμοποιήσει τη βιομετρική λειτουργία (οι εργοδότες δεν μπορούν επομένως να επικαλεστούν την οικιακή εξαίρεση για να αναπτύξουν διαδικασίες βιομετρικού ελέγχου ταυτοποίησης) και πρέπει να παρέχεται εναλλακτική μη βιομετρική επιλογή,
    • Το βιομετρικό πρότυπο πρέπει να αποθηκεύεται μόνο στην ίδια τη συσκευή και να είναι προσβάσιμο μόνο στο υποκείμενο των δεδομένων- και
    • Το βιομετρικό πρότυπο πρέπει να είναι κρυπτογραφημένο.
  • Διαχωρισμός των αρμοδιοτήτων μεταξύ του υπεύθυνου επεξεργασίας και του παρόχου βιομετρικών υπηρεσιών. Η Βέλγικη ΑΠΔΠΧ καταλήγει στο συμπέρασμα ότι κάθε εμπλεκόμενος φορέας θα φέρει -και θα πρέπει να αποδείξει τη συμμόρφωσή του με διαφορετικές ευθύνες. Για παράδειγμα, ο κατασκευαστής υλικού ή λογισμικού μιας συσκευής είναι υπεύθυνος για την απόδειξη της τεχνικής ακεραιότητας του συστήματός του. Αντίστοιχα, ο πάροχος μιας υπηρεσίας που χρησιμοποιεί βιομετρικά δεδομένα θα είναι υπεύθυνος, για την απόδειξη ότι είναι διαθέσιμη μια εναλλακτική μέθοδος ελέγχου ταυτότητας και ότι ο βιομετρικός έλεγχος ταυτότητας μπορεί να πραγματοποιηθεί μόνο με τη χρήση ενός προτύπου που είναι αποθηκευμένο στο κατάλληλα κατανεμημένο περιβάλλον της συσκευής.
  • Ρητή συγκατάθεση. Η Βέλγικη ΑΠΔΠΧ αναφέρει ότι η επεξεργασία βιομετρικών δεδομένων απαγορεύεται καταρχήν, εκτός εάν συντρέχει ένας από τους νομικούς λόγους του άρθρου 9 ΓΚΠΔ. Το άρθρο 9 απαριθμεί τις διαθέσιμες νομικές βάσεις για την επεξεργασία ειδικών κατηγοριών προσωπικών δεδομένων (που συχνά αποκαλούνται επίσης «ευαίσθητα δεδομένα»), στις οποίες περιλαμβάνονται και τα βιομετρικά δεδομένα που υποβάλλονται σε επεξεργασία με σκοπό την «αδιαμφισβήτητη ταυτοποίηση του εν λόγω φυσικού προσώπου». Ωστόσο, η Σύσταση δεν κάνει διάκριση μεταξύ διαφορετικών περιπτώσεων χρήσης των βιομετρικών δεδομένων. Αυτό σημαίνει ότι η Βέλγικη ΑΠΔΠΧ μπορεί να θεωρήσει ότι όλα τα βιομετρικά δεδομένα υπόκεινται στο άρθρο 9 ΓΚΠΔ, ανεξάρτητα από τον σκοπό για τον οποίο χρησιμοποιούνται. Η Βέλγικη ΑΠΔΠΧ αναφέρει ότι οι πρωταρχικοί νόμιμοι λόγοι για την επεξεργασία βιομετρικών δεδομένων θα είναι είτε η ρητή συγκατάθεση του ατόμου[6] (η οποία πρέπει να είναι έγκυρη[7]) είτε το υπέρτερο δημόσιο συμφέρον[8].
  • Παραδείγματα κατάλληλων μέτρων ασφαλείας. Η Βέλγικη ΑΠΔΠΧ δίνει παραδείγματα μέτρων ασφαλείας για την αντιμετώπιση του κινδύνου της επεξεργασίας βιομετρικών δεδομένων. Αυτά περιλαμβάνουν κρυπτογράφηση, μέτρα ανίχνευσης απάτης, αποτελεσματικό σύστημα διαγραφής βιομετρικών δεδομένων, αυστηρή πολιτική διατήρησης, εκπαίδευση του προσωπικού και συνεχείς δοκιμές. Ειδικότερα όσον αφορά τις βιομετρικές τεχνολογίες ταυτοποίησης, η Βέλγικη ΑΠΔΠΧ απαριθμεί τις ακόλουθες διασφαλίσεις:
    • Το ποσοστό ψευδώς θετικών/αρνητικών αποτελεσμάτων[9] θα πρέπει να είναι κατάλληλο για το απαιτούμενο επίπεδο ασφάλειας της υπηρεσίας (λ.χ. χαμηλό ποσοστό ψευδώς θετικών αποτελεσμάτων για πρόσβαση σε smartphone, τραπεζικά στοιχεία ή κρυπτογραφημένα έγγραφα),
    • Οι τεχνολογίες πρέπει να είναι τουλάχιστον ανθεκτικές σε επιθέσεις οι οποίες, σύμφωνα με τις τελευταίες εξελίξεις της τεχνολογίας, είναι ασήμαντες (λ.χ. χρήση μιας φωτογραφίας για την παραπλάνηση του λογισμικού ή του υλικού αναγνώρισης προσώπου),
    • Θα πρέπει να επιτρέπεται περιορισμένος αριθμός προσπαθειών πιστοποίησης (π.χ., μετά από τρεις αποτυχημένες προσπάθειες το άτομο θα μπορεί να έχει πρόσβαση σε μια εφαρμογή μόνο μέσω ενός κωδικού pin).
    • Απαιτείται Μελέτη Εκτίμησης Αντικτύπου για την Προστασία των Δεδομένων (εφεξής «ΕΑΠΔ» ή «DPIA»). Η Βέλγικη ΑΠΔΠΧ διαπιστώνει ότι οποιαδήποτε επεξεργασία βιομετρικών δεδομένων απαιτεί DPIA. Αυτό υπερβαίνει την προηγούμενη Σύσταση της σχετικά με τις DPIA, σύμφωνα με την οποία η Βέλγικη ΑΠΔΠΧ απαιτούσε DPIA μόνο για την επεξεργασία βιομετρικών δεδομένων με σκοπό τη μοναδική ταυτοποίηση ενός φυσικού προσώπου σε χώρους προσβάσιμους στο κοινό[10].

