Follow us
  >  Vesti   >  Neosnovana obrada biometrijskih podataka
Neosnovana obrada biometrijskih podataka

Neosnovana obrada biometrijskih podataka

Neosnovana obrada biometrijskih podataka

Nikog ko se bavi oblašću zaštite podataka o ličnosti nije zaobišla vest da je zbog neosnovane obrade biometrijskih podataka jedna kompanija iz SAD-a kažnjena od strane francuskog organa nadležnog za zaštitu podataka sa 20 miliona evra. Šta mi treba da naučimo iz ovog?

Da GDPR (Opšta uredbe o zaštiti podataka o ličnosti) pod određenim uslovima obavezuje i domaće kompanije, sada je već dobro poznat zaključak. S toga je veoma važna uporedna praksa i pouke koje nam inostrani organi nadležni za zaštitu podataka šalju.

 

U čemu leži propust?

Kompanija osnovana u SAD-u, je Odlukom No. SAN-2022-019 Francuske Commission nationale de l’informatique et des libertés -Nacionalne komisije za informatiku i slobode – (dalje: Komisija), koja je organ nadležan za zaštitu podataka o ličnosti u Republici Francuskoj, obavezana da plati novčanu kaznu u iznosu od 20 miliona evra zbog kršenja odredaba GDPR-a.

Ova kompanija je razvila softver za prepoznavanje lica, preuzimanjem javno dostupnih fotografija sa interneta i formirala je bazu podataka koja omogućava da osobe budu identifikovana na osnovu jedne fotografije.

Od maja do decembra 2020. godine, pomenuta Komisija je primila više pritužbi koje su se ticale poteškoća u ostvarivanju prava na pristup podacima i prava na brisanje podataka fizičkih lica na koje se podaci odnose, te je na osnovu toga pokrenuta dokumentarna istraga.

Komisija je kao prvi korak koji preduzima naložila Kompaniji da svoje poslovanje uskladi sa čl. 6, 12, 15. i 17. GDPR u roku od dva meseca. To je značilo da usklade zakonitost obrade, transparentnost informacija i modalitete za ostvarivanje prava lica na koje se podaci odnose, pravo na pristup informacijama i pravo na brisanje informacija.

Zanimljivo je da ova Kompanija nije uputila nikakav odgovor Komisiji niti je sprovela pomenute promene. Komisija je u skladu sa francuskim Zakonom o zaštiti podataka o ličnosti imenovala izvestioca koji je sproveo istragu i o kršenjima GDPR obavestio Kompaniju, koja, međutim, ponovo nije uputila nikakav odgovor, a izvestilac je usmeno prezentovao svoj izveštaj na sednici Komisije.

Utvrđeno je da je ova Kompanija preuzimala fotografije sa društvenih mreža (npr. Fejsbuk, Tviter i dr.), ali i sa sajtova drugih kompanija koje imaju istaknute fotografije svojih zaposlenih i saradnika, sa raznih blogova i drugih mnogobrojnih drugih sajtova koji sadrže fotografije lica. Osim toga fotografije su takođe preuzimane sa video zapisa dostupnih na internetu npr. sa sajta youtube.com. Ovako nastala zbirka podataka sadržala je podatke kako punoletnih, ali i maloletnih lica. Treba posebno naglasiti da nikakav filtera po osnovu uzrasta nije primenjivan. Iz ove zbirke isključeni su sadržaji sa sajtova za „odrasle“. Tako je nastala zbirka od preko dvadeset milijardi fotografija.

 

Šta je kompanija uradila sa zbirkom?

Sa svake prikupljene fotografije izračunat je biometrijski šablon i tako je generisana jedinstvena matematička funkcija (hash) lica koji je specifičan za osobu koja se nalazi na fotografiji, a zasniva se na tačkama lica.

 

Naplata korišćenja

Kompanija je prodavala, odnosno naplaćivala pristup na online platformu koja uključuje i alat za pretraživanje fotografija. Ovaj alat se koristio prilikom učitavanja fotografije lica, sa koje je alat izračunavao jedinstvenu matematičku funkciju i povezivao sa sličnim funkcijama koje se nalaze u bazi. Softver je na taj način dolazio do rezultata pretrage koji se sastoji od fotografija povezanih sa URL veb stranica sa kojih su preuzete (dakle društvene mreže, sajtovi). Ovaj rezultat pretrage dakle obrađuje i pribavlja sve fotografije prikupljene o osobi, kao i izvor odakle je fotografija.

Svrha ove obrade je da identifikuje lice sa fotografije. Stoga je reč o softveru za prepoznavanje lica.

Zanimljivi su navodi ove kompanije da je reč o alatu koji se koristi od strane organa za izvršenje zakona, radi prepoznavanja učinilaca i žrtava napada i da može biti od koristi u situaciji kada postoji snimak sa nadzorne kamere, se ne zna o identitetu tog lica.

 

Kazna

Komisija za zaštitu podataka o ličnosti je Kompaniji izrekla novčanu kaznu u visini od 20 miliona evra uz obavezu da prestane sa obradom podataka fizičkih lica sa teritorije Francuske, kao i sa obavezom brisanja svih podataka ovih lica, a posebno podnosilaca pritužbe koji su se obratili Komisiji.

Visina novčane kazne je utvrđena na osnovu sledećih kriterijuma: broj, priroda i okolnosti učinjenih povreda kao i stepen saradnje sa Komisijom.

Komisija je ujedno istakla da ova obrada duboko zadire u privatnost fizičkih lica zbog toga što se iz samih fotografija pored lika osobe na fotografiji mogu dobiti drugi lični podaci u smislu njihovih uverenja (verskih ili političkih) izraženih na društvenim mrežama ili na nekom blogu.

Takođe zbog ozbiljnosti povrede Odluka komisije je javno objavljena na sajtu Komisije.

 

Da je ovo sve u Srbiji…

Ako bismo pošli to toga da se opisno činjenično stanje odnosi na podatke građana republike Srbije, opravdano se može očekivati da bi Poverenik za informacije od javnog značaja i zaštitu podataka o ličnosti (naš organ nadležan za primenu nacionalnog Zakona o zaštiti podataka o ličnosti) utvrdio povredu ovog Zakona. Odredbe GDPR prenete su u naš Zakon, te može doći do primene domaćeg zakona i izvan teritorije Republike Srbije.

Ni osnovi obrade podataka u našem Zakonu ne odudaraju od onih koje propisuje GDPR, te možemo da konstatujemo da i u domaćem pravu postoji osnov određivanje kazne, dok bi  iznos novčane kazne zasigurno bio različit, odnosno osetno manji u odnosu na 20 miliona evra. Naš Zakon je predvideo da se rukovalac ili obrađivač koji je pravno lice može kazniti za prekršaj u novčanom iznosu od 50.000,00 do 2.000.000,00 dinara. Možemo zaključiti da bi određivanje i najstrože kazne prema bio manji teret za inostranu kompaniju koja posluje u Srbiji.

 

Postavite Komentar