ბიომეტრიული მონაცემებისა და GDPR-ის შესაბამისობის გასაგებად, პირველ რიგში, უნდა ვუპასუხოთ ფუნდამენტურ კითხვას: ზუსტად რა is ბიომეტრიული მონაცემები? ეს არ არის უბრალოდ ნებისმიერი პერსონალური ინფორმაცია. ჩვენ ვსაუბრობთ მონაცემებზე, რომლებიც აღებულია უნიკალური ფიზიკური ან ქცევითი მახასიათებლებიდან - როგორიცაა თითის ანაბეჭდი, თვალის ფერადი გარსის ნიმუში ან თუნდაც ვინმეს ხმა - და რომელსაც შეუძლია კონკრეტული ადამიანის ცალსახად იდენტიფიცირება.
წარმოიდგინეთ ეს, როგორც ბიოლოგიური გასაღები, რომელიც მხოლოდ ინდივიდისთვისაა დამახასიათებელი და მისი შეცვლა პრაქტიკულად შეუძლებელია.
ბიომეტრიული მონაცემების განსაზღვრა GDPR-ის ფარგლებში
ზოგადი მონაცემთა დაცვის რეგულაციის (GDPR) თანახმად, ის, რაც რაღაცას „ბიომეტრიულ მონაცემებად“ აქცევს, არ არის ტიპი თავად მონაცემების (მაგალითად, ფოტოს), მაგრამ მიზნით რისთვისაც მას ამუშავებთ. თანამშრომლის პირადობის მოწმობაზე არსებული მარტივი ფოტოსურათი ავტომატურად ბიომეტრიულ მონაცემებად არ ითვლება.
თუმცა, როგორც კი იგივე ფოტო შენობაში შესვლის უფლების მისაცემად სახის ამოცნობის სისტემაში შეიყვანება, ის ბიომეტრიულ მონაცემებად იქცევა. სამართლებრივი ჩარჩო მთლიანად იცვლება.
კრიტიკული ფაქტორია უნიკალური იდენტიფიკაციის მიზნით გამოყენებული „სპეციფიკური ტექნიკური დამუშავება“. ამ განსხვავების სწორად დადგენა თქვენი შესაბამისობის ვალდებულებების გაგების ქვაკუთხედია. ნიუანსების უფრო ღრმად გაცნობა შეგიძლიათ ჩვენს სახელმძღვანელოში. ბიომეტრიული მონაცემების დამუშავების ახსნა.
რატომ ეპყრობა GDPR ბიომეტრიულ მონაცემებს განსხვავებულად
ბიომეტრიული მონაცემები კლასიფიცირდება, როგორც „პერსონალური მონაცემების განსაკუთრებული კატეგორია“ GDPR-ის მე-9 მუხლის შესაბამისად. ეს კლასიფიკაცია მას იმავე მაღალი რისკის ჯგუფში ათავსებს, როგორც ინფორმაციას შემდეგის შესახებ:
- რასობრივი ან ეთნიკური წარმომავლობა
- პოლიტიკური მოსაზრებები
- რელიგიური ან ფილოსოფიური შეხედულებები
- ჯანმრთელობა თუ სექსუალური ცხოვრება
ეს ამაღლებული სტატუსი საფუძვლიანი მიზეზით არსებობს: ბიომეტრიულ მონაცემებთან დაკავშირებულ დარღვევას შეუქცევადი შედეგები მოჰყვება. პაროლისგან განსხვავებით, თქვენ არ შეგიძლიათ უბრალოდ შეცვალოთ თქვენი თითის ანაბეჭდი ან თვალის ფერადი გარსი. თუ ეს მონაცემები კომპრომეტირებულია, ეს ქმნის პირადობის მოპარვისა და თაღლითობის მუდმივ რისკს ამ ადამიანისთვის.
უფრო ნათელი სურათის შესაქმნელად, აქ მოცემულია ბიომეტრიული მონაცემების გავრცელებული ტიპების და GDPR-ის მიხედვით მათი სტატუსის ჩამონათვალი.
| ბიომეტრიული მონაცემების ტიპები და მათი GDPR კლასიფიკაცია | ||
|---|---|---|
| ბიომეტრიული იდენტიფიკატორი | განაცხადის მაგალითი | GDPR-ის სპეციალური კატეგორიის სტატუსი |
| თითის ანაბეჭდები | კომპანიის ტელეფონის განბლოკვა, თანამშრომლის დროის თვალყურის დევნება | დიახ, როდესაც გამოიყენება უნიკალური იდენტიფიკაციისთვის. |
| სახის ამოცნობის | უსაფრთხოების წვდომის კონტროლი, პირადობის დადასტურება საბანკო აპლიკაციაში | დიახ, როდესაც გამოიყენება უნიკალური იდენტიფიკაციისთვის. |
| ფერადი გარსის/ბადურის სკანირება | მაღალი უსაფრთხოების ობიექტზე წვდომა | დიახ, როდესაც გამოიყენება უნიკალური იდენტიფიკაციისთვის. |
| ხმის ნიმუშები | ტელეფონით უსაფრთხო სერვისისთვის მომხმარებლის ავთენტიფიკაცია | დიახ, როდესაც გამოიყენება უნიკალური იდენტიფიკაციისთვის. |
| კლავიშთა დინამიკა | პლატფორმაზე თაღლითობის გამოვლენის ქცევითი ვერიფიკაცია | დიახ, როდესაც გამოიყენება უნიკალური იდენტიფიკაციისთვის. |
| სიარული ანალიზი | უსაფრთხოების მეთვალყურეობა პირების იდენტიფიცირებისთვის მათი სიარულის მიხედვით | დიახ, როდესაც გამოიყენება უნიკალური იდენტიფიკაციისთვის. |
როგორც ცხრილიდან ჩანს, თანმიმდევრული თემაა ამ მონაცემების გამოყენება უნიკალური იდენტიფიკაცია, რაც ავტომატურად ააქტიურებს მე-9 მუხლით გათვალისწინებულ სპეციალური კატეგორიის დაცვას.
ჰოლანდიური მარეგულირებელი მიდგომა
ნიდერლანდებში, ნიდერლანდების მონაცემთა დაცვის ორგანო (Autoriteit Persoonsgegevens ან AP) ამ წესების განსაკუთრებით მკაცრ ინტერპრეტაციას ახორციელებს. მაგალითად, სახის ამოცნობის ტექნოლოგიასთან დაკავშირებული მათი რეკომენდაციები სრულიად ნათლად აჩვენებს, რომ მისი გამოყენება აკრძალულია უმეტეს შემთხვევაში.
