Naruszenie bezpieczeństwa danych biometrycznych - definicja
Naruszenie bezpieczeństwa danych biometrycznych to incydent bezpieczeństwa prowadzący do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia albo nieuprawnionego dostępu do danych biometrycznych przetwarzanych jako dane osobowe. Podstawę normatywną stanowi art. 4 pkt 12 RODO dla pojęcia naruszenia ochrony danych osobowych oraz art. 4 pkt 14 RODO dla pojęcia danych biometrycznych. Zgodnie z RODO dane biometryczne to dane osobowe wynikające ze specjalnego przetwarzania technicznego, dotyczące cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej, które umożliwiają lub potwierdzają jej jednoznaczną identyfikację, takie jak wizerunek twarzy lub dane daktyloskopijne.
W kontekście zdjęć i nagrań wideo pojęcie to dotyczy przede wszystkim materiałów, na podstawie których można rozpoznać osobę na podstawie twarzy, oraz pochodnych technicznych takich jak embedding twarzy, wektor cech, mapa punktów charakterystycznych czy wzorzec porównawczy wykorzystywany przez system rozpoznawania. Sam obraz twarzy nie zawsze będzie danymi biometrycznymi w rozumieniu art. 9 RODO. Staje się nimi wtedy, gdy jest przetwarzany specjalnymi środkami technicznymi w celu jednoznacznej identyfikacji lub uwierzytelnienia osoby. To rozróżnienie ma znaczenie przy kwalifikacji incydentu, ocenie ryzyka i obowiązkach notyfikacyjnych.
W praktyce anonimizacji zdjęć i wideo naruszenie może dotyczyć zarówno materiału źródłowego przed zamazaniem twarzy, jak i danych pośrednich generowanych przez algorytmy komputerowego widzenia. Jeżeli organizacja trenuje lub wykorzystuje model deep learning do wykrywania twarzy, tworzy pipeline przetwarzania obejmujący klatki wideo, detekcje, współrzędne ramek, identyfikatory obiektów i czas wystąpienia. Jeżeli ten pipeline służy jedynie do wykrycia i zamazania twarzy, a nie do rozpoznania tożsamości, nie każda operacja będzie przetwarzaniem szczególnych kategorii danych. Jednak wyciek niezanonimizowanych nagrań z twarzami nadal może być naruszeniem danych osobowych o wysokim ryzyku dla osób, których dane dotyczą.
Jak kwalifikować naruszenie w materiale zdjęciowym i wideo
Kwalifikacja incydentu wymaga oddzielenia trzech warstw: danych wejściowych, danych pośrednich i celu przetwarzania. Właśnie ten podział decyduje, czy mówimy o naruszeniu zwykłych danych osobowych, czy o naruszeniu danych biometrycznych jako szczególnej kategorii danych z art. 9 RODO.
W materiałach foto-wideo najczęściej analizuje się następujące warianty:
Sytuacja | Charakter danych | Uwagi compliance
|
|---|---|---|
Wyciek niezanonimizowanego nagrania z widocznymi twarzami | Dane osobowe, nie zawsze dane biometryczne | Ocena zależy od celu i techniki przetwarzania |
Wyciek bazy embeddingów twarzy używanych do identyfikacji | Dane biometryczne | Wysokie prawdopodobieństwo wysokiego ryzyka |
Nieuprawniony dostęp do modelu dopasowującego twarze do tożsamości | Może obejmować dane biometryczne i tajemnicę systemu | Należy ocenić możliwość odtworzenia lub nadużycia wzorców |
Błędne opublikowanie materiału przed zamazaniem twarzy lub tablic | Dane osobowe, czasem dane biometryczne | Istotne przy publikacji nagrań z monitoringu i zdjęć z przestrzeni publicznej |
Europejska Rada Ochrony Danych w Wytycznych 01/2022 dotyczących prawa dostępu wskazuje, że sama fotografia nie zawsze jest danymi biometrycznymi, ale może się nimi stać zależnie od sposobu użycia. Z kolei w Wytycznych 05/2022 dotyczących wykorzystania technologii rozpoznawania twarzy w obszarze ścigania opisano ten obszar jako wymagający ścisłej oceny celu, proporcjonalności i podstawy prawnej. Dla IOD oznacza to, że incydent należy opisać nie tylko przez pytanie „czy wyciekł obraz twarzy”, ale również „czy organizacja tworzyła lub przechowywała wzorce służące jednoznacznej identyfikacji”.
