El uso de la biometría como método de identificación se remonta al lejano siglo XIX. Los colonialistas británicos introdujeron la práctica de identificar a sus homólogos indios mediante huellas digitales y huellas de palmas. El método se perfeccionó aún más, pero todavía se usa hoy en día. En este artículo, intentaremos averiguar qué pertenece a los datos biométricos y qué características de procesamiento surgen para el operador cuando trabaja con esta categoría de datos personales.
¿Qué son los datos personales biométricos?
Primero, pasemos a la definición dada en el art. 11 -152 "Sobre datos personales" . Los datos personales biométricos son información que caracteriza las características fisiológicas y biológicas de una persona, y que se utiliza para establecer la identidad del sujeto con EP.
Según las explicaciones de Roskomnadzor , los datos fisiológicos incluyen: datos de huellas dactilares, iris de los ojos, pruebas de ADN, altura, peso, así como otras características fisiológicas o biológicas de una persona, incluida una imagen de una persona (fotografía y video), que permiten establecer su identidad.
Por ejemplo, una imagen fotográfica digital en color de la cara del titular del pasaporte son los datos personales biométricos del titular del documento. Esta norma está consagrada en el RF PP No. 125 del 4 de marzo de 2010. Aquí estamos hablando del chip dentro de la primera página del pasaporte biométrico (gracias al usuario t12589645 por las correcciones). Al mismo tiempo, es necesario tener en cuenta el propósito que persigue el operador al procesar los datos personales, pero más sobre eso más adelante.
Características del procesamiento de datos personales biométricos.
Lo primero que vemos es abrir Art. 11 FZ-152 : “El procesamiento de datos personales biométricos solo se puede llevar a cabo con el consentimiento por escrito del sujeto con DP, si los datos se utilizan para establecer la identidad del sujeto. Esta es la principal diferencia en el procesamiento de esta categoría de EP. Por lo demás, el operador debe guiarse por los requisitos generales de 152-FZ, a la organización del procesamiento de datos personales.
Hay una serie de excepciones a esta regla, cuando no se requiere el consentimiento para la biometría, se dan en la parte 2 del artículo 11. No se requiere el consentimiento por escrito en los casos en que el procesamiento de datos se realiza en relación con:
- con la implementación de acuerdos internacionales sobre readmisión;
- con la administración de justicia y la ejecución de actos judiciales;
- con el registro obligatorio de huellas digitales del estado;
- en los casos estipulados por la legislación de la Federación de Rusia sobre defensa, lucha contra el terrorismo, seguridad del transporte, anticorrupción, actividad de búsqueda operativa, etc.
Además de la Parte 2 del Artículo 11, hay una serie de excepciones reguladas por otros actos legales reglamentarios:
- Uso de la imagen en intereses estatales, públicos u otros intereses públicos. Por ejemplo, un caso de este tipo puede incluir información (foto o video) relacionada con el desempeño de sus funciones por parte de funcionarios y personalidades públicas .
- Uso de la imagen obtenida al disparar en lugares públicos o en eventos públicos: reuniones, conciertos, deportes, etc. Además, la imagen del sujeto no debe ser el principal objeto de uso.
- Uso de fotografías y videos por los cuales un ciudadano recibió el pago. Este y el párrafo anterior están regulados por el artículo 152.1 del Código Civil de la Federación de Rusia. "Protección de la imagen de un ciudadano"
Si la imagen de un ciudadano se obtiene o utiliza sin su consentimiento y se distribuye en Internet, el ciudadano tiene derecho a exigir la eliminación de esta imagen, así como la supresión o prohibición de su posterior distribución.
Propósito del procesamiento de datos personales biométricos.
Al comienzo del artículo, hicimos la declaración de que es importante tener en cuenta el propósito del procesamiento de datos personales biométricos. Tratemos de descubrir por qué esto es tan importante. Para hacer esto, volvamos a las explicaciones de ILV y a la definición misma de PD biométrica:
Los datos personales biométricos son información que caracteriza las características fisiológicas y biológicas de una persona, y que se utilizan para establecer la identidad del sujeto de la EP.El punto clave aquí: "se utiliza para establecer la identidad del sujeto de la EP" . En otras palabras, si el operador utiliza un pasaporte para determinar la identidad del propietario del documento, dicho procesamiento debe cumplir estrictamente con los requisitos del artículo 11 de la Ley Federal "sobre datos personales". Vamos a desglosarlo con ejemplos:
Su organización utiliza un sistema de control de control de acceso (ACS): puede ser un formador de tiempo o una opción "analógica" en la forma de un empleado que verifica una foto de una base de datos y está presente en su pase o pasaporte. En este caso, se utilizan fotografías, que son datos biométricos que caracterizan las características fisiológicas, y el propósito del procesamiento es determinar la persona que presenta el pase. Según las explicaciones de Roskomnadzor, las fotografías y otra información biométrica (huellas digitales, etc.) utilizadas para garantizar el acceso único y / o múltiple al área protegida se refieren al procesamiento de datos personales biométricos. Este procedimiento solo debe llevarse a cabo con el consentimiento por escrito.
Ejemplo de procesamiento inadecuado de datos personales biométricos.
