ბლოგი

ბიომეტრია და კანონი

Regulations Access Control

ბიომეტრიული მონაცემები და მათი  რეგულაცია

თქვენთვის ალბათ უკვე ცნობილია,  რომ ჩვენ გახლავართ უსაფრთხოების სისტემების ინტეგრატორი კომპანია. ჩვენი საქმიანობა მოიცავს სანქცირებული დაშვების სისტემებს, რომელიც თავის მხრივ მოიცავს ელექტრონულ ბიომეტრიულ მოწყობილობებსა და სისტემებს. საზოგადოების გარკვეული ნაწილის (საგრძნობი უმრავლესობის) აზრით წინააღმდეგობაში მოდის კანონთან, რომელიც არეგულირებს ამ საკითხს.  აღნიშნულთან დაკავშირებით არის მრავალი მითქმა-მოთქმა და აზრთა სხვადასხვაობა.

ვცადოთ ერთად გარკვევა ამ საკითხში

რა არის ბიომეტრიული მონაცემი:

„ბიომეტრიული მონაცემი არის ფიზიკური, ფსიქიკური ან ქცევის მახასიათებელი, რომელიც უნიკალური და მუდმივია თითოეული ფიზიკური პირისათვის და რომლითაც შესაძლებელია ამ პირის იდენტიფიცირება (თითის ანაბეჭდი, ტერფის ანაბეჭდი, თვალის ფერადი გარსი, თვალის ბადურის გარსი (თვალის ბადურის გამოსახულება), სახის მახასიათებელი)“.

გასათვალისწინებელია ის გარემოებაც, რომ „პერსონალურ მონაცემთა დაცვის შესახებ“ საქართველოს კანონის თანახმად, ბიომეტრიული მონაცემი განსაკუთრებული კატეგორიის მონაცემს წარმოადგენს მხოლოდ მაშინ, როდესაც ის იძლევა ფიზიკური პირის იდენტიფიცირების საშუალებას განსაკუთრებული კატეგორიის მონაცემის ნიშნით, როგორიცაა რასობრივი ან ეთნიკური კუთვნილება,  ჯანმრთელობის მდგომარეობა, ნასამართლობა და სხვა. შესაბამისად, მათი დამუშავების დროს აუცილებელია კანონის მე-6 მუხლით გათვალისწინებული ერთ-ერთი საფუძვლის არსებობა მაინც – მაგალითად მონაცემთა სუბიექტის წერილობითი თანხმობა. (კონკრეტულად განსაზღვრულია, რა შემთხვევაში არის აუცილებელი მონაცემთა სუბიექტის წერილობითი თანხმობა).

(„პერსონალურ მონაცემთა დაცვის შესახებ“ საქართველოს კანონის მე-2 მუხლის „გ“ ქვეპუნქტის თანახმად)

რას ნიშნავს ბიომეტრიული მონაცემების დამუშავება:

“პერსონალურ მონაცემთა დაცვის შესახებ” საქართველოს კანონის მე-2 მუხლის მიხედვით, დამუშავება გულისხმობს მონაცემებზე განხორციელებულ ნებისმიერ ქმედებას, მაგალითად, მონაცემთა შეგროვება, ჩაწერა, ფოტოზე აღბეჭდვა, აუდიო/ვიდეოჩაწერა, ორგანიზება, შენახვა, შეცვლა, აღდგენა, გამოყენება, გამჟღავნება, დაჯგუფება, კომბინაცია, დაბლოკვა,  წაშლა, განადგურება და სხვა. დამუშავება შესაძლებელია განხორციელდეს როგორც ავტომატურად (კომპიუტერული პროგრამის გამოყენებით), ისე არა ავტომატურად (ჟურნალის წარმოება, მონაცემების ხელით შეყვანა) ან ნახევრად ავტომატური გზით.

ბიომეტრიული მონაცემთა დამუშავების მეთოდები:

მსოფლიო პრაქტიკაში გამოიყენება ბიომეტრიული მონაცემების დამუშავების ორი ძირითადი მეთოდი, ესენია ვერიფიკაცია და იდენტიფიკაცია, მათ შორის სხვაობა   არსებითია.  ყველაზე ხშირად სწორედ ამ ორი მეთოდის გამოყენებით ხდება ბიომეტრიული მონაცემების დამუშავება როგორც ფიზიკურ, ასევე ვირტუალურ სივრცეში (წვდომა კონკრეტულ სერვერზე ან სისტემაზე) შეღწევის კონტროლის მიზნით. 

იდენტიფიკაციის მეთოდი გულისხმობს ბიომეტრიული მონაცემების ავთენტურობის შემოწმებას მონაცემთა ბაზაში არსებულ ინფორმაციასთან და ხშირად მოიხსენიება სახელით ერთი-მრავალთან, რაც გულისხმობს ბიომეტრიული სისტემის მიერ იმის დადგენას ეკუთვნის, თუ არა კონკრეტული ბიომეტრიული მონაცემი (თითის ანაბეჭდი, ხმა, ხელწერა, ა.შ) კონკრეტულ პიროვნებას. შესაბამისად, სისტემა ადარებს კონკრეტულ ბიომეტრიულ მონაცემს ბაზაში არსებულ ყველა ნიმუშს.

იდენტიფიკაციის მეთოდის დროს, მონაცემთა ბაზის არსებობა თავისთავად წარმოადგენს უსაფრთხოების შედარებით დაბალ დონეს, რადგან არსებობს მონაცემთა არაკანონიერი გზით გამოყენების საფრთხე. 

