GoldenLine
Zaloguj się
Jarosław Żabówka

Jarosław Żabówka Administrator
Bezpieczeństwa
Informacji (ABI).

Temat: Zabezpieczenia biometryczne są nielegalne?

Tak źle to może jeszcze nie jest, jednak dzisiaj na stronie GIODO opublikowano interesującą opinię dotyczącą stosowania metod biometrycznych dla kontroli czasu pracy.
http://www.giodo.gov.pl/348/id_art/2056/j/pl
Rozumując tym tokiem, mogę jednak powiedzieć: „Administratorze, nie stosuj zabezpieczeń biometrycznych tam gdzie wystarczy hasło albo karta”.
Link do wypowiedziLink
Daniel Wieszczycki

Daniel Wieszczycki prawnik i
konsultant, DPO
m.in. w Pepco Poland
i Burda Me...

Temat: Zabezpieczenia biometryczne są nielegalne?

To jest naprawdę ciekawe. Szczególnie, jeżeli połączymy ją z lansowaną przez GIODO teorią, że zgoda pracownika na takie działanie nie będzie skuteczna. Znam kilka firm, do których biur wejście kontrolowane jest na podstawie odcisków linii papilarnych.

Ale jest metoda obrony :) Zwykle, w takich systemach nie są przechowywane całe odciski, a jedynie pewne punkty charakterystyczne. Na ich podstawie, nie posiadając samych linii nikt nie jest w stanie zidentyfikować danej osoby. Podczas odczytu linii, skan jest porównywany tylko z tymi punktami - jak się zgadza - ACCESS GRANTED :) Sam skan nigdzie nie jest wprowadzany, najwyżej zostanie jako sam odcisk na skanerze :)
Link do wypowiedziLink

konto usunięte

Temat: Zabezpieczenia biometryczne są nielegalne?

Uć. ryzykowana teza. Porównanie linii jako śladu odbywa się na podstawie 12 punktów.
Link do wypowiedziLink
Daniel Wieszczycki

Daniel Wieszczycki prawnik i
konsultant, DPO
m.in. w Pepco Poland
i Burda Me...

Temat: Zabezpieczenia biometryczne są nielegalne?

W systemie, który znam - na podstawie 6-ciu. Problem został nieco uproszczony, przez konieczność podania na początek indywidualnego kodu. Po podaniu kodu system nie porównuje zeskanowanego odcisku z całą bazą, a jedynie ze wzorcem przypisanym do kodu. Działa to dość dobrze.

A nawet gdyby było to 12 punktów? Z tych punktów odcisku odtworzyć się nie da. Czy jest to więc dana osobowa? Tak sobie głośno myślę. Zastanawiam się, po prostu jak ułatwić innym życie.
Link do wypowiedziLink

konto usunięte

Temat: Zabezpieczenia biometryczne są nielegalne?

Art. 6.
(...)

3. Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań.

Rozumiem, ze chodzi o ten ustęp? Na moje oko, to należałoby jednak ponieść nadmierne koszty czas i działania. Bo ktoś musiałby dotrzec do bazy przechowującej wzorce.
Link do wypowiedziLink
Daniel Wieszczycki

Daniel Wieszczycki prawnik i
konsultant, DPO
m.in. w Pepco Poland
i Burda Me...

Temat: Zabezpieczenia biometryczne są nielegalne?

Generalnie chodzi o to, że na podstawie 6, 12, czy i nawet 24 punktów charakterystycznych nie można ustalić tożsamości człowieka. Takie same punkty (przy 24) ma 1 na 20.000 osób. W znanym mi innym 24 punktowym systemie, przy ok. 200 osobach zatrudnionych zdarzyło się, że dwie osoby mogły wejść do biura na swoje kody i palce - zamiennie..
Link do wypowiedziLink
Jarosław Żabówka

Jarosław Żabówka Administrator
Bezpieczeństwa
Informacji (ABI).

Temat: Zabezpieczenia biometryczne są nielegalne?