მთავარი ტესტი ყოველთვის არის, მიზნად ისახავს თუ არა დამუშავება ფიზიკური პირის ცალსახად იდენტიფიცირებას. ეს მკაცრი პოზიცია ხაზს უსვამს იმას, თუ რამდენად დამაჯერებელი უნდა იყოს თქვენი სამართლებრივი დასაბუთება, სანამ ასეთი სისტემის დანერგვას განიხილავთ.
ბიომეტრიული მონაცემების დამუშავების თქვენი კანონიერი საფუძვლის პოვნა
როდესაც ბიომეტრიულ მონაცემებთან გაქვთ საქმე, GDPR არსებითად ორ ცალკეულ სამართლებრივ დაბრკოლებას აგვარებს. საქმე არ არის მხოლოდ ერთი კარგი მიზეზის პოვნა მონაცემების დასამუშავებლად. თქვენ გჭირდებათ კანონიერი საფუძველი. მუხლი 6 ზოგადი დამუშავებისთვის და შემდეგ მეორე, გაცილებით მკაცრი პირობა მუხლი 9 რადგან თქვენ „სპეციალური კატეგორიის“ მონაცემებს ამუშავებთ. ეს ორნაწილიანი მოთხოვნა აბსოლუტურად უპირობოა.
წარმოიდგინეთ ეს, როგორც ბანკის სეიფი ორი განსხვავებული საკეტით. მუხლი 6 არის პირველი გასაღები, რომელიც გჭირდებათ ნებისმიერი სახის პერსონალური მონაცემების დამუშავებისთვის. მაგრამ რადგან ბიომეტრია ძალიან მგრძნობიარეა, მუხლი 9 კარის გაღებაზე ფიქრის დაწყებამდე მეორე, უფრო სპეციალიზებული გასაღებია საჭირო.
GDPR-ის შესაბამისობის ორგასაღები სისტემა
პირველ რიგში, თქვენ უნდა დააფუძნოთ თქვენი დამუშავება შემდეგი ექვსი კანონიერი საფუძვლიდან ერთ-ერთზე: მუხლი 6ესენია ჩვეულებრივი ეჭვმიტანილები: თანხმობა, სახელშეკრულებო აუცილებლობა, თქვენს მიერ შესასრულებელი სამართლებრივი ვალდებულება, სასიცოცხლო ინტერესები, საჯარო დავალების შესრულება ან თქვენი საკუთარი ლეგიტიმური ინტერესები.
როგორც კი თქვენს მუხლი 6 საფუძველზე, ნამდვილი გამოწვევა იწყება. თქვენ ასევე უნდა აკმაყოფილებდეთ ერთ-ერთ კონკრეტულ პირობას, რომელიც ჩამოთვლილია მუხლი 9 (2), რომლებიც სპეციალური კატეგორიის მონაცემების დამუშავების ერთადერთ კარიბჭეს წარმოადგენენ. ბიომეტრიის შემთხვევაში, ყველაზე ცნობილი - და ყველაზე ხშირად არასწორად გაგებული - პირობაა მკაფიო თანხმობა.
აშკარა თანხმობის დეკონსტრუქცია
არ აურიოთ „აშკარა თანხმობა“ სტანდარტულ თანხმობასთან, რომელსაც შეიძლება იყენებდეთ მარკეტინგული საინფორმაციო ბიულეტენისთვის. ეს გაცილებით მაღალი ზღვარია. ის არ შეიძლება იყოს თქვენს წესებსა და პირობებში გაერთიანებული ან ნაგულისხმევი ვინმეს ქმედებებიდან. ეს უნდა იყოს კრისტალურად ნათელი, პოზიტიური ქმედება, რომელიც:
- კონკრეტული: თქვენ არ შეგიძლიათ უბრალოდ „უსაფრთხოების მიზნით“ ბუნდოვანი თანხმობის მოთხოვნა. თქვენ ზუსტად უნდა ახსნათ, თუ რატომ გჭირდებათ ბიომეტრიული მონაცემები.
- ინფორმირებული: ადამიანებმა ზუსტად უნდა იცოდნენ, რა მონაცემებს აგროვებთ, რას გამოიყენებთ მათთან, ვის აქვს მათი ნახვა და რამდენ ხანს შეინახავთ მათ.
- უსასყიდლოდ მოცემული: სწორედ აქ რთულდება საქმე, განსაკუთრებით სამუშაო ადგილზე. თანამშრომელი შეიძლება იძულებული გახდეს დათანხმდეს ბიომეტრიულ სისტემას, რადგან ეშინია უარყოფითი შედეგების, თუ უარს იტყვის. ძალაუფლების ეს დისბალანსი ნიშნავს, რომ მისი თანხმობა ნამდვილად „თავისუფლად მიცემული“ არ არის და შესაბამისად, იურიდიულად ბათილია.
ნიდერლანდების AP (Autoriteit Persoonsgegevens) უკიდურესად სკეპტიკურად უყურებს თანხმობის გამოყენებას თანამშრომლის ბიომეტრიული მონაცემების დამუშავების საფუძვლად. ორგანოს ამოსავალი წერტილი ის არის, რომ ასეთი თანხმობა თითქმის არასდროს არის თავისუფლად მოცემული და, შედეგად, ვერ აკმაყოფილებს GDPR-ის მკაცრ მოთხოვნებს.
ეს ნიდერლანდებში ბიზნესებისთვის კრიტიკულად მნიშვნელოვანი საკითხია. ბიომეტრიული დროის საათის ან ოფისის წვდომის სისტემისთვის თანამშრომლის თანხმობაზე დაყრდნობა თითქმის ყოველთვის შესაბამისობის ჩიხშია. თქვენ უნდა მოძებნოთ უფრო ძლიერი, უფრო შესაფერისი სამართლებრივი საფუძველი.
თანხმობის მიღმა: მე-9 მუხლის სხვა გამონაკლისების შესწავლა
მიუხედავად იმისა, რომ აშკარა თანხმობა ყველა სათაურს იპყრობს, მუხლი 9 გვთავაზობს რამდენიმე სხვა, ძალიან ვიწრო გამონაკლისს, რომლებიც შეიძლება ამართლებდეს ბიომეტრიული მონაცემების გამოყენებას. აუცილებელია დარწმუნდეთ, რომ თქვენი კონკრეტული სიტუაცია იდეალურად ჯდება ამ პირობებიდან ერთ-ერთში, რადგან არასწორად დაშვებამ შეიძლება სერიოზული პრობლემები გამოიწვიოს. ყველა ბიზნესს მოუწევს ყურადღებით შეაფასოს თავისი როლი და პასუხისმგებლობები, რომელთა შესახებაც შეგიძლიათ წაიკითხოთ ჩვენს დეტალურ ახსნაში. კონტროლერი და პროცესორი GDPR-ის შესაბამისად.
უფრო გასაგებად რომ ვთქვათ, შევადაროთ ყველაზე აქტუალური პირობები და მათი მკაცრი მოთხოვნები.
