Isikuandmete kaitse keset näotuvastust ja sõrmejäljelugejaid

Üha enam koguvad populaarsust ja muutuvad kättesaadavamaks turvameetmed, mis kasutavad isiku tuvastamiseks inimese näokuju, sõrmejälge või silmaiirist ehk biomeetrilisi andmeid. Selgitame, mida peaks ettevõtja kaaluma enne biomeetrilisi andmeid kasutavate turvalahenduste kasutuselevõtmist.

Biomeetriliste andmete erisus

Biomeetrilised andmed on isiku eksimatut tuvastust lubavad andmed – näiteks inimese näokuju, sõrmejäljed või silmaiirise tuvastus. Selliseid andmeid peetakse eriliigilisteks ehk tavalisest tundlikumateks andmeteks, kuna võivad valedel eesmärkidel kasutades inimese privaatsusõigusi väga oluliselt rikkuda.

Kusjuures peetakse inimese biomeetrilisteks andmeteks nii inimese kohta saadud unikaalne info ilma tema isikut nimeliselt tuvastamata kui ka biomeetria töötlemisest saadavad koodid ehk räsi. Kuigi andmekaitse on oluline ka vähemtundlike andmete koha pealt, peab biomeetriliste andmete kogumisel ja töötlemisel olema eriliselt hoolikas.

Vaikimine pole nõusolek

Isikuandmete kaitse õiguse kohaselt on biomeetriliste andmete töötlemine ilma isiku nõusolekuta lubatud ainult mõjuval põhjusel, näiteks avaliku turvalisuse huvides või teadustööks. Isiku selgesõnalisel nõusolekul on võimalik biomeetriliste andmete töötlemine ka muudel eesmärkidel.

Biomeetriliste andmete töötlemiseks antud nõusolek peab olema vabatahtlik, konkreetne, teadlik ja ühemõtteline. Näiteks töösuhtes ei saa töötaja nõusolekut pidada reeglina vabatahtlikuks, kuivõrd tööandja-töötaja dünaamika on ebavõrdne ja töötaja võib tunda teatavat survet enda isikuandmete töötlemisega nõustuda.

Seega tuleks näiteks kontoris, kuhu tahetakse paigaldada sõrmejäljelugejaga turvalukk, pakkuda töötajatele reaalset teist alternatiivi, mille valimine ei tooks kaasa negatiivseid tagajärgi töötajale – näiteks säilitama võimaluse ka uksekaardiga tööle pääseda.

Teistsugune olukord on näiteks spordiklubides, kus spordiklubi ja kliendi vahel ei ole alluvussuhet ja kliendil on võimalus vabalt teenusepakkujat vahetada. Sellisel olukorras võib spordiklubi kasutada sissepääsuks inimese biomeetrilisi andmeid, kui selleks on antud selgesõnaline nõusolek. Samal põhimõttel kasutatakse mitmetes veebiteenustes, näiteks finantsteenuste puhul, biomeetrilisi andmeid isikutuvastsuseks.

Samas tuleb ka silmas pidada, et tundlike isikuandmete töötlemisel tuleb sellest inimest teavitada ja saada selleks asjakohane nõusolek. Nõusolekuvormi ei tohiks nö. ära peita teenuse üldtingimustesse või lugeda nõustumiseks teavituslehe lõppu kerimist.

Nõusoleku andmise tuvastatavuse tagamiseks peaks inimene tegema selleks eraldi liigutuse, näiteks märkima linnukese eraldi nõusolekuvormi, mis käsitleb konkreetsete andmete töötlemist. Nõusoleku küsimise ja hilisema tõendamise kohustus on alati andmetöötlejal, kes peab andmete, eriti tundlike andmete puhul kandma vastutust ka selle eest, kui andmeid hiljem kuritarvitatakse.

Riskide maandamine

Biomeetriliste andmete, muuhulgas ka näotuvastuse kasutamisega kaasnevad kõrgendatud riskid. Enne biomeetriliste andmete kasutamist tuleks esmalt kaaluda, kas sama tulemust ei ole võimalik saavutada vähem sekkuvate meetmete abil ja seda, kuidas tagada, et andmeid kogutakse nii vähe ja hoitakse nii lühikest aega kui vähegi võimalik.

Seejuures on oluline märkida, et tundlikemate andmete puhul võivad rikkumise korral andmesubjektidele tekkivad võimalikud kahjud olla märkimisväärselt suured, mistõttu on enne uute tehnoloogiate kasutuselevõttu või teenusega turuleminekut oluline riske realistlikult kaaluda ning võimalikult palju maandada.

Isikuandmete kaitse nõuete mittejärgimine võib kaasa tuua trahvi, mille suurus Euroopa Liidu õiguse kohaselt võib olla kuni 20 miljonit eurot või 4% globaalsest käibest, kumb iganes on kõrgem. Siiani on suurimaks trahviks 2019. aastal British Airwaysile määratud 230 miljoni euro suurune trahv 2018. aastal toimunud andmelekke eest.

Biomeetria kasutamine võib isikutuvastusprotsesse oluliselt mugavamaks ja kiiremaks muuta ning olla seetõttu hea lahendus teenuste või töökorralduse uuendamiseks. Seejuures on aga oluline, et ettevõtted oleksid seda hoolikamad, mida tundlikumaid andmeid kogutakse ja töödeldakse, tagades seejuures, et inimesel endal oleks võimalik kontrollida seda, kuhu ja kellele tema andmeid edastatakse.

Ole kursis Hedmani uudiste ja üritustega

Hedman

Meie kuuluvused:
FinanceEstonia, Lexing®,
Teenusmajanduse Koda,
Eesti Kaubandus-Tööstuskoda,
EstVCA, EstBan, FECC,
IBA & IBA European regional Forum