Водич за усогласеност со GDPR за биометриски податоци во Холандија

За да се справиме со биометриските податоци и усогласеноста со GDPR, прво треба да одговориме на фундаментално прашање: што точно is биометриски податоци? Не станува збор за било какви лични информации. Зборуваме за податоци извлечени од уникатни физички или однесувачки особини - како што се отпечаток од прст, шема на ирисот, па дури и нечиј глас - кои можат недвосмислено идентификувајте одредена личност.

Сфатете го како биолошки клуч, оној што е уникатен за поединецот и практично е невозможно да се промени.

Дефинирање на биометриски податоци според GDPR

Според Општата регулатива за заштита на податоци (GDPR), она што нешто го прави „биометриски податоци“ не е тип на самите податоци (како фотографија), но намена за што го обработувате. Едноставна фотографија од вработен на неговата лична карта не се смета автоматски за биометриски податок.

Сепак, во моментот кога истата фотографија ќе се внесе во систем за препознавање лица за да се овозможи пристап до зграда, таа станува биометриски податок. Правната рамка целосно се менува.

Клучниот фактор е „специфичната техничка обработка“ што се користи за целите на единствена идентификација. Правилното правење на оваа разлика е камен-темелник за разбирање на вашите обврски за усогласеност. Можете подлабоко да ги продлабочите нијансите во нашиот водич за објаснета обработка на биометриски податоци.

Зошто GDPR ги третира биометриските податоци поинаку

Биометриските податоци се класифицираат како „посебна категорија на лични податоци“ согласно член 9 од GDPR. Оваа класификација го става во истата група со висок ризик како и информациите за:

• Расно или етничко потекло
• Политички мислења
• Религиозни или филозофски верувања
• Здравје или сексуален живот

Овој покачен статус е тука со добра причина: повредата што вклучува биометриски податоци има неповратни последици. За разлика од лозинката, не можете само да го промените отпечатокот од прст или ирисот на окото. Доколку овие податоци се компромитирани, тоа создава траен ризик од кражба на идентитет и измама за тоа лице.

За да се добие појасна слика, еве преглед на вообичаените типови на биометриски податоци и нивниот статус според GDPR.

Видови на биометриски податоци и нивна класификација според GDPR
Биометриски идентификатор	Пример за апликација	Статус на посебна категорија на GDPR
Отпечатоци од прсти	Отклучување на службен телефон, следење на времето на вработените	Да, кога се користи за уникатна идентификација.
препознавање на лицето	Безбедносна контрола на пристап, верификација на идентитет на банкарска апликација	Да, кога се користи за уникатна идентификација.
Скенирање на ирис/мрежница	Пристап до објект со висок степен на безбедност	Да, кога се користи за уникатна идентификација.
Гласовни шеми	Автентикација на корисник за безбедна услуга преку телефон	Да, кога се користи за уникатна идентификација.
Динамика на тастатурата	Потврда на однесувањето за откривање на измама на платформа	Да, кога се користи за уникатна идентификација.
Анализа на одење	Безбедносен надзор за идентификација на лица според нивното одење	Да, кога се користи за уникатна идентификација.

Како што покажува табелата, конзистентна тема е употребата на овие податоци за единствена идентификација, што автоматски ги активира заштитите од посебна категорија согласно Член 9.

Холандскиот регулаторен пристап

Тука во Холандија, Холандскиот орган за заштита на податоци (Autoriteit Persoonsgegevens или AP) спроведува особено строго толкување на овие правила. Нивните упатства за технологијата за препознавање лица, на пример, јасно ставаат до знаење дека нејзината употреба е забранета во повеќето околности.

Клучниот тест е секогаш дали обработката има за цел недвосмислено да идентификува физичко лице. Овој строг став нагласува колку убедливо треба да биде вашето правно оправдување пред дури и да размислите за имплементација на таков систем.

Пронаоѓање на вашата законска основа за обработка на биометриски податоци

Кога работите со биометриски податоци, GDPR во суштина ви овозможува да ги надминете две посебни правни пречки. Не станува збор само за наоѓање на една добра причина за обработка на податоците. Потребна ви е законска основа според Член 6 за општа обработка, а потоа и втор, многу построг услов од Член 9 бидејќи ракувате со податоци од „специјална категорија“. Овој услов од два дела е апсолутно непроменлив.

