Milano FaceBoarding-süsteem tõestab, et tõhusus ei saa tulla põhiõiguste arvelt

Füüsilises maailmas oleme harjunud näitama passi ametnikule – see on lühike hetk, kus säilitame kontrolli oma isikut tõendavate dokumentide üle. Veebis ja automatiseeritud transiiditsoonides muutub see dünaamika aga märksa läbipaistmatumaks. Meilt palutakse sageli vahetuskaupa: meie kõige intiimsemad andmed – näogeomeetria – lühema järjekorra lubaduse vastu. Kuid nagu selgub Itaalia andmekaitseasutuse (Garante) hiljutisest otsusest, on selle mugavuse hind sageli kõrgem, kui reisijad arvata oskavad.

Milano Linate lennujaamas turustati FaceBoarding-süsteemi kui sujuvat hüpet reisimise tulevikku. Oma nägu skaneerides said reisijad läbida turvakontrolli ja väravad ilma paber- või digitaalsete koodidega mähklemata. Ometi on Garante uurimine ettevõtte SEA (Società Esercizi Aeroportuali) suhtes paljastanud süsteemi, mis ei suutnud austada seadusi, mis on loodud meid kaitsma. Vastavuse seisukohast on see otsus karm meeldetuletus: innovatsioon ilma privaatsuse vundamendita on vaid riski peen vorm.

Nõusoleku illusioon

Üks olulisemaid järeldusi Garante otsuses oli kehtiva nõusoleku puudumine. Andmekaitse maailmas on nõusolek võti, mis avab ukse tundliku teabe töötlemisele. Biomeetriliste andmete puhul – mida isikuandmete kaitse üldmäärus (GDPR) klassifitseerib eriliigilisteks andmeteks, kuna need on unikaalselt ja püsivalt seotud üksikisikuga – peab selle võtme keerama kasutaja vabatahtlikult ja selgesõnaliselt.

Praktikas leiti, et SEA kogus reisijate näokujutisi ilma seadusega nõutud üksikasjalikku nõusolekut hankimata. Teisisõnu ei antud reisijatele selget ja informeeritud valikut; nad lihtsalt suunati süsteemi, mis kohtles nende bioloogilisi tunnuseid kui järjekordset pagasiüksust. GDPR-i raamistiku kohaselt ei saa eeldada, et keegi on nõus oma näo digitaliseerimise ja salvestamisega lihtsalt sellepärast, et ta kõnnib konkreetse värava suunas.

Liivale ehitatud vundament

Lõimitud privaatsus (privacy by design) on maja vundament. Kui ehitate stiilse ja moodsa struktuuri nõrgale vundamendile, jääb kogu hoone ebakindlaks. Garante leidis, et SEA ei suutnud seda põhimõtet rakendada, rikkudes GDPR-i artiklit 25. Selle asemel, et ehitada privaatsus tarkvarasse sisse juba esimesest koodireast, käsitleti andmekaitset kui tagantjärele tarkust.

See struktuurse terviklikkuse puudumine oli kõige ilmsem süsteemi turvavigades. Uurimine paljastas, et SEA ei krüpteerinud biomeetrilisi malle – reisijate nägude matemaatilisi esitusi. Kuritahtliku osapoole käes on krüpteerimata biomeetriline andmebaas toksiline vara. Erinevalt paroolist ei saa te pärast andmeleket oma nägu vahetada. Järelikult tekitas nende andmete hoidmine haavatavas olekus vastuvõetamatu isikuvarguse ja loata jälgimise riski.

Digitaalse kogunemise probleem

Andmete minimeerimine on digihügieeni põhitõde. See näeb ette, et organisatsioonid peaksid koguma ainult seda, mida nad vajavad, ja säilitama seda vaid nii kaua, kui see on vajalik. SEA valis aga liigse säilitamise poliitika. Hoides biomeetrilisi andmeid kauem, kui vahetu pardalemineku protsess nõudis, muutsid nad ajutise mugavuse püsivaks digitaalseks jalajäljeks.

See praktika on otseses vastuolus Euroopa Andmekaitsenõukogu (EDPB) arvamusega 11/2024. See hiljutine juhis selgitab, et lennujaamade biomeetriliste süsteemide proportsionaalsuse tagamiseks peaksid andmed ideaalis jääma reisija kontrolli alla või need tuleks kustutada hetkel, kui konkreetne eesmärk (näiteks lennukile minek) on täidetud. Nende pikem säilitamine muudab turvatööriista jälgimisandmebaasiks.

Miks see on oluline reisimise tuleviku jaoks

See otsus ei puuduta ainult ühte lennujaama Itaalias; see on kompass igale organisatsioonile, mis soovib näotuvastust rakendada. Garante on teinud selgeks, et uue tehnoloogia "lahedusfaktor" ei anna õigust eirata artiklit 32 (töötlemise turvalisus) või artiklit 5 (töötlemise põhimõtted).

Lõppkokkuvõttes kinnitab otsus ideed, et meie biomeetrilised andmed on põhimõtteline inimõigus, mitte kaup, mida koguda operatiivse tõhususe nimel. Liikudes automatiseeritumate keskkondade poole, jääb andmetöötleja kohustuseks tõestada, et nende süsteemid on töökindlad, läbipaistvad ja eelkõige üksikisikut austavad.

Praktilised sammud organisatsioonidele ja reisijatele

Ettevõtetele, kes soovivad püsida seaduse õigel poolel, ja reisijatele, kes soovivad kaitsta oma digitaalset identiteeti, on siin Linate otsusest tulenevad praktilised näpunäited:

• Auditeerige biomeetrilisi töövooge: Kui teie organisatsioon kasutab näotuvastust, kontrollige, kas nõusolek on selgesõnaline ja üksikasjalik. Kasutajatel peab olema võimalus loobuda ilma karistuseta.
• Rakendage krüpteerimist: Biomeetrilisi malle ei tohi kunagi hoida tavatekstina. Kasutage tipptasemel krüpteerimist, et tagada andmete kasutusoskmatus sissetungijatele isegi andmelekke korral.
• Praktiseerige andmete minimeerimist: Seadistage ranged automaatse kustutamise protokollid. Kui reisija on lennukisse läinud, on harva seaduslikku põhjust tema näomalli säilitamiseks.
• Vaadake üle EDPB juhised: Veenduge, et teie süsteemid on kooskõlas arvamusega 11/2024, mis seab praeguse standardi biomeetriliseks töötlemiseks suure liiklusega avalikes kohtades.
• Nõuanne reisijale: Otsige alati "analoogset" alternatiivi. Teil on õigus valida traditsiooniline dokumendikontroll biomeetrilise skaneerimise asemel enamikus jurisdiktsioonides.

Allikad:

• Isikuandmete kaitse üldmäärus (GDPR), artiklid 5, 25 ja 32.
• Itaalia andmekaitseasutus (Garante per la protezione dei dati personali) - otsus SEA Milan Linate kohta.
• Euroopa Andmekaitsenõukogu (EDPB) arvamus 11/2024 näotuvastuse kasutamise kohta lennujaamades.

Lahtiütlus: See artikkel on koostatud ainult teavitaval ja ajakirjanduslikul eesmärgil ning ei kujuta endast ametlikku juriidilist nõuannet. Konkreetsete vastavusnõuete osas konsulteerige kvalifitseeritud õigusnõustaja või oma andmekaitseametnikuga.