Smart-ID vecuma pārbaude var radīt nopietnus riskus. Advokāts par jauno kārtību “Rimi” veikalos 0
Jau iepriekš LA.LV portālā vēstījām, ka nu “Rimi” veikalos iespējams vecumu apstiprināt bez darbinieka palīdzības. Tas ir ērtāks un ātrāks risinājums, bet vai tas ir arī drošāks?
Par to sociālo mediju platformā “Facebook” raksta zvērināts advokāts Lauris Klagišs.
Vai Smart-ID izmantošana vecuma pārbaudei “Rimi” veikalos ir juridiski droša?
“Mazumtirdzniecības nozare nepārtraukti meklē jaunus risinājumus, lai padarītu iepirkšanās procesu ātrāku un ērtāku. Nesenais paziņojums par Smart-ID ieviešanu pašapkalpošanās kasēs, lai pārbaudītu pircēju vecumu, iegādājoties preces ar vecuma ierobežojumu, ir solis pretī modernizācijai.
Tomēr, raugoties no tiesiskā regulējuma prizmas, šāda tehnoloģijas integrācija fiziskajā tirdzniecībā rada virkni neatbildētu jautājumu.
Mūsu birojs ir apkopojis galvenos juridiskos un privātuma riskus, kas izriet no šādas prakses, analizējot to gan Vispārīgās datu aizsardzības regulas (VDAR), gan nacionālo normatīvo aktu kontekstā.
Viens no VDAR pamatprincipiem ir datu minimizēšana (Regulas 5. panta 1. punkta c) apakšpunkts). Tas nosaka, ka personas datiem jābūt adekvātiem un ierobežotiem tikai tādā apmērā, kas nepieciešams konkrētā apstrādes nolūka sasniegšanai.
Lai pārliecinātos, ka persona ir tiesīga iegādāties, piemēram, enerģijas dzērienu vai alkoholu, tirgotājam nepieciešams noskaidrot tikai vienu faktu – vai klients ir sasniedzis attiecīgi 18 gadu vecumu. Autentificējoties ar Smart-ID, tirgotāja sistēmai (kaut vai īslaicīgi) tiek nodots personas vārds, uzvārds un personas kods.
Šāda apjoma sensitīvu datu iegūšana triviāla ikdienas pirkuma ietvaros var tikt uzskatīta par nesamērīgu. Pat ja mazumtirgotājs apgalvo, ka datus neglabā, pieprasījuma maršrutēšana caur elektroniskās identifikācijas pakalpojuma sniedzēja (piemēram, SK ID Solutions) serveriem atstāj digitālās pēdas.
Tas rada netiešas profilēšanas risku, jo trešā puse teorētiski var fiksēt laiku un vietu, kur persona veikusi vecuma verifikāciju preču iegādei.
Latvijas normatīvais regulējums, kas attiecas uz preču ar vecuma ierobežojumu tirdzniecību, ir rakstīts ar mērķi novērst fizisku preču nodošanu nepilngadīgām personām.
Saskaņā ar Alkoholisko dzērienu aprites likuma 6. pantu personām vecumā no 18 līdz 25 gadiem, iegādājoties alkoholiskos dzērienus, ir pienākums uzrādīt personu apliecinošu dokumentu.
Personu apliecinošu dokumentu likums par šādiem dokumentiem atzīst tikai pasi un personas apliecību (eID karti). Smart-ID ir elektroniskās identifikācijas rīks, nevis personu apliecinošs dokuments tā fiziskajā izpratnē, līdz ar to strikta likuma prasība netiek pilnībā izpildīta.
Likuma mērķis ir ne tikai konstatēt personas vecumu, bet arī pārliecināties, ka klients, kurš stāv pie kases, ir tā pati persona, kas norādīta dokumentā. Smart-ID pašapkalpošanās kasē verificē tikai faktu, ka pircējs zina konkrētās ierīces PIN1 kodu, taču sistēma nespēj veikt sejas biometrisko salīdzināšanu, kā to dara pārdevējs parastajā kasē.
Tiesiskais regulējums iet roku rokā ar sabiedrības drošību. Šādas sistēmas ieviešana rada praktiskus un kiberdrošības riskus, kuriem var būt juridiskas sekas. Visbūtiskākais risks ir nepilngadīgo spēja iegādāties aizliegtās preces, vienkārši izmantojot vecāku vai pilngadīgu draugu viedtālruņus.
Ja sistēma paļaujas tikai uz PIN koda ievadi, tirgotājs faktiski nespēj nodrošināt, ka alkoholu vai tabakas izstrādājumus neiegādājas nepilngadīgais, kas apdraud sabiedrības veselības aizsardzības mērķus.
Ikdienišķa augstākās drošības rīku (kas pielīdzināmi kvalificētam elektroniskajam parakstam) izmantošana vienkāršiem pirkumiem degradē izpratni par digitālo drošību. Tas var veicināt sabiedrības ievainojamību pret pikšķerēšanas uzbrukumiem un identitātes zādzībām.
Lai gan inovācijas un klientu ērtību uzlabošana ir apsveicama, pāreja uz elektroniskiem vecuma pārbaudes risinājumiem fiziskajā vidē prasa rūpīgu juridisko analīzi un, visdrīzāk, atbilstošus grozījumus nacionālajos normatīvajos aktos.
Līdz tam brīdim tirgotāji, kuri ievieš šādas sistēmas, uzņemas ievērojamus atbilstības riskus gan datu aizsardzības jomā, gan attiecībā uz akcīzes preču tirdzniecības noteikumu pārkāpumiem.”
