Näin pysyt biometristen tietojen säädösten mukaisena
Sisällysluettelo:
Tekoälyllä toimiva kasvojentunnistustekniikka on yhä suositumpi työkalu organisaatioille, jotka haluavat virtaviivaistaa kulunvalvontaa ja parantaa turvallisuutta. Mutta kuten Serco Leisure äskettäin havaitsi, tietosuojaviranomaiset valitsevat tällaisia versioita lisäämään valvontaa. Tietosuojariskien arvioinnista ja muista parhaista käytännöistä on nopeasti tulossa välttämättömiä sen varmistamiseksi, että käyttöönotot pysyvät lain oikealla puolella.
Face / Off
Tietosuojavaltuutetun toimiston (ICO) sääntelyviranomaiset rankaisivat Serco Leisurea, koska se ei tarjonnut vaihtoehtoa työntekijöiden kasvojen ja sormenjälkien skannaamiselle työhön saapumiseen ja sen jälkeen. Vähemmän häiritseviä keinoja, kuten henkilökortteja tai fobseja, olisi voitu käyttää sen sijaan helposti, ICO päätti.
Yli 2,000 38 työntekijää XNUMX vapaa-ajankeskuksessa pakotettiin toimittamaan biometriset tiedot läsnäolotarkastuksia varten. Serco Leisure ei pystynyt osoittamaan, että sen biometristen tekniikoiden käyttö oli "tarpeellista ja oikeasuhteista" työntekijöiden läsnäolon kirjaamisessa.
"Biometriset tiedot ovat täysin yksilöllisiä henkilöille, joten epätarkkuuksien tai tietoturvaloukkausten sattuessa vahinkoriskit ovat paljon suuremmat – et voi nollata jonkun kasvoja tai sormenjälkeä samalla tavalla kuin salasanaa", John Edwards, Yhdistyneen kuningaskunnan tietokomissaari. , sanoi kohdassa a lausuma. "Serco Leisure ei täysin harkinnut riskejä ennen kuin otti käyttöön biometrisen teknologian henkilöstön läsnäolon seurantaan ja priorisoi liiketoiminnalliset edut työntekijöidensä yksityisyyden edelle."
ICO moitti Sercoa myös siitä, että se ei tarjonnut biometristen tarkastusten kanssa epämukaville työntekijöille mitään mekanismia, jolla he voisivat kieltäytyä järjestelmästä. Serco Leisure, Serco Jersey ja seitsemän niihin liittyvää yhteisörahastoa määrättiin lopettamaan biometristen tietojen käsittely työntekijöiden työhön osallistumisen seurantaa varten. Yrityksiä määrättiin lisäksi tuhoamaan kaikki biometriset tiedot, joita niillä ei ole lain mukaan pakko säilyttää.
Pakotteet osuivat samaan aikaan ICO:n julkaisun kanssa uudet ohjeet miten organisaatiot voivat käsitellä biometrisiä tietoja laillisesti.
Kulunvalvonta
Kasvojentunnistustekniikka on saamassa vetovoimaa yrityksessä hallita pääsyä turvallisiin paikkoihin ja todentaa käyttäjiä henkilöllisyystodistuspalvelujen avulla, muun muassa. Mutta toisin kuin salasanat, biometriset tiedot ovat luonnostaan sidoksissa henkilöön, joten niiden altistumisen vaikutus tietomurron sattuessa voi olla vakavampi ja pitkäaikaisempi.
EU tunnustaa sen ansaitseman parannetun yksityisyyden suojan Yleinen tietosuojadirektiivi (GDPR) asettaa tiukemmat säännöt biometristen tietojen käsittelylle, mukaan lukien käyttötarkoituksen rajoittaminen suojana tehtävää, avoimuutta ja suostumusvaatimuksia vastaan.
Käyttöönoton esteet
Asiantuntijoiden mukaan biometristen teknologioiden käyttöönotto työpaikalla voi olla säännösten mukaista, mutta vain edellyttäen, että ne otetaan käyttöön kattavan tietosuojavaikutusten arvioinnin (DPIA) jälkeen.
Jon Bartley, kansainvälisen asianajotoimiston RPC:n kumppani ja Data Advisory Groupin johtaja, kertoo ISMS.online-sivustolle, että on "kriittistä, että on olemassa selkeä prosessi teknologian käyttöönottoon", joka sisältää biometristen tietojen, kuten sormenjälkien tai iirisskannauksen, käytön.
"Tietosuojalain näkökulmasta yritysten on oltava tietoisia käyttöönoton esteistä", hän selittää. "Esimerkiksi tekniikan käyttötapauksesta riippuen voi olla vaikeaa luoda laillista perustaa biometristen tietojen käsittelylle, ellei asianomaisille henkilöille anneta todellista valintaa tekniikan hyväksymisestä tai vaihtoehdon valitsemisesta."
