אתגר השימוש בנתונים ביומטריים לאור הרגולציה

לא מזמן אפל (Apple) השיקה את הדגם החדש iPhone X אשר מתהדר, בין היתר, ביכולת ה-iPhone ID. סמארטפון ה-iPhone X הוא הראשון של אפל שמשלב זיהוי ביומטרי לפני המשתמשים. זה תופס את מקומו של חיישן טביעות האצבע שליווה את דגמי האייפון מאז האייפון S5. בפונקציה החדשה ניתן יהיה להשתמש לצורך זיהוי ביומטרי מהיר באפליקציות, למילוי מהיר של פרטים בדפדפן ספארי (Safari) ובתשלום דרך Apple Pay וב-iTunes.

רגולציית הפרטיות האירופית, ה-GDPR, מציינת באופן ספציפי את הנתונים הביומטריים כקטגוריה "רגישה" של מידע אישי, המחייבת הגנה חזקה.

קטגוריית הנתונים הביומטרים, תחת הרגולציה, הינה תת-קבוצה של נתונים אישיים רגישים הנחשבים ל-"קטגוריה רגישה של נתונים אישיים". ובאופן ספציפי, כ-"נתונים אישיים הנובעים מעיבוד טכני ספציפי המתייחס למאפיינים הפיזיים, הפיזיולוגיים או ההתנהגותיים של האדם הטבעי, המאפשרים או מאשרים את הזיהוי הייחודי של אותו אדם טבעי, כגון תמונות פנים או נתונים של טביעות אצבע".

בהגדרת נתונים ביומטריים אנו רואים תפיסה של הגדרת תנאים מאוד רחבים וכלליים. כנראה שהרגולציה מכירה בכך כי טכנולוגיה ביומטרית מתפתחת כעת ותמשיך להתפתח. ככזו, ההגדרה נראית כזקוקה להכללה של סוגי נתונים ביומטריים שעשויים להתעורר באמצעות פיתוח עתידי של הטכנולוגיה.

ההגדרה מזהה שתי קטגוריות של מידע הנחשב כנתונים ביומטריים. הראשון הוא מידע הנוגע למאפייני הגוף – כלומר, תכונות פיזיות או פיזיולוגיות של האדם. קטגוריה זו היא פשוטה למדי ועולה בקנה אחד עם מה שרוב האנשים היו מזהים כנתונים ביומטריים, כגון מידע פנים, טביעות אצבע, סריקות קשתית העין, וכו'.

לזהות מראש נתונים התנהגותיים

הקטגוריה השניה של נתונים ביומטריים, מידע התנהגותי, רחבה יותר. מבחינה הגיונית, כל המאפיינים ההתנהגותיים שיכולים לאפשר זיהוי ייחודי של אדם ייחשבו נתונים ביומטריים. עם זאת, לא ברור עד כמה רשויות האכיפה יפרשו קטגוריה זו בפרשנות רחבה או אלו עקרונות מגבילים, אם בכלל, ינחו את הניתוחים שלהם.

סביר להניח, כי מידע הנוגע להרגלים, למעשים או לאישיות של מישהו יכול להיחשב למידע התנהגותי במסגרת ההגדרה. זוהי קטגוריה בעלת פוטנציאל הרחבה עצום, שכן אין לה קשר לסוג המידע הגופני שנחשב בדרך כלל כנתונים ביומטריים. בשל אי-הוודאות הטבועה בסוגי המידע הנכללים בקטגוריה זו, אנשי מקצוע בתחום הפרטיות צריכים לעקוב מקרוב אחר ההנחיות המתארות את סוגי המידע ההתנהגותי הנחשב לנתונים ביומטריים. יתר על כן, אנשי הפרטיות צריכים לזהות מראש נתונים התנהגותיים שהארגונים שלהם כבר מעבדים.

מאחר והרגולציה מתייחסת לנתונים ביומטריים כקבוצה מיוחדת של נתונים אישיים רגישים, העיבוד וההגנה על נתונים אלו חייבים להתקיים במסגרת השמורה בדרך כלל לנתונים אישיים רגישים. בעוד שה-GDPR אוסר באופן כללי על עיבוד נתונים אישיים רגישים, הרגולציה מכירה במקרים מסוימים המצדיקים עיבודם של נתונים כאלה, בכפוף, כמובן, להסכמתם המפורשת של נושאי הנתונים ולמטרות מסוימות בלבד.

מעבר לבסיס המשפטי הכללי, הרגולציה מציגה דרישות נוספות בהקשר לעיבוד המידע הביומטרי, ביניהן, דרישה לכך שבעלי המידע יהיו מחויבים לערוך בדיקת הערכה של הנוגעת להשפעה על פרטיות נושאי המידע, כאשר העיבוד עלול לגרום לסיכון גבוה לזכויות ולחופש שלהם. הדבר נכון במיוחד כאשר העיבוד כרוך בשימוש בטכנולוגיות חדשות.

הערכות ההשפעה על הפרטיות הן חובה במקרה של עיבוד אוטומטי, עיבוד בקנה מידה גדול, או כאשר בעלי המידע מפקחים באופן שיטתי על אזור נגיש לציבור בקנה מידה גדול.

בנוסף, ה-GDPR מחייב את בעלי המידע להתייעץ עם רשויות הפיקוח לפני עיבודו של מידע זה, כאשר מחד קיימת הערכה שהעיבוד עלול לגרום לסיכון גבוה ליחידים, ומאידך לא ננקטו די צעדים על מנת להקטין את הסיכון. מבחינה מעשית, ניתן להימנע מחובת התייעצות זו על ידי זיהוי הסיכונים הרלוונטיים ויישום הצעדים המותאמים לצמצומם.

האופי המתפתח של הטכנולוגיה הביומטרית, חוסר הוודאות הגלום בטיפול בנתונים הביומטריים, וההפרדה הצפויה בין גישות המדינות החברות באיחוד לנתונים ביומטריים, מחייבים את תשומת הלב והזהירות של בעלי המידע. בהתאם לכך, ארגונים אשר מעבדים נתונים ביומטריים או שוקלים לעשות זאת, צריכים לשמור על עצמם כדין, בעיקר לאור ההתפתחות הטכנולוגית המואצת בתחום זה.

הכותבות הינן אתי ברגר, דוקטורנטית, מומחית לתחום הסייבר והפרטיות בהיבט המשפטי והטכנולוגי בשת"פ עם עו"ד לאה מילר פורשטט, ממשרד עורכות הדין SGFD, מומחיות בתחום המשפט המסחרי, תאגידים והיי-טק.