
Biometriniai duomenys: patogu, bet ar saugu?
Dabar nieko nebestebina pirštų atspaudų naudojimas atrakinti kompiuterį ar išmanųjį telefoną. Jau senokai Lietuvoje veido atvaizdas ir dviejų pirštų atspaudai įrašomi į pasą ir asmens tapatybės korteles (Lietuvos Respublikos asmens tapatybės kortelės ir paso įstatymo 5 straipsnis). Tokie įmantrumai daugumai patinka kaip madingi ir modernūs kasdieninio gyvenimo akcentai.
Biometriniai duomenys gali būti patys įvairiausi. Tai analizė ar atpažinimas pirštų atspaudų, akies rainelės, balso tembro, DNR (angl. do not resuscitate), veido atvaizdo, spausdinimo ritmo, eisenos, delno kontūro, kūno kvapo ir pan. Šie duomenys pagal Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymą nėra priskiriami ypatingiems asmens duomenims, tačiau kai kurie jų gali būti tokiais laikomi, pavyzdžiui, veido atpažinimo sistemose gali būti tvarkomi duomenys, atkleidžiantys rasinę ar etninę kilmę.
Biometriniai duomenys dažnai naudojami automatinio asmens autentifikavimo procedūrose, t. y. nustatant, kas yra konkretus asmuo, bei asmens tapatybės nustatymo procedūrose, kai sistema atpažįsta asmenį, išskirdama jį iš kitų, kurių biometriniai duomenys taip pat yra saugomi. Eiliniam vartotojui biometrinių duomenų tvarkymas gali taupyti laiką, pavyzdžiui, oro uosto apsaugos tarnyba greičiau nustato asmens tapatybę ar, tiesiog, su savimi nebereikia nešiotis asmens dokumento praeinant pro apsaugos postą ir pan.
Atsižvelgdama į biometrinių duomenų svarbą ir dėl netinkamo jų tvarkymo galinčias kilti neigiamas pasekmes, Valstybinė duomenų apsaugos inspekcija laikosi pozicijos, kad biometrinių duomenų tvarkymas turi būti pagrįstas svarbiomis aplinkybėmis. Aptariamų asmens duomenų tvarkymas negali būti atliekamas vien patogumo sumetimais. 1995 m. spalio 24 d. Europos Parlamento ir Tarybos direktyvos 95/46/EB dėl asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo 29 straipsnio darbo grupės dokumente, priimtame 2003 m. rugpjūčio 1 d. „Darbinis dokumentas dėl biometrinių duomenų“ Nr. WP 80 yra nurodyta, kad turi būti vengiama sistemų, kurios renka biometrinius duomenis be duomenų subjektų žinios. Šiuo požiūriu kai kurios biometrinės sistemos, pvz., nuotolinio veido atpažinimo, pirštų atspaudų rinkimo, balso įrašymo, kelia didesnį pavojų. Atsižvelgiant į tai, manytina, kad turi būti sudaryta galimybė naudoti alternatyvius autentifikavimo būdus bei užtikrinta, kad balso atpažinimo technologijos būtų naudojamos tik esant laisvanoriškam fizinio asmens sutikimui.
Biometrijos naudojimas plinta ir šias technologijas noriai perima ir verslas, ir gyventojai. Pats savaime šis reiškinys nėra blogas, jei laikomasi esminių asmens duomenų apsaugos principų: siekiamo tikslo ir tvarkomų duomenų proporcingumo, teisinio pagrindo buvimo, duomenų subjekto teisių užtikrinimo, pavyzdžiui, tinkamo informavimo, ir, žinoma, duomenų saugumo užtikrinimo.
Visi šie reikalavimai turi būti įvertinti dar iki biometrijos sistemos įdiegimo, kadangi šių reikalavimų nepaisymas duomenų bazėse iš anksto užprogramuoja, kad ja ateityje nebus galima naudotis saugiai arba ji taps visai nepatikima, be to, gali būti padaryta nepataisoma žala asmeniui, duomenų subjektui. Pavyzdžiui, vieno asmens pirštų atspaudai būtų susieti su kitu asmeniu, kuris automatiškai įgyja galimybę naudotis pastarajam suteiktomis teisėmis ir (ar) paslaugomis. Tokie veiksmai paprastai suprantami kaip kito fizinio asmens tapatybės vagystė.
Taigi tiek verslui, diegiančiam technologijas su biometrinių duomenų tvarkymu, tiek fiziniam asmeniui būtina įvertinti, ar tokių technologijų naudojimas jiems tikrai yra būtinas ir pagrįstas, o ne tik patogus.