Замислете го како банкарски трезор со две различни брави. Член 6 е првиот клуч, оној што ви е потребен за било каков вид обработка на лични податоци. Но, бидејќи биометријата е толку чувствителна, Член 9 потребен е втор, поспецијализиран клуч пред да можете дури и да помислите да ја отворите вратата.

Систем со два клуча за усогласеност со GDPR

Прво, треба да ја засновате вашата обработка на една од шесте законски основи од Член 6Ова се вообичаените осомничени: согласност, договорна неопходност, законска обврска што мора да ја исполните, витални интереси, извршување јавна задача или ваши сопствени легитимни интереси.

Откако ќе го фиксирате вашиот Член 6 основа, вистинскиот предизвик започнува. Исто така, мора да исполните еден од специфичните услови наведени во Член 9 (2), кои се единствените портали за обработка на податоци од посебна категорија. За биометријата, најпознатиот - и најчесто погрешно разбран - услов е експлицитна согласност.

Деконструкција на експлицитна согласност

Не ја мешајте „експлицитната согласност“ со стандардната согласност што би можеле да ја користите за маркетиншки билтен. Ова е многу повисока граница. Не може да се спакува во вашите услови за користење или да се имплицира од нечии постапки. Мора да биде кристално јасна, позитивна акција што е:

• Специфични: Не можете само да побарате нејасна согласност од „безбедносни причини“. Треба прецизно да наведете зошто ви се потребни биометриските податоци.
• информирани: Луѓето мора точно да знаат какви податоци собирате, што ќе правите со нив, кој може да ги види и колку долго ќе ги чувате.
• Бесплатно дадено: Тука станува сè потешко, особено на работното место. Вработениот може да се чувствува под притисок да се согласи на биометриски систем, плашејќи се од негативни последици ако одбие. Таа нерамнотежа на моќ значи дека неговата согласност не е навистина „слободно дадена“ и затоа е правно неважечка.

Холандскиот AP (Autoriteit Persoonsgegevens) е исклучително скептичен во однос на користењето на согласноста како основа за обработка на биометриски податоци на вработените. Појдовната точка на органот е дека таквата согласност речиси никогаш не се дава слободно и, како резултат на тоа, не ги исполнува строгите барања на GDPR.

Ова е клучна точка за бизнисите во Холандија. Ослонувањето на согласноста од вработените за биометриски часовник или систем за пристап до канцеларија е речиси секогаш ќорсокак во однос на усогласеноста. Треба да барате посилни, посоодветни законски основи.

Надвор од согласноста: Истражување на други исклучоци од Член 9

Додека експлицитната согласност ги освојува сите насловни страници, Член 9 нуди неколку други, многу тесни исклучоци што би можеле да го оправдаат користењето на биометриски податоци. Од витално значење е да бидете сигурни дека вашата специфична ситуација совршено се вклопува во еден од овие услови, бидејќи погрешното постапување може да доведе до сериозни проблеми. Секој бизнис ќе треба внимателно да ја процени својата улога и одговорности, за кои можете да прочитате во нашето детално објаснување за контролор и обработувач според GDPR.

За да биде ова појасно, да ги споредиме најрелевантните услови и нивните строги барања.

Споредба на законските основи за обработка на биометриски податоци

Табелата подолу ги анализира вообичаените услови од Член 9 што би можеле да ги земете предвид, истакнувајќи каде тие функционираат и каде често тргнуваат наопаку.

Член 9 Услов	Клучен услов	Практичен пример	Заедничка замка
Експлицитна согласност	Мора да биде специфичен, информиран, недвосмислен и слободно даден.	Купувач доброволно се запишува во систем за плаќање со препознавање на лица во продавница, со јасна и лесна можност за откажување.	Ослонување на согласноста на вработените, каде што вродената нерамнотежа на моќ речиси секогаш ја поништува.
Закон за вработување	Обработката е неопходна за извршување на обврски или права во областа на трудовото право или правото на социјално осигурување.	Користење на отпечатоци од прсти за пристап до високо чувствителна лабораторија, каде што тоа е пропишано со специфично законодавство за здравје и безбедност.	Користење на биометрија за општа погодност (како следење на времето) кога помалку наметливи методи би ја завршиле работата подеднакво добро.
Значителен јавен интерес	Мора да се заснова на холандското или европското право и да биде пропорционално на целта што се сака да се постигне.	Агенција за спроведување на законот што користи препознавање на лица за да истражува сериозно кривично дело, според специфичен законски мандат од владата.	Приватна компанија која се обидува да тврди дека е „јавен интерес“ за сопствена комерцијална безбедност без никаква реална основа во холандскиот закон.
Витални интереси	Неопходно е да се заштитат виталните интереси на лице кое е физички или правно неспособно да даде согласност.	Користење на скенер за отпечатоци од прсти за идентификување на пациент во несвест во итен случај за пристап до неговите медицински картони што спасуваат живот.	Примена на оваа основа во рутински ситуации каде што поединецот е целосно способен да даде или да одбие согласност.

