Konferanslar ve yüz tanıma empoze etmek için acele eden diğer yüz yüze olaylar veri koruma riskleri konusunda gerekli özeni göstermeden Avrupa’daki katılımcılar hakkında dikkatli olun: Küresel bağlantı endüstrisi organizatörleri parlıyor, Dünya Mobil Kongresi Her yıl Barselona’da gerçekleşen (MWC), İspanya’nın veri koruma gözlemcisi tarafından gizlilik kurallarının ihlali nedeniyle 200.000 € (~ 224.000 $) para cezasına çarptırıldı. şovun 2021 baskısı.
8 sayfalık bir karar (İspanyolca PDF) MWC’nin organizatörü GSMA’nın ihlal tespitine karşı yaptığı itirazı reddederek, Agencia Española de Protección de Datos (AEPD), Genel Veri Koruma Yönetmeliği’nin (GDPR) veri koruma etki değerlendirmesi (DPIA) gerçekleştirme gerekliliklerini ele alan 35. Maddesini ihlal ettiği sonucuna varmıştır.
İhlal bulgusu, katılımcılara kimliklerini manuel olarak göstermek yerine mekana şahsen girmek için otomatik kimlik doğrulamayı kullanma seçeneği sunan, uyguladığı bir yüz tanıma sistemi (BREEZZ olarak adlandırılır) dahil olmak üzere gösteri katılımcıları hakkında GSMA tarafından biyometrik veri toplanmasıyla ilgilidir. personele belgeler.
2021’e geri dönerseniz, hatırlayacaksınızmobil endüstri etkinliği yüz yüze etkinliklere katılmaya ilişkin COVID-19 salgınıyla ilgili endişelerin hâlâ yüksek olduğu bir zamanda gerçekleşti. Bu, MWC’nin organizatörünü o yılın yazında fiziksel bir konferansla devam etmekten alıkoymadı – gösterinin normal zamanlamasından aylar sonra ve geçmiş yıllara göre çok daha az katılımcı ve katılımcıyla kaçınılmaz bir şekilde zayıflamış bir biçimde.
Aslında, AEPD’ye yapılan GSMA açıklamalarına göre MWC 2021’e şahsen katılan 20.000’den az kişi (tam olarak 17.462) – ve bunlardan sadece 7.585’i mekana erişmek için BREEZZ yüz tanıma sistemini kullandı. Görünüşe göre çoğunluk, kimlik belgelerinin manuel olarak kontrol edilmesi alternatifini tercih etti. (MWC 2021’in (hala) pandeminin ortasında gerçekleşmesine rağmen, GSMA ayrıca konferans oturumlarının uzaktan izleyicilere akışıyla sanal katılım da sunuyordu ve bu tür bir katılım için herhangi bir kimlik kontrolü gerekmiyordu.)
GDPR’ye dönersek, düzenleme, bir DPIA’nın, kişilerin verilerinin işlenmesinin bireylerin hak ve özgürlükleri için yüksek risk taşıdığı durumlarda proaktif olarak yürütülmesini şart koşuyor. FBu arada, yüz tanıma teknolojisi, bireyleri tanımlamak için kullanıldığında, GDPR kapsamında özel kategori verileri olarak sınıflandırılan biyometrik verilerin işlenmesini gerektirir. Bu, tanımlama için biyometri kullanımının kaçınılmaz olarak proaktif değerlendirme gerektiren bu tür yüksek risk kategorisine girdiği anlamına gelir.
Bu değerlendirme, önerilen işlemenin gerekliliği ve orantılılığının yanı sıra riskleri incelemeli ve belirlenen riskleri ele almak için öngörülen önlemleri detaylandırmalıdır. GDPR, riskli işleme konusunda güçlü ve titiz bir proaktif değerlendirme yürüten veri denetleyicilerine vurgu yapar — bu nedenle AEPD’nin GSMA’nın 35. Maddeyi ihlal ettiğini tespit etmesi, bu bağlamda gerekli özeni gösterdiğini gösteremediğini gösterir.
Aslında düzenleyici kurum, karara göre GSMA’nın DPIA’sını “yalnızca nominal” buldu – veri işlemenin “önemli yönlerini” incelemediğini söyleyerek; uyguladığı sistemin risklerini veya orantılılığını ve gerekliliğini de değerlendirmemiştir.
