Биометрикалык маалыматтар жана GDPR шайкештиги менен таанышуу үчүн, биз алгач негизги суроого жооп беришибиз керек: так эмне? is биометрикалык маалыматтарбы? Бул жөн гана жеке маалымат эмес. Биз манжа изи, көздүн карегинин үлгүсү же ал тургай кимдир бирөөнүн үнү сыяктуу уникалдуу физикалык же жүрүм-турумдук өзгөчөлүктөрдөн алынган маалыматтар жөнүндө сөз кылып жатабыз. белгилүү бир адамды так аныктоо.

Муну биологиялык ачкыч катары элестетиңиз, ал ар бир адамга гана мүнөздүү жана аны өзгөртүү дээрлик мүмкүн эмес.

GDPR боюнча биометрикалык маалыматтарды аныктоо

Жалпы маалыматтарды коргоо жобосуна (GDPR) ылайык, бир нерсени "биометрикалык маалымат" кылган нерсе эмес түрү маалыматтардын өзүнүн (сүрөт сыяктуу), бирок ниет сиз аны иштетип жатасыз. Кызматкердин ID төш белгисиндеги жөнөкөй сүрөтү автоматтык түрдө биометрикалык маалымат катары эсептелбейт.

Бирок, ошол эле сүрөт имаратка кирүү мүмкүнчүлүгүн берүү үчүн жүздү таануу системасына киргизилген учурда, ал биометрикалык маалыматтарга айланат. Укуктук база толугу менен өзгөрөт.

Маанилүү фактор - бул уникалдуу идентификациялоо максатында колдонулган "өзгөчө техникалык иштетүү". Бул айырмачылыкты туура аныктоо - бул сиздин шайкештик милдеттенмелериңизди түшүнүүнүн негизги ташы. Биздин колдонмодогу нюанстарды тереңирээк изилдей аласыз биометрикалык маалыматтарды иштетүү түшүндүрүлдү.

Эмне үчүн GDPR биометрикалык маалыматтарды башкача карайт

Биометрикалык маалыматтар төмөнкүдөй классификацияланат: "жеке маалыматтардын атайын категориясы" GDPRдин 9-беренесине ылайык. Бул классификация аны төмөнкү маалыматтар менен бирдей жогорку тобокелдик тобуна киргизет:

• Расалык же этникалык келип чыгышы
• Саясий пикирлер
• Диний же философиялык ишенимдер
• Ден соолук же жыныстык жашоо

Мындай жогорку статустун болушунун жакшы себеби бар: биометрикалык маалыматтарга байланыштуу бузуу кайтарылгыс кесепеттерге алып келет. Сырсөздөн айырмаланып, сиз жөн гана манжа изиңизди же көзүңүздүн карегиңизди өзгөртө албайсыз. Эгерде бул маалыматтар бузулса, ал адам үчүн инсандыгын уурдоо жана алдамчылыктын туруктуу коркунучун жаратат.

Такыраак көрүнүш берүү үчүн, бул жерде GDPR боюнча биометрикалык маалыматтардын кеңири таралган түрлөрүнүн жана алардын статусунун бөлүштүрүлүшү келтирилген.

Таблицадан көрүнүп тургандай, ырааттуу тема бул маалыматтарды колдонуу болуп саналат уникалдуу идентификация, ал 9-беренеге ылайык атайын категориядагы коргоону автоматтык түрдө ишке киргизет.

Голландиялык жөнгө салуу ыкмасы

Нидерландияда Нидерландиянын Маалыматтарды коргоо башкармалыгы (Autoriteit Persoonsgegevens же AP) бул эрежелерди өзгөчө катуу чечмелейт. Мисалы, алардын жүздү таануу технологиясы боюнча көрсөтмөлөрү аны көпчүлүк жагдайларда колдонууга тыюу салынганын ачык көрсөтүп турат.

Негизги текшерүү ар дайым иштетүү жеке адамды бир тараптуу аныктоого багытталганбы же жокпу деген маселе болуп саналат. Бул катуу позиция сиз мындай системаны ишке ашырууну ойлонгонго чейин сиздин юридикалык негиздемеңиз канчалык деңгээлде ишенимдүү болушу керектигин баса белгилейт.

Биометрикалык маалыматтарды иштетүү үчүн мыйзамдуу негиздерди табуу

Биометрикалык маалыматтар менен иштегенде, GDPR эки башка юридикалык тоскоолдукту жокко чыгарат. Бул маалыматтарды иштетүү үчүн бир гана жакшы себеп табуу эмес. Сизге мыйзамдуу негиз керек берене 6 жалпы иштетүү үчүн, андан кийин экинчи, алда канча катаал шарт үчүн берене 9 анткени сиз "өзгөчө категориядагы" маалыматтарды иштетип жатасыз. Бул эки бөлүктөн турган талап таптакыр талкууланбайт.

