GDPR та біометричні дані за режимом Editioneo
Біометричні дані знаходять своє застосування у багатьох сферах - від відбитків пальців до розблокування телефону до програм розпізнавання сітківки для посилення існуючої системи безпеки. Однак біометричні дані також є суттю проблеми ризику персональних даних. Слід визнати, що в епоху цифрових технологій порушення біометричних даних представляє вищий ризик, ніж для будь-якого іншого типу даних. Це пов’язано з тим, що біометричні дані не можуть бути змінені, якщо вони порушені, на відміну від інших типів даних. На щастя, Загальне положення про захист даних або GDPR детально розглядає це питання. Застосовується з 25 травня 2018 року, GDPR пропонує баланс між можливостями, пропонованими біометричними даними, та відповідальністю компаній за їх збір, використання та зберігання.
Що мається на увазі під біометричними даними ?
У GDPR так звані біометричні дані визначаються як: "персональні дані, отримані в результаті специфічної технічної обробки, що стосуються фізичних, психологічних або поведінкових характеристик фізичної особи, які дозволяють або підтверджують їх унікальну ідентифікацію, наприклад, лише зображення обличчя або дані відбитків пальців '.
Ця категорія даних є частиною персональних даних і може оброблятися лише за певних умов. Однією з умов є те, що особа приймає, що її дані будуть підлягати конкретній обробці. Таким чином, суб’єкт даних повинен чітко дати свою згоду на збір та використання своїх даних. Обробка цих даних також можлива в тому випадку, якщо контролер або суб'єкт даних виконує зобов'язання, пов'язані з соціальним забезпеченням, законами про соціальний захист або навіть наймом. Обробка може також надаватися в тому випадку, якщо це необхідно для захисту життєво важливих інтересів суб'єкта даних. Обробка цих даних також може бути використана для захисту юридичних вимог. Нарешті, обробка можлива, якщо цього вимагають суспільні інтереси.
Які переваги використання так званих біометричних даних ?
Зі свого боку, компанії часто використовують цей тип даних у галузі аналізу даних. Деякі використовують їх для аналізу поведінки своїх клієнтів та інтерпретації їх для прогнозування їх реакції і, таким чином, узгодження їх маркетингових стратегій. Інші використовують, наприклад, систему розпізнавання обличчя, щоб попередити учасників магазину про вхід клієнта з класифікацією VIP.
Тоді роль GDPR полягає у встановленні рамки для використання такого роду даних, не перешкоджаючи їх використанню.
Як захистити біометричні дані ?
Перша рекомендація для організацій, які обробляють так звані біометричні дані, - не розміщувати їх самостійно. Дані повинні залишатися на його власнику, наприклад, у вигляді паспорта чи значка. У тому випадку, якщо дані потрібно зберігати в іншому місці, рекомендується, щоб носій даних, на якому вони зберігаються, був дуже захищеним, із шифруванням типу AES.
Для цього виду обробки потрібна особа, що займається захистом даних. Основна місія останньої - забезпечити відповідність процесу обробки біометричних даних вимогам GDPR. Він також відповідає за проведення оцінки впливу на конфіденційність, якщо це можливо.
Коротше кажучи, завжди бажано не вдаватися до біометричної інформації, якщо існують інші системи ідентифікації, які є однаково ефективними. Якщо, однак, важливо звернутися до такої інформації, то дотримання GDPR є важливим. Більше того, стаття 9 GDPR передбачає, що обробка біометричних даних заборонена, за винятком певних обставин.
Робоче середовище та біометричні прилади
Загальним Положенням про захист даних був змінений правовий режим біометричних даних.
Таким чином, CNIL визначив основу, яка застосовується до використання певних біометричних приладів на робочому місці. Це Закон No 2018-493 від 20 червня 2018 року, який визначає та контролює роль CNIL у наданні дозволу на впровадження певних біометричних приладів.
Відповідних пристроїв три за кількістю і базуються на системах розпізнавання. Таким чином, дозвіл AU-009 від CNIL стосується розпізнавання контуру руки для контролю доступу до шкільної їдальні. Метою авторизації AU-007 є розпізнавання контуру руки для контролю доступу до різних областей робочих місць, таких як їдальня. Нарешті, дозвіл AU-008 стосується розпізнавання відбитків пальців, що використовуються для контролю доступу до професійних приміщень. У цьому випадку дані про відбитки пальців записуються на окремий носій.
CNIL можуть бути заявлені лише біометричні пристрої, які відповідають цим трьом цілям. Таким чином, контроль робочого часу працівників за допомогою біометричного приладу неможливий. Однак завжди можна запитати у CNIL спеціальну авторизацію для пристроїв, що не належать до згаданих вище.
Персональні послуги та біометрія
GDPR набуває чинності для використання будь-якого біометричного пристрою, що надається особам через їхній пристрій (смартфон, планшет тощо), який взаємодіє з віддаленими серверами, якими керують сторонні організації. Ці організації повинні виконувати зобов'язання, викладені в Регламенті GDPR, якщо вони приймають рішення при впровадженні пристрою біометричної аутентифікації або якщо вони освоюють частину або всю біометричну обробку, про яку йдеться.
Тому відповідний орган повинен проаналізувати, чи може обробка передбачених біометричних даних породжувати ризики, що шкодять правам і свободам людей. Для цього він повинен провести ОВНС або Оцінку впливу на захист даних. Це має враховувати чутливість даних, що підлягають обробці. Таким чином, AIPD описує технічні заходи, вжиті для забезпечення захисту даних. Потім воно надсилається CNIL. Останній, серед іншого, перевіряє, чи впроваджувані технічні засоби зберігають контроль користувачів над їхніми даними, поважають свободу вибору користувачів та не порушують їх конфіденційність.
Статті, пов’язані з цією темою:
Отримайте свій попередній діагноз на відповідність GDPR - Діагностичний звіт надіслано протягом 48 годин *