Ale te dane są w systemie powiązane z danymi które pozwalają ustalić tożsamość osoby. Przecież prawo dostępu do pomieszczenia/systemu dajemy konkretnej osobie. Dlatego nie chodzi tu o to, że na podstawie odcisku palca można zidentyfikować osobę, ale o to, że przetwarzamy dodatkowe informacje o tej osobie, a na przetwarzanie tych informacji nie mamy ustawowej zgody.
Link do wypowiedziLink
Andrzej N.

Andrzej N. Administrator
Bezpieczeństwa
Informacji,
Inspektor Bezpie...

Temat: Zabezpieczenia biometryczne są nielegalne?

Myślę że trochę się zagalopowaliście. Artykuł na stornie GIODO dotyczy wykorzystania odcisków palców do kontroli czasu pracy. Co innego w przypadku systemu kontroli dostępu wykorzystującego odciski palców. O ile w pierwszym przypadku rzeczywiście wydaje się to nieadekwatne do celu (choć i tutaj można polemizować - wystarczy odpowiedni zapis w regulaminie pracy danej jednostki i teoretycznie wszystko jest ok, podobnie jak w przypadku monitoringu - bo przecież odciski palców nie mieszczą się w katalogu danych z art. 27, tzw. "wrażliwych"), to wykorzystanie ich w przypadku kontroli dostępu zamiast identyfikatorów i haseł bądź kodów jest jak najbardziej uzasadnione z uwagi na nieporównywalnie większą możliwość zapewnienia poufności i rozliczalności.
Link do wypowiedziLink
Jarosław Żabówka

Jarosław Żabówka Administrator
Bezpieczeństwa
Informacji (ABI).

Temat: Zabezpieczenia biometryczne są nielegalne?

Prawie się zgadzam. Tylko, że rzeczywiście należy uzasadnić, że stosowane takiego zabezpieczenia jest „adekwatne” do zabezpieczanych danych – w przeciwnym wypadku zawsze możemy się narazić na zarzut naruszenia prywatności.

Właśnie trafiłem przypadkiem na tekst o kontroli czasu pracy w US w Siemianowicach: http://www.ochrona.pl/?page=Structure&id=48&nid=659
Link do wypowiedziLink
Jarosław Żabówka

Jarosław Żabówka Administrator
Bezpieczeństwa
Informacji (ABI).

Temat: Zabezpieczenia biometryczne są nielegalne?

W dokumencie: giodo_zatrudnienie.pdf znalazłem taki tekst:
Czy wprowadzenie systemu kontroli czasu pracy w oparciu o zbieranie i przechowywanie odcisków palców pracowników przez kierownictwo placówki jest legalne? Zagadnienie rejestracji czasu pracy w oparciu o komputerową rejestrację linii papilarnych nie budzi wątpliwości prawnych – przesłanki legalizujące pochodzą z art. 129 [5], który nakłada na pracodawcę obowiązek ewidencjonowania czasu pracy. Sposób prowadzenia ewidencji jest dowolny. GIODO zwrócił tylko uwagę na konieczność zabezpieczenia zbioru danych zawierającego odciski palców.
[5]. Ustawa z dnia 26 czerwca 1974 r. Kodeks pracy (Dz.U. z 1998 Nr 21, poz. 94 ze zm)

Autor podaje, że „opracowanie powstało na bazie sprawozdań rocznych GIODO z lat 1998-2003” – nie znalazłem w sprawozdaniach nic na ten temat, natomiast w sprawozdaniu z 2005 roku GIODO wypowiada się analogicznie jak w opinii która rozpoczęła wątek.
Podobnie w sprawozdaniu z 2003 roku GIODO pisze:
Portugalski Rzecznik Ochrony Danych Osobowych wydał negatywną decyzję dotyczącą zastosowania (użycia) przez uniwersytet systemu biometrycznego zawierającego odciski linii papilarnych, w celu kontroli pilności i punktualności personelu. Decyzja ta została pozytywnie oceniona przez Grupę Art. 29 Dyrektywy 95/46/EC,
funkcjonującą przy Komisji Europejskiej, co może wskazywać na
kierunek oceny tego typu działań przez organy ochrony danych
osobowych. Zaznaczyć przy tym należy, iż wykorzystywanie
biometrii wiąże się z kwestią proporcjonalności i
konieczności. Dane biometryczne, w tym odcisk linii papilarnych, nie powinny być zatem wykorzystywane, gdy nie jest to konieczne.