Муну эки башка кулпусу бар банк сейфи сыяктуу элестетиңиз. берене 6 бул биринчи ачкыч, ар кандай жеке маалыматтарды иштетүү үчүн керектүү ачкыч. Бирок биометрика абдан сезимтал болгондуктан, берене 9 эшикти ачуу жөнүндө ойлоно электе экинчи, адистештирилген ачкыч талап кылынат.

GDPR шайкештигинин эки негизги системасы

Биринчиден, сиз иштетүү процессиңизди алты мыйзамдуу негиздин бирине негиздешиңиз керек берене 6Булар кадимки шектенүүлөр: макулдук, келишимдик зарылчылык, сиз аткарышыңыз керек болгон юридикалык милдеттенме, маанилүү кызыкчылыктар, коомдук тапшырманы аткаруу же сиздин өзүңүздүн мыйзамдуу кызыкчылыктарыңыз.

Түшүндүрүп алгандан кийин берене 6 негизинде, чыныгы кыйынчылык башталат. Ошондой эле, сиз көрсөтүлгөн шарттардын бирин аткарышыңыз керек 9 -берене (2), алар атайын категориядагы маалыматтарды иштетүүнүн жалгыз шлюздары болуп саналат. Биометрика үчүн эң белгилүү жана көп учурда туура эмес түшүнүлгөн шарт ачык макулдугу.

Ачык макулдукту жокко чыгаруу

"Ачык макулдукту" маркетингдик жаңылыктар бюллетени үчүн колдоно турган стандарттуу макулдук менен чаташтырбаңыз. Бул бир топ жогорку чек. Аны сиздин шарттарыңызда жана эрежелериңизде бириктирип же кимдир бирөөнүн иш-аракеттеринен улам кыйыр түрдө чагылдырууга болбойт. Бул кристаллдай тунук, позитивдүү аракет болушу керек, ал:

• өзгөчө: "Коопсуздук максатында" жөн гана бүдөмүк макулдук сурай албайсыз. Биометрикалык маалыматтар эмне үчүн керек экенин так түшүндүрүшүңүз керек.
• кабарлады: Адамдар сиз кандай маалыматтарды чогултуп жатканыңызды, аны эмне кыларыңызды, ким көрө аларын жана канча убакытка сактай турганыңызды так билиши керек.
• Эркин берилет: Дал ушул жерде, айрыкча жумуш ордунда, кыйынчылык жаралат. Кызматкер баш тартса, терс кесепеттерден коркуп, биометрикалык системага макул болууга кысым көрсөтүшү мүмкүн. Бул бийликтин тең салмаксыздыгы алардын макулдугу чындыгында "эркин берилбейт" дегенди билдирет жана ошондуктан юридикалык жактан жараксыз.

Нидерландиянын AP (Autoriteit Persoonsgegevens) кызматкердин биометрикалык маалыматтарын иштетүү үчүн макулдукту негиз катары колдонууга өтө күмөн санайт. Органдын баштапкы чекити мындай макулдук дээрлик эч качан эркин берилбейт жана натыйжада GDPRдин катуу талаптарына жооп бербейт деген пикирде.

Бул Нидерландиядагы бизнес үчүн абдан маанилүү жагдай. Биометрикалык убакыт сааты же кеңсеге кирүү системасы үчүн кызматкерлердин макулдугуна таянуу дээрлик ар дайым шайкештиктин туңгуюгу болуп саналат. Сиз күчтүүрөөк жана ылайыктуураак юридикалык негиздерди издешиңиз керек.

Макулдуктан тышкары: 9-берененин башка өзгөчө учурларын изилдөө

Ачык макулдук бардык жаңылыктарды өзүнө тартып алса да, берене 9 биометрикалык маалыматтарды колдонууну актоого мүмкүн болгон бир нече башка, өтө тар өзгөчөлүктөрдү сунуштайт. Сиздин конкреттүү кырдаалыңыз ушул шарттардын бирине толук туура келерин текшерүү өтө маанилүү, анткени аны туура эмес жасоо олуттуу көйгөйлөргө алып келиши мүмкүн. Ар бир бизнес өзүнүн ролун жана милдеттерин кылдаттык менен баалашы керек, бул тууралуу сиз биздин кеңири түшүндүрмөбүздөн окуй аласыз. GDPR боюнча контроллер жана процессор.

Муну ачык-айкын кылуу үчүн, эң тиешелүү шарттарды жана алардын катуу талаптарын салыштырып көрөлү.

Биометрикалык маалыматтарды иштетүүнү мыйзамдуу негизде салыштыруу

Төмөндөгү таблицада сиз карап чыгышыңыз мүмкүн болгон 9-берененин жалпы шарттары бөлүштүрүлүп, алардын кайда иштей тургандыгы жана кайсы жерде көп учурда ката кетирери көрсөтүлгөн.

Акыр-аягы, туура юридикалык негизди тандоо эң оңой вариантты тандоо жөнүндө эмес. Бул сиздин конкреттүү жагдайларыңызды кылдат, документтештирилген талдоону талап кылат. Эң ыңгайлуу көрүнгөнүн тандап алуу - бул эреже бузууга тез жол жана Нидерландиянын AP тарабынан эшикти каккылоо коркунучу.

