L'utilisation de la biométrie comme méthode d'identification est apparue au XIXe siècle. Les colonialistes britanniques ont introduit la pratique consistant à identifier leurs contreparties parmi les Indiens par des empreintes digitales et des paumes. La méthode a été encore affinée, mais elle est toujours utilisée aujourd'hui. Dans cet article, nous essaierons de comprendre ce qui s'applique aux données biométriques et les fonctionnalités de traitement qui se présentent à l'opérateur lorsqu'il travaille avec cette catégorie de données personnelles.
Qu'est-ce que les données personnelles biométriques?
Tout d'abord, passons à la définition donnée à l' art. 11 -152 "Sur les données personnelles" . Les données personnelles biométriques sont des informations qui caractérisent les caractéristiques physiologiques et biologiques d'une personne et qui sont utilisées pour établir l'identité du sujet de la MP.
Sur la base des explications de Roskomnadzor , les données physiologiques comprennent: les empreintes digitales, l'iris, les tests ADN, la taille, le poids, ainsi que d'autres caractéristiques physiologiques ou biologiques d'une personne, y compris l'image d'une personne (photo et vidéo), qui lui permet d'établir son identité.
Par exemple, une image photographique numérique couleur du visage du titulaire du passeport correspond aux données personnelles biométriques du titulaire du document. Cette norme est inscrite dans le RF PP n ° 125 du 4 mars 2010. Ici, nous parlons de la puce à l'intérieur de la première page du passeport biométrique (merci à l'utilisateur t12589645 pour les corrections). Dans le même temps, il est nécessaire de prendre en compte la finalité poursuivie par l'opérateur lors du traitement des données personnelles, mais plus à ce sujet plus tard.
Caractéristiques du traitement des données personnelles biométriques
La première chose que nous voyons lorsque nous ouvrons v. 11 FZ-152 : «Le traitement des données personnelles biométriques ne peut être effectué qu'avec le consentement écrit du sujet DP, si les données sont utilisées pour établir l'identité du sujet. C'est la principale différence dans le traitement de cette catégorie de DP. Pour le reste, l'opérateur doit être guidé par les exigences générales du 152-FZ, à l'organisation du traitement des données personnelles.
Il existe un certain nombre d'exceptions à cette règle, lorsque le consentement à la biométrie n'est pas requis, elles sont données dans la partie 2 de l'article 11. Le consentement écrit n'est pas requis dans les cas où le traitement des données est effectué en relation avec:
- avec la mise en œuvre des accords internationaux de réadmission;
- avec l'administration de la justice et l'exécution des actes judiciaires;
- avec l'enregistrement obligatoire des empreintes digitales de l'État;
- dans les cas prévus par la législation de la Fédération de Russie sur la défense, la lutte contre le terrorisme, la sécurité des transports, la lutte contre la corruption, les activités de recherche opérationnelle, etc.
Outre la partie 2 de l'article 11, il existe un certain nombre d'exceptions réglementées par d'autres actes juridiques réglementaires:
- Utilisation de l'image dans des intérêts étatiques, publics ou autres. Par exemple, un tel cas peut inclure des informations (photo ou vidéo) relatives à l'exercice de leurs fonctions par des fonctionnaires et des personnalités publiques. Cette exception est mentionnée au paragraphe 25 de la résolution de l'Assemblée plénière de la Cour suprême de la Fédération de Russie no 16 du 15 juin 2010.
- L'utilisation de l'image obtenue lors de prises de vue dans des lieux publics ou lors d'événements publics: réunions, concerts, compétitions sportives, etc. De plus, l'image du sujet ne doit pas être l'objet principal d'utilisation.
- Utilisation de photographies et de vidéos pour lesquelles un citoyen a reçu un paiement. Ce paragraphe et le paragraphe précédent sont régis par l' article 152.1 du Code civil. "Protection de l'image d'un citoyen"
Si l'image d'un citoyen est obtenue ou utilisée sans son consentement et diffusée sur Internet, le citoyen a le droit d'exiger la suppression de cette image, ainsi que la suppression ou l'interdiction de sa diffusion ultérieure.
Finalités du traitement des données personnelles biométriques
Au début de l'article, nous avons déclaré qu'il était important de prendre en compte la finalité du traitement des données personnelles biométriques. Essayons de comprendre pourquoi c'est si important. Pour ce faire, revenons aux explications de l' ILV et à la définition même de la PD biométrique:
Les données personnelles biométriques sont des informations qui caractérisent les caractéristiques physiologiques et biologiques d'une personne et qui sont utilisées pour établir l'identité du sujet de la MP.Le point clé ici: "utilisé pour établir l'identité du sujet de la MP" . En d'autres termes, si l'opérateur utilise le passeport pour déterminer l'identité du propriétaire du document, ce traitement doit alors respecter strictement les exigences de l'article 11 de la loi fédérale sur les données personnelles. Décomposons-le avec des exemples:
Votre organisation utilise un système de contrôle d'accès (ACS) - il peut s'agir d'un horodateur ou d'une version «analogique» sous la forme d'un employé qui vérifie la photo de la base de données et celle présente sur votre passe ou passeport. Dans ce cas, des photographies sont utilisées, qui sont des données biométriques caractérisant des caractéristiques physiologiques, et le but du traitement est de déterminer l'identité de la personne présentant le pass. Selon les explications de Roskomnadzor, les photographies et autres informations biométriques (empreintes digitales, etc.) utilisées pour garantir un accès unique et / ou multiple à la zone protégée se réfèrent au traitement des données personnelles biométriques. Cette procédure ne doit être effectuée qu'avec un consentement écrit.
Exemple de traitement inapproprié de données personnelles biométriques
Passons au décret de la Cour suprême de la Fédération de Russie du 05.03.2018 n ° 307-KG18-101.
