Дрони й приватність: ризики захисту даних
Безпілотні літальні апарати (дрони) стрімко увійшли в наше життя протягом останнього десятиліття. З моменту винайдення сучасних прототипів цивільних дронів майже кожен мав можливість використовувати дрони для різних цілей: фото- та відеозйомки, в тому числі з комерційною метою для кіно чи телебачення, спостереження за безпекою, логістики, сільського господарства чи навіть під час військових операцій. Незважаючи на широкий спектр переваг і можливостей, використання дронів пов’язане з певними ризиками. Один з ризиків полягає в тому, що дрон зазвичай збирає величезні обсяги персональних даних. Таким чином, під час збору таких даних необхідно дотримуватися законів щодо конфіденційності, таких як GDPR, CCPA, LGPD та інших.
Які персональні дані може збирати дрон?
Насправді це залежить від якості та моделі конкретного дрона. Найпростіші можуть навіть не мати жодних засобів для збору персональних даних. Однак більшість з них можуть робити це за допомогою різних інструментів збору: камер, електронних датчиків та навіть інфрачервоних сканерів. Це дозволяє таким дронам збирати зображення та відео людей, розпізнавати обличчя, відстежувати геолокаційні дані та навіть збирати деякі сигнали зі смартфонів.
В яких випадках дрон не збирає персональні дані?
Якщо дрон не має жодних засобів для відстеження та збору персональних даних, то, очевидно, ніяких даних він не збере. Навіть дрон з GPS-трекерами та камерою може цілеспрямовано не збирати жодних персональних даних, наприклад, під час спостереження за інфраструктурою (дослідження заторів без можливості ідентифікувати конкретні автомобілі), відстеження тварин або рослин в особливих місцях, таких як ліси або заповідники, сільськогосподарські цілі, які не передбачають обробку персональних даних. У цьому випадку вам все одно потрібно зрозуміти, чи не порушуються закони щодо захисту даних. Іспанське агентство із захисту даних (ANPD) зазначає наступне:
“Перш ніж ділитися в Інтернеті зображеннями або відео, знятими за допомогою дрона, необхідно переконатися, що вони не містять зображень або даних, що стосуються осіб, транспортних засобів, місць проживання або інших об’єктів, які можуть призвести до ідентифікації суб’єктів даних, і у разі позитивного результату, потрібно анонімізувати їх, використовуючи методи розмиття або інші подібні методи. Приклади неправильного використання дронів:
Джерело: Drones and Data Protection |
Що повинні зробити компанії/фізичні особи, щоб відповідати вимогам законів щодо захисту даних?
Знову ж таки, усе залежить від типу дрона та мети, для якої ви його використовуєте. Якщо дрон літає над територією вашого підприємства для захисту від зловмисників, вам потрібно переконатися, що збір даних необхідний лише для досягнення вашої мети. Безперечним є той факт, що дрон, який літає, може набагато сильніше втручатися у приватне життя третіх осіб, ніж класична система відеоспостереження, оскільки людина не може очікувати, що за нею спостерігатимуть, наприклад, десь біля будівлі вашої компанії в радіусі 500 метрів. Тому, як користувач дрону, ви повинні переконатися, що не збираєте персональні дані (відео, фото, геолокацію) випадкових людей навколо. У будь-якому випадку, якщо ви зафіксували якісь дані таким чином, вони повинні бути видалені, оскільки вони не є необхідними для досягнення вашого законного інтересу в захисті вашої власності.
Інший приклад! Уявімо, що у вас є бізнес з доставки їжі, який використовує дрони. Зараз це досить поширений спосіб доставки, але в найближчому майбутньому він, безсумнівно, набуде ще більшого поширення. У такому випадку вам також потрібно мати мету для збору даних, наприклад, адреси одержувача та відеозаписів, які підтверджують, що їжа була доставлена. Вам також потрібно мати юридичну підставу для обробки даних; найімовірніше, це буде виконання договору (performance of a contract) про доставку між вашою компанією та клієнтом.