Маалыматтарды коргоонун таасирин баалоону кантип жүргүзүү керек

Эгерде сиздин уюмуңуз биометрикалык маалыматтарды кандайдыр бир реалдуу масштабда иштетүүнү карап жатса, анда Маалыматты коргоонун таасирин баалоо (DPIA) жөн гана жакшы идея эмес — бул GDPR боюнча мыйзамдуу түрдө милдеттүү түрдө аткарылууга тийиш.

DPIAны купуялуулукка коркунучту расмий баалоо катары элестетиңиз. Бул сизди эмне кылууну пландап жатканыңызды так аныктоого, адамдар үчүн мүмкүн болгон коркунучтарды аныктоого жана ал тобокелдиктерди кантип башкарууну аныктоого мажбурлаган структураланган процесс. мурун сиз эч качан бир гана манжа изин же бетти сканерлейсиз.

Бул жөн гана кутучаны белгилөө көнүгүүсүнөн алда канча көптү билдирет. Бул жоопкерчиликти көрсөтүүнүн жана маалыматтарды коргоону системаларыңыздын дизайнына киргизүүнүн негизги бөлүгү. Биометрика сыяктуу ар кандай жогорку тобокелдиктеги иш-аракеттер үчүн, Нидерландиянын Маалыматтарды коргоо башкармалыгы (AP) суроолорду берип келсе, ар тараптуу жана жакшы негизделген DPIA көрүүнү сөзсүз күтөт.

Биометрика үчүн DPIAны баштоодон мурун, төмөндөгү диаграммада көрсөтүлгөндөй, алгач эки негизги юридикалык тоскоолдуктан өтүшүңүз керек.

Алгач сиз 6-берене боюнча мыйзамдуу негиз таап, андан кийин 9-беренедеги катуу, конкреттүү шарттардын бирине жооп беришиңиз керек. Ошондо гана сиз баалоону уланта аласыз.

DPIAнын негизги компоненттери

Ишенимдүү DPIA иштетүүнү системалуу түрдө сүрөттөп, анын эмне үчүн зарыл жана пропорционалдуу экенин баалап, адамдардын укуктары менен эркиндиктерине келтирилген тобокелдиктерди башкарышы керек. Келгиле, абдан кеңири таралган сценарийди колдонуп, негизги кадамдарды карап чыгалы: кеңсеге кирүүнү көзөмөлдөө үчүн манжа изинин сканерин орнотуу.

1. Иштетүүнү сүрөттөп бериңиз: Так маалымат бериңиз. Маалыматтардын башынан аягына чейин бүтүндөй жүрүшүн майда-чүйдөсүнө чейин баяндап беришиңиз керек.

   • Сиз эмне чогултуп жатасыз? (мисалы, толук сүрөттөрдү эмес, манжа изинин шаблондорун).
   • Бул маалыматтар кантип чогултулат, кайда сакталат, кантип колдонулат жана качан жок кылынат?
   • Бул маалыматтарга ким кире алат жана эмне үчүн?
   • Сканер системасын камсыз кылган компания сыяктуу үчүнчү тараптын сатуучулары катышып жатабы?

2. Зарылчылыкты жана пропорционалдуулукту баалоо: Дал ушул жерде сиз чечимиңизди негиздейсиз. Бул сизден өз божомолдоруңузга каршы чыгып, биометриканы колдонуу эң акылга сыярлык тандоо экенин далилдөөнү талап кылат.

   • Кандай так көйгөйдү чечүүгө аракет кылып жатасыз? (мисалы, сервер бөлмөлөрүнө уруксатсыз кирүүнүн алдын алуу).
   • Эмне үчүн коопсуз ачкыч карталары же PIN коддор сыяктуу анчалык деле кийлигишүүсүз ыкмалар бул конкреттүү кырдаал үчүн жетиштүү эмес?
   • Сиз чогултуп жаткан маалыматтар чындап эле максатыңызга жетүү үчүн талап кылынган минималдуубу?

3. Тобокелдиктерди аныктоо жана баалоо: Өзүңүздү кызматкердин ордуна коюп көрүңүз. Алар үчүн эмне туура эмес болуп кетиши мүмкүн?

   • Маалыматтарды бузуу: Манжа изинин шаблондорунун маалымат базасы уурдалса, реалдуу дүйнөдө кандай таасир этет?
   • Функциянын жайылуусу: Бул маалыматтар кызматкерлерге айтпастан, алардын качан келип-кетип жатканын көзөмөлдөө сыяктуу башка максаттарда колдонулушу мүмкүн деген коркунуч барбы?
   • Четтетүү: Эгерде кызматкер тери оорусунан же манжа издеринин эскиришинен улам системаны колдоно албаса, эмне болот? Алар үчүн альтернатива барбы?
   • Так эместик: Эгерде система өрт сигнализациясы учурунда иштебей калып, ыйгарым укуктуу адамды кулпулап койсочу?

