ظهر استخدام القياسات الحيوية كوسيلة لتحديد الهوية في القرن التاسع عشر. قدم المستعمرون البريطانيون ممارسة تحديد نظرائهم الهنود عن طريق بصمات الأصابع وبصمات النخيل. تم تطوير هذه الطريقة أكثر ، لكنها لا تزال تستخدم حتى اليوم. في هذه المقالة ، سنحاول معرفة ما ينتمي إلى البيانات البيومترية وما هي ميزات المعالجة التي تظهر للمشغل عند العمل مع هذه الفئة من البيانات الشخصية.
ما هي البيانات الشخصية البيومترية؟
أولاً ، دعونا ننتقل إلى التعريف الوارد في الفن. 11 FZ-152 "على البيانات الشخصية" . البيانات الشخصية البيومترية هي المعلومات التي تميز الخصائص الفسيولوجية والبيولوجية للشخص ، والتي تستخدم لتحديد هوية الشخص PD.
استنادًا إلى تفسيرات Roskomnadzor ، تشمل البيانات الفسيولوجية: بيانات بصمات الأصابع ، وقزحية العين ، واختبارات الحمض النووي ، والطول ، والوزن ، بالإضافة إلى الخصائص الفسيولوجية أو البيولوجية الأخرى للشخص ، بما في ذلك صورة الشخص (الصورة والفيديو) ، مما يجعل من الممكن تحديد هويته.
على سبيل المثال ، الصورة الفوتوغرافية الرقمية الملونة لوجه حامل جواز السفر هي البيانات الشخصية البيومترية لحامل المستند. هذا المعيار مكرس في RF PP No. 125 of 4 March 2010. هنا نتحدث عن شريحة داخل الصفحة الأولى من جواز السفر البيومترية (بفضل المستخدم t12589645 للتصحيحات). في الوقت نفسه ، من الضروري مراعاة الهدف الذي يسعى إليه المشغل عند معالجة البيانات الشخصية ، ولكن أكثر من ذلك لاحقًا.
ميزات معالجة البيانات الشخصية البيومترية
أول شيء نراه عندما نفتح v. 11 FZ-152 : "معالجة البيانات الشخصية البيومترية لا يمكن أن تتم إلا بموافقة خطية من موضوع PD ، إذا تم استخدام البيانات لتحديد هوية الموضوع. هذا هو الفرق الرئيسي في معالجة هذه الفئة من PD. خلاف ذلك ، يجب أن يسترشد المشغل بالمتطلبات العامة لـ 152-FZ ، لتنظيم معالجة البيانات الشخصية.
هناك عدد من الاستثناءات لهذه القاعدة ، عندما لا تكون الموافقة على القياسات الحيوية مطلوبة ، يتم إعطاؤها في الجزء 2 من المادة 11. الموافقة الكتابية غير مطلوبة في الحالات التي تتم فيها معالجة البيانات فيما يتعلق بما يلي:
- تنفيذ الاتفاقات الدولية بشأن إعادة القبول ؛
- مع إقامة العدل وتنفيذ الإجراءات القضائية ؛
- مع تسجيل بصمة الدولة الإلزامية ؛
- في الحالات التي نصت عليها تشريعات الاتحاد الروسي بشأن الدفاع ومكافحة الإرهاب وأمن النقل ومكافحة الفساد وأنشطة البحث العملياتي ، إلخ.
بالإضافة إلى الجزء 2 من المادة 11 ، هناك عدد من الاستثناءات التي تنظمها القوانين القانونية التنظيمية الأخرى:
- استخدام الصورة لمصالح الدولة أو العامة أو المصالح العامة الأخرى. على سبيل المثال ، قد تتضمن هذه الحالة معلومات (صورة أو فيديو) تتعلق بأداء وظائفهم من قبل المسؤولين والشخصيات العامة. يتم تسجيل هذا الاستثناء في الفقرة 25 من قرار المحكمة العليا للاتحاد الروسي رقم 16 المؤرخ 15 يونيو 2010.
- استخدام الصورة التي تم الحصول عليها عند التصوير في الأماكن العامة أو في المناسبات العامة: الاجتماعات والحفلات الموسيقية والمسابقات الرياضية وما إلى ذلك. في هذه الحالة ، يجب ألا تكون صورة الموضوع الهدف الرئيسي للاستخدام.
- استخدام الصور ومقاطع الفيديو التي دفع المواطن مقابلها. تنظم هذه المادة والفقرة السابقة المادة 152.1 من القانون المدني. "حماية صورة المواطن"
إذا تم الحصول على صورة المواطن أو استخدامها دون موافقته وتم توزيعها على الإنترنت ، يحق للمواطن المطالبة بإزالة هذه الصورة ، وكذلك منع أو حظر توزيعها.