ბიომეტრიული მონაცემების დამუშავების სამართლებრივი საფუძვლის შედარება
ქვემოთ მოცემულ ცხრილში წარმოდგენილია მე-9 მუხლის ძირითადი პირობები, რომელთა გათვალისწინებაც შეგიძლიათ, ხაზგასმით აღნიშნულია, თუ სად მუშაობენ ისინი და სად უშვებენ ხშირად არასწორ შედეგებს.
| მუხლი 9-ის პირობა | ძირითადი მოთხოვნა | პრაქტიკული მაგალითი | საერთო ხაფანგში |
|---|---|---|---|
| აშკარა თანხმობა | უნდა იყოს კონკრეტული, ინფორმირებული, არაორაზროვანი და თავისუფლად მოცემული. | მომხმარებელი ნებაყოფლობით რეგისტრირდება მაღაზიაში სახის ამოცნობის გადახდის სისტემაში, მკაფიო და მარტივი უარის თქმის შესაძლებლობით. | თანამშრომლის თანხმობაზე დაყრდნობა, სადაც თანდაყოლილი ძალაუფლების დისბალანსი თითქმის ყოველთვის აუქმებს მას. |
| დასაქმების კანონი | დამუშავება აუცილებელია დასაქმების ან სოციალური უზრუნველყოფის სამართლის სფეროში ვალდებულებების ან უფლებების შესასრულებლად. | თითის ანაბეჭდების გამოყენება მაღალი მგრძნობელობის ლაბორატორიაში შესასვლელად, სადაც ეს სავალდებულოა ჯანმრთელობისა და უსაფრთხოების კონკრეტული კანონმდებლობით. | ბიომეტრიის გამოყენება ზოგადი მოხერხებულობისთვის (მაგალითად, დროის თვალყურის დევნებისთვის), როდესაც ნაკლებად ინტრუზიული მეთოდებიც ასევე კარგად გაართმევდა თავს საქმეს. |
| მნიშვნელოვანი საზოგადოებრივი ინტერესი | უნდა ეფუძნებოდეს ნიდერლანდების ან ევროკავშირის კანონმდებლობას და იყოს პროპორციული მისაღწევი მიზნისა. | სამართალდამცავი ორგანო, რომელიც სახის ამოცნობის ტექნოლოგიას იყენებს სერიოზული დანაშაულის გამოსაძიებლად, მთავრობის მიერ მინიჭებული კონკრეტული სამართლებრივი მანდატის შესაბამისად. | კერძო კომპანია, რომელიც ცდილობს საკუთარი კომერციული უსაფრთხოებისთვის „საზოგადოებრივი ინტერესის“ გამოყენებას ჰოლანდიური კანონმდებლობის არანაირი რეალური საფუძვლის გარეშე. |
| სასიცოცხლო ინტერესები | აუცილებელია იმ პირის სასიცოცხლო ინტერესების დასაცავად, რომელსაც ფიზიკურად ან იურიდიულად არ შეუძლია თანხმობის მიცემა. | თითის ანაბეჭდის სკანერის გამოყენება საგანგებო სიტუაციებში უგონო მდგომარეობაში მყოფი პაციენტის იდენტიფიცირებისთვის, რათა მათ სიცოცხლის გადასარჩენ სამედიცინო ჩანაწერებზე წვდომა მოხდეს. | ამ საფუძვლის გამოყენება რუტინულ სიტუაციებში, სადაც ინდივიდს სრულიად შეუძლია თანხმობის მიცემა ან არ მიცემა. |
საბოლოო ჯამში, სწორი სამართლებრივი საფუძვლის არჩევა არ ნიშნავს უმარტივესი ვარიანტის არჩევას. ის მოითხოვს თქვენი კონკრეტული გარემოებების საფუძვლიან, დოკუმენტირებულ ანალიზს. უბრალოდ იმ საფუძვლის არჩევა, რომელიც ყველაზე მოსახერხებლად გეჩვენებათ, შეუსრულებლობისკენ დაჩქარებული გზაა და შესაძლოა, ნიდერლანდების AP-ის კარზე დააკაკუნონ.
როგორ ჩავატაროთ მონაცემთა დაცვაზე ზემოქმედების შეფასება
თუ თქვენი ორგანიზაცია საერთოდ განიხილავს ბიომეტრიული მონაცემების დამუშავებას რეალური მასშტაბით, მაშინ მონაცემთა დაცვაზე ზემოქმედების შეფასება (DPIA) ეს უბრალოდ კარგი იდეა არ არის — ეს GDPR-ის თანახმად, იურიდიული სავალდებულო მოთხოვნაა.
წარმოიდგინეთ, რომ DPIA კონფიდენციალურობის რისკის ოფიციალური შეფასებაა. ეს არის სტრუქტურირებული პროცესი, რომელიც გაიძულებთ ზუსტად დაგეგმოთ, თუ რას აპირებთ, ამოიცნოთ პოტენციური საფრთხეები ინდივიდებისთვის და გაარკვიოთ, თუ როგორ მართოთ ეს რისკები. ადრე ოდესმე დაასკანირებთ თითის ანაბეჭდს ან სახეს.
ეს გაცილებით მეტია, ვიდრე უბრალოდ უჯრების შევსება. ეს ანგარიშვალდებულების დემონსტრირებისა და თქვენი სისტემების დიზაინში მონაცემთა დაცვის ინტეგრირების ფუნდამენტური ნაწილია. ნებისმიერი მაღალი რისკის შემცველი აქტივობისთვის, როგორიცაა ბიომეტრია, ნიდერლანდების მონაცემთა დაცვის ორგანო (AP) აუცილებლად მოელის ყოვლისმომცველი და კარგად დასაბუთებული DPIA-ს, თუ ისინი ოდესმე კითხვების დასმის საკითხს დასვამენ.
ბიომეტრიული მონაცემების დაცვისა და ინდექსირების (DPIA) დაწყებამდე, როგორც ქვემოთ მოცემულ დიაგრამაზეა ნაჩვენები, ჯერ ორი ფუნდამენტური სამართლებრივი დაბრკოლება უნდა გადალახოთ.
თქვენ ჯერ მე-6 მუხლის მიხედვით უნდა იპოვოთ კანონიერი საფუძველი და შემდეგ დააკმაყოფილოთ მე-9 მუხლით გათვალისწინებული ერთ-ერთი მკაცრი, კონკრეტული პირობა. მხოლოდ ამის შემდეგ შეგიძლიათ გააგრძელოთ თქვენი შეფასება.
