バイオメトリック個人データ、ニュアンス、処理の微妙さ

画像



識別方法としてのバイオメトリクスの使用は、19世紀にさかのぼります。英国の植民地主義者は、指紋と手のひらによってインディアンの中から相手を識別する慣行を紹介しました。この方法はさらに洗練されましたが、現在でも使用されています。この記事では、このカテゴリの個人データを扱うときに、生体データに何が属し、オペレーターにどのような処理機能が生じるかを理解しようとします。



バイオメトリック個人データ、それは何ですか?



まず、アートで与えられた定義に移りましょう。 11 FZ-152「個人データについてバイオメトリック個人データは、人の生理学的および生物学的特性を特徴付ける情報であり、PD対象のアイデンティティを確立するために使用されます。Roskomnadzor



説明に基づいて、生理学的データには、指紋、虹彩、DNA検査、身長、体重、その他の人物の画像(写真とビデオ)を含む人物のその他の生理学的または生物学的特性が含まれ、これにより、身元を確認することができます。



たとえば、パスポート所有者の顔のカラーデジタル写真画像は、文書所有者のバイオメトリック個人データです。この基準は、2010年3月4日のRF PP No. 125に規定されています。ここでは、生体認証パスポートの最初のページ内のチップについて説明しています(訂正についてはユーザーt12589645に感謝します)。同時に、オペレーターが個人データを処理する際に追求する目的を考慮する必要がありますが、それについては後で詳しく説明します。



バイオメトリック個人データの処理の特徴



最初に目にするのは、アートを開くことです11 FZ-152:「バイオメトリック個人データの処理は、データがサブジェクトのアイデンティティを確立するために使用される場合、PDサブジェクトの書面による同意がある場合にのみ実行できますこれがPDのこのカテゴリの処理における主な違いです。残りについては、オペレーターは個人データ処理の組織化のための152-FZの一般要件に導かれる必要があります。



このルールにはいくつかの例外があり、バイオメトリクスへの同意が不要な場合は、第11条のパート2で説明されています。以下に関連してデータ処理が行われる場合、書面による同意は必要ありません。



  • 再入国に関する国際協定の実施;
  • 正義の管理と司法行為の実行;
  • 義務的な指紋の登録付き。
  • 防衛、テロ対策、輸送安全、汚職対策、捜索活動などに関するロシア連邦の法律で規定されている場合


第11条のパート2に加えて、他の法的法的行為によって規制されるいくつかの例外があります。



  1. 州、公共、またはその他の公共の利益のための画像の使用。たとえば、このようなケースには、役人や公人によるその機能の実行に関連する情報(写真またはビデオ)が含まれる場合があります。この例外は、2010年6月15日のロシア連邦最高裁判所第16号プレナム決議第25項に記録されています。
  2. 公共の場所や公共のイベントで撮影したときに取得した画像の使用:会議、コンサート、スポーツ大会など。また、被写体の画像を主な使用目的とすべきではありません。
  3. 市民が支払いを受けた写真やビデオの使用。この段落と前の段落は、ロシア連邦民法の第152.1条によって規制されています。「市民イメージの保護」


市民の画像が彼の同意なしに取得または使用され、インターネット上で配布された場合、市民はこの画像の削除、およびそれ以上の配布の抑制または禁止を要求する権利を有します。



バイオメトリック個人データを処理する目的



記事の冒頭で、バイオメトリック個人データを処理する目的を考慮することが重要であるという声明を発表しました。これがなぜ重要なのかを理解してみましょう。これを行うには、ILVの説明と生体認証PDの定義に戻ります。

バイオメトリック個人データは、人の生理学的および生物学的特性を特徴付ける情報であり、PD対象のアイデンティティを確立するために使用されます。
ここでの要点:「PDの主体のアイデンティティを確立するために使用されます。つまり、オペレーターがパスポートを使用してドキュメントの所有者の身元を確認する場合、そのような処理は、連邦法「個人データについて」の第11条の要件に厳密に準拠する必要があります。例でこれを見てみましょう:



組織はアクセス制御システム(ACS)を使用しています。これは、タイムフォーマーまたはデータベースの写真をチェックする従業員の形の「アナログ」バージョンであり、パスまたはパスポートにあるものです。この場合、写真が使用されます。これは、生理学的特徴を特徴付ける生体データであり、処理の目的は、パスのアイデンティティを決定することです。Roskomnadzorの説明によると、保護領域への単一または複数のアクセスを提供するために使用される写真やその他の生体認証情報(指紋など)は、生体認証個人データの処理に関連しています。このような手順は、書面による同意を得た場合にのみ実行する必要があります。



