Penggunaan biometrik sebagai metode identifikasi telah ada sejak abad ke-19. Para penjajah Inggris memperkenalkan praktik mengidentifikasi rekanan mereka dari kalangan orang India dengan sidik jari dan telapak tangan. Metode ini dikembangkan lebih lanjut, tetapi masih digunakan sampai sekarang. Pada artikel ini kami akan mencoba mencari tahu apa yang berlaku untuk data biometrik dan fitur pemrosesan apa yang muncul untuk operator ketika bekerja dengan kategori data pribadi ini.
Apa itu data pribadi biometrik?
Pertama, mari kita beralih ke definisi yang diberikan dalam Seni. 11 -152 "Tentang data pribadi" . Data pribadi biometrik adalah informasi yang mencirikan karakteristik fisiologis dan biologis seseorang, dan yang digunakan untuk menetapkan identitas subjek PD.
Berdasarkan penjelasan Roskomnadzor , data fisiologis meliputi: sidik jari, iris, tes DNA, tinggi, berat badan, serta karakteristik fisiologis atau biologis seseorang, termasuk gambar seseorang (foto dan video), yang memungkinkannya untuk membangun identitasnya.
Misalnya, gambar foto digital berwarna dari wajah pemegang paspor adalah data pribadi biometrik dari pemegang dokumen. Norma ini diabadikan dalam RF PP No. 125 tanggal 4 Maret 2010. Di sini kita berbicara tentang sebuah chip di dalam halaman pertama paspor biometrik (terima kasih kepada pengguna t12589645 untuk koreksi). Pada saat yang sama, perlu untuk mempertimbangkan tujuan yang dikejar operator saat memproses data pribadi, tetapi lebih lanjut tentang itu nanti.
Fitur pemrosesan data pribadi biometrik
Hal pertama yang kita lihat ketika kita membuka v. 11 FZ-152 : “Pemrosesan data pribadi biometrik hanya dapat dilakukan dengan persetujuan tertulis dari subjek PD, jika data tersebut digunakan untuk menetapkan identitas subjek. Inilah perbedaan utama dalam memproses kategori PD ini. Selebihnya, operator harus dipandu oleh persyaratan umum 152-FZ, ke organisasi pemrosesan data pribadi.
Ada sejumlah pengecualian untuk aturan ini, ketika persetujuan untuk biometrik tidak diperlukan, mereka diberikan di bagian 2 pasal 11. Persetujuan tertulis tidak diperlukan dalam kasus-kasus di mana pemrosesan data dilakukan sehubungan dengan:
- dengan implementasi perjanjian penerimaan kembali internasional;
- dengan administrasi peradilan dan pelaksanaan tindakan peradilan;
- dengan pendaftaran sidik jari negara wajib;
- dalam kasus-kasus yang ditentukan oleh undang-undang Federasi Rusia tentang pertahanan, penanggulangan terorisme, keamanan transportasi, penanggulangan korupsi, kegiatan pencarian operasional, dll.
Selain Bagian 2 dari Pasal 11, ada sejumlah pengecualian yang diatur oleh tindakan hukum pengaturan lainnya:
- Penggunaan gambar untuk kepentingan negara, publik, atau publik lainnya. Sebagai contoh, kasus seperti itu dapat mencakup informasi (foto atau video) yang terkait dengan kinerja fungsi mereka oleh pejabat dan tokoh publik. Pengecualian ini dicatat dalam paragraf 25 dari Resolusi Pleno Mahkamah Agung Federasi Rusia No. 16 tanggal 15 Juni 2010.
- Penggunaan gambar diperoleh saat memotret di tempat umum atau di acara publik: rapat, konser, kompetisi olahraga, dll. Dalam hal ini, gambar subjek seharusnya tidak menjadi objek utama penggunaan.
- Penggunaan foto dan video tempat warga menerima pembayaran. Paragraf ini dan paragraf sebelumnya diatur oleh Pasal 152.1 KUHPerdata. "Perlindungan citra warga negara"
Jika gambar seorang warga negara diperoleh atau digunakan tanpa persetujuannya dan didistribusikan di Internet, warga negara memiliki hak untuk meminta penghapusan gambar ini, serta penindasan atau larangan distribusi lebih lanjut.