أغراض معالجة البيانات الشخصية البيومترية
في بداية المقال ، طرحنا بيانًا مفاده أنه من المهم مراعاة الغرض من معالجة البيانات الشخصية البيومترية. دعونا نحاول معرفة سبب أهمية ذلك. للقيام بذلك ، دعنا نعود إلى تفسيرات ILV وتعريف PD للمقاييس الحيوية:
البيانات الشخصية البيومترية هي المعلومات التي تميز الخصائص الفسيولوجية والبيولوجية للشخص ، والتي تستخدم لتحديد هوية الشخص PD.النقطة الأساسية هنا: "تستخدم لتحديد هوية موضوع PD" . وبعبارة أخرى ، إذا استخدم عامل التشغيل جواز سفر لتحديد هوية مالك المستند ، فيجب أن تتوافق هذه المعالجة تمامًا مع متطلبات المادة 11 من القانون الاتحادي "بشأن البيانات الشخصية". دعونا نلقي نظرة على هذا مع الأمثلة:
تستخدم مؤسستك نظامًا للتحكم في الوصول (ACS) - يمكن أن يكون إصدارًا زمنيًا أو إصدارًا "تناظريًا" في شكل موظف يتحقق من الصورة من قاعدة البيانات والأخرى الموجودة على جواز سفرك أو جواز سفرك. في هذه الحالة ، يتم استخدام الصور الفوتوغرافية ، وهي بيانات بيومترية تميز الخصائص الفسيولوجية ، والغرض من المعالجة هو تحديد الشخص الذي يقدم البطاقة. وفقًا لتفسيرات Roskomnadzor ، ترتبط الصور والمعلومات الحيوية الأخرى (بصمات الأصابع ، وما إلى ذلك) المستخدمة لتوفير وصول فردي و / أو متعدد إلى المنطقة المحمية بمعالجة البيانات الشخصية البيومترية. يجب تنفيذ هذا الإجراء فقط بموافقة كتابية.
مثال على المعالجة غير الصحيحة للبيانات الشخصية البيومترية
دعونا نشير إلى حكم المحكمة العليا للاتحاد الروسي بتاريخ 05.03.2018 رقم 307-KG18-101
بعد المراجعة ، أصدر Roskomnadzor أمرًا إلى المنظمة (التجمع) يطالب بالتوقف عن استخدام صور العملاء في التصاريح. يتمثل الانتهاك في غياب موافقة خطية منفصلة من الزوار على معالجة بياناتهم البيومترية ، أي الصور الفوتوغرافية.
الحجج التي قدمها مشغل البيانات الشخصية التي:
- أعطى الزوار موافقة عامة على معالجة PD ،
- أرفق الزوار صورًا طوعية على تصاريحهم
- لم يذكر PP من الاتحاد الروسي رقم 125 صورة على الورق ، ولكنه يتحدث فقط عن "صورة فوتوغرافية رقمية ملونة"
لم يجد تفاهم بين القضاة وظلت متطلبات الأمر الزجري سارية.
الأغراض الصحيحة لمعالجة البيانات الشخصية البيومترية
دعونا نعود إلى تفسيرات Roskomnadzor ، حيث توجد حالات يمكن فيها معالجة البيانات البيومترية وفقًا للمتطلبات العامة للقانون الاتحادي "بشأن البيانات الشخصية" على سبيل المثال ، تأتي إلى بنك أو عيادة ، حيث قد يطلبون منك أيضًا جواز سفر ومسحه ضوئيًا أو عمل نسخة منه. ولكن في هذه الحالة ، سيكون الهدف تأكيد الإجراءات التي اتخذها شخص معين (إبرام اتفاقية بشأن توفير الخدمات ، والخدمات المصرفية ، وخدمات الاتصالات ، وما إلى ذلك) دون تنفيذ إجراءات تحديد الهوية. لن يتم تصنيف هذه الإجراءات على أنها معالجة للبيانات الشخصية البيومترية. وفقًا لذلك ، يجب أن تتم معالجة البيانات وفقًا للمتطلبات العامة التي حددتها FZ-152.
خط رفيع للغاية ، لكنها في الوقت نفسه لحظة مهمة للغاية يمكن أن تؤدي إلى عقوبات.
ملف الموظف الشخصي
أيضًا ، البيانات الشخصية البيومترية ليست صورة لموظف مخزَّن في ملف شخصي وتوقيع الموظف. لان تهدف جميع الإجراءات التي يقوم بها صاحب العمل باستخدام البيانات من ملف شخصي إلى تأكيد انتمائه إلى فرد معين. في هذه الحالة ، تم تحديد هوية الموظف بالفعل ولدى صاحب العمل بالفعل بياناته الشخصية.