DPIA-ს ძირითადი კომპონენტები
მყარი DPIA სისტემატურად უნდა აღწერდეს დამუშავებას, აფასებდეს, თუ რატომ არის ის აუცილებელი და პროპორციული და მართავდეს ადამიანების უფლებებისა და თავისუფლებების რისკებს. მოდით, განვიხილოთ ძირითადი ნაბიჯები ძალიან გავრცელებული სცენარის გამოყენებით: თითის ანაბეჭდის სკანერის დაყენება ოფისში წვდომის კონტროლისთვის.
-
აღწერეთ დამუშავება: იყავით კონკრეტული. თქვენ უნდა აღწეროთ მონაცემების მთელი გზა დასაწყისიდან დასრულებამდე.
- კონკრეტულად რას აგროვებთ? (მაგ., თითის ანაბეჭდის შაბლონებს და არა სრულ სურათებს).
- როგორ შეგროვდება ეს მონაცემები, სად ინახება, როგორ გამოიყენება და როდის წაიშლება?
- ვის შეუძლია ამ მონაცემებზე წვდომა და რატომ?
- არიან თუ არა ჩართული მესამე მხარის მომწოდებლები, მაგალითად, სკანერის სისტემის მომწოდებელი კომპანია?
-
აუცილებლობისა და პროპორციულობის შეფასება: სწორედ აქ უნდა გაამართლოთ თქვენი გადაწყვეტილება. ეს მოითხოვს, რომ უარყოთ საკუთარი ვარაუდები და დაამტკიცოთ, რომ ბიომეტრიის გამოყენება ყველაზე გონივრული არჩევანია.
- კონკრეტულად რა პრობლემის მოგვარებას ცდილობთ? (მაგ., სერვერის ოთახებში არაავტორიზებული წვდომის თავიდან აცილება).
- რატომ არ არის ნაკლებად ინტრუზიული მეთოდები, როგორიცაა უსაფრთხო გასაღები ბარათები ან PIN კოდები, საკმარისად კარგი ამ კონკრეტული სიტუაციისთვის?
- ნამდვილად არის თქვენს მიერ შეგროვებული მონაცემები თქვენი მიზნის მისაღწევად საჭირო მინიმუმი?
-
რისკების იდენტიფიცირება და შეფასება: წარმოიდგინეთ საკუთარი თავი თანამშრომლის ადგილას. რა შეიძლება მისთვის არასწორად წავიდეს?
- მონაცემთა დარღვევა: რა გავლენას მოახდენს ეს რეალურ სამყაროზე, თუ თითის ანაბეჭდის შაბლონების მონაცემთა ბაზა მოიპარება?
- ფუნქციის ცოცვა: არსებობს თუ არა რისკი, რომ ეს მონაცემები მომავალში სხვა მიზნებისთვისაც იქნას გამოყენებული, მაგალითად, თანამშრომლების მოსვლისა და წასვლის მონიტორინგისთვის, მათთვის შეტყობინების გარეშე?
- გამორიცხვა: რა მოხდება, თუ თანამშრომელს არ შეუძლია სისტემის გამოყენება კანის მდგომარეობის ან დაზიანებული თითის ანაბეჭდების გამო? არსებობს თუ არა მათთვის ალტერნატივა?
- უზუსტობა: რა მოხდება, თუ სისტემა გაფუჭდება და უფლებამოსილ პირს ხანძრის სიგნალიზაციის დროს შესვლას დაბლოკავს?
-
რისკების შესამცირებლად ზომების განსაზღვრა: ახლა, თქვენს მიერ ჩამოთვლილი თითოეული რისკისთვის, თქვენ უნდა შესთავაზოთ კონკრეტული გადაწყვეტა. ეს პროცესის ყველაზე პრაქტიკული ნაწილია.
- ტექნიკური ზომები: ეს შეიძლება ნიშნავდეს მონაცემების ძლიერი დაშიფვრის დანერგვას, უსაფრთხო შაბლონის შენახვის გამოყენებას (მოწყობილობაზე განთავსება ხშირად ცენტრალურ სერვერზე უფრო სასურველია) და მკაცრი წვდომის კონტროლის დაწესებას.
- ორგანიზაციული ზომები: ეს გულისხმობს ბიომეტრიულ მონაცემებთან დაკავშირებით მკაფიო პოლიტიკის შექმნას, პერსონალის ტრენინგს ამ საკითხთან დაკავშირებით და ამ სისტემისთვის მონაცემთა დარღვევაზე რეაგირების კონკრეტული გეგმის მომზადებას.
- პროპორციულობის ზომები: შესაძლებლობის შემთხვევაში, ყოველთვის შესთავაზეთ არაბიომეტრიული ალტერნატივა წვდომისთვის. ეს უზრუნველყოფს, რომ სისტემა უსამართლოდ არავის გამორიცხავს.
კარგად შესრულებული DPIA ცოცხალი დოკუმენტია. ეს არ არის ის, რასაც ერთხელ აკეთებ და შემდეგ ინახავ. ის უნდა გადაიხედოს და განახლდეს, თუ თქვენი ბიომეტრიული დამუშავების ფარგლები, ბუნება ან კონტექსტი შეიცვლება. ის სათანადო გულმოდგინების თქვენი ძირითადი დასტურია, თუ მარეგულირებელი ორგანო ოდესმე ეჭვქვეშ დააყენებს თქვენს პრაქტიკას.
ამ სტრუქტურის დაცვით, DPIA გარდაიქმნება რთული იურიდიული ვალდებულებიდან ძლიერ სტრატეგიულ ინსტრუმენტად. ის უზრუნველყოფს, რომ ბიომეტრიის გამოყენება აგებულია წინდახედულებისა და პასუხისმგებლობის მყარ საფუძველზე, რაც იცავს როგორც თქვენს ორგანიზაციას, ასევე იმ ადამიანებს, რომელთა მონაცემებსაც ამუშავებთ.
ყოველდღიური შესაბამისობის აუცილებელი ნაბიჯები
ბიომეტრიული მონაცემების GDPR-თან შესაბამისობის სწორად უზრუნველყოფა ერთჯერადი იურიდიული საქმე არ არის, რომლის ჩამოთვლაც შეგიძლიათ. ეს არის მუდმივი ვალდებულება, რომელიც თქვენი ყოველდღიური ოპერაციების ქსოვილში უნდა იყოს ჩაქსოვილი. მას შემდეგ, რაც თქვენს სამართლებრივ საფუძველს დაალაგებთ და დაასრულებთ DPIA-ს, ამ მგრძნობიარე მონაცემების პასუხისმგებლობით მართვის რეალური სამუშაო ნამდვილად იწყება. საქმე სამართლებრივი პრინციპების პრაქტიკულ, ყოველდღიურ ქმედებებად გადაქცევას ეხება.