Tujuan pemrosesan data pribadi biometrik
Pada awal artikel, kami membuat pernyataan bahwa penting untuk mempertimbangkan tujuan pemrosesan data pribadi biometrik. Mari kita coba mencari tahu mengapa ini sangat penting. Untuk melakukan ini, mari kita kembali ke penjelasan ILV dan definisi PD biometrik:
Data pribadi biometrik adalah informasi yang mencirikan karakteristik fisiologis dan biologis seseorang, dan yang digunakan untuk menetapkan identitas subjek PD.Poin kunci di sini: "digunakan untuk menetapkan identitas subjek PD . " Dengan kata lain, jika operator menggunakan paspor untuk menentukan identitas pemilik dokumen, maka pemrosesan tersebut harus secara ketat mematuhi persyaratan Pasal 11 Undang-Undang Federal “Tentang Data Pribadi”. Mari kita uraikan dengan contoh:
Organisasi Anda menggunakan sistem kontrol akses (ACS) - bisa berupa pembentuk waktu atau versi "analog" dalam bentuk karyawan yang memeriksa foto dari database dan yang ada di paspor atau paspor Anda. Dalam hal ini, foto-foto digunakan, yang merupakan data biometrik yang mengkarakterisasi karakteristik fisiologis, dan tujuan pemrosesan adalah untuk menentukan orang yang memberikan pass. Menurut penjelasan Roskomnadzor, foto-foto dan informasi biometrik lainnya (sidik jari, dll.) Yang digunakan untuk memberikan akses tunggal dan / atau berganda ke area yang dilindungi terkait dengan pemrosesan data pribadi biometrik. Prosedur semacam itu harus dilakukan hanya dengan persetujuan tertulis.
Contoh pemrosesan data pribadi biometrik yang salah
Mari kita merujuk pada Putusan Mahkamah Agung Federasi Rusia tertanggal 05.03.2018 No. 307-KG18-101
Setelah pemeriksaan, Roskomnadzor mengeluarkan perintah kepada organisasi (kumpulan) yang menuntut untuk berhenti menggunakan foto pelanggan pada pass. Pelanggaran tersebut adalah tidak adanya izin tertulis dari pengunjung untuk memproses data biometrik mereka, yaitu foto.
Argumen yang diberikan oleh operator data pribadi bahwa:
- Pengunjung memberikan persetujuan umum untuk pemrosesan PD,
- Pengunjung secara sukarela melampirkan foto ke kartu pass mereka
- PP Federasi Rusia No. 125 tidak menyebutkan foto di atas kertas, tetapi hanya berbicara tentang "gambar digital berwarna foto"
tidak menemukan pemahaman di antara para hakim dan persyaratan perintah tetap berlaku.
Tujuan yang benar untuk memproses data pribadi biometrik
Mari kita kembali ke penjelasan Roskomnadzor , di mana ada kasus-kasus ketika data biometrik dapat diproses sesuai dengan persyaratan umum Undang-Undang Federal "Tentang Data Pribadi". Misalnya, Anda datang ke bank atau klinik, di sana mereka juga dapat meminta paspor dan memindai atau mengambil salinannya. Tetapi dalam kasus ini, tujuannya adalah untuk mengkonfirmasi pelaksanaan tindakan oleh orang tertentu (menyimpulkan perjanjian untuk penyediaan layanan, perbankan, layanan komunikasi, dll.) Tanpa melakukan prosedur identifikasi. Tindakan tersebut tidak akan lagi diklasifikasikan sebagai pemrosesan data pribadi biometrik. Dengan demikian, pemrosesan data harus dilakukan sesuai dengan persyaratan umum yang ditetapkan oleh FZ-152.
Cukup tipis, tetapi pada saat yang sama itu adalah momen yang sangat signifikan yang dapat menyebabkan hukuman.
File pribadi karyawan
Juga, data pribadi biometrik bukanlah foto seorang karyawan yang disimpan dalam file pribadi dan tanda tangan karyawan. Karena semua tindakan yang dilakukan oleh majikan dengan menggunakan data dari file pribadi ditujukan untuk mengkonfirmasi milik mereka kepada individu tertentu. Dalam hal ini, identitas karyawan telah ditentukan dan majikan sudah memiliki data pribadinya.