Czyli GIODO jest za, a nawet przeciw (chyba, że ma to związek z uchylonym art.129.11)? Wiecie może którego sprawozdania dotyczy pierwszy cytat?Jarosław Żabówka edytował(a) ten post dnia 29.01.08 o godzinie 18:13
Link do wypowiedziLink
Andrzej N.

Andrzej N. Administrator
Bezpieczeństwa
Informacji,
Inspektor Bezpie...

Temat: Zabezpieczenia biometryczne są nielegalne?

Jarosław Żabówka:
Prawie się zgadzam. Tylko, że rzeczywiście należy uzasadnić, że stosowane takiego zabezpieczenia jest „adekwatne” do zabezpieczanych danych – w przeciwnym wypadku zawsze możemy się narazić na zarzut naruszenia prywatności.

Czy aby na pewno trzeba? Np. wypełniając wniosek rejestracyjny zbioru na stronie e-giodo w części E pkt 16 ppkt d mamy możliwość wybrania opcji "Dostęp do systemu operacyjnego komputera, w którym przetwarzane są dane osobowe zabezpieczony jest za pomocą procesu uwierzytelnienia z wykorzystaniem technologii biometrycznej" Można więc założyć że GIODO przyjmuje informację o takich zabezpieczeniach podobnie jak każdą inną - przecież we wniosku nie wymaga od nas uzasadnienia wdrożenia zabezpieczeń biometrycznych...
Jarosław Żabówka:
Czyli GIODO jest za, a nawet przeciw...

Cóż, nie pierwszy i obawiam się że nie ostatni raz dojdziemy do takich wniosków.
Link do wypowiedziLink
Jarosław Żabówka

Jarosław Żabówka Administrator
Bezpieczeństwa
Informacji (ABI).

Temat: Zabezpieczenia biometryczne są nielegalne?

Andrzej Noras:
Czy aby na pewno trzeba? Np. wypełniając wniosek rejestracyjny zbioru na stronie e-giodo w części E pkt 16 ppkt d mamy możliwość wybrania opcji "Dostęp do systemu operacyjnego komputera, w którym przetwarzane są dane osobowe zabezpieczony jest za pomocą procesu uwierzytelnienia z wykorzystaniem technologii biometrycznej" Można więc założyć że GIODO przyjmuje informację o takich zabezpieczeniach podobnie jak każdą inną - przecież we wniosku nie wymaga od nas uzasadnienia wdrożenia zabezpieczeń biometrycznych...

Nie twierdzę, że uzasadnienie powinno znaleźć się w zgłoszeniu zbioru. Uważam jednak, że wszystkie wybory zabezpieczeń powinny być pisemnie udokumentowane, nawet jeżeli nie stosujemy formalnej analizy ryzyka.
Mówimy tutaj o stosowaniu zabezpieczeń „adekwatnych" – uważam, że powinniśmy umieć uzasadnić dlaczego takie a nie inne zabezpieczenie wybieramy, a uzasadnienie takie powinno znaleźć się w naszej dokumentacji systemu. Pracownicy są coraz uczuleni na sprawy ochrony swoich danych, a takie uzasadnienie daje nam natychmiastową odpowiedź na zarzut naruszenia prywatności (pamiętajmy, że być może to nie my z tego będziemy korzystać, a osoba, która na danym stanowisku nas zastąpi).
Jeżeli wydajemy pieniądze publiczne, to uzasadnienia wyboru danego zabezpieczenia wydaje mi się szczególne istotne.
Link do wypowiedziLink
Andrzej N.

Andrzej N. Administrator
Bezpieczeństwa
Informacji,
Inspektor Bezpie...

Temat: Zabezpieczenia biometryczne są nielegalne?