ამის ცენტრშია იმის უზრუნველყოფა, რომ GDPR-ის ძირითადი პრინციპები თქვენი კომპანიის ნაგულისხმევ პარამეტრად იქცეს. კარგი საწყისი წერტილია მონაცემთა მინიმიზაციაეს მარტივი, მაგრამ წარმოუდგენლად ძლიერი იდეაა: შეაგროვეთ მხოლოდ ის ბიომეტრიული მონაცემები, რომლებიც აბსოლუტურად გჭირდებათ თქვენს მიერ განსაზღვრული კონკრეტული, ლეგიტიმური მიზნისთვის. მეტი არაფერი. თუ ოფისის წვდომის სისტემას აყენებთ, ნამდვილად გჭირდებათ მაღალი გარჩევადობის სახის სკანირება, როდესაც გაცილებით მარტივი ბიომეტრიული შაბლონი ამ საქმეს ისევე კარგად შეასრულებდა? ალბათ არა.
ეს ერთმანეთთან მჭიდრო კავშირშია შენახვის შეზღუდვაბიომეტრიული მონაცემები სამუდამოდ არ უნდა ინახებოდეს. თქვენ უნდა დაადგინოთ და აღასრულოთ შენახვის მკაფიო პოლიტიკა. ამ წესებში ზუსტად უნდა იყოს მითითებული, თუ რამდენ ხანს შეინახავთ მონაცემებს და უნდა უზრუნველყოთ მათი უსაფრთხოდ წაშლა იმ მომენტში, როდესაც ისინი აღარ იქნება საჭირო თავდაპირველი დანიშნულებით.
ტექნიკური და ორგანიზაციული უსაფრთხოების ზომების დანერგვა
ბიომეტრიული მონაცემების სათანადო დაცვა მრავალშრიანი უსაფრთხოების სტრატეგიას მოითხოვს. ეს ნიშნავს როგორც ტექნიკური გადაწყვეტილებების, ასევე მყარი შიდა პოლიტიკის გაერთიანებას. ეს არ არის მხოლოდ სასურველი რამ; ისინი GDPR-ის თანახმად, უდავო მოთხოვნებია.
აქ მოცემულია რამდენიმე ძირითადი ტექნიკური ზომა, რომელიც უნდა გაითვალისწინოთ:
- ძლიერი დაშიფვრა: ყველა ბიომეტრიული მონაცემი უნდა იყოს დაშიფრული და წერტილი. ეს ეხება როგორც სერვერებზე, ასევე მოწყობილობებზე შენახვის შემთხვევაშიც (მოსვენების დროს) და როდესაც ის ქსელში იგზავნება (გადაზიდვის პორცესში). დაშიფვრა მონაცემებს წაუკითხავსა და უსარგებლოს ხდის ნებისმიერი ადამიანისთვის, ვისაც შეუძლია მათზე წვდომა ნებართვის გარეშე მიიღოს.
- მკაცრი წვდომის კონტროლი: თქვენს ორგანიზაციაში ყველას არ სჭირდება ბიომეტრიული მონაცემების ნახვა ან დამუშავება. გამოიყენეთ როლებზე დაფუძნებული წვდომის კონტროლი, რათა დაბლოკოთ ყველაფერი, რათა უზრუნველყოთ, რომ მხოლოდ ავტორიზებულ პერსონალს, რომელსაც აქვს მკაფიო, ლეგიტიმური საჭიროება, ჰქონდეს ამ ინფორმაციაზე წვდომა.
- უსაფრთხო საცავი: როდესაც ეს შესაძლებელია, მოერიდეთ ბიომეტრიული შაბლონების ერთ დიდ ცენტრალურ მონაცემთა ბაზაში შენახვას. გაცილებით უსაფრთხო მიდგომაა მათი ლოკალურად შენახვა მოწყობილობაზე, მაგალითად, თავად სკანერზე ან თანამშრომლის წვდომის ბარათზე. ეს დეცენტრალიზებული მოდელი მნიშვნელოვნად ამცირებს კატასტროფული მასობრივი მონაცემთა გაჟონვის რისკს.
მაგრამ მხოლოდ ტექნოლოგია საკმარისი არ არის. თქვენი ორგანიზაციული ზომები ისეთივე სასიცოცხლოდ მნიშვნელოვანია. უსაფრთხოების ისეთი მკაცრი ზომების დანერგვა, როგორიც გვხვდება ბიომეტრიული პრიორიტეტის მქონე მიდგომები უსაფრთხოებისადმი, შეუძლია მნიშვნელოვნად შეამციროს თაღლითობის რისკი და გააძლიეროს თქვენი საერთო შესაბამისობა. ეს ასევე გულისხმობს პერსონალის რეგულარულ ტრენინგს მონაცემთა დაცვის პოლიტიკასთან დაკავშირებით და პერიოდული უსაფრთხოების აუდიტის ჩატარებას, რათა აღმოაჩინოთ და გამოასწოროთ დაუცველობები, სანამ ისინი პრობლემად იქცევიან.
გამჭვირვალე და ნათელი კონფიდენციალურობის შეტყობინებების შექმნა
გამჭვირვალობა GDPR-ის ქვაკუთხედია. ადამიანებს აქვთ აბსოლუტური უფლება, ზუსტად იცოდნენ, რას აკეთებთ მათი ბიომეტრიული მონაცემებით. თქვენი კონფიდენციალურობის შეტყობინება არ შეიძლება იყოს თქვენი ვებსაიტის ქვედა ნაწილში ჩაფლული, ჟარგონული ენით სავსე დოკუმენტი. ის უნდა იყოს მკაფიო, ლაკონური და ყველასთვის მარტივი მოსაძებნი და გასაგები.
ბიომეტრიული მონაცემების დამუშავების შესახებ შესაბამის კონფიდენციალურობის შეტყობინებაში ნათლად უნდა იყოს ახსნილი:
- Ვინ ხარ: თქვენი კომპანიის სახელი და საკონტაქტო ინფორმაცია.
- რატომ ამუშავებთ მონაცემებს: კონკრეტული, ლეგიტიმური მიზეზი (მაგ., „ჩვენს კვლევით ლაბორატორიაში წვდომის უზრუნველსაყოფად“).
- თქვენი სამართლებრივი საფუძველი: მე-6 და მე-9 მუხლების კონკრეტული პირობები, რომლებსაც თქვენ ეყრდნობით.
- რა მონაცემები გროვდება: იყავით ზუსტი. ნუ იტყვით მხოლოდ „ბიომეტრიულ მონაცემებს“; მიუთითეთ, ეს თითის ანაბეჭდის შაბლონია, თვალის ფერადი გარსის სკანირება თუ ა.შ.
- რამდენ ხანს შეინახავთ მას: თქვენი მონაცემების შენახვის პერიოდი.
- ვისთანაც გაუზიარებთ მას: ეს მოიცავს ნებისმიერ მესამე მხარის ტექნოლოგიურ პროვაიდერს.