Pada saat yang sama, menyimpan salinan paspor dianggap sebagai pelanggaran, karena sesuai dengan Pasal 65 dari Kode Perburuhan Federasi Rusiadaftar data pribadi yang disimpan oleh pemberi kerja tidak ditentukan, tetapi artikel ini menentukan daftar data yang disajikan oleh karyawan ketika membuat kontrak kerja. Ini termasuk, khususnya, paspor sebagai dokumen yang mengidentifikasi orang tersebut. Menyimpan salinan paspor dapat digolongkan sebagai tindakan berlebihan sehubungan dengan tujuan pemrosesan yang dinyatakan. Di sini, sebagai contoh, saya akan memberikan contoh dari contoh kasasi Distrik Kaukasus Utara.
Syuting di tempat umum
Jika video diambil di area yang dilindungi atau di tempat-tempat umum, data ini juga tidak dapat dianggap sebagai PD biometrik, karena pemilik kamera video tidak menggunakannya untuk mengidentifikasi orang tertentu. Data ini dapat menjadi biometrik jika ditransfer ke lembaga penegak hukum dan jika materi video yang ditransfer digunakan untuk menentukan identitas individu tertentu.
Apa yang harus saya perhatikan pada operator yang mengatur video semacam itu?
Dalam hal ini, operator harus memberi tahu pengunjung bahwa foto dan video diambil di tempat ini. Ini bisa berupa label teks atau stiker khusus, persyaratan desain khusus tidak dikenakan. Jika Anda telah memenuhi persyaratan sederhana ini, maka izin pengunjung untuk mengadakan acara tersebut tidak diperlukan.
Jika Anda memasang video surveillance di ruang kerja, maka jangan lupa untuk memberi tahu pekerja tentang hal itu. Penting untuk memberi tahu dengan tanda tangan. Persyaratan ini diabadikan dalam Kode Perburuhan Federasi Rusia, Seni. 74 dan terdiri dalam mengubah ketentuan-ketentuan kontrak kerja.
Tujuan organisasi pengawasan video
Saya ulangi ini lagi, definisi tujuan pemrosesan adalah salah satu tugas utama operator. Dan organisasi pengawasan video tidak terkecuali. Tujuan harus ditentukan sebelumnya dan dibenarkan secara hukum.
Misalnya, jika pengawasan video dilakukan di kantor, maka itu bisa berupa: "Memperbaiki tindakan yang mungkin bersifat ilegal". Di fasilitas medis atau dalam produksi makanan, tujuannya mungkin: "Memastikan hak-hak pasien, klien atau konsumen." Tentunya, saat memesan pizza, Anda dihadapkan pada kesempatan untuk mengamati persiapannya melalui webcam yang ditujukan untuk pekerjaan.
Selain itu, proses ini harus tercermin dalam dokumentasi internal operator. Orang yang bertanggung jawab dengan akses ke sistem pengawasan video harus diidentifikasi. Ini biasanya dikonfirmasi oleh pesanan. Selain itu, perlu untuk menyediakan prosedur dan ketentuan penyimpanan video, serta prosedur penghapusannya. Tentu saja, jangan lupa tentang tanda-tanda informasi.
Hal terpenting dalam satu paragraf
Sebagai rangkuman, sekali lagi saya ingin membahas poin-poin terpenting. Baca dengan seksama bagian 2 artikel 11 FZ-152 "Tentang data pribadi" dan dalam semua kasus yang tidak termasuk dalam data tersebut, kumpulkan persetujuan untuk pemrosesan data pribadi biometrik secara tertulis. Tetapkan tujuan pengobatan terlebih dahulu dan patuhi mereka dengan ketat. Jangan mengumpulkan informasi yang berlebihan. Jika Anda tidak tahu bagaimana menafsirkan persyaratan hukum ini atau itu, rujuk ke penjelasan RKN atau tulis kepada mereka banding dengan pertanyaan Anda.
Sebuah video tentang kesalahan yang paling umum , mendapatkan persetujuan untuk pemrosesan data pribadi dapat dilihat di saluran YouTube PDMaster , serta materi berguna lainnya tentang masalah "Data Pribadi".