Die Verwendung der Biometrie als Identifikationsmethode erschien bereits im 19. Jahrhundert. Die britischen Kolonialisten führten die Praxis ein, ihre Gegenparteien unter den Indern anhand von Fingerabdrücken und Handflächen zu identifizieren. Die Methode wurde weiter verfeinert, wird aber bis heute angewendet. In diesem Artikel werden wir versuchen herauszufinden, was für biometrische Daten gilt und welche Verarbeitungsmerkmale sich für den Bediener ergeben, wenn er mit dieser Kategorie personenbezogener Daten arbeitet.
Biometrische personenbezogene Daten, was ist das?
Wenden wir uns zunächst der Definition in Art. 11 FZ-152 "Über personenbezogene Daten . " Biometrische personenbezogene Daten sind Informationen, die die physiologischen und biologischen Eigenschaften einer Person charakterisieren und zur Feststellung der Identität des PD-Patienten verwendet werden.
Basierend auf den Erklärungen von Roskomnadzor umfassen die physiologischen Daten: Fingerabdruckdaten, die Iris der Augen, DNA-Tests, Größe, Gewicht sowie andere physiologische oder biologische Merkmale einer Person, einschließlich eines Bildes einer Person (Foto und Video), die es ermöglichen, ihre Identität festzustellen.
Beispielsweise ist ein digitales Farbfotobild des Gesichts des Passinhabers die biometrischen persönlichen Daten des Dokumenteninhabers. Diese Norm ist im RF PP Nr. 125 vom 4. März 2010 verankert . Hier geht es um den Chip auf der ersten Seite des biometrischen Passes (danke an den Benutzer t12589645 für die Korrekturen). Gleichzeitig ist es notwendig, den Zweck zu berücksichtigen, den der Betreiber bei der Verarbeitung personenbezogener Daten verfolgt, aber dazu später mehr.
Merkmale der Verarbeitung biometrischer personenbezogener Daten
Das erste, was wir sehen, wenn wir v öffnen . 11 FZ-152 : „Die Verarbeitung biometrischer personenbezogener Daten kann nur mit schriftlicher Zustimmung des PD-Patienten durchgeführt werden, wenn die Daten zur Feststellung der Identität des Subjekts verwendet werden. Dies ist der Hauptunterschied zwischen der Verarbeitung dieser Kategorie von PD. Im Übrigen muss sich der Betreiber an den allgemeinen Anforderungen von 152-FZ zur Organisation der Verarbeitung personenbezogener Daten orientieren.
Es gibt eine Reihe von Ausnahmen von dieser Regel. Wenn keine Zustimmung zur Biometrie erforderlich ist, werden sie in Artikel 11 Teil 2 angegeben. Eine schriftliche Zustimmung ist nicht erforderlich, wenn die Datenverarbeitung im Zusammenhang mit:
- mit der Umsetzung internationaler Abkommen über die Rückübernahme;
- mit der Verwaltung der Justiz und der Durchsetzung von Gerichtsakten;
- mit obligatorischer staatlicher Fingerabdruckregistrierung;
- in Fällen, die in den Rechtsvorschriften der Russischen Föderation zur Verteidigung, Terrorismusbekämpfung, Verkehrssicherheit, Korruptionsbekämpfung, operativen Suchaktivitäten usw. festgelegt sind
Zusätzlich zu Artikel 11 Teil 2 gibt es eine Reihe von Ausnahmen, die durch andere Rechtsakte geregelt sind:
- Verwendung des Bildes für staatliche, öffentliche oder andere öffentliche Interessen. Ein solcher Fall kann beispielsweise Informationen (Foto oder Video) enthalten, die sich auf die Wahrnehmung ihrer Aufgaben durch Beamte und Persönlichkeiten des öffentlichen Lebens beziehen. Diese Ausnahme ist in Ziffer 25 der Resolution des Plenums des Obersten Gerichtshofs der Russischen Föderation Nr. 16 vom 15. Juni 2010 aufgeführt.
- Verwenden des Bildes, das beim Fotografieren an öffentlichen Orten oder bei öffentlichen Veranstaltungen erhalten wurde: Meetings, Konzerte, Sport usw. Darüber hinaus sollte das Bild des Motivs nicht das Hauptnutzungsobjekt sein.
- Die Verwendung von Fotos und Videos, für die der Bürger eine Zahlung erhalten hat. Dieser und der vorige Absatz sind in Artikel 152.1 des Bürgerlichen Gesetzbuchs der Russischen Föderation geregelt. "Schutz des Images eines Bürgers"
Wenn das Bild eines Bürgers ohne seine Zustimmung erhalten oder verwendet und im Internet verbreitet wird, hat der Bürger das Recht, die Entfernung dieses Bildes sowie die Unterdrückung oder das Verbot seiner weiteren Verbreitung zu verlangen.
