Персональные данные в современном цифровом мире. Тонкости с точки зрения закона.
Сегодня, в связи со стремительно внедряющимися в нашу жизнь системами биометрического контроля и соответствующего программного обеспечения по распознаванию лиц, все чаще поднимается вопрос о законности сбора, использования и защиты персональных данных.
Информации на эту тему не особо много на просторах интернета не только в нашей стране, а и в принципе в мире так как, например информация правовом обеспечении защиты персональных данных в некоторых странах очень бурно обсуждается уже длительное время ведь всегда находятся сторонники и противники технологий.
Законодательное обеспечение защиты персональных данных в Украине
В Украине в 2021 году правовая защита персональных данных регулируется Конституцией Украины и Законом Украины “О защите персональных данных”. Прежде чем начать рассмотрение нашей непростой темы, пройдемся по ключевым определениям, понятиям и терминологии.
Статья 32 Конституции Украины гласит:
Никто не может подвергаться вмешательству в его личную и семейную жизнь, кроме случаев, предусмотренных Конституцией Украины.
Не допускается сбор, хранение, использование и распространение конфиденциальной информации о лице без его согласия, кроме случаев, определенных законом, и только в интересах национальной безопасности, экономического благосостояния и прав человека.
Каждому гарантируется судебная защита права опровергать недостоверную информацию о себе и членах своей семьи и права требовать изъятия любой информации, а также право на возмещение материального и морального ущерба, причиненного сбором, хранением, использованием и распространением такой недостоверной информации.
Закон Украины “О защите персональных данных” (редакция от 14.08.2021) дает определение основным терминам, поэтому обязательно пройдемся по ним:
персональные данные - сведения или совокупность сведений о физическом лице, которое идентифицировано или может быть конкретно идентифицировано;
субъект персональных данных - физическое лицо, персональные данные которого обрабатываются;
согласие субъекта персональных данных - добровольное волеизъявление физического лица (при условии ее осведомленности) о предоставлении разрешения на обработку его персональных данных в соответствии с сформулированной цели их обработки, высказанное в письменной форме или в форме, что позволяет сделать вывод о предоставлении согласия. В сфере электронной коммерции согласие субъекта персональных данных может быть предоставлена при регистрации в информационно-телекоммуникационной системе субъекта электронной коммерции путем проставления отметки о предоставлении разрешения на обработку своих персональных данных в соответствии с сформулированной цели их обработки, при условии, что такая система не создает возможностей для обработки персональных данных до момента проставления отметки.
В Законе Украины "О едином государственном демографическом реестре и документах, подтверждающих гражданство Украины, удостоверяющих личность или ее специальный статус” дается полноценное определение термину “биометрические данные:
биометрические данные - совокупность данных о лице, собранных на основе фиксации ее характеристик, имеющих достаточную стабильность и существенно отличаются от аналогичных параметров других лиц (биометрические данные, параметры - оцифрованного подпись лица, оцифрованного изображения лица человека, оцифрованы отпечатки пальцев рук).
Если копнем глубже, то наткнемся на очень скучную но интересную информацию:
Статья 7 Закона Украины “О защите персональных данных” четко определяет:
1. Запрещается обработка персональных данных о расовом или этническом происхождении, политических, религиозных или мировоззренческих убеждениях, членстве в политических партиях и профессиональных союзах, осуждения к уголовному наказанию, а также данных, касающихся здоровья, половой жизни, биометрических или генетических данных.
2. Положения части первой настоящей статьи не применяется, если обработка персональных данных:
1) осуществляется при условии предоставления субъектом персональных данных однозначного согласия на обработку таких данных;
2) необходима для осуществления прав и исполнения обязанностей владельца в сфере трудовых правоотношений в соответствии с законом с обеспечением соответствующей защиты;
3) необходима для защиты жизненно важных интересов субъекта персональных данных или другого лица в случае недееспособности или ограничения гражданской дееспособности субъекта персональных данных;
4) осуществляется с обеспечением соответствующей защиты религиозной организацией, общественной организацией мировоззренческой направленности, политической партией или профессиональным союзом, созданным в соответствии с законом, при условии, что обработка касается исключительно персональных данных членов этих объединений или лиц, поддерживающих постоянные контакты с ними в связи с характером их деятельности, и персональные данные не передаются третьему лицу без согласия субъектов персональных данных;
5) необходима для обоснования, удовлетворения или защиты правового требования;
6) необходима в целях охраны здоровья, установления медицинского диагноза, для обеспечения попечительства или лечения или оказания медицинских услуг, функционирования электронной системы здравоохранения при условии, что такие данные обрабатываются медицинским работником или другим лицом учреждения здравоохранения или физической лицом - предпринимателем, получившим лицензию на осуществление хозяйственной деятельности по медицинской практике, и ее работниками, на которых возложены обязанности по обеспечению защиты персональных данных и на которых распространяется действие законодательства о врачебной тайне, работниками центрального органа исполнительной власти, реализующего государственную политику в сфере государственных финансовых гарантий медицинского обслуживания населения, на которых возложены обязанности по обеспечению защиты персональных данных;
61) необходима в целях обеспечения ведения воинского учета призывников, военнообязанных и резервистов (в объемах данных, указанных в статье 7 Закона Украины "О Едином государственном реестре призывников, военнообязанных и резервистов")
7) касается приговоров суда, выполнения задач оперативно-розыскной или контрразведывательной деятельности, борьбы с терроризмом и осуществляется государственным органом в пределах его полномочий, определенных законом;
8) касается данных, которые были явно обнародованы субъектом персональных данных.