4. Тобокелдиктерди азайтуу боюнча чараларды аныктаңыз: Эми, сиз жаңы эле санап өткөн ар бир тобокелдик үчүн, сиз конкреттүү чечим сунушташыңыз керек. Бул процесстин эң практикалык бөлүгү.

   • Техникалык чаралар: Бул маалыматтар үчүн күчтүү шифрлөөнү, коопсуз шаблон сактоону колдонууну (көбүнчө борбордук серверге караганда түзмөктө сактоо артыкчылыктуу) жана катуу кирүүнү көзөмөлдөөнү камтышы мүмкүн.
   • Уюштуруу чаралары: Бул биометрикалык маалыматтар боюнча так саясатты түзүү, кызматкерлерди ал боюнча окутуу жана бул система үчүн маалыматтардын бузулушуна каршы күрөшүү боюнча атайын планды даярдоону камтыйт.
   • Пропорционалдык көрсөткүчтөр: Мүмкүн болгон жерде ар дайым биометрикалык эмес альтернатива сунуштаңыз. Бул системанын эч кимди адилетсиз түрдө четтетпөөсүн камсыздайт.

Жакшы түзүлгөн DPIA – бул тирүү документ. Бул сиз бир жолу жасап, анан тапшырып жибере турган нерсе эмес. Эгерде сиздин биометрикалык маалыматтарды иштетүүңүздүн көлөмү, мүнөзү же контексти өзгөрсө, ал каралып чыгып, жаңыртылышы керек. Эгерде жөнгө салуучу орган сиздин иш-аракеттериңизге күмөн санаса, ал сиздин тийиштүү текшерүүңүздүн негизги далили катары кызмат кылат.

Бул түзүмдү сактоо менен, DPIA коркунучтуу юридикалык милдеттенмеден күчтүү стратегиялык куралга айланат. Ал биометрикалык маалыматтарды колдонууңуздун алдын ала көрө билүү жана жоопкерчиликтин бекем пайдубалына курулганын камсыз кылууга жардам берет, бул сиздин уюмуңузду да, сиз маалыматтарын иштетип жаткан адамдарды да коргойт.

Күнүмдүк эрежелерди сактоонун маанилүү кадамдары

Биометрикалык маалыматтар үчүн GDPR шайкештигин туура камсыз кылуу - бул тизмеге белги коё турган бир жолку юридикалык иш эмес. Бул сиздин күнүмдүк ишиңиздин бир бөлүгү болушу керек болгон үзгүлтүксүз милдеттенме. Юридикалык негиздериңизди жөнгө салып, DPIAны бүтүргөндөн кийин, бул купуя маалыматтарды жоопкерчилик менен башкаруунун чыныгы иши чындап башталат. Кептин баары юридикалык принциптерди практикалык, күнүмдүк аракеттерге айландыруу жөнүндө.

Мунун өзөгүндө GDPRдин негизги принциптери сиздин компанияңыздын демейки жөндөөсүнө айланышын камсыз кылуу турат. Баштоо үчүн эң сонун жер - бул маалыматтарды минималдаштырууБул жөнөкөй, бирок укмуштуудай күчтүү идея: сиз аныктаган конкреттүү, мыйзамдуу максат үчүн гана сизге керектүү биометрикалык маалыматтарды чогултуңуз. Башка эч нерсе эмес. Эгер сиз кеңсеге кирүү системасын орнотуп жатсаңыз, анда сизге чындап эле жогорку чечилиштеги бетти сканерлөө керекпи, бирок бир топ жөнөкөй биометрикалык шаблон дагы ошондой эле иштей алат? Балким, андай эмес.

Бул кол менен баратат сактоо чектөөсүБиометрикалык маалыматтар түбөлүккө сакталбашы керек. Сиз сактоонун так саясатын түзүп, аны ишке ашырышыңыз керек. Бул эрежелерде маалыматтарды канча убакытка сактай турганыңыз так көрсөтүлүшү жана алардын баштапкы максаты үчүн кереги жок болгондон кийин коопсуз түрдө жок кылынышын камсыз кылуу керек.

Техникалык жана уюштуруучулук коопсуздук чараларын ишке ашыруу

Биометрикалык маалыматтарды тийиштүү түрдө коргоо көп катмарлуу коопсуздук стратегиясын талап кылат. Бул техникалык чечимдерди да, бекем ички саясатты да бириктирүүнү билдирет. Булар жөн гана жакшы нерселер эмес; алар GDPR боюнча сүйлөшүүгө мүмкүн болбогон талаптар.