Pasemos al Decreto del Tribunal Supremo de la Federación de Rusia de fecha 05.03.2018 No. 307-KG18-101. En
base a los resultados de la auditoría, Roskomnadzor escribió una orden a la organización (grupo) con el requisito de dejar de usar fotos de clientes en los pases. La violación consistió en la ausencia de un consentimiento escrito por separado de los visitantes para el procesamiento de sus datos biométricos, es decir, fotografías.
Los argumentos dados por el operador de datos personales que:
- Los visitantes dieron su consentimiento general para el procesamiento de la EP,
- Los visitantes adjuntaron voluntariamente fotos a sus pases
- El PP de la Federación Rusa No. 125 no menciona una foto en papel, pero solo habla de una "imagen fotográfica digital en color"
no encontraron entendimiento entre los jueces y los requisitos de la orden siguieron siendo válidos.
Objetivos correctos para el procesamiento de datos personales biométricos
Volvamos a las explicaciones de Roskomnadzor , en las que hay casos en que los datos biométricos pueden procesarse de acuerdo con los requisitos generales de la Ley Federal "sobre datos personales". Por ejemplo, usted viene a un banco o clínica, donde también pueden pedirle un pasaporte y escanearlo o hacer una copia. Pero en este caso, el objetivo será confirmar la implementación de acciones por parte de una persona específica (concluir un acuerdo para la prestación de servicios, servicios bancarios, servicios de comunicación, etc.) sin realizar procedimientos de identificación. Dichas acciones ya no se clasificarán como procesamiento de datos personales biométricos. En consecuencia, el procesamiento de datos debe realizarse de acuerdo con los requisitos generales establecidos por FZ-152.
Una línea muy delgada, pero al mismo tiempo es un momento muy significativo que puede conducir a sanciones.
Archivo personal del empleado
Además, los datos personales biométricos no son una fotografía de un empleado almacenado en un archivo personal y la firma del empleado. Porque Todas las acciones que realiza el empleador utilizando los datos de un archivo personal tienen como objetivo confirmar su pertenencia a un individuo específico. En este caso, la identidad del empleado ya ha sido determinada y el empleador ya tiene sus datos personales.
Al mismo tiempo, mantener una copia del pasaporte se considera un delito, porque de acuerdo con el artículo 65 del Código del Trabajo de la Federación de Rusiala lista de datos personales almacenados por el empleador no está definida, pero este artículo determina la lista de datos que presenta el empleado al concluir un contrato de trabajo. Estos incluyen, en particular, el pasaporte como documento que identifica a la persona. Mantener una copia del pasaporte puede clasificarse como una acción excesiva en relación con los propósitos declarados de su procesamiento. Aquí, como ejemplo, daré un ejemplo de la instancia de casación del Distrito del Norte del Cáucaso.
Filmando en lugares públicos
En el caso de que un video se filme en un área protegida o en lugares públicos, estos datos tampoco pueden considerarse PD biométricos, ya que el propietario de la cámara de video no lo utiliza para identificar a una persona específica. Estos datos pueden volverse biométricos si se transfieren a las agencias policiales y si los materiales de video transferidos se utilizan para determinar la identidad de un individuo en particular.
¿A qué debo prestar atención para que el operador organice dicho video?
En este caso, el operador debe informar a los visitantes que se está filmando fotos y videos en este lugar. Puede ser una etiqueta de texto o una pegatina especializada; no se imponen requisitos especiales de diseño. En el caso de que haya cumplido este simple requisito, no se requiere el consentimiento de los visitantes para tales eventos.
Si ha instalado videovigilancia en el lugar de trabajo, no olvide informar a los empleados al respecto. Es necesario notificar por firma. Este requisito está consagrado en el Código del Trabajo de la Federación de Rusia, art. 74 y consiste en cambiar los términos del contrato de trabajo.
Los objetivos de la organización de la videovigilancia.
Repito esto nuevamente, la definición de objetivos de procesamiento es una de las tareas clave del operador. Y la organización de la videovigilancia no es una excepción. Los objetivos deben estar predeterminados y legalmente justificados.
Por ejemplo, si la videovigilancia se lleva a cabo en la oficina, puede ser: "Registro de posibles acciones ilegales". En instalaciones médicas o en la producción de alimentos, el objetivo puede ser: "Garantizar los derechos de los pacientes, clientes o consumidores". Seguramente, al ordenar una pizza, se enfrenta a la oportunidad de observar su preparación por medio de cámaras web destinadas a trabajos.
Además, este proceso debe reflejarse en la documentación interna del operador. Se debe identificar a una persona responsable con acceso al sistema de videovigilancia. Esto generalmente se confirma mediante un pedido. Además, es necesario prever el procedimiento y los términos de almacenamiento de videos, así como el procedimiento para su eliminación. Por supuesto, no te olvides de las señales de información.
Lo más importante en un párrafo.
En resumen, una vez más me gustaría hacer hincapié en los puntos más importantes. Lea la parte 2 del art. 11 -152 "Sobre datos personales" y en todos los casos que no se incluyen en ellos, obtenga el consentimiento para el procesamiento de datos personales biométricos por escrito. Defina los objetivos de procesamiento por adelantado y cumpla estrictamente con ellos. No recopile información redundante. Si no sabe cómo interpretar este o aquel requisito de la ley, consulte las aclaraciones de ILV o escríbales una apelación con su pregunta.
Se puede ver un video sobre los errores más comunes , el registro del Consentimiento para el procesamiento de datos personales en el canal de YouTube PDMaster , así como otros materiales útiles sobre el tema "Datos personales".