Будут ли новые правила конфиденциальности данных ограничивать нашу способность делиться данными и учиться на их основе?

30 апреля 2018 г.

Т: @rupertthomas

Примечание. Автор — ученый, а не юрист, и это всего лишь краткое изложение исследований, поэтому ничего здесь не следует воспринимать как юридическую рекомендацию. Если вы обрабатываете персональные данные, вашему учреждению может потребоваться назначить сотрудника по защите данных (DPO); получить их совет о том, как действовать.

Общее положение о защите данных (GDPR) вступает в силу 25 мая 2018 года и влияет на обработку персональных данных в странах Европейского Союза. Это вызывает небольшой переполох, и мы, вероятно, увидим, как люди действуют осторожно, пока все работают над новой нормой. Машинное зрение основано на обработке данных изображения — особенно на подходах машинного обучения с участием лиц — так каковы последствия для исследователей?

Ключевые моменты:

  • GDPR вступает в силу с 25 мая 2018 года, и более крупные штрафы значительно увеличили стоимость несоблюдения.
  • Изображения/видео лиц, скорее всего, подпадают под категорию персональных данных, но, возможно, не подпадают под особую категорию биометрических данных (если они не обрабатываются для идентификации личности).
  • Анонимизация данных является хорошей практикой и упрощает защиту данных. Полностью анонимные наборы данных (которые никогда не могут быть использованы для идентификации отдельного человека), как правило, выходят за рамки GDPR и, как правило, являются предпочтительным вариантом, когда это возможно.
  • Однако псевдонимизированные наборы данных (где данные могут быть объединены с другими источниками для идентификации человека) также находятся в пределах области применения.
  • Если вы обрабатываете персональные данные, вам необходимо учитывать правовую основу для работы и права отдельных субъектов данных.
  • Есть несколько важных соображений управления и подотчетности, и стало более важным документировать ваш подход к защите данных.

Личные данные

Прежде всего, необходимо понять, являются ли какие-либо хранящиеся или обрабатываемые данные персональными данными, что означает любую информацию, относящуюся к идентифицированному или идентифицируемому физическому лицу («субъекту данных)» (Статья 4). Это относится к информации, которая может прямо или косвенно идентифицировать или подтвердить личность человека. Фотография лица четко идентифицирует информацию, но также учитываются и другие аспекты, такие как раса, дата рождения или страна проживания.

GDPR не влияет на обработку полностью обезличенных данных (Recital 26), однако:

«… Принципы защиты данных не должны [поэтому] не применяться к анонимной информации, а именно к информации, которая не относится к идентифицированному или идентифицируемому физическому лицу или к персональным данным, обезличенным таким образом, что субъект данных не может быть или больше не может быть идентифицирован. ».

Можно возразить (и здесь я сомневаюсь), что набор данных, состоящий исключительно из изображений без каких-либо других личных метаданных, был достаточно анонимным, чтобы не подпадать под действие GDPR. Однако если бы где-либо существовали другие данные, которые можно было бы использовать для привязки данных к идентифицируемому лицу, например ключевое кодирование или список участников исследования с идентификаторами их изображений, это считалось бы псевдонимизированными данными. что действительно подпадает под GDPR. Если человека можно реально идентифицировать другими способами (например, если вы собираете данные в кампусе вашего учреждения), это также может подпадать под действие.

Если ваша работа включает обработку персональных данных, относящихся к идентифицируемому лицу, она подпадает под GDPR, и вы считаетесь контролером данных. Вам нужно будет рассмотреть правовую основу для работы, права отдельных субъектов данных, а также некоторые соображения по управлению и подотчетности. Существуют некоторые исключения для обработки, осуществляемой в ходе научных исследований, при условии наличия соответствующих гарантий (Статья 89), но требования подотчетности и прозрачности остаются. Концерт 159 дает понять, что научные исследования охватывают широкую базу, а не только в государственных органах и учреждениях:

«Для целей настоящего Регламента обработка персональных данных в целях научных исследований должна толковаться в широком смысле, включая, например, технологическую разработку и демонстрацию, фундаментальные исследования, прикладные исследования и исследования, финансируемые из частных источников».

Стоит знать, что существуют также особые категории персональных данных (в том числе биометрические и генетические данные), которые требуют более тщательного ухода из-за конфиденциальности такой информации. К счастью, в регламенте (Recital 51) довольно четко указано, что фотографии людей не считаются автоматически биометрическими данными — все сводится к тому, как обрабатываются данные:

«Обработка фотографий не должна систематически рассматриваться как обработка особых категорий персональных данных, поскольку они охватываются определением биометрических данных только при обработке с помощью конкретных технических средств, позволяющих однозначно идентифицировать или аутентифицировать физическое лицо».

Конфиденциальность по дизайну (например, за счет анонимизации) является золотым стандартом, и если нет реальной необходимости в отслеживаемости, это должно быть первым соображением. Хотя это может вызвать проблемы в работе, защита данных в целом становится проще.