في الوقت نفسه ، يعتبر الاحتفاظ بنسخة من جواز السفر جريمة ، لأنه وفقا للمادة 65 من قانون العمل في الاتحاد الروسيلم يتم تحديد قائمة البيانات الشخصية المخزنة من قبل صاحب العمل ، ولكن هذه المقالة تحدد قائمة البيانات التي يقدمها الموظف عند إبرام عقد العمل. وتشمل هذه ، على وجه الخصوص ، جواز السفر ، كوثيقة هوية. يمكن تصنيف الاحتفاظ بنسخة من جواز السفر كإجراء مفرط فيما يتعلق بالأغراض المعلنة لمعالجتها. هنا ، كمثال ، سأعطي مثالاً من مثال النقض لمنطقة شمال القوقاز.
التصوير في الاماكن العامة
في حالة التقاط الفيديو في منطقة محمية أو في الأماكن العامة ، لا يمكن اعتبار هذه البيانات PDs بيومترية أيضًا ، لأن مالك كاميرا الفيديو لا يستخدمها لتحديد شخص معين. يمكن أن تصبح هذه البيانات بيومترية إذا تم نقلها إلى وكالات إنفاذ القانون وإذا تم استخدام مواد الفيديو المنقولة لتحديد هوية فرد معين.
ما الذي يجب على المشغل الانتباه إليه عند تنظيم تصوير الفيديو هذا؟
في هذه الحالة ، يجب على عامل الهاتف إبلاغ الزوار بأنه يتم التقاط الصورة والفيديو في هذا المكان. يمكن أن تكون لوحة نصية أو ملصق متخصص ، ولا توجد متطلبات خاصة للتصميم. في حالة استيفاء هذا الشرط البسيط ، فإن موافقة الزائرين على عقد مثل هذه الأحداث غير مطلوبة.
إذا قمت بتثبيت المراقبة بالفيديو في أماكن العمل ، فلا تنس إبلاغ الموظفين بذلك. يجب توقيع الإخطار. هذا الشرط مكرس في قانون العمل للاتحاد الروسي ، المادة. 74 ويتكون من تغيير شروط عقد العمل.
أهداف تنظيم المراقبة بالفيديو
مرة أخرى ، يعد تحديد أهداف العلاج إحدى المهام الرئيسية للمشغل. وتنظيم المراقبة بالفيديو ليس استثناء. يجب أن تكون الأهداف محددة سلفا ومبررة قانونيا.
على سبيل المثال ، إذا تم إجراء المراقبة بالفيديو في المكتب ، فقد يكون: "تسجيل الإجراءات غير القانونية المحتملة". في المنشآت الطبية أو في إنتاج الغذاء ، قد يكون الهدف: "ضمان حقوق المرضى أو العملاء أو المستهلكين". بالتأكيد ، عند طلب البيتزا ، أتيحت لك الفرصة لمشاهدة تحضيرها باستخدام كاميرات الويب التي تستهدف أماكن العمل.
علاوة على ذلك ، يجب أن تنعكس هذه العملية في الوثائق الداخلية للمشغل. يجب تحديد الشخص المسؤول الذي يمكنه الوصول إلى نظام المراقبة بالفيديو. عادة ما يتم تأكيد ذلك بأمر. بالإضافة إلى ذلك ، من الضروري توفير الإجراء وشروط تخزين مقاطع الفيديو ، بالإضافة إلى إجراء إزالتها. بالطبع ، لا تنسَ علامات المعلومات.
الأهم في فقرة واحدة
تلخيص ، أود مرة أخرى أن أركز على أهم النقاط. اقرأ الجزء 2 من الفن. 11 -152 "على البيانات الشخصية" وفي جميع الحالات التي لا تندرج تحتها ، اجمع الموافقة على معالجة البيانات الشخصية البيومترية كتابةً. حدد أهداف العلاج مقدمًا والتزم بها بدقة. لا تجمع معلومات زائدة عن الحاجة. إذا كنت لا تعرف كيفية تفسير هذا الشرط أو ذاك من متطلبات القانون ، فارجع إلى توضيحات ILV أو اكتب إليهم طعنًا في سؤالك.
يمكنك مشاهدة مقطع فيديو حول الأخطاء الأكثر شيوعًا ، والحصول على الموافقة على معالجة البيانات الشخصية على قناة YouTube PDMaster ، بالإضافة إلى المواد المفيدة الأخرى حول موضوع "البيانات الشخصية".