Бул жерде сиз аткарышыңыз керек болгон кээ бир негизги техникалык чаралар келтирилген:

• Күчтүү шифрлөө: Бардык биометрикалык маалыматтар шифрлениши керек, чекит. Бул серверлерде же түзмөктөрдө сакталганда да колдонулат (ат эс алуу) жана ал тармак аркылуу жөнөтүлүп жатканда (транзит мененШифрлөө маалыматтарды окулбай турган жана уруксатсыз колуна тийген ар бир адам үчүн пайдасыз кылат.
• Катуу кирүү көзөмөлү: Уюмуңуздагы ар бир адам биометрикалык маалыматтарды көрүшү же иштетүүсү керек эмес. Иштерди бекитүү үчүн ролго негизделген кирүүнү көзөмөлдөө каражаттарын колдонуңуз, бул маалыматка ачык жана мыйзамдуу муктаждыгы бар ыйгарым укуктуу кызматкерлер гана кире ала тургандыгын камсыз кылыңыз.
• Коопсуз сактагыч: Мүмкүн болгон учурда, биометрикалык шаблондорду бир чоң борбордук маалымат базасында сактоодон алыс болуңуз. Алда канча коопсуз ыкма - аларды сканердин өзүндө же кызматкердин кирүү картасы сыяктуу түзмөктө жергиликтүү түрдө сактоо. Бул борбордон ажыратылган модель массалык маалыматтардын катастрофалык бузулуу коркунучун бир топ төмөндөтөт.

Бирок технология гана жетишсиз. Уюштуруу чараларыңыз да ошондой эле маанилүү. Кеңири коопсуздук чараларын, мисалы, коопсуздукка биометрикалык жактан биринчи кезектеги ыкмалар, алдамчылык тобокелдигин олуттуу түрдө азайтып, жалпы шайкештикти күчөтө алат. Бул ошондой эле кызматкерлерди маалыматтарды коргоо саясаты боюнча үзгүлтүксүз окутууну жана көйгөйгө айланганга чейин алсыздыктарды табуу жана оңдоо үчүн мезгил-мезгили менен коопсуздук аудиттерин жүргүзүүнү билдирет.

Ачык жана так купуялык эскертүүлөрүн түзүү

Ачыктык - GDPRдин негизги ташы. Адамдар сиз алардын биометрикалык маалыматтары менен эмне кылып жатканыңызды так билүүгө толук укуктуу. Купуялык эскертүүңүз веб-сайтыңыздын төмөнкү колонтитулуна көмүлүп калган тыгыз, жаргондорго толгон документ болбошу керек. Ал так, кыска жана ар бир адам үчүн оңой табылып, түшүнүктүү болушу керек.

Биометрикалык маалыматтарды иштетүү боюнча купуялуулук жөнүндө эскертүүдө төмөнкүлөр так түшүндүрүлүшү керек:

1. Эгер кимдер: Сиздин компанияңыздын аталышы жана байланыш маалыматтары.
2. Эмне үчүн маалыматтарды иштетип жатасыз: Конкреттүү, мыйзамдуу себеп (мисалы, "биздин изилдөө лабораториябызга кирүү мүмкүнчүлүгүн камсыз кылуу").
3. Сиздин укуктук негизиңиз: Сиз таянып жаткан 6 жана 9-беренелердин конкреттүү шарттары.
4. Кандай маалыматтар чогултулуп жатат: Так болуңуз. Жөн гана "биометрия" деп айтпаңыз; бул манжа изинин шаблонубу, көздүн карегинин сканериби ж.б. экенин тактаңыз.
5. Аны канча убакытка чейин сактайсыз: Маалыматтарыңызды сактоо мөөнөтү.
6. Аны ким менен бөлүшөсүз: Буга үчүнчү тараптын техникалык камсыздоочулары кирет.
7. Алардын укуктары: Аларга маалыматтарына жетүү, оңдоо, өчүрүү жана иштетүүгө каршы болуу укугу жөнүндө билдириңиз.

Түшүнүктүү тилдин мисалы: "Сизге сервер бөлмөсүнө кирүү мүмкүнчүлүгүн берүү үчүн биз манжа изиңиздин коопсуз сандык көрсөтүлүшү болгон манжа изинин шаблонун колдонобуз. Бул шаблон сиздин жеке кирүү картаңызда гана сакталат жана жумушуңуз аяктагандан кийин 24 сааттын ичинде биздин системадан өчүрүлөт. Сиз каалаган убакта маалыматыңызды көрүүнү же жок кылууну сурана аласыз."

Мындай ачыктык жөн гана юридикалык чекти белгилөөдөн да көптү билдирет — ал ишенимди бекемдейт. Кимдир бирөөнүн эң жеке маалыматын кантип иштетээриңиз жөнүндө ачык жана ачык болгондо, сиз жөнөкөй талаптардан тышкары маалыматтарды коргоого болгон берилгендигиңизди көрсөтөсүз. Бул юридикалык талапты уюмуңуздун бүтүндүгүнүн негизги ташына айлантат.