Правовая основа

GDPR требует (Статья 6), чтобы у вас была законная основа для обработки персональных данных. Это то, что вы должны учитывать, прежде чем начать обработку. Должен применяться хотя бы один из следующих пунктов:

  1. согласие от физического лица
  2. договор с физическим лицом
  3. юридическое обязательство (не договорное)
  4. жизненные интересы (например, спасение жизни)
  5. общественные задачи/интересы, имеющие четкую правовую основу.
  6. законные интересы (хотя и не в качестве государственного органа, выполняющего официальное задание)

Важно отметить, что законное основание для обработки не должно меняться после его выбора. Например, вы решаете обрабатывать данные на основе согласия и получаете это согласие — если субъект позже отозвал свое согласие, было бы неправильно перейти на другую основу и продолжить обработку данных субъекта. Правила прямо разрешают повторное использование данных, собранных/обработанных на одном законном основании, для научных исследований (Recital 50), несмотря на защиту основных прав субъекта. Хотя исследования прямо не указаны в качестве собственного законного основания для обработки, они могут квалифицироваться как законные интересы контролера. Текущий совет в Великобритании заключается в том, что университеты, скорее всего, будут классифицироваться как государственные органы, поэтому принцип общественных задач, вероятно, будет применяться к большей части их обработки [1].

Для бизнеса основа законного интереса, вероятно, охватывает ряд обычных действий, при условии, что интересы или основные права и свободы субъекта данных не имеют приоритета, принимая во внимание разумные ожидания субъектов данных, основанные на их отношениях с контроллер. Например, Recital 47 предусматривает, что обработка персональных данных в целях прямого маркетинга может рассматриваться как осуществляемая в законных интересах. Основа законного интереса представляет собой балансирующий тест, который необходимо учитывать, поэтому, даже если контролер имеет законный интерес к исследованиям, он может быть переопределен правами субъекта данных.

Права личности

Новое законодательство также укрепляет права субъектов данных, особенно в отношении:

  • право на получение информации,
  • право доступа*,
  • право на исправление*,
  • право на стирание,
  • право на ограничение обработки*,
  • право на переносимость данных и
  • право на возражение*.

На некоторые из этих прав может повлиять законное основание для обработки — например, право на удаление или возражение может не применяться, когда данные обрабатываются на основании юридических обязательств. Также будут новые национальные правила, влияющие на реализацию, а GDPR разрешает национальному законодательству вводить дополнительные исключения для исследований. В Законе о защите данных Великобритании 2017 года предлагается, чтобы определенные права (отмеченные * выше) не применялись, когда персональные данные обрабатываются в исследовательских целях, но только в том случае, когда применение прав субъекта данных может помешать или серьезно ухудшить достижение результатов исследования. цель".

Право на получение информации включает требование о том, чтобы субъект данных был проинформирован о существовании операции обработки и ее целях. Контролеры обязаны предоставлять эту информацию при любых обстоятельствах, независимо от того, является ли согласие основанием для обработки, хотя есть исключения (Декларация 62), когда предоставление информации невозможно или требует непропорциональных усилий. Однако уведомление должно быть предоставлено во время первого сбора данных, и Статья 13 содержит список того, какая информация должна быть предоставлена. Обновленное уведомление должно быть предоставлено, если контролер намеревается продолжить обработку данных для другой цели, в том числе для исследований.

Подотчетность и управление

Это широкая тема, и ее действительно следует решать на уровне учреждения. Это, конечно, не означает, что отдельные исследователи не несут ответственности за свою работу и соблюдение требований, но есть несколько обязательств высокого уровня, таких как потенциальное назначение сотрудника по защите данных (DPO) или внедрение политик защиты данных и оценок рисков. .

Большая часть подотчетности заключается в возможности продемонстрировать соответствие, и документация является ключом к этому. Важно знать, какие данные у вас есть, где они находятся и что вы с ними делаете. Вам также нужно будет задокументировать другие вещи, чтобы показать ваше соответствие GDPR, такие как записи о согласии и любые утечки личных данных, а также, возможно, политики обмена и хранения данных. GDPR теперь четко определяет требование и сроки сообщения об утечке данных — в течение 72 часов — надеюсь, мы больше не увидим подобных случаев.

Правила предусматривают, что необходимо учитывать безопасность данных и применять соответствующие средства контроля (организационные и технические) для снижения этого риска (поэтому вам может потребоваться провести эту оценку риска). Точные методы не указаны, но упоминается шифрование, которое вполне может быть уместным, если обрабатываются специальные категории данных, такие как биометрические или генетические данные. Существуют также новые правила передачи данных третьим лицам и за пределы ЕС (подробнее см. Статьи 44–50).

Выводы

Большие наборы данных с открытым доступом сыграли ключевую роль в быстром развитии методов машинного обучения и машинного зрения. Всегда существовала необходимость учитывать источник таких наборов данных и право участников на неприкосновенность частной жизни — GDPR формализует эти требования и заставляет исследователей изучать эти вопросы на ранних этапах их работы.

Если нет явной необходимости в отслеживаемости, анонимизация набора данных значительно упростит защиту данных и в любом случае является хорошей практикой. Это относится к большинству исследователей машинного зрения.

Новые правила были явно разработаны с учетом потребностей научного сообщества; будем надеяться, что исследователи по-прежнему смогут получать доступ к данным, которые имеют решающее значение для их работы, и делиться ими.

Т: @rupertthomas

Источники:

  1. https://ico.org.uk/for-organisations/guide-to-the-general-data-protection-regulation-gdpr/
  2. https://iapp.org/news/a/how-gdpr-changes-the-rules-for-research/
  3. https://gdpr-info.eu/