Znaczenie dla anonimizacji zdjęć i nagrań wideo
W procesie anonimizacji zdjęć i nagrań wideo celem jest ograniczenie ryzyka identyfikacji osoby przez nieodwracalne lub praktycznie nieodwracalne usunięcie cech identyfikujących. W praktyce Gallio PRO automatycznie zamazuje twarze i tablice rejestracyjne w materiałach zapisanych, a nie w strumieniu na żywo. To ogranicza powierzchnię ryzyka, ale nie eliminuje zagrożeń na etapie importu, przetwarzania, eksportu i archiwizacji plików źródłowych.
Do automatycznego zamazywania twarzy stosuje się modele deep learning do detekcji obiektów lub segmentacji. Model musi zostać wcześniej wytrenowany na odpowiednich zbiorach danych zawierających twarze oznaczone przez adnotacje. Następnie taki model wykrywa lokalizację twarzy na klatkach i przekazuje współrzędne do modułu blur lub maskowania. Jeżeli system nie przypisuje tożsamości wykrytej twarzy do konkretnej osoby i nie porównuje jej z bazą wzorców, jego funkcja jest co do zasady detekcyjna, a nie identyfikacyjna. Mimo to materiał wejściowy nadal zawiera dane osobowe i ich wyciek może wymagać zgłoszenia naruszenia.
Praktyczny problem polega na tym, że nawet krótkie okno czasowe między pozyskaniem pliku a jego anonimizacją jest okresem podwyższonego ryzyka. Naruszenie może nastąpić przez błędną konfigurację udziałów sieciowych, nadmierne uprawnienia operatora, eksport pliku pośredniego, backup bez szyfrowania albo błędne publikowanie wersji przed anonimizacją.
Obowiązki notyfikacyjne po naruszeniu danych biometrycznych
RODO nakłada obowiązki zależne od poziomu ryzyka dla praw lub wolności osób fizycznych. Administrator ocenia prawdopodobieństwo i wagę skutków incydentu, a nie sam fakt technicznego naruszenia. W przypadku danych biometrycznych próg ryzyka jest zwykle wyższy, ponieważ wzorca biometrycznego nie można skutecznie „zmienić” tak jak hasła.
Podstawowe obowiązki są następujące:
- art. 33 RODO - zgłoszenie naruszenia organowi nadzorczemu bez zbędnej zwłoki, nie później niż w ciągu 72 godzin od stwierdzenia naruszenia, chyba że jest mało prawdopodobne, aby skutkowało ono ryzykiem dla praw lub wolności osób fizycznych,
- art. 34 RODO - zawiadomienie osoby, której dane dotyczą, gdy naruszenie może powodować wysokie ryzyko dla jej praw lub wolności,
- art. 33 ust. 5 RODO - dokumentowanie wszelkich naruszeń, ich okoliczności, skutków i podjętych działań naprawczych.
Przy ocenie wysokiego ryzyka pomocne są Wytyczne Grupy Roboczej Art. 29 WP250 rev.01 dotyczące zgłaszania naruszeń, przyjęte następnie przez EROD. Dla danych biometrycznych szczególne znaczenie mają skutki takie jak kradzież tożsamości, wtórne profilowanie, nieuprawnione śledzenie osoby między systemami oraz długoterminowa utrata kontroli nad unikalnym identyfikatorem biometrycznym.
Kluczowe parametry oceny incydentu
W środowisku przetwarzania obrazu sama lista plików nie wystarcza do oceny naruszenia. Potrzebne są mierzalne parametry techniczne i operacyjne. Ułatwiają one ocenę skali ekspozycji oraz skuteczności środków naprawczych.