Нидерландыдагы аткаруу жана жазалоо боюнча багыт алуу

GDPRдин биометрикалык маалыматтар боюнча катуу эрежелерин этибарга албоо жөн гана теориялык тобокелдик эмес; ал олуттуу каржылык жана беделге шек келтирүүчү кесепеттерге алып келет. Нидерландияда Маалыматтарды коргоо боюнча башкармалык (Autoriteit Persoonsgegevens же AP) өзүнүн катуу көзөмөлү менен белгилүү. Бул маалыматтарды туура эмес колдонуудан келип чыгышы мүмкүн болгон кесепеттерди ар кандай уюм эске алышы керек болгон маанилүү факторго айлантат.

Бул укук коргоо чөйрөсүн түшүнүү абдан маанилүү. Потенциалдуу жазалар жөн гана абстрактуу юридикалык коркунучтар эмес. Алар проактивдүү шайкештиктин канчалык маанилүү экенин баса белгилеген чындык. Маалыматтарды туура иштетүүгө жумшалган инвестиция, аны туура эмес иштетүүнүн кескин баасынан алда канча аз.

Шайкештикти сактабоонун чыныгы баасы

GDPRге ылайык, Нидерландиянын AP сыяктуу көзөмөлдөөчү органдар олуттуу айып пулдарды салууга укуктуу. Бул жазалар натыйжалуу, пропорционалдуу жана баш тартууга багытталган, бул алардын укук бузууга канчалык олуттуу мамиле кылаарын чагылдырат. Атайын категориядагы маалыматтарды жарактуу юридикалык негизсиз иштетүү сыяктуу олуттуу укук бузуулар үчүн айып пулдар таң калыштуу болушу мүмкүн.

Уюмдар айып пулга чейин салынышы мүмкүн 20 миллион евро же алардын дүйнөлүк жылдык жалпы жүгүртүүсүнүн 4% мурунку каржы жылынан, кайсынысы жогору болсо. Бул эки баскычтуу система айып пулдардын эң ири дүйнөлүк корпорацияларга да олуттуу таасирин тийгизээрин камсыздайт.

Жөнгө салуучу органдардын билдирүүсү абдан айкын: биометрикалык маалыматтарды туура эмес колдонуу маалыматтарды коргоо мыйзамынын эң олуттуу бузулушунун бири болуп саналат. Каржылык жазалар, көлөмүнө карабастан, эрежелерди сактабоо эч качан кандайдыр бир бизнес үчүн каржылык жактан пайдалуу вариант болбошу үчүн түзүлгөн.

Нидерландияда жана Европа Биримдигинде жогорку деңгээлдеги укук коргоо органдары

Нидерландиянын AP жана анын европалык кесиптештеринин акыркы аракеттери булардын курулай коркутуулар эмес экенин көрсөтүп турат. Бийлик өз милдеттенмелерин аткарбаган уюмдарды активдүү түрдө иликтеп, жазалап жатат. Нидерландиянын бийлигинин конкреттүү ролу жана ыйгарым укуктары жөнүндө көбүрөөк маалымат алуу үчүн, сиз биздин кеңири макалабызды окуй аласыз Голландиянын Маалыматтарды коргоо органы.

Мунун күчтүү мисалы катары жакында Clearview AIге каршы жасалган иш-аракеттерди айтсак болот. 2024-жылдын 3-сентябрында Нидерландиянын AP агенттиги ...га айып пул салган. 30.5 миллион евро айып Америкалык бетти таануу компаниясына каршы мыйзамсыз маалыматтарды чогултуу практикасы үчүн. Бул иш биометрикалык маалыматты мыйзамдуу негизсиз иштетүүнүн олуттуу финансылык кесепеттерин чагылдырат. Бул маалыматтарды коргоо органдары миллиарддаган евро айып пул салган Европа Биримдигиндеги кеңири тенденциянын бир бөлүгү. Эң кеңири таралган жана кымбат укук бузуубу? Жетишсиз юридикалык негиз. Сиз бул тууралуу көбүрөөк маалымат ала аласыз GDPR боюнча эң чоң айып пулдар жана алардын себептери.

Каржылык жазалардан тышкары

GDPRди бузуунун кесепеттери баштапкы айып пулдан алда канча ашып түшөт. Кадыр-баркка келтирилген зыян андан да кымбат жана узакка созулушу мүмкүн. Коомдук аткаруу чарасы кардарлардын, өнөктөштөрдүн жана коомчулуктун ишенимин олуттуу түрдө жоготууга алып келиши мүмкүн.

Башка мүмкүн болгон кесепеттерге төмөнкүлөр кирет:

• Оңдоо буйруктары: AP сизге маалыматтарды иштетүүнү токтотууну буйрук кыла алат, бул маанилүү бизнес операцияларын токтотууга мажбурлайт.
• Маалыматтарды жок кылуу боюнча талаптар: Туура эмес чогултулган бардык биометрикалык маалыматтарды өчүрүү талап кылынышы мүмкүн.
• Жарандык сот иши: Жабыр тарткан адамдар зыяндын ордун толтурууну талап кылууга укуктуу, бул топтук доо арыздары менен сотко кайрылууга жол ачат.