Koska biometrisiä tietoja voidaan käyttää yksilöiden yksilöimiseen, ne kuuluvat erityisluokkaan, ja siksi niihin sovelletaan tiukempia tietojenkäsittelysääntöjä.
"Tämä tieto on suurempi riski ja lisäehto on täytettävä käsittelyn laillistamiseksi, mikä voi olla vaikeaa tällaisten ehtojen rajallisen määrän ja laajuuden vuoksi", Bartley sanoo.
AI lisää riskiä
Sarah Pearce, asianajajien Hunton Andrews Kurthin kumppani ja tietosuojan asiantuntija, väittää, että ICO:n Serco Leisure -päätös osoittaa, miksi yritysten tulisi kuulla lakiammattilaisia säännösten noudattamisesta. Tietosuojalain lisäksi tekoälyteknologian tukema kasvojentunnistus asettaa vaatimukset noudattaa kasvavaa lainsäädäntöä, joka säätelee tätä nousevaa teknologia-aluetta, hän kertoo ISMS.online-sivustolle.
Äskettäin ratifioitu EU:n tekoälylaki luo riskiin perustuvan oikeudellisen kehyksen tekoälyn hallitukselle, joka luonnehtii tekoälyn käyttöä yhdessä kasvojentunnistusteknologioiden kanssa "korkeaksi riskiksi".
Tämä tarkoittaisi sitä, että noudattaakseen täysin kyseistä lakia yritysten on ”tehtävä tekoälyjärjestelmän ihmisvalvonta, suoritettava perusoikeusvaikutusten arviointi (joka ei poikkea GDPR:n mukaisesta tietosuojasta) ja tiedotettava siitä työntekijöille ja tarvittaessa yritysneuvosto”, hän selittää.
Korkean riskin luokitus koskee sekä asiakas- että työntekijäkeskeisiä biometristen teknologioiden käyttöönottoja tekoälyn yhteydessä.
RPC:n Bartley lisää: "Kasvojentunnistustekniikan käyttö työntekijöiden seurantaan voidaan luokitella tekoälylain korkean riskin käytöksi, mikä laukaisee erilaisia velvoitteita, kuten ihmisen valvonnan, valvonnan, kirjanpidon ja työntekijöiden kuulemisen."
Toiminnalliset edut
Ashley Avery, brittiläisen lakitoimiston Foot Ansteyn kumppani, kertoo ISMS.onlinelle, että hän on kirjannut "merkittävän kasvun" asiakkaiden kyselyjen määrässä, jotka haluavat ottaa käyttöön biometristä teknologiaa. Nämä organisaatiot näkevät sen liiketoiminnalliset hyödyt turvallisuussyistä tai osana asiakastarjousta, mutta ovat "varovaisia" tietosuojariskejä kohtaan, Avery selittää.
"ICOn ohjeistus on hyödyllinen, koska siinä kerrotaan yksityiskohtaisesti, mitkä asiat on otettava huomioon ennen tällaisen tekniikan käyttöönottoa ja kuinka yritykset voivat osoittaa noudattavansa tietosuojalainsäädäntöä", hän lisää.
Viitekehykset ja standardit – kuten ISO 27001 – voi auttaa yrityksiä saavuttamaan vaatimustenmukaisuuden ottaessaan käyttöön kasvojentunnistustekniikoita. ISO 27001 tarjoaa systemaattisen lähestymistavan arkaluonteisten tietojen hallintaan ja suojaamiseen, mukaan lukien kasvojentunnistustekniikoiden käsittelemät tiedot.
ICO:n ohjeissa painotetaan voimakkaasti DPIA:n suorittamista.
"Kokemuksemme mukaan DPIA:t ovat arvokas työkalu yksityisyyteen liittyvien riskien tunnistamiseen, mikä tarkoittaa, että yritykset voivat ottaa käyttöön toimenpiteitä tällaisten riskien minimoimiseksi alusta alkaen – tämä on ratkaisevan tärkeää tällaisten arkaluonteisten tietojen käsittelyssä", Avery päättää.
Yritysten, jotka haluavat ottaa käyttöön biometrisiä tekniikoita, tulee harkita seuraavaa:
⦁ Harkitse vähemmän häiritseviä todennus- tai kulunvalvontavaihtoehtoja
⦁ Noudata ICO:n uusia biometrisiä ohjeita
⦁ Suorita tiukka DPIA
⦁ Keskustele sidosryhmien (asiakkaiden, kumppanien ja työntekijöiden) kanssa ennen käyttöönottoa
⦁ Tarjoa selkeää ja avointa tietoa biometristen tietojen käytöstä
⦁ Toteuta asianmukaisia teknisiä ja organisatorisia toimenpiteitä biometristen tietojen turvallisuuden ja eheyden varmistamiseksi käyttämällä tarvittaessa standardeja, kuten ISO 27001