“Kararın vardığı sonuca göre, bir [DPIA] temel unsurlarını düşünmeyen ne etkilidir ne de herhangi bir hedefi karşılar, ”diye ekliyor AEPD, GSMA’nın DPIA’sının GDPR’nin gerekliliklerini karşılamadığı görüşünü doğruluyor [NB: this is a machine translation of the original Spanish text].
AEPD’nin kararından daha fazlası:
bu [GSMA’s DPIA] belge, amacına göre işleme işlemlerinin gerekliliği ve orantılılığına ilişkin bir değerlendirmeden yoksundur; olaylara erişim için yüz tanımanın kullanılması, GDPR’nin 35(1) Maddesinde atıfta bulunulan veri konularının haklarına ve özgürlüklerine yönelik risklerin ve güvenceler, güvenlik önlemleri ve güvenlik önlemleri dahil olmak üzere riskleri ele almak için öngörülen önlemlerin değerlendirilmesi veri sahiplerinin ve diğer etkilenen kişilerin haklarını ve meşru menfaatlerini dikkate alarak, kişisel verilerin korunmasını sağlamak ve GDPR ile uyumu göstermek için mekanizmalar. Ayrıca, gerekli olduğunu belirttiği pasaport ve kimlik kartı bilgilerini de listeler. Mossos d’Esquadra [local police] Amacı olduğu iddia edilen, yüz tanıma sürecini başlatan yazılımla çekilen fotoğrafla bağlantı kurmak amacıyla, kimliğinizi eşleştirerek erişimi kolaylaştırmak.
AEPD’nin kararındaki GSMA’nın DPIA’sının bir açıklaması, yeterli bir değerlendirme yapmamanın yanı sıra, GSMA’nın gösteri katılımcılarının pasaportlarını/AB kimlik belgelerini toplamak için bir güvenlik gerekçesi ödünç verdiğini gösteriyor – İspanyol polisi tarafından talimat verildiğini söyleyerek kimlik taramasına katılanlar için “katı süreçler” yürürlüktedir.
Ayrıca, katılımcıların, kimlik yükleme sürecinin bir parçası olarak yüz verilerinin biyometrik olarak işlenmesine izin vermelerini zorunlu kılmış gibi görünüyor; AEPD, BREEZZ’de sağlanan ve “fotoğraflardan elde edilen biyometrik verileri” kullanarak kişiden onayını isteyen izin bilgilerini not ediyor. çevrimiçi kayıt bağlamında kimlik doğrulama amacıyla ve mekana erişim amacıyla MWC Barcelona için sağlanmıştır”.
Bu önemlidir, çünkü GDPR, rızanın geçerli bir yasal dayanak olması için net bir engel koyar – bilgilendirilmiş, spesifik (yani paketlenmemiş) ve serbestçe verilmiş olmasını gerektirir. Dolayısıyla rızayı zorlayamazsınız. (Yüz biyometrisi gibi hassas verilerin işlenmesine yönelik izin, yasal olarak işlenmek için daha da yüksek bir açık onay çıtasına sahip olsa da.)
Konferans katılımcılarına hassas biyometrik verilerin yüklenmesi konusunda özgür bir seçimin olmaması, GSMA’nın veri işlemesine karşı AEPD’ye şikayette bulunulmasına yol açan bir dijital sağlık konuşmacısı olan Dr. MWC 2021. Birkaç yıl sonra GSMA’nın şimdi yaptırım uygulanmasına yol açan onun şikayeti.
“Bunun için makul bir gerekçe bulamadım,” diye açıkladı LinkedIn gönderisi Geçen hafta sonlarında, şikayetini kamuoyuna açıkladığında, GSMA’nın MWC katılımcılarının kimlik belgelerini yüklemesini orantısız bir şekilde talep ettiğini düşündüğünü tartıştı. “İnternet siteleri yüz yüze doğrulama için kimliğimi/pasaportumu da getirebileceğimi önerdi, buna aldırmadım. Ancak organizatörler, pasaport bilgilerimi yüklemezsem canlı etkinliğe KATILAMAYACAĞIM ve sanal olarak katılmam gerekeceği konusunda ısrar ettiler ve sonunda bunu yaptım.”
Şikâyetinin yazarlarından biri olan teknoloji uzmanı Adam Leon Smith de bu konuda bir yazı yazdı. LinkedIn gönderisi – burada şu uyarıda bulunuyor: “Kamusal alanlarda yüz tanıma son derece hassastır ve gerçekten kullanmanız gerekiyorsa, mükemmel bir avukat ve teknoloji ekibi kullanın.”