バイオメトリック個人データの誤った処理の例



画像



私たちはに変わりましょう2018年3月5日号307-KG18-101。日付ロシア連邦最高裁判所の法令

監査の結果に基づき、Roskomnadzorは、パス上の顧客の写真の使用を停止する要件を持つ組織(プール)に注文を書きました。違反は、ビジターの生体認証データ、つまり写真の処理に対する訪問者の個別の書面による同意がない場合に発生しました。



個人データのオペレーターによって与えられた次のような議論:



  • 訪問者はPDの処理に一般的な同意を与えました、
  • 訪問者が自発的にバッジに写真を添付
  • ロシア連邦No. 125のPPは紙の写真については触れておらず、「カラーデジタル写真画像」についてのみ述べています。


裁判官の間で理解が得られず、差止命令の要件は引き続き有効であった。



バイオメトリック個人データを処理するための正しい目的



Roskomnadzor説明に戻ります。この場合、連邦法「個人データについて」の一般的な要件に従って生体認証データを処理できる場合があります。たとえば、銀行やクリニックに来て、パスポートを要求してスキャンしたりコピーしたりする場合もあります。ただし、この場合は、特定手続きを行わずに、特定の人が行った行為(サービス、銀行、通信サービス等の提供に関する協定の締結)を確認することが目標となります。このようなアクションは、生体認証の個人データの処理として分類されなくなります。したがって、データ処理は、FZ-152によって確立された一般的な要件に従って実行する必要があります。



かなり細い線ですが、同時にペナルティにつながる非常に重要な瞬間です。



従業員の個人ファイル



また、バイオメトリック個人データは、個人ファイルに保存された従業員の写真や従業員の署名ではありません。なぜなら 雇用主が個人ファイルのデータを使用して実行するすべてのアクションは、特定の個人に属していることを確認することを目的としています。さらに、従業員の身元はすでに特定されており、雇用主はすでに彼の個人データを持っています。



同時に、パスポートのコピーを保持することは犯罪と見なされます。ロシア連邦労働法第65条による雇用主が保存する個人データのリストは定義されていません。この記事では、従業員が雇用契約の締結時に提示するデータのリストを定義しています。これらには、特に、個人を特定する文書としてのパスポートが含まれます。パスポートのコピーを保管することは、その処理の明記された目的に関して、過度の行為として分類できます。ここでは、例として、北コーカサス地方の破壊事例から例を挙げます。



公共の場所での撮影



画像



ビデオが保護地域や公共の場所で撮影されている場合、ビデオカメラの所有者が特定の人物を識別するために使用しないため、このデータも生体認証PDとは見なされません。これらのデータは、法執行機関に転送され、転送されたビデオ素材が特定の個人の身元を特定するために使用される場合、バイオメトリックになる可能性があります。



そのようなビデオ撮影を整理するとき、オペレーターは何に注意すべきですか?



この場合、オペレーターはこの場所で写真とビデオの撮影が行われていることを訪問者に通知する必要があります。テキストプレートまたは特殊なステッカーを使用できます。デザインに特別な要件はありません。この単純な要件を満たしている場合、そのようなイベントへの訪問者の同意は必要ありません。



ビデオ監視を職場に設置している場合は、忘れずに従業員に通知してください。署名により通知する必要があります。この要件は、ロシア連邦の労働法、Art。74雇用契約の条件を変更することで構成されています。



ビデオ監視の組織の目標



もう一度繰り返しますが、処理目標の定義はオペレーターの重要なタスクの1つです。そして、ビデオ監視の組織も例外ではありません。目的は事前に決定され、法的に正当化されている必要があります。



たとえば、オフィスでビデオ監視が行われている場合、「違法行為の可能性の記録」となる可能性があります。医療施設や食品製造では、「患者、クライアント、または消費者の権利を確保する」ことが目標になる場合があります。確かに、ピザを注文するときに、職場向けのウェブカメラを使用してその準備を見る機会に出くわしました。



さらに、このプロセスは、オペレーターの内部文書に反映されている必要があります。ビデオ監視システムにアクセスできる責任者を特定する必要があります。これは通常、注文によって確認されます。さらに、ビデオの削除の手順と同様に、ビデオの保存の手順と条件を規定する必要があります。もちろん、情報プレートを忘れないでください。



1つの段落で最も重要なこと



要約すると、私はもう一度、最も重要な点について詳しく説明します。アートのパート2を読んでください。11-152「個人データについて」、およびそれらに該当しないすべての場合において、バイオメトリック個人データの処理への同意を書面で収集します。治療の目標を事前に定義し、厳密にそれらに固執します。冗長な情報を収集しないでください。これまたは法律の要件を解釈する方法がわからない場合は、ILVの説明を参照するか、質問を控訴してください。最も一般的な間違い個人データの処理へ同意の登録に関する



ビデオは、「個人データ」というトピックに関するその他の有用な資料と同様、PDMaster YouTubeチャンネル見ることができます



All Articles