Συμπέρασμα και επόμενα βήματα

Η Σύσταση από τη Βέλγικη ΑΠΔΠΧ, μπορεί να αποτελέσει οδηγό βέλτιστων πρακτικών για εταιρείες που επεξεργάζονται βιομετρικά δεδομένα σε όλη την Ευρωπαϊκή Ένωση καθώς και στην Ελλάδα. Συγκεκριμένα, οι εταιρείες που χρησιμοποιούν βιομετρικές λύσεις ή εξετάζουν την ανάπτυξη τέτοιων λύσεων συνιστάται να επανεξετάσουν τις (προβλεπόμενες) πρακτικές τους υπό το πρίσμα της εν λόγω Σύστασης. Ειδικότερα, οι εταιρείες θα πρέπει να αξιολογήσουν τις ευθύνες τους και τον τρόπο με τον οποίο μπορούν να εφαρμόσουν τα συνιστώμενα μέτρα για τη μείωση των κινδύνων για την προστασία της ιδιωτικότητας και των προσωπικών δεδομένων.


[1] Σύσταση αριθ. 01/2021, διαθέσιμη στα γαλλικά στη διεύθυνση https://www.autoriteprotectiondonnees.be/publications/recommandation-01-2021-du-1-decembre-2021.pdf και στα ολλανδικά στη διεύθυνση https://www.gegevensbeschermingsautoriteit.be/publications/aanbeveling-nr.01-2021-van-1-december-2021.pdf.

[2] Άρθρο. 4 στοιχ. 14 ΓΚΠΔ.

[3] Σύσταση σ. 14

[4] Σύσταση σ. 14-15.

[5] Άρθρο 2, παρ. 2 στοιχείο γ’ ΓΚΠΔ.

[6] Άρθρο 9 παρ.2 περ. α’ ΓΚΠΔ

[7] Άρθρο 4 στοιχ. 11, άρθρο 7 ΓΚΠΔ

[8] Άρθρο 9 παρ. 2 περ. ζ’ ΓΚΠΔ

[9] Ψευδώς αρνητικό είναι όταν το βιομετρικό σύστημα δεν αναγνωρίζει το αυθεντικό άτομο και εμποδίζει την πρόσβασή του. Ψευδώς θετικό είναι όταν το βιομετρικό σύστημα αντιστοιχίζει εσφαλμένα ένα άτομο με τα διαπιστευτήρια κάποιου άλλου.

[10] Κατάλογος των πράξεων επεξεργασίας για τις οποίες πρέπει να διενεργείται ΕΠΕΑ σύμφωνα με το άρθρο 35 παράγραφος 4 του ΓΚΠΔ, διαθέσιμος στη διεύθυνση https://www.gegevensbeschermingsautoriteit.be/publications/beslissing-nr.-01-2019-van-16-januari-2019.pdf (στα ολλανδικά).

Σχολιάστε

Εισάγετε τα παρακάτω στοιχεία ή επιλέξτε ένα εικονίδιο για να συνδεθείτε:

Λογότυπο WordPress.com

Σχολιάζετε χρησιμοποιώντας τον λογαριασμό WordPress.com. Αποσύνδεση /  Αλλαγή )

Φωτογραφία Twitter

Σχολιάζετε χρησιμοποιώντας τον λογαριασμό Twitter. Αποσύνδεση /  Αλλαγή )

Φωτογραφία Facebook

Σχολιάζετε χρησιμοποιώντας τον λογαριασμό Facebook. Αποσύνδεση /  Αλλαγή )

Σύνδεση με %s