Все прочитали и не особо поняли? Это нормально! Читаем внимательно еще разок, а потом еще и еще, если хотите осознать тонкости закона для себя или своих клиентов!
Итак что практичного дает нам эта куча скучной информации?
Вывод такой - если следовать закону, то при трудоустройстве сотрудник обязан предоставить работодателю письменное разрешение на сбор персональных данных в состав которых входят все виды идентификации личности, включая биометрические данные.
Особенности защиты и сохранности биометрических персональных данных в технологической сфере.
Это было все с точки зрения закона, а теперь чуточку заглянем в то как персональные данные в виде: Отпечатков пальцев / Геометрии лица / Венозной сетки / Сетчатки глаза (все это можно назвать одним словом - биометрия) выглядят с точки зрения технологий.
Ведь зачастую боязнь технологий как раз из-за НЕ ПОНИМАНИЯ того что происходит. Тут все как обычно у нас в жизни - не понимаем как работает - НЕ ДОВЕРЯЕМ, согласны ?
Самое основное чему не доверяют люди сегодня так это оборудованию которое считывает отпечатки пальцев. Сложилась эта неприязнь можно сказать исторически так как еще с 1858 года отпечатки пальцев используются в качестве метода идентификации преступников.
Идентификация по отпечатку пальца популярна из-за присущей ему способу простоты получения, многочисленных источников (например десять пальцев), доступных для сбора, а также их постоянного использования, сбора и сравнения правоохранительными органами и/или иммиграционной службой.
Отпечаток пальца это уникальный идентификатор. Вероятность того, что ваш отпечаток пальца точно совпадет с чужим, составляет один из 64 миллиардов. Отпечатки пальцев даже более уникальны, чем ДНК -генетический материал каждой из наших клеток.
Но с точки зрения современных технологий распознавания отпечатка пальцев отпечаток отпечатку - рознь потому, что с точки зрения такой науки как Дактилоскопия отпечатки пальцев это то что и используется правоохранительными органами.
А вот если посмотреть глазами современного оборудования из сферы контроля доступа то все выглядит совсем не так.
Сегодня цифровые сканеры снимают изображение отпечатка пальца так- чтобы создать цифровой отпечаток пальца, человек кладет свой палец на оптическую (прозрачная в большинстве случаев) поверхность считывающего устройства и удерживает его там в течение нескольких секунд. Считыватель преобразует информацию от сканирования в шаблоны цифровых данных. Затем компьютер (электронный чип считывателя или терминала) сопоставляет точки на отпечатках пальцев и использует эти точки для поиска похожих шаблонов в базе данных.
Распознавание отпечатка пальцев основывается в большинстве случаев на трех основных шаблонах: петля, завитки и дуги самого отпечатка т.е. тут берутся просто различные геометрические особенности физического и всячески замеряются выстраивая уникальный цифровой отпечаток.
Само распознавание отпечатка в данном случае - всего лишь в первый раз сохранение отпечатка в базе и последующее сравнение с имеющимися отпечаткам идентифицируемого лица !
Каждый производитель оборудования для идентификации личности по биометрическим данным, будь то лицо или палец или вены разрабатывает СВОЮ ТЕХНОЛОГИЮ сравнения и преобразования конечных данных самого отпечатка и использует шифрование этого отпечатка уникальным кодом.
На примере хорошо знакомого нам производителя подобного оборудования компании ZKTeco можем твердо сказать что достижения достаточного уровня зачастую необходим 20-ти летний опыт в подобных разработках для производства такого оборудования. Например уже упомянутая нами компания ZKTeco предлагает собственные интеллектуальные алгоритмы, основанные на правах собственности, помня что все шаблоны постоянно находятся в частной собственности!
Это мы просто поясняем так на реальном примере насколько серьезна, надежна и важна конфиденциальность самих алгоритмов и как тут тяжело заработать мировой авторитет своего оборудования, просто представьте себе все это.
Теперь самое главное что нужно понять!
Оборудование одного производителя никогда не воспримет ваш отпечаток который вы сохраняли на оборудовании другого производителя и при этом еще и никак не будет полезно любым правоохранительным органам для опознания вас как личности!
Все это равноценно применимо для всех видов биометрической идентификации потому как принцип распознавания тут един и основан на "цифровом рисунке" вашего идентифицируемого органа будь то палец, вены ладони или геометрические особенности лица!
Вот в принципе наверное и все что можно рассказать простым понятным языком не вдаваясь в сложнейшие технологии построения самих отпечатков, а так же трудности возникающие у производителей этого оборудования. Да нам это и не надо как бы - ведь мы просто должны пользоваться и при этом наслаждаться возможностями современных технологий не вдаваясь в подробности.
Искренне надеемся, что данной статьей мы развеем все существующие мифы об этих технологиях у всех сомневающихся сторон.
Хотите знать актуальные новости из мира технологий для безопасности ? ПОДПИСЫВАЙТЕСЬ на наш ТМ КАНАЛ
Внимание! Перепечатка материалов допускается только при наличии ссылки на наш блог.