На крајот на краиштата, изборот на вистинската законска основа не е избор на најлесната опција. Тоа бара темелна, документирана анализа на вашите специфични околности. Едноставното избирање на онаа што ви изгледа најзгодна е брз пат до непочитување и потенцијално тропање на вратата од холандскиот АП.

Како да се спроведе Проценка на влијанието врз заштитата на податоците

Доколку вашата организација воопшто размислува за обработка на биометриски податоци на реален обем, тогаш Проценка на влијанието врз заштитата на податоците (DPIA) не е само добра идеја - тоа е законска обврска според GDPR.

Замислете ја Проценката на влијанието врз приватноста (DPIA) како формална проценка на ризикот за приватноста. Тоа е структуриран процес што ве принудува точно да испланирате што планирате да направите, да ги забележите потенцијалните опасности за поединците и да откриете како да управувате со тие ризици. пред некогаш сте скенирале еден отпечаток од прст или лице.

Ова е многу повеќе од едноставна вежба за штиклирање полиња. Тоа е фундаментален дел од демонстрирањето одговорност и вклучувањето на заштитата на податоците во самиот дизајн на вашите системи. За секоја активност со висок ризик како што е биометријата, Холандскиот орган за заштита на податоци (AP) апсолутно ќе очекува да види сеопфатна и добро образложена DPIA (Проверка на заштитата на податоците) доколку некогаш дојдат да поставуваат прашања.

Пред да можете да започнете со ПВПП за биометрија, прво мора да надминете две фундаментални законски пречки, како што покажува дијаграмот подолу.

Прво мора да пронајдете законска основа според член 6, а потоа да исполните еден од строгите, специфични услови според член 9. Само тогаш можете да продолжите со вашата проценка.

Основните компоненти на DPIA

Солидна ПВЗП треба систематски да ја опише обработката, да процени зошто е неопходна и пропорционална и да управува со ризиците за правата и слободите на луѓето. Ајде да ги разгледаме клучните чекори користејќи многу чест сценарио: инсталирање на скенер за отпечатоци од прсти за контрола на пристапот до канцеларијата.

1. Опишете ја обработката: Бидете конкретни. Треба да го детализирате целото патување на податоците од почеток до крај.

   • Што точно собирате? (на пр., шаблони за отпечатоци од прсти, а не целосни слики).
   • Како ќе се собираат овие податоци, каде се чуваат, како се користат и кога ќе бидат избришани?
   • Кој може да пристапи до овие податоци и зошто?
   • Дали се вклучени некои добавувачи од трети страни, како што е компанијата што го испорача системот за скенирање?

2. Проценка на неопходноста и пропорционалноста: Тука ја оправдувате вашата одлука. Потребно е да ги оспорите сопствените претпоставки и да докажете дека користењето биометрија е најразумниот избор.

   • Кој конкретен проблем се обидувате да го решите? (на пр., спречување на неовластен пристап до серверските соби).
   • Зошто помалку наметливите методи, како што се безбедните картички со клуч или ПИН кодовите, не се доволно добри за оваа специфична ситуација?
   • Дали податоците што ги собирате се навистина минимумот потребен за да ја постигнете вашата цел?

3. Идентификувајте и проценете ги ризиците: Ставете се во кожата на вработен. Што би можело да тргне наопаку за него?

   • Прекршување на податоци: Какво е влијанието во реалниот свет ако базата на податоци со шаблони за отпечатоци од прсти биде украдена?
   • Функција Creep: Дали постои ризик овие податоци да се користат за други работи во иднина, како што е следење кога вработените пристигнуваат и си заминуваат, без да им се каже?
   • Исклучување: Што се случува ако вработениот не може да го користи системот поради кожна состојба или истрошени отпечатоци од прсти? Дали постои алтернатива за него?
   • Неточност: Што ако системот се расипе и го блокира овластеното лице за време на противпожарниот аларм?