ვერიფიკაციის მეთოდი გულისხმობს  ბიომეტრიული მონაცემების ავთენტურობის შემოწმებას მონაცემთა ბაზის გამოყენების გარეშე. კერძოდ, ბიომეტრიული მონაცემების შემცველ მატარებელზე (მაგალითად სამსახურებრივი ბარათი, რომელიც დამზადებულია კონკრეტული პირისათვის და შეიცავს აღნიშნული პიროვნების ბიომეტრიულ მონაცემს) დატანილ ბიომეტრიულ მონაცემს სისტემა ადარებს ბაზაში არსებულ, კონკრეტულად ამ ბარათის მფლობელის ბიომეტირულ მონაცემს.

აღნიშნული მეთოდი მოიხსენიება სახელით ერთი-ერთთან. ითვლება, რომ ვერიფიკაციის მეთოდი უფრო უსაფრთხოა, რადგან ის მონაცემთა ბაზა, რომლის საშუალებითაც ფუნქციონირებს სისტემა არ იძლევა კონკრეტულ მონაცემზე წვდომის საშუალებას, მასში არსებული ყოველი მონაცემი დაშიფრულია და აქტიურდება მხოლოდ მონაცემთა სუბიექტის მხრიდან ზემოთხსენებული მატარებლის გამოყენებისას. ამ მეთოდით ბიომეტრიული მონაცემების დამუშავება უფრო ძვირადღირებულია, ვიდრე იდენტიფიკაციის მეთოდით, თუმცა  ის უზრუნველყოფს უსაფრთხოების უფრო  მაღალ   დონეს და საჭიროებს შესაბამის პროგრამულ მხარდაჭერას. ამასთან, ვერიფიკაციის დროს, პიროვნება თავად ფლობს საკუთარი ბიომეტრიული მონაცემების შემცველ მოწყობილობას (სამსახურებრივი ბარათი, ID ბარათი თუ სხვა), რაც ამცირებს მასზე არა ავტორიზებულ წვდომის საფრთხეს. 

როგორ პასუხობს რეგულაციის მოთხოვნებს, მომხმარებლისთვის ჩვენს მიერ შეთავაზებული პროდუქცია:

პირველ ყოვლისა, ვიტყვით იმას და ვფიქრობთ არავის გაუკვირდება, რომ პერსონალური მონაცემების უსაფრთხოების კანონით დარეგულირება ჩვენი ქვეყნის კანონმდებლობის გამოგონილი და შემუშავებული არ არის. სხვათა გამოცდილებისა და სტანდარტების დანერგვის მცდელობა არის ჩვენს შემთხვევაში. აქვე ვიტყვით იმას, რომ ყველა ჩვენი პროდუქტი GDPR სერთიფიცირებულია და შესაბამისობაში მოდის ევრო რეგულაციასთან:

 General Data Protection Regulation – მონაცემთა დაცვის ევროპული რეგულაცია გამოიყენება 2018 წლის 25 მაისიდან ყველა წევრ ქვეყანაში, რათა მოხდეს მონაცემთა კონფიდენციალურობის კანონების ჰარმონიზაცია მთელ ევროპაში. თუ გვერდი თქვენთვის სასარგებლოა, მოგერიდებათ მხარი დაგვიჭიროთ პროექტის გაზიარებით.

დამატებით განვმარტავთ მათთვის, ვისთვისაც ევროპული კანონმდებლობით დარეგულირებული და სერთიფიცირებული პროდუქცია საკმარისად სანდო და მისაღები მაინც არ არის, რომ ჩვენს მიერ შეთავაზებული აპარატურულ-პროგრამული გადაწყვეტილებები ბიომეტრიული ინფორმაციის შესანახად არ იყენებს მონაცემთა ბაზას, რომელზეც მომხმარებელს ექნება წვდომა და სურვილის შემთხვევაში შეძლებს მონაცემების ექსტრაქციას შემდგომი გამოყენებისთვის. მოწყობილობები ბიომეტრიულ ინფორმაციას ინახავს შიდა მეხსიერებაში დაშიფრული სახით და პრაქტიკულად შეუძლებელია მისი ექსტრაქცია. შესაბამისად, ჩვენს მიერ შეთავაზებული მოწყობილობები იყენებენ ვერიფიკაციის მეთოდს, იმ მთავარი ნიუანსით, რომ მათი მოწყობილობიდან ამოღება და შემდგომი გამოყენება შეუძლებელია. აქვე მოგახსენებთ იმას, რომ ზემოთ ხსენებულ მოწყობილობებს, ბიომეტრიულსა თუ სხვა ტიპის სანქცირებული დაშვების მოწყობილობებს მომხმარებლები იყენებენ სხვა რეგულაციის განსახორციელებლად. კერძოდ კი, თანამშრომელთა დასწრების აღრიცხვის განსახორციელებლად.

ყველაფერი ზემოთ თქმულიდან გამომდინარე ვაცხადებთ, რომ ჩვენი მოწყობილობების გამოყენება სანქცირებული დაშვებისა თუ ვიზიტორთა დასწრების საათობრივი აღრიცხვისთვის, არ საჭიროებს სამართლებრივ საფუძველსა და დასაქმებულების წერილობით ნებართვას პერსონალური მონაცემების გამოყენებასთან დაკავშირებით, რადგან მონაცემებს არ იყენებს არცერთი სუბიექტი. მონაცემებს იყენებს „მანქანა“, ელექტრონული მოწყობილობა, სუბიექტის აპარატზე ვერიფიკაციისათვის და პრაქტიკულად არ ხერხდება პერსონალური მონაცემების გადაცემა რომელიმე სხვა სუბიექტისთვის.