Masz rację, ja również uważam powinno to wynikać właśnie z analizy ryzyka a nie z "widzimisię" administratora. Jeżeli postąpimy w ten sposób to nikt nam nie zarzuci działania "na wyrost". Tym bardziej że zabezpieczenia tego typu są coraz tańsze i moim skromnym zdaniem już niedługo zaczną skutecznie wypierać zabezpieczenia oparte o identyfikator i hasło.
Link do wypowiedziLink

konto usunięte

Temat: Zabezpieczenia biometryczne są nielegalne?

nie chce tu wystepowac jako rzecznik, ale z tego tekstu wynika w szczegolnosci to, ze zbieranie przez pracodawce danych biometrycznych jest niezgodne przede wszystkim z KODEKSEM PRACY.
wynikaja z tego 2 wazne wnioski:
1.giodo przyznaje, ze dane biometryczne znajdujace sie w systemie kontroli wejscia wyjscia sa danymi osobowymi (i lepiej tak przyjac przy ustawianiu systemu ochrony danych osobowych)
2.artykul odpowiada twierdzaco na pytanie postawione w tytule watku (zabezpieczenia biometryczne nielegalne?)

Nie mnie to oceniac, ale taki jest sens tego tekstu ze strony.
Link do wypowiedziLink
Jarosław Żabówka

Jarosław Żabówka Administrator
Bezpieczeństwa
Informacji (ABI).

Temat: Zabezpieczenia biometryczne są nielegalne?

Sprawa wykorzystywania linii papilarnych znalazła swój dalszy ciąg w sądzie. Pisze o tym dzisiejsza RP w artykule: http://www.rp.pl/artykul/56526,226135.html
Sąd nie podzielił opinii GIODO i uznał, że zgoda pracownika jest wystarczającą podstawą dla przetwarzania danych osobowych przez pracodawcę.
Moim zdaniem, wyrok dość kontrowersyjny. Równie dobrze można powiedzieć, że pracodawca ma prawo do przetwarzania wszelkich danych pracownika, jeżeli tylko znajdzie dla tego odpowiednie uzasadnienie – jaki procent pracowników może sobie pozwolić na niewyrażenie zgody na przetwarzanie danych?
Link do wypowiedziLink

konto usunięte

Temat: Zabezpieczenia biometryczne są nielegalne?

Cokolwiek kontrowersyjne.
Link do wypowiedziLink

konto usunięte

Temat: Zabezpieczenia biometryczne są nielegalne?

No to cudo... najbardziej podobalo mi sie:
Sąd za postępem technicznym

To moze jeszcze, sad bedac za postepem technicznym pozwoli na alnalize dna, przed przyjeciem do pracy?

Ciekawe jest tez:
Pełnomocnik LG zaznaczył, że pracownicy nie byli zmuszani do składania oświadczeń. W firmie tej bowiem stworzone zostały dwa systemy kontroli wejść i wyjść – nowoczesny, wykorzystujący czytniki linii papilarnych, oraz tradycyjny, przewidziany dla tych, którzy zgody na udostępnienie linii papilarnych do tych celów nie wyrazili.

Czyli firmie z jakis powodow oplaca sie utrzymywac 2 niezalezne systemy rejestracji czasu pracy.
Link do wypowiedziLink

konto usunięte

Temat: Zabezpieczenia biometryczne są nielegalne?

To technicznie nie jest trudne. Pole ID karty zastępuje ID linii. W bazie jest jedna tabela więcej - zależy ile tych punktów identyfikacji linii jest (węzłów i innych).

Koszt to czytniki. Ale mając info ilu się zgodziło, a ilu nie, można to sobie jakoś rozgraniczyć, że nie 4 na karty, tylko 2 i 2.
Link do wypowiedziLink
Jarosław Żabówka

Jarosław Żabówka Administrator
Bezpieczeństwa
Informacji (ABI).

Temat: Zabezpieczenia biometryczne są nielegalne?

W artykule http://www.rp.pl/artykul/68861,228164.html
GIODO zapowiedział odwołanie się od wyroku.
Link do wypowiedziLink
« Wróć do tematów
Odpowiedz

Podobne tematy





Wyślij zaproszenie do
Anuluj