- მათი უფლებები: აცნობეთ მათ მათი მონაცემების დამუშავებაზე წვდომის, მათი შესწორების, წაშლის და მათზე წინააღმდეგობის გაწევის უფლების შესახებ.
გასაგები ენის მაგალითი: „ჩვენ ვიყენებთ თითის ანაბეჭდის შაბლონს, რომელიც თქვენი თითის ანაბეჭდის უსაფრთხო რიცხვითი წარმოდგენაა, რათა მოგცეთ სერვერის ოთახში წვდომის უფლება. ეს შაბლონი ინახება მხოლოდ თქვენს პირად წვდომის ბარათზე და იშლება ჩვენი სისტემიდან თქვენი დასაქმების დასრულებიდან 24 საათის განმავლობაში. თქვენ შეგიძლიათ მოითხოვოთ თქვენი მონაცემების ნახვა ან წაშლა ნებისმიერ დროს.“
ამგვარი სიცხადე არა მხოლოდ იურიდიულ ჩარჩოს აკმაყოფილებს, არამედ ნდობას ამყარებს. როდესაც თქვენ გულწრფელი და გამჭვირვალე ხართ იმის შესახებ, თუ როგორ ამუშავებთ ადამიანის ყველაზე პერსონალურ ინფორმაციას, თქვენ აჩვენებთ მონაცემთა დაცვისადმი ერთგულებას, რაც სცილდება უბრალო შესაბამისობას. ეს სამართლებრივ მოთხოვნას თქვენი ორგანიზაციის მთლიანობის ქვაკუთხედად აქცევს.
აღსრულებისა და ჯარიმების ნავიგაცია ნიდერლანდებში
GDPR-ის ბიომეტრიულ მონაცემებთან დაკავშირებული მკაცრი წესების იგნორირება მხოლოდ თეორიული რისკი არ არის; ის სერიოზულ ფინანსურ და რეპუტაციულ შედეგებს იწვევს. ნიდერლანდებში მონაცემთა დაცვის ორგანო (Autoriteit Persoonsgegevens ან AP) ცნობილია კანონმდებლობის მკაცრი აღსრულებით. ეს მონაცემთა არასწორი დამუშავების პოტენციურ შედეგებს ნებისმიერი ორგანიზაციისთვის გასათვალისწინებელ კრიტიკულ ფაქტორად აქცევს.
ამ აღსრულების ლანდშაფტის გააზრება აუცილებელია. პოტენციური ჯარიმები არ არის მხოლოდ აბსტრაქტული სამართლებრივი საფრთხეები. ისინი რეალობაა, რომელიც ხაზს უსვამს, თუ რამდენად მნიშვნელოვანია პროაქტიული შესაბამისობა. მონაცემთა დამუშავების სწორად წარმართვაში ჩადებული ინვესტიცია ყოველთვის გაცილებით ნაკლებია, ვიდრე არასწორი დაშვების მაღალი ღირებულება.
შეუსრულებლობის რეალური ფასი
GDPR-ის თანახმად, საზედამხედველო ორგანოებს, როგორიცაა ნიდერლანდების AP, აქვთ მნიშვნელოვანი ჯარიმების დაკისრების უფლებამოსილება. ეს ჯარიმები შემუშავებულია ისე, რომ იყოს ეფექტური, პროპორციული და დამაჯერებელი, რაც ასახავს იმას, თუ რამდენად სერიოზულად უყურებენ ისინი დარღვევას. მძიმე დარღვევებისთვის, როგორიცაა სპეციალური კატეგორიის მონაცემების დამუშავება ვალიდური სამართლებრივი საფუძვლის გარეშე, ჯარიმები შეიძლება იყოს გასაოცარი.
ორგანიზაციებს შეიძლება დაეკისროთ ჯარიმა მაქსიმუმ... 20 მილიონი ევრო ან მათი მსოფლიო წლიური ბრუნვის 4%. წინა ფინანსური წლიდან, რომელიც უფრო მაღალია. ეს ორდონიანი სისტემა უზრუნველყოფს, რომ ჯარიმებს მნიშვნელოვანი გავლენა ჰქონდეს უდიდეს გლობალურ კორპორაციებზეც კი.
მარეგულირებლების გზავნილი სრულიად ნათელია: ბიომეტრიული მონაცემების არასათანადო დამუშავება მონაცემთა დაცვის შესახებ კანონის ერთ-ერთი ყველაზე სერიოზული დარღვევაა. ფინანსური ჯარიმები ისეა სტრუქტურირებული, რომ შეუსრულებლობა არასდროს იყოს ფინანსურად სიცოცხლისუნარიანი ვარიანტი არცერთი ბიზნესისთვის, მისი ზომის მიუხედავად.
მაღალი დონის სამართალდამცავი ორგანოები ნიდერლანდებსა და ევროკავშირში
ნიდერლანდური AP-ის და მისი ევროპელი კოლეგების ბოლოდროინდელი ქმედებები აჩვენებს, რომ ეს არ არის ცარიელი მუქარა. ხელისუფლება აქტიურად იძიებს და აჯარიმებს ორგანიზაციებს, რომლებიც არ ასრულებენ თავიანთ ვალდებულებებს. ნიდერლანდური ხელისუფლების კონკრეტული როლისა და უფლებამოსილებების შესახებ დამატებითი ინფორმაციისთვის შეგიძლიათ წაიკითხოთ ჩვენი დეტალური სტატია. ნიდერლანდების მონაცემთა დაცვის ორგანო.
ამის ნათელი მაგალითია Clearview AI-ის წინააღმდეგ ბოლოდროინდელი ქმედება. 2024 წლის 3 სექტემბერს, ნიდერლანდების AP-მ დააკისრა... 30.5 მილიონი ევროს ჯარიმა ამერიკული სახის ამოცნობის კომპანიის წინააღმდეგ მონაცემთა შეგროვების უკანონო პრაქტიკის გამო. ეს საქმე კიდევ ერთხელ ხაზს უსვამს ბიომეტრიული ინფორმაციის კანონიერი საფუძვლის გარეშე დამუშავების მნიშვნელოვან ფინანსურ შედეგებს. ეს ევროკავშირის მასშტაბით გავრცელებული უფრო ფართო ტენდენციის ნაწილია, სადაც მონაცემთა დაცვის ორგანოებმა მილიარდობით ევროს ოდენობის ჯარიმები დააკისრეს. ყველაზე გავრცელებული და ძვირადღირებული დარღვევა? არასაკმარისი სამართლებრივი საფუძველი. შეგიძლიათ მეტი გაიგოთ GDPR-ის ყველაზე დიდი ჯარიმები და მათი გამომწვევი მიზეზები.
