La 西班牙数据保护局 (AEPD) 于 24 月 XNUMX 日发布 通过生物识别系统进行存在控制治疗指南。 事实是,在其他监管机构的一些报告和指导方针之后,该部门正在等待该机构的最终标准是什么,而到目前为止,该机构尚未就这些治疗措施发表如此完整的意见。 我们正在特别谈论的是 时间控制系统(时钟)和通过生物识别进行访问控制 (指纹登录或人脸识别访问等)。
事实上,在了解 AEPD 的意见后,很多人肯定希望 AEPD 不对此事发表评论。 总体而言,本指南是对生物识别系统的攻击,特别是在工作场所的存在和访问控制方面。 其中,AEPD 纠正了迄今为止在这方面的一些标准,并澄清了数据处理中必须满足的一些基本要求。
我们可以简化很多,简单地说,今天这样的活动无法进行。 但是,即使相差非常非常小,也不完全是这样,所以 我们将在下面告诉您本新指南中最相关的部分。 来自代理机构。 我们承诺专注于重要的事情并以尽可能简单的方式进行解释。
《通用数据保护条例》(GDPR) 一般禁止处理特殊类别的数据,只有在发生该条例本身为此目的规定的任何情况时才可以例外处理。 好吧, 生物识别数据是特殊类别数据,用于“唯一标识一个自然人”。 由于这种与识别目的相关的“单一”数学概念,AEPD 最初的解释似乎是,如果生物特征数据用于识别目的,它们将是特殊类别数据,但如果它们用于身份验证,则不是特殊类别数据系统.. 我们不会进一步深入探讨这一点,因为欧洲数据保护委员会已经澄清,最终且非常简单的是,如果在身份验证过程中您需要身份识别或身份识别同时发生,则生物识别数据将用于识别特定的身份。自然人,重要的是要了解有特殊类别的数据处理。 这是其中之一 重新考虑 AEPD 现在正在这样做。
因此,不再试图接受这样的想法:在时间控制或访问控制中发生的是身份验证而不是识别,因为它需要如此多的时间,它需要如此多的时间。
因此,有必要看看是否可以因 RGPD 中包含的任何例外情况而解除对生物识别数据处理的禁令。 那么,在该条例包含用于处理特殊类别数据的假设范围内,出于此处提到的目的,只有以下两个适合:
- 如果你有 同意 员工数,必须以明确、具体和明确的方式告知和授予 免费.
- 如果需要履行本协议范围内的义务或者行使权利 劳动法、保障和社会保护。 请注意,这需要获得欧洲或国家标准或集体协议的授权,为员工(在本例中是员工)的权益提供充分的保障。
限制
当这份报告开始变成一部恐怖电影时,你就会嘲笑《驱魔人》或整个《电锯惊魂》传奇。 因为? 因为本新指南中的 AEPD 几乎关闭了这两种选择的大门:
- 之前,我知道这些治疗可以合法化,因为有一条法律条款规定了这一点:艺术。 《工人法》第 20.3 条关于访问控制和艺术。 34.9 用于时间控制、当天的出席或打卡,无论我们如何称呼它。 现在,与其他数据保护控制机构的标准相呼应,它纠正并确定这些条款是不充分的,因为它们没有明确提及生物特征数据的处理,并且因为它们不包括必须适用于保护个人隐私的保证。用户、员工。
- 它还表明,同意也不能成为这些待遇合法化的基础,因为在雇主与雇员的关系中,必须假设鉴于公司的主导地位,工人不会自由地表示同意。
- 即使可以给予自由同意,这也意味着必须为那些不同意处理其生物识别数据的员工提供替代方案,并且如果所述替代方案对员工隐私的侵犯较小,则这意味着数据处理生物特征识别不是必需的,因此,根据个人数据最小化原则(不处理非绝对必要的数据),它是不成比例的,无法进行。
结论:在公司中建立用于这些目的的生物识别系统即使不是不可能,也变得极其困难。
难道就没有解决办法吗? 我们非常担心,只要欧洲或西班牙没有专门规范这些使用生物识别数据的控制的标准,能够在工作场所处理此类数据的唯一解决方案就是对其进行协商并以明确的方式收集它。 集体协议 以及公司在采用这些系统时必须实施的保证,以确保员工的权利。
此外,如果运气好的话可以克服第一个障碍,那么就有必要完成 AEPD 在本指南中规定的其余要求。 而且,要小心,因为它们并不少,也不容易遵守,而且因为它们扩展到工作环境之外的其他可能的生物识别数据处理。
因此,如果立法者偶然想要监管这些生物识别控制系统,请不要跳过数据保护影响评估的过程,这将为企业以后采用这些系统节省一些时间。
露丝·贝尼托·马丁, ELZABURU 的 Councel