4. Идентификувајте мерки за ублажување на ризиците: Сега, за секој ризик штотуку го наведовте, треба да предложите конкретно решение. Ова е најпрактичниот дел од процесот.

   • Технички мерки: Ова би можело да значи имплементирање силна енкрипција за податоците, користење на безбедно складирање на шаблони (на уредот често е подобро отколку на централен сервер) и спроведување строги контроли на пристап.
   • Организациски мерки: Ова вклучува креирање јасна политика за биометриските податоци, обука на персоналот за нив и подготвеност на специфичен план за одговор на повреда на податоци за овој систем.
   • Мерки за пропорционалност: Секогаш нудете небиометриска алтернатива за пристап каде што е можно. Ова осигурува дека системот нема неправедно да исклучи никого.

Добро извршената Проценка на влијанието врз животната средина (DPIA) е жив документ. Тоа не е нешто што го правите еднаш, а потоа го поднесувате во архива. Треба да се прегледа и ажурира доколку се промени обемот, природата или контекстот на вашата биометриска обработка. Таа служи како ваш примарен доказ за длабинска анализа доколку регулаторот некогаш ги доведе во прашање вашите практики.

Следејќи ја оваа структура, DPIA се претвора од тешка законска обврска во моќна стратешка алатка. Таа помага да се осигурате дека вашата употреба на биометрија е изградена врз солидна основа на предвидливост и одговорност, заштитувајќи ја и вашата организација и самите луѓе чии податоци ги обработувате.

Основни чекори за секојдневно усогласување

Усогласувањето со GDPR за биометриските податоци не е еднократна правна задача што можете да ја штиклирате на листа. Тоа е постојана обврска што мора да се вткае во ткаенината на вашите секојдневни операции. Откако ќе ја средите вашата законска основа и ќе завршите со DPIA, вистинската работа за одговорно управување со овие чувствителни податоци навистина започнува. Сè е во претворањето на правните принципи во практични, секојдневни активности.

Во срцето на ова е да се осигурате дека основните принципи на GDPR ќе станат стандардна поставка на вашата компанија. Одлично место за почеток е со минимизирање на податоциТоа е едноставна, но неверојатно моќна идеја: собирајте само биометриски податоци што ви се апсолутно потребни за специфичната, легитимна цел што сте ја идентификувале. Ништо повеќе. Ако поставувате систем за пристап до канцеларија, дали навистина ви е потребно скенирање на лице со висока резолуција кога многу поедноставен биометриски шаблон би ја завршил работата исто толку добро? Веројатно не.

Ова оди рака под рака со ограничување на складирањетоБиометриските податоци не треба да се чуваат засекогаш. Треба да воспоставите и спроведувате јасни политики за задржување. Овие правила треба точно да наведат колку долго ќе ги чувате податоците и да се осигурате дека тие се безбедно избришани во моментот кога повеќе нема да бидат потребни за нивната оригинална намена.

Имплементирање на технички и организациски заштитни мерки

Соодветната заштита на биометриските податоци бара повеќеслојна безбедносна стратегија. Ова значи спојување и на техничките решенија и на солидните внатрешни политики. Ова не се само убави работи; тие се неспорни барања според GDPR.

Еве неколку клучни технички мерки што треба да ги имате во сила:

• Силно шифрирање: Сите биометриски податоци мора да бидат шифрирани, точка. Ова важи и кога се складирани на сервери или уреди (на одмор) и кога се испраќа преку мрежа (во транзит). Шифрирањето ги прави податоците нечитливи и бескорисни за секој што би можел да ги добие без овластување.
• Строги контроли за пристап: Не секој во вашата организација треба да гледа или да ракува со биометриски податоци. Користете контроли на пристап базирани на улоги за да ги заклучите работите, осигурувајќи се дека само овластен персонал со јасна, легитимна потреба може да пристапи до овие информации.
• Безбедно складирање: Секогаш кога можете, избегнувајте складирање на биометриски шаблони во една голема централна база на податоци. Многу побезбеден пристап е да ги складирате локално на уред, како што е самиот скенер или пристапната картичка на вработениот. Овој децентрализиран модел драматично го намалува ризикот од катастрофално масовна повреда на податоци.