ფინანსური ჯარიმების მიღმა
GDPR-ის დარღვევის შედეგები გაცილებით მეტია, ვიდრე საწყისი ჯარიმა. რეპუტაციისთვის მიყენებული ზიანი შეიძლება კიდევ უფრო ძვირი და ხანგრძლივი იყოს. საჯარო აღსრულების ქმედებამ შეიძლება გამოიწვიოს მომხმარებლების, პარტნიორების და საზოგადოების ნდობის მნიშვნელოვანი დაკარგვა.
სხვა პოტენციურ შედეგებს შორისაა:
- კორექტირების ბრძანებები: ავტორიზაციის ორგანოს შეუძლია მოგთხოვოთ მონაცემთა დამუშავების შეჩერება, რაც კრიტიკული ბიზნეს ოპერაციების შეჩერებას გამოიწვევს.
- მონაცემთა წაშლის მანდატები: შესაძლოა, თქვენ მოგთხოვონ არასწორად შეგროვებული ბიომეტრიული მონაცემების წაშლა.
- სამოქალაქო სამართალწარმოება: დაზარალებულ პირებს აქვთ უფლება მოითხოვონ ზიანის ანაზღაურება, რაც კოლექტიური სარჩელის შეტანის კარს უხსნის.
საბოლოო ჯამში, ნიდერლანდებში აღსრულების სისტემა მყარია. ნიდერლანდების AP-მ აჩვენა, რომ ის ყოყმანის გარეშე გამოიყენებს თავის სრულ უფლებამოსილებას პირთა ყველაზე მგრძნობიარე მონაცემების დასაცავად. ეს გულმოდგინებას აიძულებს ბიომეტრიული მონაცემების GDPR-თან შესაბამისობა ბიზნესის ერთ-ერთი მთავარი პრიორიტეტი.
ბიომეტრიული მონაცემების დარღვევის შემთხვევაში რეაგირების გეგმის შექმნა
როდესაც ბიომეტრიული მონაცემები კომპრომეტირებულია, ეს არ არის მხოლოდ კიდევ ერთი IT პრობლემა; ეს არის სრულმასშტაბიანი კრიზისი. თქვენ არ შეგიძლიათ უბრალოდ „გადატვირთოთ“ თითის ანაბეჭდი ან თვალის ფერადი გარსის სკანირება, როგორც ამას პაროლის შემთხვევაში გააკეთებდით. თქვენი ორგანიზაციის მოქმედება პირველი რამდენიმე საათის განმავლობაში კრიტიკულად მნიშვნელოვანია არა მხოლოდ ზიანის შეზღუდვისთვის, არამედ იმისთვისაც, რომ მარეგულირებლებს აჩვენოთ, რომ თქვენ ანგარიშვალდებული ხართ.
სწორედ ამიტომ, ბიომეტრიული მონაცემების შესახებ წინასწარ მომზადებული, ზუსტი და ზუსტი რეაგირების გეგმის ქონა არა მხოლოდ კარგი იდეაა, არამედ აუცილებელია. როგორც კი დარღვევის შესახებ შეიტყობთ, დრო იწყებს აკრეფას.
72-საათიანი შეტყობინების ბოლო ვადა
GDPR-ის თანახმად, თქვენ გაქვთ მკაცრი 72 საათიანი ფანჯარა პერსონალური მონაცემების დარღვევის შესახებ თქვენი საზედამხედველო ორგანოსთვის შეტყობინების გაგზავნის შემდეგ. ნიდერლანდებში მოქმედი ნებისმიერი ბიზნესისთვის ეს ნიშნავს ნიდერლანდების მონაცემთა დაცვის ორგანოსთვის (Autoriteit Persoonsgegevens, ან AP) შეტყობინების გაგზავნას.
სამოცდათორმეტი საათი დიდი დრო არ არის, სწორედ ამიტომ არის წინასწარ დაგეგმილი რეაგირება ასე მნიშვნელოვანი. თქვენს შეტყობინებაში დეტალურად უნდა იყოს აღწერილი დარღვევის ხასიათი, მონაცემების ტიპები და დაზარალებული პირების სავარაუდო რაოდენობა, ასევე სავარაუდო შედეგები. ასევე უნდა ახსნათ უკვე მიღებული ან დაგეგმილი ზომები.
ნაბიჯი 1: დარღვევის შეკავება და ზემოქმედების შეფასება
თქვენი უშუალო პრიორიტეტია სისხლდენის შეჩერება. ეს მოითხოვს თქვენი IT უსაფრთხოებისა და იურიდიული გუნდების კოორდინირებულ ძალისხმევას საფრთხის შესაკავებლად და მომხდარის ზუსტი გარკვევისთვის.
- დაზარალებული სისტემების იზოლირება: დაუყოვნებლივ გააუქმეთ კომპრომეტირებული სისტემები ოფლაინიდან, რათა თავიდან აიცილოთ შემდგომი არაავტორიზებული წვდომა ან მონაცემთა გატანა.
- მტკიცებულებების შენახვა: დაიცავით ყველა ჟურნალი და ციფრული მტკიცებულება. ეს აუცილებელია სათანადო სასამართლო გამოძიებისა და თქვენი მარეგულირებელი ანგარიშგებისთვის.
- მონაცემების იდენტიფიცირება: დააკონკრეტეთ, თუ რა ბიომეტრიულ მონაცემებზე იქონია გავლენა. ნედლი სურათები იყო თუ დაშიფრული შაბლონები? ვინ არიან ჩართული პირები?
ნაბიჯი 2: განსაზღვრეთ, უნდა აცნობოთ თუ არა პირებს
როგორც კი დარღვევის მასშტაბს გაიაზრებთ, კიდევ ერთი კრიტიკული გადაწყვეტილების წინაშე აღმოჩნდებით. GDPR მოითხოვს, რომ დარღვევის შემთხვევაში, პირდაპირ და „გადაჭარბებული დაყოვნების გარეშე“ აცნობოთ დაზარალებულ პირებს. სავარაუდოდ, მაღალი რისკის შემცველი იქნება მათ უფლებებსა და თავისუფლებებზე.
ბიომეტრიული მონაცემების შემთხვევაში, ეს „მაღალი რისკის“ ზღვარი თითქმის ყოველთვის დაკმაყოფილებულია. დარღვევამ შეიძლება გამოიწვიოს შეუქცევადი პირადობის ქურდობა, ფინანსური თაღლითობა ან სხვა მნიშვნელოვანი პირადი ზიანი. ნიდერლანდების AP-მ აჩვენა ამ შეტყობინების მოთხოვნების სულ უფრო მკაცრი აღსრულება. 2024 წლის განმავლობაში, ორგანომ მიიღო 37,839 პერსონალური მონაცემების დარღვევის შესახებ შეტყობინებები, რომელთა მნიშვნელოვანი რაოდენობა იწვევს შემდგომ ქმედებებს. ნიდერლანდების AP-ის პოზიცია ხშირად განსხვავდება ევროკავშირის სხვა ორგანოებისგან, რომელიც უმეტეს დარღვევას მაღალი რისკის შემცველად მიიჩნევს და შესაბამისად, დაზარალებული პირებისთვის პირდაპირ შეტყობინებას მოითხოვს. შეგიძლიათ მეტი ინფორმაცია მიიღოთ ნიდერლანდების მონაცემთა დაცვის სააგენტოს მიდგომა მონაცემთა დარღვევის მიმართ.
