GoldenLine
Zaloguj się
Krzysiek Juszczak

Krzysiek Juszczak Specjalista ds.
bezpieczeństwa

Temat: Ciekawe pytanie odnośnie linii papilarnych

Dostałem ciekawe pytanie od osoby chcącej skorzystać z karnetu na jednej z siłowni odnoszące się do ochrony danych i chciałem poznać opinie koleżanek i kolegów na ten temat bo mnie sytuacja zaciekawiła :)

A mianowicie:
Osoba chciała korzystać z siłowni a tym samym wykupić karnet na tą siłownię. Karnetem była bransoletka, którą klient dostał w czasie zapisywania się.
By dostać bransoletkę, trzeba zostawić odcisk kciuka. I tutaj kwestia adekwatności przetwarzania danych się pojawia.
Oficjalna odpowiedź siłowni mówi o tym że oni nie zbierają danych biometrycznych gdyż skan kciuka od razu zgrywany jest na opaskę, którą dostaje klient i nigdzie w systemie siłowni nie jest przechowywany.
Więc może pojawić się pytanie to po co skanują odcisk skoro go nie przechowują?
Klient chcąc wejść na siłownie musi przyłożyć opaskę do czytnika i potwierdzić wzór z opaski ze swoim odciskiem (by nie było możliwości przekazywania karnetów osobom trzecim).

Co wy na takie rozwiązanie?
Czy mimo wszystko siłownia nie przetwarza danych biometrycznych?]
Link do wypowiedziLink
Piotr K.

Piotr K. Ochrona danych
osobowych,
Bezpieczeństwo
informacji, Inte...

Temat: Ciekawe pytanie odnośnie linii papilarnych

Oczywiście, że przetwarza. Poza tym jeżeli dochodzi do porównania odcisków to z czym klient porównuje skoro siłownia nie przechowuje? Widzę tu jakąś sprzeczność i brak logiki. Podobne praktyki stosuje wiele fit klubów w Łodzi gdzie wykonuje się zdjęcia, w wielu przypadkach "tak na wszelki wypadek", czyli nieadekwatnie w stosunku do celu.
Link do wypowiedziLink

konto usunięte

Temat: Ciekawe pytanie odnośnie linii papilarnych

Piotr K.:
... jeżeli dochodzi do porównania odcisków to z czym klient porównuje skoro siłownia nie przechowuje?

Dochodzi do porównania z tym zapisanym w bransolecie.
Link do wypowiedziLink

konto usunięte

Temat: Ciekawe pytanie odnośnie linii papilarnych

W związku z tym że:

Przetwarzanie danych – rozumie się przez to jakiekolwiek operacje wykonywane na danych osobowych.

System informatyczny – rozumie sięprzez to zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych,

Moim zdaniem nie podlega wątpliwości że przetwarzają dane wrażliwe. Widzę tylko pewien problem, jak by tu ewentualnie ów zbiór zarejestrować w przypadku, gdyby faktycznie sprzęt jedynie porównywał dane pomiędzy bransoletką a odciskiem faktycznym, następnie od razu je usuwał i nikt nie miałby do nich danych żadnej możliwości dostępu, w co wątpię zresztą szczerze powiedziawszy. Choć z drugiej strony jak rozumiem bransoletka jest własnością zakładu i po ewentualnej rezygnacji zostaje mu zwrócona, wtedy by to pewne kwestie rozwiązało.
Link do wypowiedziLink
Jarosław Żabówka

Jarosław Żabówka Administrator
Bezpieczeństwa
Informacji (ABI).

Temat: Ciekawe pytanie odnośnie linii papilarnych

Rafał K.:
Moim zdaniem nie podlega wątpliwości że przetwarzają dane wrażliwe. Widzę tylko pewien problem, jak by tu ewentualnie ów zbiór zarejestrować w przypadku, gdyby faktycznie sprzęt jedynie porównywał dane pomiędzy bransoletką a odciskiem faktycznym, następnie od razu je usuwał i nikt nie miałby do nich danych żadnej możliwości dostępu, w co wątpię zresztą szczerze powiedziawszy. Choć z drugiej strony jak rozumiem bransoletka jest własnością zakładu i po ewentualnej rezygnacji zostaje mu zwrócona, wtedy by to pewne kwestie rozwiązało.