Но, самата технологија не е доволна. Вашите организациски мерки се исто толку важни. Спроведувањето на робусни безбедносни мерки, како оние што се наоѓаат во биометриски пристапи кон безбедноста, може сериозно да го намали ризикот од измама и да ја зајакне вашата целокупна усогласеност. Ова исто така значи редовна обука на персоналот за политиките за заштита на податоците и спроведување периодични безбедносни ревизии за да се пронајдат и поправат ранливостите пред тие да станат проблем.

Создавање транспарентни и јасни известувања за приватност

Транспарентноста е камен-темелник на GDPR. Луѓето имаат апсолутно право да знаат точно што правите со нивните биометриски податоци. Вашето известување за приватност не може да биде густ документ полн со жаргон, закопан во подножјето на вашата веб-страница. Мора да биде јасно, концизно и лесно за секого да го најде и разбере.

Во известувањето за приватност за обработка на биометриски податоци што е во согласност со прописите, мора јасно да се објасни следново:

1. Кој си ти: Име на вашата компанија и контакт информации.
2. Зошто ги обработувате податоците: Специфичната, легитимна причина (на пр., „за да се обезбеди пристап до нашата истражувачка лабораторија“).
3. Вашата правна основа: Конкретните услови од Член 6 и Член 9 на кои се потпирате.
4. Кои податоци се собираат: Бидете прецизни. Не кажувајте само „биометрија“; наведете дали е шаблон за отпечаток од прст, скенирање на ирисот итн.
5. Колку долго ќе го чувате: Период на чување на вашите податоци.
6. Со кого ќе го споделите: Ова ги вклучува сите технолошки добавувачи од трети страни.
7. Нивните права: Информирајте ги за нивното право на пристап, корекција, бришење и приговор на обработката на нивните податоци.

Пример за јасен јазик: „Користиме образец за отпечаток од прст, кој е безбедна нумеричка репрезентација на вашиот отпечаток од прст, за да ви овозможиме пристап до серверската соба. Овој образец се чува само на вашата лична картичка за пристап и се брише од нашиот систем во рок од 24 часа од завршувањето на вашиот работен однос. Можете да побарате да ги видите или избришете вашите податоци во секое време.“

Овој вид јасност прави повеќе од само исполнување на законска рамка - гради доверба. Кога сте отворени и транспарентни за тоа како ракувате со најличните информации на некого, покажувате посветеност на заштитата на податоците што оди подалеку од едноставното почитување. Го претвора законскиот услов во камен-темелник на интегритетот на вашата организација.

Справување со спроведувањето и казните во Холандија

Игнорирањето на строгите правила на GDPR за биометриски податоци не е само теоретски ризик; тоа носи сериозни финансиски и репутациски последици. Во Холандија, Управата за заштита на податоци (Autoriteit Persoonsgegevens или AP) е позната по својата цврста примена. Ова ги прави потенцијалните последици од лошото ракување со податоци клучен фактор што секоја организација треба да го земе предвид.

Разбирањето на овој пејзаж за спроведување е од суштинско значење. Потенцијалните казни не се само апстрактни правни закани. Тие се реалност што истакнува колку е навистина важна проактивната усогласеност. Инвестицијата во правилното обработување на вашите податоци е секогаш многу помала од високите трошоци за погрешна обработка.

Вистинската цена на непочитувањето

Според GDPR, надзорните органи како што е холандскиот AP имаат овластување да изрекуваат значителни казни. Овие казни се дизајнирани да бидат ефикасни, пропорционални и одвраќачки, одразувајќи колку сериозно го гледаат прекршокот. За сериозни прекршоци, како што е обработката на податоци од посебна категорија без валидна законска основа, казните може да бидат зачудувачки.

Организациите можат да се соочат со казни до 20 милиони евра или 4% од нивниот вкупен годишен промет во светот од претходната финансиска година, кое и да е поголемо. Овој двостепен систем гарантира дека казните имаат значително влијание дури и врз најголемите глобални корпорации.

Пораката од регулаторите е кристално јасна: несоодветното ракување со биометриски податоци е едно од најсериозните прекршувања на законот за заштита на податоците. Финансиските казни се структурирани така што се осигурува дека непочитувањето никогаш не е финансиски одржлива опција за кој било бизнис, без оглед на неговата големина.

Високопрофилно спроведување во Холандија и ЕУ

Неодамнешните активности на холандскиот АП и неговите европски колеги покажуваат дека ова не се празни закани. Властите активно истражуваат и казнуваат организации кои не ги исполнуваат своите обврски. За повеќе информации за специфичната улога и овластувања на холандскиот орган, можете да ја прочитате нашата детална статија за Холандски орган за заштита на податоци.

Моќен пример за ова е неодамнешната акција против Clearview AI. На 3 септември 2024 година, холандската AP наложи казна... Казна од 30.5 милиони евра против американската компанија за препознавање лица поради нејзините нелегални практики за собирање податоци. Овој случај ги истакнува значајните финансиски последици од обработката на биометриски информации без законска основа. Тоа е дел од поширок тренд низ ЕУ, каде што органите за заштита на податоци изрекоа казни во вкупен износ од милијарди евра. Најчестиот и најскап прекршок? Недоволна законска основа. Можете да истражите повеќе за најголемите казни за GDPR и нивните причини.

Надвор од финансиските казни

Последиците од прекршување на GDPR се протегаат многу подалеку од почетната казна. Штетата на угледот може да биде уште поскапа и долготрајна. Јавната акција за спроведување може да доведе до значително губење на довербата од клиентите, партнерите и јавноста.

Други потенцијални последици вклучуваат:

• Корективни наредби: Авторот на пристапната точка може да ви наложи да престанете со обработката на податоци, со што ќе се предизвика прекин на критичните деловни операции.
• Наредби за бришење податоци: Можеби ќе треба да ги избришете сите неправилно собрани биометриски податоци.
• Граѓанска парница: Засегнатите лица имаат право да бараат надомест на штета, што отвора можност за групни тужби.

На крајот на краиштата, пејзажот за спроведување во Холандија е робустен. Холандскиот АП покажа дека нема да се двоуми да ги искористи сите свои овластувања за да ги заштити најчувствителните податоци на поединците. Ова ја прави совесната усогласеност со GDPR за биометриски податоци суштински бизнис приоритет.

Креирање на вашиот план за одговор на повреда на биометриски податоци

Кога биометриските податоци се компромитирани, тоа не е само уште еден ИТ проблем; тоа е целосна криза. Не можете едноставно да „ресетирате“ отпечаток од прст или скенирање на ирисот на окото како што би направиле со лозинка. Начинот на кој вашата организација дејствува во тие први неколку часа е клучен, не само за ограничување на штетата, туку и за да им покажете на регулаторите дека сте одговорни.

Затоа, имањето робустен, однапред подготвен план за одговор на инциденти, специјално за биометриски податоци, не е само добра идеја - туку е и од суштинско значење. Во моментот кога ќе станете свесни за прекршување, времето почнува да отчукува.

Рок за известување од 72 часа

Според GDPR, имате строга 72-часовен прозорец да пријавите повреда на лични податоци до вашиот надзорен орган откако ќе ја откриете. За секој бизнис што работи во Холандија, ова значи известување до Холандскиот орган за заштита на податоци (Autoriteit Persoonsgegevens или AP).

Седумдесет и два часа не се многу време, па токму затоа однапред планираниот одговор е толку важен. Вашето известување мора детално да ја наведе природата на прекршувањето, видовите податоци и приближниот број на засегнати лица, како и веројатните последици. Исто така, треба да ги објасните мерките што веќе сте ги презеле или планирате да ги преземете.

Чекор 1: Сопирање на прекршувањето и проценка на влијанието

Вашиот непосреден приоритет е да го запрете крварењето. Ова бара координиран напор помеѓу вашите тимови за ИТ безбедност и правни тимови за да се ограничи заканата и да се открие точно што се случило.

• Изолирајте ги погодените системи: Веднаш отстранете ги компромитираните системи од мрежата за да спречите понатамошен неовластен пристап или ексфилтрација на податоци.
• Зачувај ги доказите: Обезбедете ги сите логови и дигитални докази. Ова е клучно за соодветна форензичка истрага и за вашето регулаторно известување.
• Идентификувајте ги податоците: Поконкретно наведете кои биометриски податоци биле засегнати. Дали станува збор за сурови слики или за шифрирани шаблони? Кои се вклучените лица?

Чекор 2: Утврдете дали мора да ги известите поединците

Откако ќе го сфатите обемот на прекршувањето, се соочувате со уште една критична одлука. GDPR бара од вас директно и „без непотребно одложување“ да ги известите засегнатите лица доколку прекршувањето е веројатно ќе резултира со висок ризик на нивните права и слободи.

Со биометриските податоци, овој праг на „висок ризик“ речиси секогаш е исполнет. Прекршувањето може да доведе до неповратна кражба на идентитет, финансиска измама или друга значителна лична штета. Холандскиот АП покажа сè построго спроведување на овие барања за известување. Во текот на 2024 година, органот доби 37,839 известувања за повреда на лични податоци, при што значителен број од нив предизвикуваат понатамошни мерки. Ставот на холандскиот АП честопати се разликува од ставот на другите органи на ЕУ, сметајќи ги повеќето прекршувања како високоризични и затоа бара директно известување до засегнатите лица. Можете да откриете повеќе информации за пристапот на холандската ОПЗ кон кршењето на податоците.

Вашето известување до поединците мора да биде на јасен и едноставен јазик. Треба да објасни што се случило, какви информации биле вклучени и какви чекори можат да преземат за да се заштитат себеси, како што е внимателност при обиди за фишинг.

Чекор 3: Извршете го и документирајте го вашиот одговор

Вашиот план за одговор треба да биде жив прирачник, а не документ што собира прашина. Додека го спроведувате планот, документирајте ја секоја преземена акција. Оваа документација ќе стане ваш главен доказ за AP дека сте дејствувале одговорно и совесно.

Ова вклучува евидентирање на секоја одлука, комуникација и техничка мерка од моментот на откривање. Добро документиран одговор може значително да влијае на тоа како регулаторите ја гледаат целокупната усогласеност на вашата организација и може да влијае на сериозноста на евентуалните казни.

Чести прашања за усогласеност со биометриските податоци

Кога ќе се свртите кон практичните аспекти на користењето биометрија во Холандија, се појавуваат многу специфични прашања. Едно е да се разберат правилата во теорија, а друго е да се применат во реални деловни сценарија. Собравме некои од најчестите прашања што ги поставуваат нашите клиенти за да ви дадеме јасност.

Може ли да побарам од вработените да користат биометриски часовник?

Во речиси секоја ситуација во Холандија, одговорот е цврста брХоландскиот АП смета дека односот помеѓу работодавачот и вработениот има вродена нерамнотежа на моќ. Поради ова, согласноста на вработениот не може навистина да се смета за „слободно дадена“, што ја прави неважечка правна основа за задолжителна употреба.

За да продолжите, ќе треба да докажете убедлива и апсолутна неопходност што не може да се задоволи со ниеден помалку инвазивен метод. Тоа е неверојатно висока граница што треба да се исполни за нешто толку едноставно како што е следењето на времето, и многу е малку веројатно дека ќе успее.

Дали користењето на препознавање лица за отклучување на службен телефон е ризик од GDPR?

Да, ова дефинитивно е ризик од GDPR ако не го управувате внимателно. Иако може да ви изгледа како едноставна функција за практичност, сепак обработувате податоци од посебна категорија.

Клучот тука е каде се складираат податоците. Ако шаблонот за лице е безбедно чуван само на самиот уред и никогаш да не се испраќаат до централен сервер на компанијата, ризикот е значително помал. Сепак, сепак мора да спроведете DPIA, да бидете целосно транспарентни со вашиот вработен за тоа како функционира и секогаш да понудите небиометриска алтернатива, како што е добар старомоден PIN или лозинка.

Колку долго можеме законски да чуваме биометриски податоци откако вработениот ќе си замине?

Мора да се ослободите од него во моментот кога повеќе нема да биде потребен за неговата оригинална намена. За систем за контрола на пристап, ова значи дека биометрискиот шаблон треба безбедно и трајно да се избрише на последниот ден од работниот однос на вработениот или многу кратко потоа.

Едноставно нема легитимна причина да се чуваат овие високо чувствителни податоци откако ќе заврши работниот однос. Постоењето јасна, автоматизирана политика за бришење е неспорен дел од усогласеност со GDPR за биометриски податоци.

---

At Law & More, нашиот стручен правен тим може да ви помогне да се снајдете во сложеноста на законот за заштита на податоци за да се осигурате дека вашето деловно работење е целосно усогласено. За персонализирани совети за вашата специфична ситуација, посетете нè на https://lawandmore.eu.