Sur la base des résultats de l'audit, Roskomnadzor a écrit un ordre à l'organisation (pool) avec l'obligation de cesser d'utiliser les photos des clients sur les laissez-passer. La violation était l'absence d'un consentement écrit distinct des visiteurs au traitement de leurs données biométriques, à savoir des photographies.
Les arguments avancés par l'exploitant de données personnelles qui:
- Les visiteurs ont donné leur accord général au traitement de PD,
- Les visiteurs ont volontairement joint des photos à leurs laissez-passer
- Le PP de la Fédération de Russie n ° 125 ne mentionne pas de photo sur papier, mais ne parle que d'une "image photographique numérique couleur"
n'a pas trouvé d'entente parmi les juges et les exigences de l'injonction sont restées en vigueur.
Finalités correctes du traitement des données personnelles biométriques
Revenons aux explications de Roskomnadzor , dans lesquelles il existe des cas où des données biométriques peuvent être traitées conformément aux exigences générales de la loi fédérale «sur les données personnelles». Par exemple, vous venez dans une banque ou une clinique, où ils peuvent également vous demander un passeport et le scanner ou en faire une copie. Mais dans ce cas, l'objectif sera de confirmer la mise en œuvre d'actions par une personne spécifique (conclusion d'un accord pour la prestation de services, la banque, les services de communication, etc.) sans mener de procédures d'identification. De telles actions ne seront plus classées comme traitement de données personnelles biométriques. En conséquence, le traitement des données doit être effectué conformément aux exigences générales établies par FZ-152.
Une ligne assez mince, mais en même temps un moment très important, qui peut entraîner des pénalités.
Dossier personnel de l'employé
De plus, les données personnelles biométriques ne sont pas une photographie d'un employé stockée dans un dossier personnel et la signature de l'employé. Car toutes les actions que l'employeur effectue à l'aide des données d'un fichier personnel visent à confirmer son appartenance à une personne spécifique. Dans ce cas, l'identité du salarié a déjà été déterminée et l'employeur a déjà ses données personnelles.
Dans le même temps, la conservation d'une copie du passeport est considérée comme une infraction, car conformément à l' article 65 du Code du travail de la Fédération de Russiela liste des données personnelles stockées par l'employeur n'est pas définie, et cet article définit la liste des données que le salarié présente à la conclusion du contrat de travail. Il s'agit notamment du passeport en tant que document identifiant la personne. La conservation d'une copie du passeport peut être considérée comme une action excessive par rapport aux finalités déclarées de leur traitement. Ici, à titre d'exemple, je donnerai un exemple de l' instance de cassation du district du Caucase du Nord.
Tournage dans les lieux publics
Dans le cas où une vidéo est filmée dans une zone protégée ou dans des lieux publics, ces données ne peuvent pas non plus être considérées comme des PD biométriques, car le propriétaire de la caméra vidéo ne les utilise pas pour identifier une personne spécifique. Ces données peuvent devenir biométriques si elles sont transférées à des organismes d'application de la loi et si le matériel vidéo transmis est utilisé pour déterminer l'identité d'une personne en particulier.
À quoi l'opérateur doit-il prêter attention lors de l'organisation d'un tel tournage vidéo?
Dans ce cas, l'exploitant doit informer les visiteurs que des tournages photo et vidéo sont en cours dans ce lieu. Il peut s'agir d'une étiquette textuelle ou d'un autocollant spécialisé; aucune exigence de conception particulière n'est imposée. Dans le cas où vous avez rempli cette simple exigence, le consentement des visiteurs pour organiser de tels événements n'est pas requis.
Si vous avez installé la vidéosurveillance dans les ateliers, n'oubliez pas d'en informer les travailleurs. La notification doit être signée. Cette exigence est inscrite dans le Code du travail de la Fédération de Russie, art. 74 et consiste à modifier les termes du contrat de travail.
Les objectifs de l'organisation de la vidéosurveillance
Une fois de plus, la définition des objectifs de traitement est l'une des tâches clés de l'opérateur. Et l'organisation de la vidéosurveillance ne fait pas exception. Les objectifs doivent être prédéterminés et légalement justifiés.
Par exemple, si la vidéosurveillance est effectuée dans le bureau, cela pourrait être: «Réparer d'éventuelles actions de nature illégale». Dans les établissements médicaux ou dans la production alimentaire, l'objectif peut être: «Garantir les droits des patients, des clients ou des consommateurs». Lors de la commande d'une pizza, vous avez sûrement eu l'occasion de regarder sa préparation à l'aide de webcams destinées aux lieux de travail.
De plus, ce processus devrait se refléter dans la documentation interne de l'opérateur. Une personne ayant accès à un système de vidéosurveillance doit être identifiée. Ceci est généralement confirmé par une commande. En outre, il est nécessaire de prévoir la procédure et les conditions de stockage des vidéos, ainsi que la procédure de leur suppression. Bien sûr, n'oubliez pas les panneaux d'information.
Le plus important dans un paragraphe
Pour résumer, je voudrais encore une fois m'attarder sur les points les plus importants. Lisez attentivement la partie 2 de l'article 11 FZ-152 "Sur les données personnelles" et dans tous les cas ne les relevant pas, recueillir par écrit le consentement au traitement des données personnelles biométriques. Définissez à l'avance les objectifs de traitement et respectez-les strictement. Ne collectez pas d'informations redondantes. Si vous ne savez pas comment interpréter telle ou telle exigence de la loi, référez-vous aux explications du RKN ou écrivez-leur un appel avec votre question.
Une vidéo sur les erreurs les plus courantes , l'enregistrement du consentement au traitement des données personnelles peut être visionné sur la chaîne YouTube PDMaster , ainsi que d'autres documents utiles sur le thème "Données personnelles".