GDPR (isikuandmete kaitse üldmäärus) liigitab biomeetrilised andmed eriliigiliste isikuandmete kategooriasse. See tähendab, et üldreeglina biomeetrilisi andmeid töödelda ei tohi. Sellegipoolest lubab GDPR neid andmeid töödelda, kui töötlemine toimub inimese selgesõnalisel nõusolekul või kui see on vajalik olulise avaliku huvi tõttu, samuti kui seaduses nähakse otseselt ette selliste andmete töötlemise õigus.
GDPRi globaalne kohaldamisala puudutab ka Euroopa Liidu kodanike andmeid töötlevaid ELi väliseid ettevõtteid, mistõttu ELi kodanike biomeetriliste andmete töötlemisel peavad ELi välised ettevõtted GDPRi reegleid järgima. See tähendab, et tuleb määrata ja tagada õiguslikud alused, läbipaistvus ja austada üksikisiku õigusi.
Biomeetrilised andmed on andmed inimese ainulaadsetele füüsilistele või käitumuslikele tunnustele, mida kasutatakse näiteks identifitseerimiseks läbi olemasoleva malliga võrdlemise.
Sõrmejälg: Sõrmejälgedel olevad eristavad jäljed ja sooned.
Näotuvastus: Näo tunnuste, näiteks silmade kauguse, nina kuju ja lõuajoonte kontuuride hindamine.
Silmaiirisepõhine tuvastamine: Iirise eksklusiivsete mustrite kontrollimine.
Häälepõhine tuvastamine: Hääle omaduste, nt tooni, helikõrguse ja hääldamise hindamine.
Võrkkestapõhine tuvastamine: Silma seesmise kihi veresoonte konfiguratsioonide uurimine.
Käte geomeetria: Käe mõõtmete, kuju, sõrme pikkuse ja laiuse analüüs.
DNA: individuaalse geneetilise informatsiooni uurimine.
Näiteid GDPRi kaasustest, mis hõlmavad biomeetrilisi andmeid
Hispaania andmekaitseasutus määras supermarketite ketile Mercadona trahvi 2 520 000 näotuvastustarkvara ebaseadusliku kasutamise eest 48 kaupluses Hispaanias. Süsteemi eesmärk oli tuvastada kriminaalkorras karistatud või lähenemiskeeluga isikud, kuid sellega koguti kõigi klientide, sealhulgas laste ja töötajate kujutisi ilma seadusliku nõusolekuta. Töötlemine ei vastanud ka eraelu puutumatuse põhimõtetele, sealhulgas vajalikkusele, läbipaistvusele ja lõimitud andmekaitse põhimõttele.
Rootsi andmekaitseasutus määras ühele koolile trahvi näotuvastustehnoloogia kasutamise eest. Seda seetõttu, et biomeetriliste andmete töötlemise eesmärk ei kuulunud ühegi GDPRi kohaselt lubatud eesmärgi hulka. Kool sai vanemate nõusoleku näotuvastustehnoloogia kasutamiseks, kuid andmekaitseasutus leidis, et nende nõusolek oli puudulik ja “pealesunnitud”, sest lastevanematel puudus tegelik võimalus mittenõustumiseks. GDPR näeb ette, et võimaluse korral tuleks andmeid saada vähem riivavate meetoditega.
Hollandi andmekaitseasutus määras töötajate biomeetriliste andmete ebaseadusliku töötlemise eest 750 000 euro suuruse trahvi. Ettevõte kasutas andmeid oma töötajate kohaloleku- ja tööaja registreerimiseks. Biomeetriliste andmete töötlemise alused olid ebaproportsionaalsed ega vastanud GDPRi nõuetele.
Prantsusmaa andmekaitseasutus määras Clearview AI-le (tehisintellekt) 20 miljoni euro suuruse trahvi ja käskis lõpetada Prantsusmaal elavate isikute kohta andmete kogumine ja kasutamine ilma õigusliku aluseta. Lisaks kohustati Clearview AI-d kustutama juba kogutud andmed. Internetist oli kogutud üle 20 miljardi foto, sealhulgas sotsiaalmeediast pärit pilte, et luua “biomeetriline mall”. See tähendab, et koguti tundlikku teavet inimeste füüsiliste omaduste kohta. Valdav enamik inimesi, kelle pilte otsingumootorisse koguti, ei olnud sellest meetmest teadlikud. Prantsusmaa andmekaitseinspektsioon leidis, et Clearview AI rikkus mitmeid GDPRi nõudeid. Clearview’le anti kaks kuud aega, et nõuded täita. Lisaks määrati ka 100 000 euro suurune trahv iga päeva eest, mis ületab nimetatud kahe kuu pikkust viivitust.
Juhtumid näitavad selgelt, et biomeetrilisi andmeid võib kasutada ainult väga piiratud eesmärkidel ja piiratud õiguslikel alustel. Ettevõtted ja ametiasutused peavad alati hindama, kas selline töötlemine on absoluutselt vajalik või on olemas mõni teine võimalus sama tulemuse saavutamiseks. Lisaks ei tohi unustada läbipaistvuse põhimõtet.
