Социальная служба Ирландии (Department of Social Protection, DSP) оштрафована на €550,000 после того, как ирландская Комиссия по защите данных (Data Protection Commission, DPC) выявила ряд нарушений в соблюдении европейского законодательства о защите персональных данных, связанных с использованием технологии распознавания лиц при выдаче государственных карт Public Services Card (PSC).
Кроме того, службе предписано в течение девяти месяцев предоставить обоснование законности использования биометрических данных — в частности, сканов лиц и программного обеспечения для их сопоставления — в процессе регистрации PSC. В противном случае DSP будет обязано прекратить такую практику.
Решение стало результатом расследования, начатого DPC в июле 2021 года. Оно касалось обработки министерством биометрических шаблонов лиц и использования технологии сопоставления лиц при регистрации граждан на получение PSC.
Регистрация под названием Safe 2 используется для подтверждения личности при получении государственных услуг. Процесс включает в себя фотографирование заявителя, после чего изображение анализируется специальным программным обеспечением, сравнивающим его с другими изображениями в базе данных Safe 2. Это делается для предотвращения повторной регистрации. Такая регистрация является обязательной для получения PSC, которые уже имеются у 3,2 миллиона человек, и необходима для доступа к определённым социальным услугам, включая выплаты пособий.
Тем не менее, DPC отметила, что использование и хранение чувствительных биометрических данных в столь широком масштабе требует чёткого юридического обоснования. В ходе расследования рассматривались следующие вопросы: имело ли министерство законные основания для сбора и обработки биометрических данных, правомерно ли оно хранило эти данные, выполняло ли свои обязательства по прозрачности, а также проводило ли должную оценку воздействия на защиту данных (Data Protection Impact Assessment).
Комиссия пришла к выводу, что министерство нарушило законодательство о защите данных по нескольким направлениям. В частности, оно не смогло указать действительное юридическое основание для сбора биометрических данных в рамках Safe 2 регистрации. Таким образом, DSP также нарушило Общий регламент по защите данных (GDPR), храня биометрические данные, полученные в этом процессе.
Кроме того, министерство нарушило требования по прозрачности и не включило в проведённую оценку воздействия на защиту данных ряд обязательных сведений.
По итогам расследования DPC вынесла официальное предупреждение DSP, наложила административный штраф и предписала прекратить обработку биометрических данных в рамках Safe 2 регистрации в течение девяти месяцев, если не будет предоставлено действующее правовое обоснование для такой деятельности.
«Важно отметить, что ни одно из установленных нарушений и ни одна из применённых мер не касаются самого принципа внедрения Safe 2 регистрации», — отметил заместитель комиссара Грэм Дойл. — «В рамках расследования не было выявлено недостатков в технических или организационных мерах безопасности, применяемых DSP».
«Расследование было сосредоточено на том, соответствует ли действующая законодательная база для Safe 2 регистрации требованиям законодательства о защите данных и соблюдает ли министерство эти требования на практике. Выявленные нарушения указывают на ряд недостатков в этой области», — добавил он.
Это уже не первое расследование в отношении использования персональных данных при выдаче PSC: предыдущее завершилось в 2019 году. Тогда министерство обжаловало решение DPC, но позднее отказалось от иска и пришло к соглашению с комиссией.
Информация Метки: Департамент социальной защиты, защита данных, штраф
Последние публикации в категории
Похожие публикации