Zweck der Verarbeitung biometrischer personenbezogener Daten
Zu Beginn des Artikels haben wir die Erklärung abgegeben, dass es wichtig ist, den Zweck der Verarbeitung biometrischer personenbezogener Daten zu berücksichtigen. Versuchen wir herauszufinden, warum dies so wichtig ist. Kehren wir dazu zu den ILV-Erklärungen und der Definition der biometrischen PD zurück:
Biometrische personenbezogene Daten sind Informationen, die die physiologischen und biologischen Eigenschaften einer Person charakterisieren und zur Feststellung der Identität des Patienten mit Parkinson verwendet werden.Der entscheidende Punkt hier: "verwendet, um die Identität des Subjekts der PD festzustellen . " Mit anderen Worten, wenn der Betreiber einen Reisepass verwendet, um die Identität des Inhabers des Dokuments festzustellen, muss diese Verarbeitung den Anforderungen von Artikel 11 des Bundesgesetzes "Über personenbezogene Daten" strikt entsprechen. Lassen Sie es uns mit Beispielen aufschlüsseln:
Ihre Organisation verwendet ein Zugangskontrollsystem (ACS) - es kann sich um eine Zeitumstellung oder eine "analoge" Version in Form eines Mitarbeiters handeln, der das Foto aus der Datenbank und das auf Ihrem Pass oder Reisepass vorhandene überprüft. In diesem Fall werden Fotografien verwendet, bei denen es sich um biometrische Daten handelt, die physiologische Eigenschaften charakterisieren, und der Zweck der Verarbeitung besteht darin, die Person zu bestimmen, die den Pass vorlegt. Nach den Erklärungen von Roskomnadzor beziehen sich Fotos und andere biometrische Informationen (Fingerabdrücke usw.), die zur Gewährleistung eines einfachen und / oder mehrfachen Zugangs zum Schutzgebiet verwendet werden, auf die Verarbeitung biometrischer personenbezogener Daten. Dieses Verfahren sollte nur mit schriftlicher Zustimmung durchgeführt werden.
Ein Beispiel für eine fehlerhafte Verarbeitung biometrischer personenbezogener Daten
Wir verweisen auf das Urteil des Obersten Gerichtshofs der Russischen Föderation vom 05.03.2018 Nr. 307-KG18-101.
Nach der Inspektion erteilte Roskomnadzor der Organisation (Pool) den Befehl, die Verwendung von Kundenfotos auf Pässen einzustellen . Der Verstoß bestand darin, dass keine gesonderte schriftliche Zustimmung der Besucher zur Verarbeitung ihrer biometrischen Daten, nämlich Fotos, vorlag.
Die Argumente des Betreibers personenbezogener Daten, die:
- Besucher gaben allgemeine Zustimmung zur Verarbeitung von PD,
- Besucher haben freiwillig Fotos an Abzeichen angehängt
- PP der Russischen Föderation Nr. 125 erwähnt kein Foto auf Papier, sondern spricht nur von einem "digitalen Farbfotobild".
fand kein Verständnis unter den Richtern und die Anforderungen der einstweiligen Verfügung blieben in Kraft
Richtige Ziele für die Verarbeitung biometrischer personenbezogener Daten
Kehren wir zu den Erläuterungen von Roskomnadzor zurück , in denen es Fälle gibt, in denen biometrische Daten gemäß den allgemeinen Anforderungen des Bundesgesetzes "Über personenbezogene Daten" verarbeitet werden können. Sie kommen beispielsweise zu einer Bank oder Klinik, wo sie Sie möglicherweise auch nach einem Reisepass fragen und diesen scannen oder eine Kopie erstellen. In diesem Fall besteht das Ziel jedoch darin, die Durchführung von Maßnahmen durch eine bestimmte Person (Abschluss einer Vereinbarung über die Erbringung von Dienstleistungen, Bankgeschäften, Kommunikationsdiensten usw.) zu bestätigen, ohne Identifizierungsverfahren durchzuführen. Solche Aktionen werden nicht mehr als Verarbeitung biometrischer personenbezogener Daten eingestuft. Dementsprechend muss die Datenverarbeitung gemäß den allgemeinen Anforderungen des FZ-152 erfolgen.
Eine ziemlich dünne Linie, aber gleichzeitig ein sehr wichtiger Moment, der zu Strafen führen kann.
Persönliche Datei des Mitarbeiters
Biometrische personenbezogene Daten sind auch kein Foto eines Mitarbeiters, das in einer persönlichen Datei und der Unterschrift eines Mitarbeiters gespeichert ist. weil Alle Maßnahmen, die der Arbeitgeber unter Verwendung von Daten aus einer persönlichen Akte durchführt, zielen darauf ab, die Zugehörigkeit zu einer bestimmten Person zu bestätigen. In diesem Fall wurde die Identität des Arbeitnehmers bereits festgestellt und der Arbeitgeber verfügt bereits über seine persönlichen Daten.