Biomeetrilised andmed ja tehisintellekt ELis – lähitulevik
Euroopa Liit soovib oma digistrateegia raames reguleerida tehisintellekti (AI), et tagada paremad tingimused selle uuendusliku tehnoloogia arendamiseks ja kasutamiseks. Selleks tegi Euroopa Komisjon ettepaneku tehisintellekti reguleeriva raamistiku kohta. Selle kohaselt analüüsitakse ja liigitatakse erinevates rakendustes kasutatavaid tehisintellekti süsteeme vastavalt sellele, millist ohtu nad kasutajatele kujutavad. Erinevad riskitasemed tähendavad rohkem või vähem nõudeid süsteemide kasutamiseks. Kui ettepanek heaks kiidetakse, sünnib maailma esimene tehisintellekti reguleeriv seadus. Sellised arengud on digitööstuse valdkonnas juba ka esile kutsunud mõningaid la-minoorseid toone.
Euroopa parlamendi prioriteet on tagada, et ELis kasutatavad tehisintellekti süsteemid oleksid ohutud, läbipaistvad, jälgitavad, mittediskrimineerivad ja keskkonnasõbralikud. Tehisintellekti süsteemide üle peaksid järelevalvet teostama inimesed, mitte automaatika, et vältida kahjulikke tagajärgi. Samuti soovib parlament kehtestada tehisintellekti jaoks tehnoloogianeutraalse ja ühtse määratluse, mida saaks kohaldada tulevaste tehisintellekti süsteemide suhtes.
Tehisintellekti seadus: erinevad eeskirjad erinevate riskitasemete jaoks
Uute eeskirjadega kehtestatakse teenusepakkujatele ja kasutajatele kohustused sõltuvalt tehisintellekti riskitasemest. Kuigi paljud tehisintellekti süsteemid kujutavad endast minimaalset riski, tuleb nende riski hinnata.
Lubamatu risk
Lubamatu riskiga tehisintellekti süsteemid on need, mida peetakse inimestele ohtlikuks ja mis keelatakse. Nende hulka kuuluvad:
- inimeste või konkreetsete haavatavate rühmade kognitiivne käitumisega manipuleerimine: näiteks häälega aktiveeritud mänguasjad, mis julgustavad lapsi ohtlikult käituma.
- sotsiaalne hindamine: inimeste klassifitseerimine käitumise, sotsiaalmajandusliku staatuse või isikuomaduste alusel.
- reaalajas ja eemalt kasutatavad biomeetrilised identifitseerimissüsteemid, näiteks näotuvastussüsteemid.
Kõrge risk
Tehisintellekti süsteeme, mis mõjutavad negatiivselt turvalisust või põhiõigusi, peetakse kõrge riskiga süsteemideks ja need jagatakse kahte kategooriasse:
1) tehisintellekti süsteemid, mida kasutatakse toodetes, mis kuuluvad ELi tooteohutusalaste õigusaktide alla. Siia kuuluvad mänguasjad, lennundus, autod, meditsiiniseadmed ja liftid.
2) tehisintellekti süsteemid, mis kuuluvad kaheksasse konkreetsesse valdkonda, mis tuleb registreerida ELi andmebaasis:
- füüsiliste isikute biomeetriline tuvastamine ja kategoriseerimine
- elutähtsate infrastruktuuride haldamine ja käitamine
- haridus ja kutseõpe
- tööhõive, töötajate haldamine
- juurdepääs olulistele era- ja avalikele teenustele ja hüvitistele
- õiguskaitse
- rände-, varjupaiga- ja piirikontrolli haldamine
- abi saamine seaduste tõlgendamisel ja kohaldamisel.
Kõiki kõrge riskiga tehisintellekti süsteeme hinnatakse enne turule viimist ja ka kogu nende elutsükli jooksul.
Genereeriv või tuletav tehisintellekt, nagu ChatGPT, peab vastama läbipaistvusnõuetele:
- tuleb avaldada, et sisu on loodud tehisintellekti abil
- tuleb tagada, et süsteemi genereeritud sisu ei oleks ebaseaduslik
- süsteemi mudeli treenimiseks kasutatud autoriõigusega kaitstud andmetest tuleb avaldada kokkuvõtted.
Piiratud risk
Piiratud riskiga tehisintellekti süsteemid peaksid vastama minimaalsetele läbipaistvusnõuetele, mis võimaldaksid kasutajatel teha teadlikke otsuseid. Pärast rakendustega suhtlemist saab kasutaja otsustada, kas ta soovib selle kasutamist jätkata. Kasutajad peaksid olema teadlikud, kui nad tehisintellektiga suhtlevad. See hõlmab tehisintellekti süsteeme, mis loovad või manipuleerivad pildi-, heli- või videosisu, näiteks deepfake’id.
Järgmised sammud
Nüüd algavad ELi Nõukogus läbirääkimised ELi riikidega seaduse lõpliku vormi üle. Eesmärk on jõuda kokkuleppele selle aasta lõpuks. See tähendab, et kui teie ettevõte pakub või kasutab puudutatud teenuseid, siis peaksite hoolikalt jälgima, kuidas seda lähitulevikus reguleeritakse, et teie ettevõte oleks vastavuses õigusaktidega.
Küsimuste korral võtke ühendust Hedmani andmekaitse nõuniku Andres Ojaveriga.