Відбиток пальця є біометричними даними (наприклад, райдужна оболонка ока) і є одним із тих, що класифікуються в Європейському регламенті як "особлива категорія", тобто більш інтенсивний захист (іншими прикладами є дані, такі як політична ідеологія, орієнтація дані про статевий статус або стан здоров'я).

гарсія

Коли компанія або організація оцінює встановлення зчитувача відбитків пальців на робочому місці (зазвичай як засіб контролю доступу або для контролю підписів, часу включення та відходу від роботи), їй потрібно узаконити загальну обробку даних, зокрема, що стосується даних "відбитків пальців", оскільки це особлива категорія.

Але про це ми вже розповідали в попередньому дописі.

Зчитувач відбитків пальців для входу в тренажерний зал

Зокрема, стосовно відбитків пальців, санкція, накладена AEPD на гімназію, стала дуже популярною, яка протягом ночі наклала на своїх клієнтів контроль доступу шляхом захоплення та зчитування відбитків пальців, без належного обґрунтування заходів. З резолюцією можна ознайомитись тут.

Власне, це було помічено в майбутньому, і я думаю, що воно буде погіршуватися із застосуванням регламенту. Небагато старанності, що демонструється у багатьох випадках, може призвести до значних штрафів.

"Я не знаю - і мені все одно - яка частина сліду захоплює цю річ"

“Я не знаю, де зберігаються відбитки. Я розумію, що інсталяційна компанія все робить добре ".

"Як вони будуть ламати мої нові пристосування, якщо я їх бачу скрізь?"

Зі свого боку я зупинюсь на присутності цих горщиків на робочому місці, мені це цікавіше. Але майже все, що далі, застосовується поза цим обсягом.

Явна згода

Компанія може вимагати “Явна” згода працівника (Ця форма згоди вимагає особливих формальностей, коли дозволяються дані спеціальної категорії). Але, як я наполягав, згода працівника створює проблеми:

Юридичні проблеми: ця згода завжди буде підозрілою: існує велика ймовірність того, що працівник відчує тиск надати її, побоюючись репресій, проблем або навіть звільнення, якщо він її не дасть.

Операційні проблеми: Навіть припускаючи, що згода була дійсною, (і я думаю, вам слід уникати її, якщо це не є абсолютно необхідним і що іншого шляху немає) згода за визначенням може бути відкликана в будь-який час.

Ніщо і ніхто не може перешкодити працівникові відкликати згоду, дану стосовно цього питання.

Якщо група працівників, обізнаних, наприклад, про це, формально відкликає згоду, дану свого часу, вам довелося б підготувати іншу альтернативну систему контролю за їх "підписанням" або відмовитись від цього контролю щодо них.

Законний корпоративний інтерес

Отже, ми маємо законний інтерес компанії, де тільки можливо.

Але законний інтерес вимагає зваженого судження, "зважування" між інтересами компанії, в даному випадку, наприклад, у контролі за підписанням працівниками, та їх правами на дотримання права на захист персональних даних.

Одним із важливих кроків на підтримку поширеності законних інтересів компанії є можливість довести, що такий спосіб обробки (захоплення в більшій чи меншій мірі відбитків пальців) пропорційний кінцевій меті (контроль доступу або передача).

Потрібно буде мати можливість стверджувати, що лікування - це (i) або єдиний спосіб задовольнити ваші інтереси, або що (ii) решта менш нав'язливих альтернатив - наприклад: магнітні або перфокарти на все життя - з будь-якої вагомої причини не є достатніми для здійснення зазначених законних інтересів.

Оскільки беруть участь дані про спеціальний захист робітників, результат такого зважування повинен бути особливо чітким та сприятливим для інтересів компанії.

З мого досвіду, ці системи важко виправдати, якщо не існують незвичні обставини.

Тобто, якщо ми не зможемо викласти на стіл вагомі причини, які доводять, що, або ми не використовуємо ідентифікатор відбитків пальців, або ми не зможемо виконати свою мету контролю, результат зважування перешкоджатиме лікуванню.

Якщо мій читач не збереже весь відбиток пальця, чи зникнуть ці проблеми?

У тій мірі, в якій Положення говорить про дані, що ідентифікують людину, я думаю, що, зберігаючи мало чи багато точок відбитка пальця працівника, ті кілька чи багато точок повинні ідентифікувати його (якщо ні, система не буде працювати належним чином, не буде виконувати свою функцію).

Регламент не вимагає, щоб система могла повністю реконструювати відбитки пальців, щоб врахувати, що вона обробляє біометричні дані.

На закінчення: використання цього типу пристроїв зобов’язало б контролер даних (i) артикулювати у письмовій формі причини, що виправдовують необхідність запровадження такої “інвазивної” системи в приватному житті працівників обов'язково (чому не вистачає магнітних карток на все життя).

І у випадку, якщо це може бути виправдано, було б необхідно (ii) дозувати максимальна безпека до збережених слідів, щоб уникнути відповідальності перед самими робітниками, якщо ці дані були скомпрометовані.

У цьому сенсі цікаві три документи:

  • Доповідь Іспанського агентства (65/2015) про законність системи цього типу, яка має заходи захисту шляхом застосування біометричних систем шифрування - по суті, відбиток пальця реєструється, він зашифровується і не відповідає іменам та прізвища, а скоріше ідентифікатор - в даному випадку реєстраційний номер студента-.

Цей звіт є чітким попередником санкційної постанови щодо тренажерного залу. Він пропонує складні заходи: збереження відбитка пальця на картці, яка залишається у суб’єкта, без запису в систему. До цього я хотів би це додати дані повинні бути зашифровані на картці (якщо користувач втрачає картку з незашифрованим відбитком пальця, це також ставить відповідальну компанію, в інтересах якої було зроблено винахід) і картку анонімний.

Але це пропозиції: тут ідеться про розробку інноваційних та кращих рішень.

Ніхто не знає, що використання відбитків пальців набагато безпечніше, ніж проста картка, але з точки зору комфорту, здається жартом, коли потрібно продовжувати носити картку із собою, коли йдеш ідентифікувати себе пальцем.

  • Також є звіт GT29/CEPD про обробку даних на робочому місці (з минулого року), в якому я наголошую на наступному висновку:

Третій документ - це фото багатостраждального Альфонсо Пачеко, великої Іспанії, де вони існують, намагаючись зламати складний біометричний контроль у сусідньому CERT. Твіт, на який він посилається, з цієї ж теми.

Гарного відпочинку!

Хорхе Гарсія Ерреро

Юрист та співробітник з питань захисту даних

Фото на обкладинці: славне "селфі", захоплене самим @apacheco. Використовується з дозволу суб'єкта.