Загалом, ці два приклади не можуть повністю описати всі способи, якими люди можуть використовувати дрони для ведення бізнесу та збору даних. Однак, можна легко відстежити основні принципи використання дронів у відповідності до GDPR:
- Ви повинні мати мету для обробки даних;
- Ви повинні мати законну підставу для обробки даних;
- Ви повинні дотримуватися принципів захисту даних (видаляти дані, коли вони вам більше не потрібні, відповідно до принципу обмеження зберігання, збирати лише необхідні обсяги даних відповідно до принципу мінімізації даних).
Зазначені поради є базовою та важливою частиною обробки даних. Крім того, для того, щоб убезпечити себе від будь-яких фінансових та інших ризиків, компанії або фізичній особі, яка використовує дрони, можуть знадобитися більш комплексні та детальні поради, які можуть бути імплементовані в ваші практики:
- “Мінімізуйте присутність осіб та об’єктів, що дозволяють їх ідентифікувати (наприклад, реєстраційних знаків транспортних засобів) в районі використання дрону. Це можна зробити, наприклад, здійснюючи польоти, де це можливо, у час, коли немає великого скупчення людей або коли доступ до зони польотів обмежений.
- Застосовуйте заходи конфіденційності, що закладені у дрон від виробника, такі як, наприклад, регулювання роздільної здатності зображення до мінімуму, необхідного для виконання мети обробки, зменшення деталізації геолокації з тією ж метою, застосування методів анонімізації зображень (автоматично під час зйомки або процедур для цього відразу після неї) або механізмів для ініціювання та зупинки зйомки даних в будь-який момент під час використання, впроваджувати захищені протоколи зв’язку, які унеможливлюють доступ третіх осіб до передачі зібраних даних і до управління самим пристроєм, або включати механізми, що дозволяють шифрувати дані, зібрані і збережені на самому дроні.
- У місцях, де неминуче будуть люди, здійснюйте зйомку зображень таким чином, щоб унеможливити їхню ідентифікацію, наприклад, знімаючи зображення лише з достатньої відстані, щоб унеможливити їхню ідентифікацію.
- Запобігайте обробці інших типів персональних даних, таких як, наприклад, невибіркове знімання ідентифікаторів мобільних пристроїв”. (Джерело: Drones and Data Protection)
Британський орган із захисту даних (ICO) звертає увагу на обов’язок інформувати суб’єктів даних про те, що їхні дані збираються за допомогою дронів. Оскільки це не звичайний процес збору даних, контролери/процесори даних повинні бути винахідливими щодо способів, які вони обирають для інформування людей. У Великій Британії ви можете зареєструвати свій дрон в Управлінні цивільної авіації, щоб державні органи могли відстежувати його і мати певний контроль над його використанням, розмістити знак у місці, де ви використовуєте дрон, або опублікувати чітке і доступне повідомлення про конфіденційність на веб-сайті, яке пояснює, як ви обробляєте персональні дані.
Комісар з питань інформації Республіки Словенія також нагадує операторам безпілотників, що при обробці персональних даних слід пам’ятати про принципи захисту даних: законність, справедливість і прозорість, обмеження цілей, обмеження зберігання, мінімізація даних, точність і інформаційна безпека, щоб захистити персональні дані від розголошення. Ви можете ознайомитися з інфографікою щодо захисту даних та безпілотників за посиланням (доступно лише словенською мовою).
Висновки
Отже, дрони – це одна з технологій нашого найближчого майбутнього. Багато послуг надаватимуться за допомогою дронів. Тому ми повинні розглянути питання, що стосуються цієї можливості вже зараз, щоб уникнути будь-яких можливих ризиків для захисту даних у майбутньому. На щастя, європейські органи захисту даних активно співпрацюють з операторами дронів, надаючи їм корисні поради та рекомендації щодо їх безпечного використання. Якщо у вас залишилися питання, будь ласка, напишіть нам листа на електронну пошту 🙂 Ми будемо раді вам допомогти!