Акыр-аягы, Нидерландиядагы укук коргоо органдарынын чөйрөсү бекем. Нидерландиянын AP агенттиги адамдардын эң сезимтал маалыматтарын коргоо үчүн өзүнүн толук ыйгарым укуктарын колдонуудан тартынбай турганын көрсөттү. Бул аракетчилдикти талап кылат. биометрикалык маалыматтардын GDPR талаптарына шайкештиги бизнестин маанилүү артыкчылыктуу багыты.

Биометрикалык маалыматтарды бузууга жооп кайтаруу планын түзүү

Биометрикалык маалыматтар бузулганда, бул жөн гана дагы бир IT көйгөйү эмес; бул толук кандуу кризис. Сиз манжа изин же көздүн карегинин сканерин сырсөз сыяктуу "баштапкы абалга келтире" албайсыз. Уюмуңуздун алгачкы бир нече саатта кандай иш-аракет кылганы зыянды чектөө үчүн гана эмес, жөнгө салуучу органдарга сиздин жоопкерчиликтүү экениңизди көрсөтүү үчүн да абдан маанилүү.

Ошондуктан биометрикалык маалыматтар үчүн атайын даярдалган, ишенимдүү, алдын ала даярдалган окуяларга жооп кайтаруу планына ээ болуу жөн гана жакшы идея эмес, бул абдан маанилүү. Сиз бузулуу жөнүндө билген учурдан тартып, убакыт иштей баштайт.

72 сааттык билдирүүнүн акыркы мөөнөтү

GDPRге ылайык, сизде катуу талап бар 72 сааттык терезе жеке маалыматтардын бузулганын аныктагандан кийин аны көзөмөлдөөчү органыңызга билдирүү. Нидерландияда иштеген ар кандай бизнес үчүн бул Нидерландиянын Маалыматтарды коргоо органына (Autoriteit Persoonsgegevens же AP) кабарлоо дегенди билдирет.

Жетимиш эки саат көп убакыт эмес, ошондуктан алдын ала пландаштырылган жооп абдан маанилүү. Сиздин билдирүүңүздө бузуунун мүнөзү, маалыматтардын түрлөрү жана жабыркаган адамдардын болжолдуу саны, ошондой эле мүмкүн болгон кесепеттери кеңири баяндалышы керек. Ошондой эле, сиз буга чейин көргөн же көрүүнү пландап жаткан чараларды түшүндүрүп беришиңиз керек.

1-кадам: Бузууну токтотуу жана таасирин баалоо

Сиздин эң башкы артыкчылыгыңыз - кан агууну токтотуу. Бул сиздин IT коопсуздук жана юридикалык топторуңуздун коркунучту ооздуктоо жана эмне болгонун так аныктоо үчүн координацияланган аракеттерин талап кылат.

• Жабыркаган системаларды изоляциялоо: Мындан ары уруксатсыз кирүүнүн же маалыматтардын алынып кетишинин алдын алуу үчүн бузулган системаларды дароо өчүрүңүз.
• Далилдерди сактоо: Бардык журналдарды жана санариптик далилдерди коопсуз сактаңыз. Бул тийиштүү соттук-медициналык иликтөө жана сиздин жөнгө салуучу отчеттуулугуңуз үчүн абдан маанилүү.
• Маалыматтарды аныктоо: Кандай биометрикалык маалыматтар таасир эткенин так билип алыңыз. Чийки сүрөттөрбү же шифрленген шаблондорбу? Кимдер катышкан?

2-кадам: Жеке адамдарга кабарлоо керекпи же жокпу, аныктаңыз

Бузуунун көлөмүн түшүнгөндөн кийин, сиз дагы бир маанилүү чечимге туш болосуз. GDPR сизден жабыркаган адамдарга түздөн-түз жана "ашыкча кечиктирбестен" кабарлоону талап кылат. жогорку тобокелдикке алып келиши мүмкүн алардын укуктары менен эркиндиктерине.

Биометрикалык маалыматтар менен бул "жогорку тобокелдик" босогосу дээрлик ар дайым аткарылат. Бузуу кайтарылгыс инсандыкты уурдоого, каржылык алдамчылыкка же башка олуттуу жеке зыянга алып келиши мүмкүн. Нидерландиянын AP агенттиги бул билдирүү талаптарынын барган сайын катуу аткарылышын көрсөттү. 2024-жылы ыйгарым укуктуу орган алган 37,839 жеке маалыматтардын бузулушу жөнүндө эскертмелер, алардын олуттуу саны кийинки аракеттерди жаратат. Нидерланддык APтин позициясы көп учурда башка Европа Биримдигинин органдарынан айырмаланып, көпчүлүк бузууларды жогорку тобокелдик катары карайт жана ошондуктан жабыркаган адамдарга түз билдирүүнү талап кылат. Сиз бул тууралуу көбүрөөк маалымат таба аласыз Нидерландиянын DPAсынын маалыматтардын бузулушуна карата мамилеси.

