使用生物识别技术作为识别方法的历史可以追溯到19世纪。英国殖民主义者介绍了通过指纹和手掌从印第安人中识别对方的做法。该方法得到了进一步开发,但今天仍在使用。在本文中,我们将尝试找出适用于生物识别数据的内容以及操作员在处理此类个人数据时会出现的处理功能。
什么是生物识别个人数据?
首先,让我们转到Art中给出的定义。 11 FZ-152“关于个人数据”。生物统计个人数据是表征人的生理和生物学特征的信息,用于建立PD受试者的身份。
根据Roskomnadzor的解释,生理数据包括:指纹数据,眼睛虹膜,DNA测试,身高,体重以及人的其他生理或生物学特征,包括人的图像(照片和视频),这可以确定其身份。
例如,护照持有人面部的彩色数字摄影图像就是证件持有人的生物特征个人数据。该规范包含在2010年3月4日的RF PP第125号中。在这里,我们讨论的是生物特征护照第一页中的芯片(感谢用户t12589645进行更正)。同时,有必要考虑操作员在处理个人数据时所追求的目标,但稍后会更多。
处理生物特征个人数据的功能
打开v时看到的第一件事。11 FZ-152:“只有在PD受试者书面同意的情况下,才能使用生物特征个人数据进行处理,如果该数据用于确定受试者的身份。这是处理此类PD之间的主要区别。对于其他情况,操作员必须遵循152-FZ的一般要求来指导个人数据处理的组织。
该规则有许多例外,当不需要同意生物识别时,将在第11条第2部分中给出。在以下情况下进行数据处理时,不需要书面同意:
- 与国际再接纳协议的执行;
- 司法行政和司法行为的执行;
- 具有强制性状态指纹注册;
- 在俄罗斯联邦关于国防,反恐,运输安全,反腐败,行动搜查活动等的法律规定的情况下。
除了第11条的第2部分之外,还有其他一些受法律法规约束的例外情况:
- 为国家,公共或其他公共利益使用图像。例如,这种情况可能包括有关官员和公众人物履行职能的信息(照片或视频),这一例外记录在2010年6月15日俄罗斯联邦最高法院第16号全体会议决议第25段中。
- 在公共场所或公共活动中拍摄的图像的使用:会议,音乐会,体育比赛等。而且,对象的图像不应成为使用的主要对象。
- 公民获得付款的照片和录像的使用。本条和上一段受《民法》第152.1条的约束。“保护公民形象”
如果在未经其同意的情况下获得或使用了公民的图像并将其发布在Internet上,则该公民有权要求删除该图像以及禁止或禁止其进一步传播。
处理生物特征个人数据的目的
在本文的开头,我们提出了一个声明,即考虑到处理生物特征个人数据的目的很重要。让我们尝试弄清楚为什么它如此重要。为此,让我们返回ILV的解释以及生物识别PD的定义:
生物统计个人数据是表征人的生理和生物学特征的信息,用于建立PD受试者的身份。这里的关键点是:“用于建立PD主题的标识。” 换句话说,如果运营商使用护照来确定证件所有者的身份,则该处理必须严格遵守《联邦法》“关于个人数据”的第11条的要求。让我们用示例来看一下:
您的组织使用访问控制系统(ACS)-它可以是时间格式程序或“模拟”选项,其形式为员工检查数据库中的照片并出示在您的通行证或护照上。在这种情况下,使用照片,它们是表征生理特征的生物特征数据,处理的目的是确定通行证的身份。根据Roskomnadzor的解释,用于确保对保护区的单次和/或多次访问的照片和其他生物特征信息(指纹等)是生物特征个人数据的处理,仅应在书面同意的情况下执行此程序。
错误处理生物特征个人数据的示例
让我们参考俄罗斯联邦最高法院于2018年5月3日发布的第307-KG18-101号裁决。
在审计之后,Roskomnadzor向组织(泳池)发布了一项命令,要求停止使用通行证上的客户照片。违规行为包括访客没有单独的书面同意来处理其生物特征数据(即照片)。
个人数据操作员给出的参数:
- 访客普遍同意PD的处理,
- 访客自愿将照片附加到通行证上
- 俄罗斯联邦第125号PP没有提及纸上照片,而只说“彩色数字摄影图像”
他们没有在法官中理解,命令的要求仍然有效。
处理生物特征个人数据的正确目的
让我们回到Roskomnadzor的解释中,在某些情况下,可以根据联邦法律“关于个人数据”的一般要求来处理生物特征数据。例如,您来到银行或诊所,他们可能还会要求您提供护照并进行扫描或复印。但是在这种情况下,目标是在不执行识别程序的情况下确认特定人员所采取的行动(达成关于提供服务,银行业务,通信服务等的协议)。此类操作将不再归类为处理生物特征个人数据。因此,应根据《联邦法律第152号》确立的一般要求进行数据处理。
很细的线,但同时这是一个非常重要的时刻,可能导致罚款。
员工个人档案
同样,生物特征个人数据也不是存储在个人文件中的员工照片和员工签名。因为 雇主使用个人档案中的数据执行的所有操作旨在确认其属于特定个人。在这种情况下,已经确定了雇员的身份,雇主已经拥有了他的个人数据。
同时,保留护照副本被视为犯罪,因为 根据俄罗斯联邦《劳动法》第65条没有定义由雇主存储的个人数据列表,并且本文定义了员工在签订劳动合同时提供的数据列表 这些特别包括护照,作为身份证件。就护照规定的处理目的而言,保存护照复印件可被归类为过度行为。在此,以北高加索地区的撤销案例为例。
在公共场所拍摄
如果在保护区或公共场所拍摄视频,则这些数据也不能被视为生物数据PD,因为摄像机的所有者不使用它们来识别特定的人。如果将这些数据传输给执法机构,并且传输的视频材料用于确定特定个人的身份,则这些数据可以成为生物识别数据。
在组织此类视频拍摄时,操作员应注意什么?
在这种情况下,操作员必须告知访客该地点正在进行摄影和录像。它可以是文本标签,也可以是专用标签;没有特殊的设计要求。如果您已满足此简单要求,则不需要访问者同意此类事件。
如果您在工作场所安装了视频监控,请不要忘记将其告知员工。有必要通过签名进行通知。此要求已在《俄罗斯联邦劳动法》第1条中明确规定。74和包括改变劳动合同的条款。
视频监控组织的目标
再次,定义治疗目标是操作员的关键任务之一。视频监控的组织也不例外。必须事先确定目标并具有法律依据。
例如,如果在办公室进行视频监视,则可能是:“修正可能的非法行为”。在医疗机构或食品生产中,目标可能是:“确保患者,客户或消费者的权利。”当然,在订购比萨饼时,您将有机会通过针对工作的网络摄像头观察其准备工作。
此外,此过程应反映在操作员的内部文档中。应该确定可以使用视频监视系统的人员。通常通过订单确认。另外,有必要提供视频的存储过程和条件,以及删除视频的过程。当然,不要忘记信息标志。
一段最重要
总而言之,我想再次强调最重要的观点。阅读艺术的第二部分。11 FZ-152“关于个人数据”,并且在所有情况下均不受其管辖,请收集同意以书面形式处理生物特征个人数据的同意。事先确定治疗目标并严格遵守。不要收集多余的信息。如果您不知道如何解释法律的这一或该要求,请参阅ILV的说明,或向您提出有关问题的上诉。
您可以在YouTube频道PDMaster上观看有关最常见错误的视频,获得对处理个人数据的同意,以及有关“个人数据”的其他有用材料。