Što i kako
StoryEditor

Poslodavac prikuplja vaše otiske prstiju ili snima lice? Evo kada NE MORATE pristati na to!

27. Prosinac 2019.
foto Getty Images/istockphoto
Piše:
piše Natalija Parlov Una
[email protected]
Piše: Natalija Parlov Una

Biometrija i umjetna inteligencija (AI) već su postali pojmovi iz svakodnevnog života, a curenje te vrste podataka sa slabije zaštićenih sustava nije tako rijetko kako se na prvi pogled čini. Tvrdnja koju uvijek treba imati na umu kod incidenata uslijed uvođenja bilo kakvih organizacijskih ili tehničkih mjera je - teret dokazivanja je na voditelju obrade.

Točna identifikacija pojedinca važna je za osiguravanje fizičke sigurnosti, informacijsku sigurnost, financijske transakcije, ispunjavanje ugovora i zapošljavanje, javne službe, pravosuđe, nacionalnu sigurnost i još mnogo toga. Biometrijske podatke pojedinac ne može izgubiti ili zaboraviti, niti ih može lako dijeliti ili mijenjati.

Na radnom mjestu zaposlenici sve više koriste biometrijske podatke za prijavu na pametne telefone i računala te za pristup podacima u internoj memoriji ili oblaku (cloud).

Poslodavci sve češće koriste biometriju za osiguravanje fizičke sigurnosti prostora, sprječavanja zlouporabe ili prijevara no s obvezom da ona mora biti u skladu s Općom uredbom o zaštiti podataka (GDPR). Pravne osnove za obradu biometrijskih podataka na radnom mjestu su u najvećem broju slučajeva privola zaposlenika i legitimni interes.

Prije definiranja tehničkog rješenja za autentifikaciju ili identifikaciju pojedinca, poslodavac je u obvezi procijeniti je li biometrija najbolja opcija s obzirom na samu svrhu njenog uvođenja. Kada su dobro dizajnirane i primijenjene s odgovarajućom regulacijom, biometrijske tehnologije mogu riješiti mnoge komercijalne i pojedinačne probleme.

Ukoliko je pravna osnova biometrijskog sustava poslodavca privola, zaposlenici moraju biti informirani o sljedećim karakteristikama sustava prikupljanja i obrade njihovih biometrijskih podataka:

  • Zašto koristite biometrijski sustav – objasnite potrebu za obradom biometrijskih podataka i ulogu zaposlenika u tom projektu
  • Što prikupljate – opišite oblik biometrijskih podataka i sve potrebne podatke o zaposlenicima koji će se obrađivati
  • Kako obrađujete podatke – objasnite implementaciju sustava i proces obrade podataka, te organizacijske i tehničke mjere zaštite
  • Tko sve ima pristup – dijeljenje prikupljenih podataka s drugim aplikacijama ili trećim stranama – osoba unutar tvrtke ili vanjski dobavljač
  • Prava zaposlenika – propisana prava ne smiju biti ugrožena nepotrebnim ili nametljivim nadzorom na radnom mjestu
  • Koliko dugo će se podaci obrađivati, zadržavati, (npr. objasniti što se događa s podacima kad zaposlenik napušta tvrtku).

Prije nego se odlučite za vama najbolju opciju, temeljito razmotrite različite aspekte kao što su troškovi, otpornosti na sigurnosne napade, mišljenje interne ili eksterne javnosti i druge zakonske obveze. Osobitu pažnju treba posvetiti i tome da, u slučaju pravne osnove privole, pojedini zaposlenici neće biti suglasni za obradu biometrijskih podataka te bi to moglo implicirati i korištenje dodatnih alternativnih metoda poput smart kartica i slično.

U smjernicama koje je izdao Europski odbor za zaštitu podataka jasno je naznačeno da korištenje biometrijskih podataka, a osobito prepoznavanje lica, podrazumijeva veći rizik za prava ispitanika. Korištenje tehnologija kojima se obrađuju biometrijski podatci mora biti u skladu sa svim načelima zakonitosti, nužnosti, proporcionalnosti i minimiziranja podataka. Voditelji obrade prije početka obrade biometrijskih podataka moraju napraviti procjenu učinka obrade na temeljna prava i slobode pojedinaca (Data Protection Impact Assessment DPIA) te izabrati najmanje nametljiva sredstva za ostvarenje legitimne svrhe obrade.