Жеке адамдарга жөнөткөн билдирүүңүз так жана түшүнүктүү тилде берилиши керек. Анда эмне болгону, кандай маалымат камтылганы жана алар өздөрүн коргоо үчүн кандай кадамдарды жасай ала тургандыгы, мисалы, фишинг аракеттерине каршы сак болуу сыяктуу түшүндүрүлүшү керек.

3-кадам: Жообуңузду аткарып, документтештириңиз

Жооп берүү планыңыз чаң басып калган документ эмес, тирүү колдонмо болушу керек. Планды аткарып жатып, жасалган ар бир аракетти документтештириңиз. Бул документ сиздин жоопкерчиликтүү жана тырышчаактык менен иш кылганыңыздын негизги далили болуп калат.

Буга ар бир чечимди, байланышты жана техникалык чараларды табылган учурдан тартып каттоо кирет. Жакшы документтештирилген жооп жөнгө салуучу органдардын сиздин уюмуңуздун жалпы шайкештигине кандай карай тургандыгына олуттуу таасир эте алат жана ар кандай мүмкүн болгон жазалардын оордугуна таасир этиши мүмкүн.

Биометрикалык маалыматтардын шайкештиги боюнча көп берилүүчү суроолор

Нидерландияда биометрикалык маалыматтарды колдонуунун практикалык жактарына келгенде, көптөгөн конкреттүү суроолор пайда болот. Эрежелерди теория жүзүндө түшүнүү бир башка, ал эми аларды реалдуу дүйнөдөгү бизнес сценарийлерине колдонуу башка. Кардарларыбыз сизге бир аз түшүнүк берүү үчүн эң көп берген суроолордун айрымдарын чогулттук.

Кызматкерлерден биометрикалык саатты колдонууну талап кыла аламбы?

Нидерландиядагы дээрлик бардык кырдаалдарда жооп бекем жокНидерландиянын AP агенттиги жумуш берүүчү менен кызматкердин ортосундагы мамиледе күчтөрдүн дисбалансы бар деген көз карашта. Ушул себептен улам, кызматкердин макулдугу чындыгында "эркин берилген" деп эсептелбейт, бул аны милдеттүү түрдө колдонуу үчүн жараксыз юридикалык негиз кылат.

Улантуу үчүн, сиз анча инвазивдүү эмес ыкма менен канааттандырылбай турган ынандырарлык жана абсолюттук зарылдыкты далилдешиңиз керек болот. Бул убакытты көзөмөлдөө сыяктуу жөнөкөй нерсе үчүн өтө жогорку талап жана анын ийгиликтүү болушу күмөн.

Компаниянын телефонунун кулпусун ачуу үчүн бетти таанууну колдонуу GDPR тобокелчилигиби?

Ооба, эгер сиз аны кылдаттык менен башкарбасаңыз, бул сөзсүз түрдө GDPR тобокелдиги. Бул жөнөкөй ыңгайлуулук функциясындай сезилиши мүмкүн, бирок сиз дагы эле атайын категориядагы маалыматтарды иштетип жатасыз.

Бул жердеги негизги нерсе - маалыматтар кайда сакталат. Эгерде беттин шаблону коопсуз сакталса түзмөктүн өзүндө гана жана эч качан борбордук компаниянын серверине жөнөтүлбөсө, тобокелдик бир топ төмөн. Ошого карабастан, сиз дагы эле DPIA жүргүзүшүңүз керек, кызматкериңиз менен анын кантип иштээри жөнүндө толугу менен ачык болушуңуз керек жана ар дайым биометрикалык эмес альтернативаны, мисалы, эски модада жасалган PIN же сырсөздү сунушташыңыз керек.

Кызматкер жумуштан кеткенден кийин биометрикалык маалыматтарды канча убакытка чейин мыйзамдуу түрдө сактай алабыз?

Аны баштапкы максатына кереги жок болуп калганда жок кылышыңыз керек. Кирүүнү көзөмөлдөө системасы үчүн бул биометрикалык шаблон кызматкердин акыркы күнүндө же андан көп өтпөй коопсуз жана биротоло жок кылынышы керек дегенди билдирет.

Жумушка орношуу келишими аяктагандан кийин бул өтө купуя маалыматты сактоого эч кандай мыйзамдуу себеп жок. Так, автоматташтырылган жок кылуу саясатынын болушу талашсыз бөлүгү болуп саналат. биометрикалык маалыматтардын GDPR талаптарына шайкештиги.

At Law & More, биздин эксперттик юридикалык командабыз сизге бизнес операцияларыңыздын толук шайкештигин камсыз кылуу үчүн маалыматтарды коргоо мыйзамынын татаалдыктарын чечүүгө жардам берет. Сиздин конкреттүү кырдаалыңыз боюнча жекелештирилген кеңеш алуу үчүн бизге кайрылыңыз https://lawandmore.eu.