Parametr | Znaczenie | Przykład użycia
|
|---|---|---|
Liczba rekordów / plików | Skala incydentu | 12 400 zdjęć, 380 nagrań |
Liczba osób możliwych do identyfikacji | Realny wpływ na podmioty danych | szacunek na podstawie próby lub metadanych |
Recall detekcji twarzy | Odsetek twarzy wykrytych przez model | niewykryte twarze zwiększają ryzyko publikacji danych |
False negative rate | Odsetek twarzy pominiętych | kluczowy przy QA anonimizacji |
MTTD / MTTR | Czas wykrycia i usunięcia incydentu | metryki bezpieczeństwa operacyjnego |
Czas ekspozycji | Jak długo dane były dostępne | np. 9 godzin publicznego dostępu |
Status szyfrowania | Czy dane były zabezpieczone kryptograficznie | istotne dla art. 34 ust. 3 lit. a RODO |
Dla zespołów technicznych przydatny jest prosty wskaźnik ekspozycji operacyjnej:
Risk Exposure Index = liczba osób x czas ekspozycji x współczynnik odwracalności identyfikacji
Nie jest to wzór normatywny, ale praktyczne narzędzie wewnętrzne do priorytetyzacji reakcji. Współczynnik odwracalności identyfikacji powinien być wyższy dla surowych nagrań z twarzami niż dla materiału po skutecznym zamazaniu.
Środki naprawcze i zapobiegawcze
Po incydencie liczy się nie tylko odcięcie dostępu, ale także ograniczenie ryzyka ponownej identyfikacji z materiału foto-wideo. Działania powinny objąć zarówno warstwę bezpieczeństwa informacji, jak i sam proces anonimizacji.
Najczęściej stosuje się następujące środki:
- natychmiastowe wycofanie lub zablokowanie dostępu do niezanonimizowanych plików,
- weryfikację, czy opublikowano właściwą wersję pliku po zamazaniu twarzy i tablic,
- ponowne przetworzenie materiału z kontrolą jakości detekcji twarzy i tablic rejestracyjnych,
- szyfrowanie danych w spoczynku i w tranzycie zgodnie z polityką bezpieczeństwa,
- segregację środowisk treningowych, testowych i produkcyjnych,
- minimalizację retencji plików źródłowych przed anonimizacją,
- rejestr dostępu oparty na zdarzeniach systemowych, bez logowania samych danych osobowych,
- testy skuteczności procesu anonimizacji na próbie kontrolnej.
W środowisku on-premise szczególnie ważna jest kontrola lokalnych repozytoriów, kopii zapasowych i uprawnień administratorów. Jeżeli organizacja korzysta z Gallio PRO, należy pamiętać, że oprogramowanie automatycznie zamazuje tylko twarze i tablice rejestracyjne. Inne elementy, takie jak dokumenty, tatuaże, logotypy czy obraz na monitorze, mogą wymagać działania ręcznego w edytorze. To ograniczenie powinno być uwzględnione w analizie ryzyka i procedurze publikacji materiałów.
Odniesienia normatywne i źródła
Definicję i obowiązki należy opierać na dokumentach źródłowych oraz oficjalnych wytycznych organów europejskich. W obszarze zdjęć i wideo najważniejsze są akty prawne i wytyczne interpretacyjne dotyczące danych biometrycznych, naruszeń i rozpoznawania twarzy.
- Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. - RODO, art. 4 pkt 12, art. 4 pkt 14, art. 9, art. 33, art. 34
- WP29, Guidelines on Personal data breach notification under Regulation 2016/679, WP250 rev.01, 6 lutego 2018 r., zaakceptowane przez EROD
- EROD, Guidelines 05/2022 on the use of facial recognition technology in the area of law enforcement, wersja przyjęta 26 kwietnia 2023 r. - istotne dla rozumienia techniki rozpoznawania twarzy
- EROD, Guidelines 01/2022 on data subject rights - Right of access, wersja przyjęta 28 marca 2023 r. - wyjaśnienia dotyczące fotografii i danych biometrycznych
- ENISA, Personal Data Breach Notification Tool oraz materiały dotyczące klasyfikacji incydentów - praktyczne wsparcie dla oceny ryzyka
- ISO/IEC 2382-37:2022 - biometrics vocabulary
- ISO/IEC 24745:2022 - biometric information protection