Prema odredbama GDPR-a fizičke, fiziološke ili bihevioralne karakteristike spadaju u biometrijske podatke (čl. 4. st. 14.). Budući da se biometrijski podaci moraju tehnički obraditi u određenom procesu, videozapis pojedinca sam po sebi ne može se smatrati biometrijskim podatkom prema čl. 9., osim ako nije pomogao u samoj identifikaciji pojedinca.

Da bi se obrada biometrijskih podataka mogla istovremeno smatrati i obradom posebne kategorije osobnih podataka kako je definirano u čl. 9. podaci bi se trebali tehnički obraditi u svrhu jedinstvene identifikacije fizičke osobe.

Ukratko, u provođenju procjene učinka obrade podataka (DPIA) morate uzeti u obzir najmanje tri kriterija kako biste bili sigurni da je njen rezultat vjerodostojan:

  • Priroda podataka: podaci koji se odnose na fizičke, fiziološke ili bihevioralne karakteristike osoba,
  • Sredstva i način obrade: podaci koji se dobiju specifičnom tehničkom obradom,
  • Svrha obrade: podaci se moraju koristiti u svrhu jedinstvene identifikacije fizičke osobe.

Mjere za smanjenje rizika kod obrade biometrijskih podataka

U skladu s načelom minimiziranja podataka, voditelj obrade mora osigurati da biometrijski predložak koji se kreira iz postojeće digitalne slike sadrži samo informacije koje su potrebne da se ispuni određena svrha, čime se izbjegava svaka daljnja i prekomjerna obrada.

Voditelj obrade mora osigurati organizacijske i tehničke mjere zaštite kako bi sačuvao dostupnost, cjelovitost i povjerljivost obrađenih podataka. U tu svrhu voditelj obrade posebno mora poduzeti sljedeće mjere: kategorizirati podatke tijekom prijenosa i pohrane, pohraniti biometrijske predloške u odvojenim bazama podataka, kriptirati biometrijske podatke, definirati politiku kriptiranja i upravljanja digitalnim ključevima, integrirati organizacijsku i tehničku mjeru za otkrivanje prijevara dodavanjem dodatne kontrole poput potpisa ili smart kartice te zabraniti bilo kakav vanjski pristup biometrijskim podacima.

EDPB također napominje i da voditelji obrade moraju obrisati sve druge podatke koji su prikupljeni, a koji nemaju važnost za ispunjavanje zadane svrhe obrade (primjerice ovisno o sustavu: slike lica, govorni signali, hod itd.) te osigurati da se brisanje nepotrebnih podataka obavlja redovito tijekom provođenja obrade. Uz sve to, voditelj obrade odgovoran je i za sve neovlaštene pristupe kao i za uklanjanje svih sigurnosnih prijetnji.

Ne manje važno je i napomenuti da se s dobavljačima usluga biometrijskih sustava moraju potpisati vrlo striktno definirani Ugovori o zaštiti podataka u skladu s opsegom njihovih ovlasti na sustavu. Najčešće situacije su da ti ugovori ne sadrže točno specificirane ovlasti i odgovornosti, tehničke specifikacije u slučaju nepostojanja drugog ugovora koji regulira te dijelove, kao i pogrešna identifikacija radi li se o ugovoru voditelj-voditelj obrade ili pak voditelj-izvršitelj obrade gdje se i tvrtke dobavljači koje nude ključ-u-ruke usluge s kompletnom administracijom podataka pogrešno klasificiraju kao izvršitelji obrade. 

Autorica: Natalija Parlov Una

Doktorandica Međunarodnih odnosa te stručnjakinja za informacijsku sigurnost i bihevioralni digitalni marketing. Autorica je brojnih znanstvenih i stručnih radova iz područja informacijske sigurnosti, bihevioralnog marketinga, plasmana na vanjska tržišta i međunarodnih odnosa. Konzultantica je inozemnim i domaćim tvrtkama te institucijama u poljima procesne forenzike, informacijske sigurnosti, bihevioralne marketinške analitike te usklađivanja poslovanja s europskom pravnom regulativom. Auditorica je sustava upravljanja informacijskom sigurnosti ISO 27001, sustava upravljanja kvalitetom ISO 9001 te sustava upravljanja za suzbijanje podmićivanja ISO 37001 najveće njemačke certifikacijske kuće TÜV NORD. Direktorica je dviju tvrtki: PARLOV Digital Intelligence za bihevioralni digitalni marketing te APICURA Business Intelligence za informacijsku sigurnost i usklađivanje s europskom pravnom regulativom.

LinkedIn

22. studeni 2024 10:09