КЗЛД до банка ДСК: първо оценка на въздействието, после гласово разпознаване

Системата за идентифициране на клиентите чрез гласова биометрия “Voice Biometrics” представлява нова технология, която поради своето естество, обхват, контекст и цели на обработването може да породи висок риск за правата и свободите на физическите лица. Поради тази причина и на основание чл. 35 от Регламент (ЕС) 2016/679 администраторът банка „ДСК“ следва задължително да извърши оценка на въздействието на предвидените операции по обработването върху защитата на личните данни. Това е становището на Комисията за защита на личните данни, което бе публикувано на сайта й в информационния бюлетин за месец ноември.

В становището се казва, че предложеният от банката метод на идентификация включва използването на гласов отпечатък, който се явява цифрово представяне на уникалните характеристики на гласа на човек и следователно попада в определението за „биометрични данни“ по чл. 4, т. 14 от Регламент (ЕС) 2016/679. Доколкото в конкретния случай биометричните данни ще бъдат използвани от администратора за целите единствено на идентифицирането на физическо лице, тогава те се явяват специална категория лични данни по чл. 9 от Общия регламент и изискват засилена защита на правата и свободите на съответните субекти на данни.

Разпоредбата на чл. 9, пар. 2 от Общия регламент допуска законосъобразна обработка на специални категории лични данни при определени условия. Приложима в случая е хипотезата на чл. 9, пар. 2, б. „а“, а именно „субектът на данни е дал своето изрично съгласие за обработването на тези лични данни за една или повече конкретни цели“. Видно от предоставената информация, банка „ДСК“ правилно е предвидила изричното съгласие като правно основание за обработването на данните.

В чл. 7 от Общия регламент са определени различните условия към съгласието, включително относно отчетността, правото да се оттегли съгласието, както и забраната изпълнението на договор, включително предоставянето на услуга, да е поставено в зависимост от съгласието за обработване на лични данни, което не е необходимо за изпълнението на въпросния договор. Субектът на данните също така следва да бъде информиран за последиците при отказ да даде съгласие за обработване на отделни категории лични данни, в случая гласова биометрия.

За да бъдат спазени посочените по-горе изисквания, администраторът на лични данни следва да предостави на клиента на банката право на избор да се възползва от алтернативни методи за идентификация, които не включват обработване на биометрични данни, съответно възможност за последващ отказ, без това да поражда негативни последици за него. По този начин ще се избегне и евентуалния риск от дискриминация на потребители на банкови услуги, при които поради медицински или други причини не е удачно използването на гласова биометрия.

Друг важен принцип е изискването за добросъвестност и прозрачност, което следва да се реализира чрез предоставянето на кратка и разбираема информация в лесно достъпна форма и на ясен и прост език (аргумент от чл. 12 от Общия регламент). Информацията следва да включва елементите, посочени в чл. 13 от Общия регламент, вкл. сведения относно правата на лицата във връзка с обработката на техните лични данни, сроковете за съхранение на данните, получателите на информация от биометричната система, наличието на евентуално предаване (трансфер) на данните към трети страни и др.

С оглед на завишения риск за субектите на данни, администраторът следва да обърне специално внимание на задължителните изисквания, свързани с „ограничение на целите“, както и „ограничение на съхранението“ (чл. 5, пар. 1, б. „б“ и „д“ от Общия регламент). Опазването на банковата тайна и предотвратяването на опити за измами и други злоупотреби, пряко засягащи финансовите интереси на клиентите на банката, принципно представлява пропорционална цел, която оправдава използването на биометрични данни. Също така предложеният срок на съхранение на данните – до 5 години от прекратяване на договорните правоотношения на лицето с банката, не е прекомерен и е съобразен със срока на общата погасителна давност по чл. 110 от Закона за задълженията и договорите.

Не по-малко съществени в конкретната хипотеза са и принципите на „точност“ и „цялостност и поверителност“ (чл. 5, пар. 1, б. „г“ и „е“ от Общия регламент), доколкото гласовите биометрични данни ще бъдат използвани за сигурна и надеждна проверка на самоличността на физическото лице – потребител на услугите на банката.

Предвид гореспоменатото, администраторът на лични данни следва да предприеме необходимите мерки за спазването на изискванията на Общия регламент за защита на данните с оглед отговорността, който носи при използването на системата и задължението да докаже пред КЗЛД адекватността и ефективността на “Voice biometric”.

Ефективен начин за изпълнение на задълженията на администратора е прилагането на подходящи технически и организационни мерки за защита на данните на етапа на проектирането и по подразбиране по смисъла на чл. 25 от Регламент (ЕС) 2016/679“ се казва в становището.

Пълен текст на становището на КЗЛД

Можете да споделите: