O uso da biometria como método de identificação remonta ao distante século XIX. Os colonialistas britânicos introduziram a prática de identificar suas contrapartes dentre os índios por impressões digitais e palmas. O método foi aprimorado ainda mais, mas ainda é usado hoje. Neste artigo, tentaremos descobrir o que pertence aos dados biométricos e quais recursos de processamento surgem para o operador ao trabalhar com essa categoria de dados pessoais.
Dados pessoais biométricos, o que é?
Primeiro, vamos voltar à definição dada no art. 11 FZ-152 "Sobre dados pessoais" . Dados pessoais biométricos são informações que caracterizam as características fisiológicas e biológicas de uma pessoa e são usadas para estabelecer a identidade do indivíduo com DP.
Com base nas explicações de Roskomnadzor , os dados fisiológicos incluem: dados de impressões digitais, íris dos olhos, testes de DNA, altura, peso e outras características fisiológicas ou biológicas de uma pessoa, incluindo a imagem de uma pessoa (fotografia e vídeo), que possibilita estabelecer sua identidade.
Por exemplo, uma imagem fotográfica digital colorida da face do titular do passaporte são os dados pessoais biométricos do titular do documento. Esta norma está consagrada no RF PP nº 125 de 4 de março de 2010. Aqui estamos falando de um chip na primeira página de um passaporte biométrico (graças ao usuário t12589645 pelas correções). Ao mesmo tempo, é necessário levar em consideração o objetivo que o operador persegue ao processar dados pessoais, mas mais tarde.
Características do processamento de dados pessoais biométricos
A primeira coisa que vemos é abrir o art. 11 FZ-152 : “O processamento de dados pessoais biométricos só pode ser realizado com o consentimento por escrito do sujeito da DP, se os dados forem utilizados para estabelecer a identidade do sujeito. Esta é a principal diferença no processamento desta categoria de DP. De resto, o operador deve ser guiado pelos requisitos gerais do 152-FZ, para a organização do processamento de dados pessoais.
Existem várias exceções a essa regra, quando não é necessário o consentimento para a biometria, elas são fornecidas na parte 2 do artigo 11. O consentimento por escrito não é necessário nos casos em que o processamento de dados é realizado em conexão com:
- com a implementação de acordos internacionais de readmissão;
- com a administração da justiça e a execução de atos judiciais;
- com registro obrigatório de impressão digital do estado;
- nos casos estipulados pela legislação da Federação Russa em defesa, combate ao terrorismo, segurança de transporte, anticorrupção, atividade de busca operacional, etc.
Além da parte 2 do artigo 11, existem várias exceções regulamentadas por outros atos legais regulamentares:
- Uso da imagem para interesses públicos, estaduais ou outros. Por exemplo, esse caso pode incluir informações (foto ou vídeo) relacionadas ao desempenho de suas funções por funcionários e figuras públicas.Esta exceção está registrada no parágrafo 25 da Resolução do Plenário do Supremo Tribunal Federal da Federação Russa no 16, de 15 de junho de 2010.
- O uso da imagem obtida ao fotografar em locais públicos ou em eventos públicos: reuniões, shows, competições esportivas, etc. Nesse caso, a imagem do sujeito não deve ser o principal objeto de uso.
- Uso de fotografias e vídeos pelos quais um cidadão recebeu pagamento. Este e o parágrafo anterior são regulados pelo artigo 152.1 do Código Civil. "Proteção da imagem de um cidadão"
Se a imagem de um cidadão é obtida ou usada sem o seu consentimento e é distribuída na Internet, o cidadão tem o direito de exigir a remoção dessa imagem, bem como a supressão ou proibição de sua distribuição posterior.
Objetivo do processamento de dados pessoais biométricos
No início do artigo, apresentamos a afirmação de que é importante levar em consideração o objetivo do processamento de dados pessoais biométricos. Vamos tentar descobrir por que isso é tão importante. Para fazer isso, voltemos às explicações sobre ILV e à própria definição de DP biométrica:
Dados pessoais biométricos são informações que caracterizam as características fisiológicas e biológicas de uma pessoa e são usadas para estabelecer a identidade do indivíduo com DP.O ponto chave aqui: "usado para estabelecer a identidade do sujeito da DP" . Em outras palavras, se o operador usar um passaporte para determinar a identidade do proprietário do documento, esse processamento deverá cumprir rigorosamente os requisitos do artigo 11 da Lei Federal "Sobre Dados Pessoais". Vamos dividir com exemplos:
Sua organização usa um sistema de controle de acesso (ACS) - pode ser uma versão do relógio ou uma versão "analógica" na forma de um funcionário que verifica a foto no banco de dados e a presente no seu passe ou passaporte. Nesse caso, são utilizadas fotografias, que são dados biométricos que caracterizam características fisiológicas, e o objetivo do processamento é determinar a pessoa que apresenta o passe. De acordo com as explicações de Roskomnadzor, as fotografias e outras informações biométricas (impressões digitais, etc.) usadas para fornecer um acesso único e / ou múltiplo à área protegida estão relacionadas ao processamento de dados pessoais biométricos, procedimento que deve ser realizado apenas com consentimento por escrito.
Um exemplo de processamento incorreto de dados pessoais biométricos
Vamos recorrer ao decreto do Supremo Tribunal da Federação da Rússia de 5 de março de 2018, nº 307-KG18-101.
Com base nos resultados da auditoria, Roskomnadzor escreveu uma receita para a organização (pool) com o requisito de parar de usar fotos de clientes em passes. A violação consistiu na ausência de um consentimento por escrito dos visitantes para o processamento de seus dados biométricos, ou seja, fotografias.
Os argumentos apresentados pelo operador de dados pessoais que:
- Os visitantes deram consentimento geral ao processamento da DP,
- Os visitantes anexaram fotos voluntariamente a crachás
- O PP da Federação Russa nº 125 não menciona a foto no papel, mas fala apenas da “imagem fotográfica digital colorida”
não encontrou entendimento entre os juízes e os requisitos da liminar permaneceram em vigor
Metas corretas para o processamento de dados pessoais biométricos
Voltemos às explicações de Roskomnadzor , em que existem casos em que os dados biométricos podem ser processados de acordo com os requisitos gerais da Lei Federal "Sobre Dados Pessoais". Por exemplo, você chega a um banco ou clínica, onde eles também podem solicitar um passaporte, digitalizá-lo ou fazer uma cópia. Mas, neste caso, o objetivo será a confirmação das ações tomadas por uma pessoa específica (conclusão de um acordo sobre a prestação de serviços, serviços bancários, serviços de comunicação etc.) sem executar procedimentos de identificação. Essas ações não serão mais classificadas como processamento de dados pessoais biométricos. Consequentemente, o processamento de dados deve ser realizado de acordo com os requisitos gerais estabelecidos pela FZ-152.
Uma linha bastante fina, mas ao mesmo tempo é um momento muito significativo que pode levar a penalidades.
Ficha pessoal do funcionário
Além disso, dados pessoais biométricos não são uma fotografia de um funcionário armazenado em um arquivo pessoal e a assinatura de um funcionário. Porque todas as ações que o empregador executa usando dados de um arquivo pessoal visam confirmar sua pertença a um indivíduo específico. Nesse caso, a identidade do funcionário já foi determinada e o empregador já possui seus dados pessoais.
Ao mesmo tempo, manter uma cópia do passaporte é considerado uma ofensa, porque de acordo com o artigo 65 do Código do Trabalho da Federação Russaa lista de dados pessoais armazenados pelo empregador não está definida, mas este artigo determina a lista de dados que o funcionário apresenta ao concluir um contrato de trabalho. Estes incluem, em particular, o passaporte, como um documento de identidade. Manter uma cópia do passaporte pode ser classificado como uma ação excessiva em relação aos propósitos declarados de seu processamento. Aqui, como exemplo, darei um exemplo da instância de cassação do Distrito Norte do Cáucaso.
Gravação pública de vídeo
No caso de um vídeo estar sendo filmado em uma área protegida ou em locais públicos, esses dados também não podem ser considerados PD biométricos, pois o proprietário da câmera de vídeo não os utiliza para identificar uma pessoa específica. Esses dados podem se tornar biométricos se forem transferidos para órgãos policiais e se os materiais de vídeo transferidos forem usados para determinar a identidade de um indivíduo em particular.
Sobre o que o operador deve prestar atenção ao organizar essas filmagens de vídeo?
Nesse caso, o operador deve informar aos visitantes que as filmagens de fotos e vídeos estão sendo realizadas neste local. Pode ser uma placa de texto ou um adesivo especializado, não há requisitos especiais para o design. No caso de você atender a esse requisito simples, não é necessário o consentimento dos visitantes para esses eventos.
Se você instalou a vigilância por vídeo nas salas de trabalho, não se esqueça de informar os trabalhadores sobre isso. É necessário notificar por assinatura. Este requisito está consagrado no Código do Trabalho da Federação Russa, art. 74 e consiste em alterar os termos do contrato de trabalho.
Os objetivos da organização da videovigilância
Mais uma vez, definir metas de tratamento é uma das principais tarefas do operador. E a organização da vigilância por vídeo não é exceção. Os objetivos devem ser determinados com antecedência e ter justificativa legal.
Por exemplo, se a vigilância por vídeo for realizada no escritório, poderá ser: "Gravação de possíveis ações ilegais". Nos cuidados de saúde ou na produção de alimentos, o objetivo pode ser: "Garantir os direitos dos pacientes, clientes ou consumidores". Certamente, ao pedir pizza, você teve a oportunidade de assistir a sua preparação usando webcams destinadas aos locais de trabalho.
Além disso, esse processo deve estar refletido na documentação interna do operador. Uma pessoa com acesso a um sistema de vigilância por vídeo deve ser identificada. Isso geralmente é confirmado por um pedido. Além disso, é necessário prever o procedimento e os termos de armazenamento de vídeos, bem como o procedimento para sua remoção. Claro, não se esqueça dos sinais de informação.
Mais importante em um parágrafo
Para resumir, mais uma vez quero me debruçar sobre os pontos mais importantes. Leia a parte 2 do art. 11 FZ-152 "Sobre dados pessoais" e, em todos os casos que não os abrangem, colete o consentimento para o processamento de dados pessoais biométricos por escrito. Defina as metas de tratamento com antecedência e cumpra-as rigorosamente. Não colete informações redundantes. Se você não souber interpretar este ou aquele requisito da lei, consulte os esclarecimentos da ILV ou escreva-lhes um recurso com sua pergunta.
Um vídeo sobre os erros mais comuns , o registro do consentimento para o processamento de dados pessoais, pode ser visualizado no canal do PDMaster no YouTube , além de outros materiais úteis sobre o tópico "Dados pessoais".