Şikayetlerinde dile getirilen endişeleri açıklayan Smith, TechCrunch’a şunları söyledi: “İlk olarak, gizlilik politikasının, izin temelinde kimlik amaçları için yüz tanıma için kimlik sağladığımızı söylediğini gördük. Ancak, devre dışı bırakmanın aslında mümkün olmadığı anlaşıldı. İkincisi, teknolojiyi yöneten şirket AB dışında, Belarus’taydı. Bu, şikayette bulunduğumuz sırada kamuya açık olarak bulabildiğimiz bilgilerdi. Teknolojiyi sağlayan şirket olan ScanViz’in şu anda web sitesinde bir Hong Kong adresi listelediğini görüyorum.”
“AEPD, MWC’den dahili gizlilik değerlendirme belgeleri talep edebildi ve bunun eski ve yetersiz olduğunu görebildi. AEPD’nin kararı çoğunlukla buna odaklanıyor” dedi. “MWC’nin bu risk ve etki değerlendirmesini çok dikkatli bir şekilde yürütmesi gerekeceğini düşünmeme rağmen, başka herhangi bir özel çare yoktu.”
İspanyol veri koruma düzenleyicisinin kararı, GSMA’nın biyometrik işlemeye ilişkin yasal dayanağının geçerli olup olmadığına ağırlık vermese de, Smith bunun yalnızca DPIA’yı yetersiz bulmanın ardışık bir sonucu olabileceğini öne sürüyor – yani daha kapsamlı bir teknik değerlendirmeye karar vermiş olabilir değerli değil
GSMA için “Yüz tanıma teknolojisinden vazgeçerlerse şaşırmam” dedi. “Teknolojinin bu tür bir uygulaması, en son taslaklarda yüksek risk kategorisine girecektir. [EU] AI Yasası, bu, bağımsız bir tarafça bir tür uygunluk değerlendirmesine ihtiyaç duyacakları anlamına gelir.
AEPD’nin cezası hakkında yorum yapmak için GSMA ile temasa geçildi, ancak yazı yazıldığı sırada yanıt vermemişti.
AEPD’nin bu şikayetle ilgili idari süreci bu kararla sonuçlanmakla birlikte, GSMA’nın mahkemeye yasal bir itiraz yoluyla sonuca itiraz edebileceğini belirtmekte fayda var. Audiencia Ulusal (İspanya Ulusal Yüksek Mahkemesi).
Uzaklaştırma, Smith’in işaret ettiği gibi, gelen pan-AB AI Yasası yapay zeka uygulamalarını düzenlemek için risk tabanlı bir çerçeve sunmaya hazırlanıyor gelecek yıllarda.
Komisyon tarafından önerilen bu mevzuatın taslak versiyonu 2021’de geri döndü yüz tanıma gibi uzaktan biyometrinin halka açık yerlerde kullanımına ilişkin bir yasak içerir; bu – son sürüm haline getirilirse – gelecekte otomatik doğrulama kontrollerinin uygulanmasına ilişkin düzenleyici riski kesinlikle artıracaktır. (Buna ek olarak, milletvekilleri uzaktan biyometri yasağını daha da güçlendirmek için bastırıyor.) Ve bu, durum tespiti riskine (veya gerçekten de bu tür hassas veri işleme için geçerli bir yasal dayanağa sahip olmanın zorlu gerekliliğine) özensiz bir yaklaşım benimseyen veri işleyicileri için mevcut GDPR risklerinin üstündedir.
GSMA kendi payına, MWC katılımcıları için (hem bu yıl hem de geçen yıl) yüz biyometrisine dayalı otomatik kimlik kontrolü seçeneği sunmaya ve şahsen katılım için kayıt için kimlik belgesi yüklemelerini zorunlu tutmaya devam etti. Bu nedenle, GDPR yaptırımı ışığında gizlilik açıklamalarında değişiklik yapıp yapmadığını ve/veya MWC 2024 kayıt sürecinde değişiklik yapıp yapmadığını görmek ilginç olacaktır. (Ve gelecekte fuarda biyometrik tabanlı otomatik kimlik kontrolü seçeneği sunmaya devam ederse, teknoloji tedarikçisinin tamamen AB içinde yer aldığından emin olması iyi bir tavsiye olabilir.)
kim kimdir ne zaman nasıl nelerdir nedir ne işe yarar tüm bilgiler
dünyadan ilginç ve değişik haberler en garip haberler burada