Podejrzewam, że bransoletka działa podobnie jak karta przechowująca skrót odcisku palca. Porównanie skrótu z przyłożonym palcem dokonuje się w czytniku – czyli w sprzęcie administratora.
Ale są też na rynku karty, które mają własny czytnik wbudowany w kartę i to w pamięci karty jest przechowywany i porównywany skrót odcisku palca. W wypadku takiej karty, jeżeli nie będzie zwracana administratorowi danych, widzę szansę wykorzystania. Ale nie analizowałem tego szczegółowo i nie mogę ręczyć, że przynajmniej w części takich kart nie dochodzi jednak do przetwarzania danych poza kartą. Nie wiem też, jak przebiega proces „zaszycia” odcisku palca w karcie – czy nie odbywa się z wykorzystaniem jakiegoś zewnętrznego czytnika.

Odcisk palca nie będzie jednak daną wrażliwą (bo rozumiem, że mówimy o art. 27). Chociaż w szczególnych sytuacjach możemy mieć do czynienia z danymi wrażliwymi, np. gdyby ktoś notował: „brak palca”, „nie udało się pobrać odcisku – Parkinson”. Jednak w wypadku danych przetwarzanych w bransoletce, będziemy mieli dane zwykłe. Do rozstrzygnięcia jeszcze zostaje, czy w ogóle te dane znajdują się w zbiorze.
Link do wypowiedziLink
Piotr K.

Piotr K. Ochrona danych
osobowych,
Bezpieczeństwo
informacji, Inte...

Temat: Ciekawe pytanie odnośnie linii papilarnych

Odcisk palca nie stanowi danej wrażliwej (sensytywnej) w rozumieniu art. 27 UoODO.
Link do wypowiedziLink

konto usunięte

Temat: Ciekawe pytanie odnośnie linii papilarnych

W myśl art. 27 zgadza się nie są, wykładnia prawnicza w tym zakresie jest delikatnie powiedziawszy różna, głównie z powodu braku jednolitej całościowej prawnej definicji danych biometrycznych. W projekcie rozporządzenia PE
w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych, takowe zostały zdefiniowane jako:
"oznaczają wszelkie dane dotyczące cech fizycznych, fizjologicznych i behawioralnych danej osoby, które umożliwiają jej precyzyjną identyfikację, takie jak wizerunek twarzy lub dane daktyloskopijne"
których przetwarzanie z tego co rozumiem "stwarza szczególne ryzyko dla praw i wolności podmiotów danych z racji swego charakteru" i wymaga konsultacji z organem nadzorczym.
Link do wypowiedziLink
Piotr K.

Piotr K. Ochrona danych
osobowych,
Bezpieczeństwo
informacji, Inte...

Temat: Ciekawe pytanie odnośnie linii papilarnych

Odnosimy się do stanu faktycznego i aktualnego a nie do "projektu rozporządzenia PE".
Link do wypowiedziLink
Krzysiek Juszczak

Krzysiek Juszczak Specjalista ds.
bezpieczeństwa

Temat: Ciekawe pytanie odnośnie linii papilarnych

Jarosław Ż.:
Podejrzewam, że bransoletka działa podobnie jak karta przechowująca skrót odcisku palca. Porównanie skrótu z przyłożonym palcem dokonuje się w czytniku – czyli w sprzęcie administratora.
Dokładnie tak
Jarosław Ż.:
Nie wiem też, jak przebiega proces „zaszycia” odcisku palca w karcie – czy nie odbywa się z wykorzystaniem jakiegoś zewnętrznego czytnika.

czyli jednak zachodzi przetwarzanie jeżeli weźmiemy pod uwagę czytnik służący do porównania i do zaszycia danych a druga rzecz - zwrot bransoletki i ewentualne usunięcie z niej tych danych (art. 7 pkt 2 - przetwarzanie) :)
Jarosław Ż.:
Do rozstrzygnięcia jeszcze zostaje, czy w ogóle te dane znajdują się w zbiorze

No właśnie i nad tym też się zastanawiałem ponieważ te odciski są na bransoletkach jeden odcisk jedna bransoleta, nigdzie indziej tak przynajmniej przedstawiają sytuacjęTen post został edytowany przez Autora dnia 08.01.15 o godzinie 20:26
Link do wypowiedziLink
« Wróć do tematów
Odpowiedz

Podobne tematy


Następna dyskusja:

Ciekawe pytanie




Wyślij zaproszenie do
Anuluj