თქვენი შეტყობინება პირებისთვის უნდა იყოს მკაფიო და გასაგები ენით დაწერილი. მასში უნდა იყოს ახსნილი, თუ რა მოხდა, რა ინფორმაცია იყო ჩართული და რა ნაბიჯების გადადგმა შეუძლიათ მათ საკუთარი თავის დასაცავად, მაგალითად, ფიშინგის მცდელობების თავიდან ასაცილებლად.
ნაბიჯი 3: შეასრულეთ და დოკუმენტირეთ თქვენი პასუხი
თქვენი რეაგირების გეგმა უნდა იყოს ცოცხალი სახელმძღვანელო და არა დოკუმენტი, რომელიც მტვერს იკრავს. გეგმის შესრულებისას, დოკუმენტირება მოახდინეთ თითოეული განხორციელებული ქმედების შესახებ. ეს დოკუმენტაცია გახდება თქვენი მთავარი მტკიცებულება AP-სთვის, რომ თქვენ პასუხისმგებლობით და გულმოდგინედ იმოქმედეთ.
ეს მოიცავს ყველა გადაწყვეტილების, კომუნიკაციისა და ტექნიკური ზომის აღრიცხვას აღმოჩენის მომენტიდან. კარგად დოკუმენტირებული რეაგირება მნიშვნელოვნად იმოქმედებს იმაზე, თუ როგორ აღიქვამენ რეგულატორები თქვენი ორგანიზაციის საერთო შესაბამისობას და შესაძლოა გავლენა იქონიოს ნებისმიერი პოტენციური ჯარიმის სიმკაცრეზე.
ბიომეტრიული მონაცემების შესაბამისობასთან დაკავშირებული ხშირად დასმული კითხვები
როდესაც ნიდერლანდებში ბიომეტრიის გამოყენების პრაქტიკულ ასპექტებს განიხილავთ, ბევრი კონკრეტული კითხვა ჩნდება. ერთია წესების თეორიულად გაგება და მეორეა მათი რეალურ ბიზნეს სცენარებში გამოყენება. ჩვენ შევკრიბეთ ჩვენი კლიენტების მიერ დასმული რამდენიმე ყველაზე გავრცელებული კითხვა, რათა თქვენთვის გარკვეული სიცხადე შევიტანოთ.
შემიძლია თუ არა თანამშრომლებისთვის ბიომეტრიული დროის საათის გამოყენება მოვთხოვო?
ნიდერლანდებში თითქმის ყველა სიტუაციაში პასუხი მტკიცეა არანიდერლანდების AP მიიჩნევს, რომ დამსაქმებელსა და დასაქმებულს შორის ურთიერთობას თანდაყოლილი ძალაუფლების დისბალანსი აქვს. ამის გამო, დასაქმებულის თანხმობა არ შეიძლება ჩაითვალოს „თავისუფლად მიცემულად“, რაც მას სავალდებულო გამოყენების ბათილად აქცევს.
გასაგრძელებლად, თქვენ უნდა დაამტკიცოთ დამაჯერებელი და აბსოლუტური აუცილებლობა, რომლის დაკმაყოფილებაც შეუძლებელია ნაკლებად ინვაზიური მეთოდით. ეს წარმოუდგენლად მაღალი სტანდარტია ისეთი მარტივი რამისთვის, როგორიცაა დროის თვალყურის დევნება და მისი წარმატების მიღწევა ნაკლებად სავარაუდოა.
სახის ამოცნობის გამოყენება კორპორატიული ტელეფონის განბლოკვისთვის GDPR რისკია?
დიახ, ეს ნამდვილად GDPR რისკია, თუ მას ფრთხილად არ მართავთ. მიუხედავად იმისა, რომ ეს შეიძლება მარტივი მოხერხებულობის ფუნქციად მოგეჩვენოთ, თქვენ მაინც ამუშავებთ სპეციალური კატეგორიის მონაცემებს.
აქ მთავარია, სად ინახება მონაცემები. სახის შაბლონი უსაფრთხოდ ინახება თუ არა მხოლოდ თავად მოწყობილობაზე და არასდროს იგზავნება კომპანიის ცენტრალურ სერვერზე, რისკი მნიშვნელოვნად დაბალია. მიუხედავად ამისა, თქვენ მაინც უნდა ჩაატაროთ DPIA, იყოთ სრულიად გამჭვირვალე თქვენს თანამშრომელთან იმის შესახებ, თუ როგორ მუშაობს ეს და ყოველთვის შესთავაზოთ არაბიომეტრიული ალტერნატივა, როგორიცაა კარგი, ძველმოდური PIN კოდი ან პაროლი.
რამდენ ხანს შეგვიძლია კანონიერად შევინახოთ ბიომეტრიული მონაცემები თანამშრომლის სამსახურიდან წასვლის შემდეგ?
თქვენ უნდა მოიშოროთ ის იმ მომენტში, როდესაც ის აღარ დაგჭირდებათ თავდაპირველი დანიშნულებით. წვდომის კონტროლის სისტემისთვის ეს ნიშნავს, რომ ბიომეტრიული შაბლონი უსაფრთხოდ და სამუდამოდ უნდა წაიშალოს თანამშრომლის ბოლო დღეს ან მის შემდეგ ძალიან მალე.
უბრალოდ არ არსებობს ლეგიტიმური მიზეზი, რომ შევინარჩუნოთ ეს უაღრესად მგრძნობიარე მონაცემები დასაქმების ურთიერთობის დასრულების შემდეგ. მკაფიო, ავტომატური წაშლის პოლიტიკა განუყოფელი ნაწილია. ბიომეტრიული მონაცემების GDPR-თან შესაბამისობა.
At Law & Moreჩვენი იურიდიული ექსპერტის გუნდი დაგეხმარებათ მონაცემთა დაცვის კანონმდებლობის სირთულეების გააზრებაში, რათა უზრუნველყოთ თქვენი ბიზნეს ოპერაციების სრული შესაბამისობა. თქვენს კონკრეტულ სიტუაციასთან დაკავშირებული პერსონალიზებული რჩევებისთვის ეწვიეთ ჩვენს ვებ-გვერდს. https://lawandmore.eu.