Gleichzeitig wird die Aufbewahrung einer Kopie des Reisepasses als Straftat angesehen, weil gemäß Artikel 65 des Arbeitsgesetzbuches der Russischen FöderationDie Liste der vom Arbeitgeber gespeicherten personenbezogenen Daten ist nicht definiert. In diesem Artikel wird jedoch die Liste der Daten festgelegt, die der Arbeitnehmer beim Abschluss eines Arbeitsvertrags vorlegt. Dazu gehört insbesondere der Reisepass als Dokument zur Identifizierung der Person. Das Aufbewahren einer Kopie des Reisepasses kann als übermäßige Handlung in Bezug auf die angegebenen Zwecke ihrer Verarbeitung eingestuft werden. Hier werde ich als Beispiel ein Beispiel aus der Kassationsinstanz des Nordkaukasischen Distrikts geben.
Dreharbeiten an öffentlichen Orten
Für den Fall, dass Videos in einem geschützten Bereich oder an öffentlichen Orten aufgenommen werden, können diese Daten auch nicht als biometrische PDs betrachtet werden, da der Besitzer der Videokamera sie nicht zur Identifizierung einer bestimmten Person verwendet. Diese Daten können biometrisch werden, wenn sie an Strafverfolgungsbehörden übertragen werden und wenn das übertragene Videomaterial zur Bestimmung der Identität einer bestimmten Person verwendet wird.
Worauf sollte der Betreiber bei der Organisation solcher Videofilme achten?
In diesem Fall muss der Betreiber die Besucher darüber informieren, dass an diesem Ort Foto- und Videofilme durchgeführt werden. Es kann sich um eine Textplatte oder einen speziellen Aufkleber handeln, es gibt keine besonderen Anforderungen an das Design. Falls Sie diese einfache Anforderung erfüllt haben, ist die Zustimmung der Besucher zur Durchführung solcher Veranstaltungen nicht erforderlich.
Wenn Sie in den Arbeitsräumen eine Videoüberwachung installiert haben, vergessen Sie nicht, die Mitarbeiter darüber zu informieren. Es ist notwendig, durch Unterschrift zu benachrichtigen. Diese Anforderung ist im Arbeitsgesetzbuch der Russischen Föderation, Art. 74 und besteht darin, die Bedingungen des Arbeitsvertrags zu ändern.
Die Ziele der Organisation der Videoüberwachung
Auch hier ist die Definition von Behandlungszielen eine der Hauptaufgaben des Bedieners. Und die Organisation der Videoüberwachung ist keine Ausnahme. Die Ziele müssen im Voraus festgelegt werden und rechtlich begründet sein.
Wenn beispielsweise im Büro eine Videoüberwachung durchgeführt wird, kann dies sein: "Aufzeichnung möglicher illegaler Handlungen." Im Gesundheitswesen oder in der Lebensmittelproduktion kann das Ziel sein: „Gewährleistung der Rechte von Patienten, Kunden oder Verbrauchern“. Wenn Sie Pizza bestellen, haben Sie sicherlich die Möglichkeit, die Zubereitung mit Hilfe von Webcams zu beobachten, die auf Jobs ausgerichtet sind.
Darüber hinaus sollte sich dieser Prozess in der internen Dokumentation des Betreibers widerspiegeln. Eine verantwortliche Person mit Zugang zum Videoüberwachungssystem muss identifiziert werden. Dies wird normalerweise durch eine Bestellung bestätigt. Darüber hinaus müssen das Verfahren und die Bedingungen für die Speicherung von Videos sowie das Verfahren für deren Löschung festgelegt werden. Vergessen Sie natürlich nicht die Hinweisschilder.
Das Wichtigste in einem Absatz
Zusammenfassend möchte ich noch einmal auf die wichtigsten Punkte eingehen. Lesen Sie Teil 2 der Kunst. 11 -152 "Über personenbezogene Daten" und in allen Fällen, die nicht unter diese fallen, holen Sie die schriftliche Zustimmung zur Verarbeitung biometrischer personenbezogener Daten ein. Definieren Sie die Behandlungsziele im Voraus und halten Sie sich strikt daran. Sammeln Sie keine redundanten Informationen. Wenn Sie nicht wissen, wie Sie diese oder jene Anforderung des Gesetzes interpretieren sollen, lesen Sie die Erläuterungen des RKN oder schreiben Sie ihnen eine Beschwerde mit Ihrer Frage.
Ein Video über die häufigsten Fehler , die Registrierung der Zustimmung zur Verarbeitung personenbezogener Daten kann auf dem YouTube-Kanal von PDMaster sowie weitere nützliche Materialien zum Thema "Persönliche Daten" angesehen werden.