Context

În urma unei consultări publice efectuate în perioada 03 – 30.09.2018, Autoritatea de supraveghere din Franța (CNIL) a adoptat Regulamentul tip “biometrie la locul de muncă”. Acest document precizează obligațiile angajatorilor care doresc să utilizeze dispozitive biometrice pentru a controla accesul la spațiile, aplicațiile și instrumentele de lucru.

Demersul a fost necesar ca urmare a adoptării în Franța a Legii nr. 2018-493 din 20 iunie 2018 cu privire la protecția datelor cu caracter personal, lege care a încredințat CNIL o misiune nouă, aceea de a stabili și publica, în consultare cu organismele publice și private, “reglementări tip care să asigure securitatea sistemelor de prelucrare a datelor cu caracter personal și să guverneze prelucrarea datelor biometrice, genetice și de sănătate”.

Scop

Scopul regulamentului tip (care poate fi accesat aici) este acela de a stabili cerințe specifice pentru prelucrarea datelor biometrice necesare controlului exercitat de angajatorii publici sau privați cu privire la accesul la locurile de muncă, cât și la aparatele și aplicațiile utilizate în cadrul sarcinilor încredințate angajaților, agenților, stagiarilor sau prestatorilor de servicii (denumiți “persoane vizate”).

Conținut

Regulamentul tip definește noțiunea de “șablon” ca fiind rezultatul prelucrării înregistrării brute (fotografie, înregistrare audio etc.) a caracteristicilor biometrice printr-un algoritm care face imposibilă reconstituirea lor. Șabloanele sunt date biometrice derivate și trebuie să se distingă de datele de la care derivă caracteristicile biometrice. În alte cuvinte, „șablonul” este o reprezentare matematică a originalului biometric.

Se precizează că utilizarea dispozitivelor biometrice care intră sub incidența acestei reglementări standard este permisă numai în următoarele scopuri:

• controlul accesului la spațiile identificate expres de către organizație ca fiind restricționate pentru circulație;
• controlul accesului la dispozitivele profesionale limitate și aplicațiile IT ale organizației.

Operatorii care utilizează dispozitive biometrice în scopul indicat de regulament trebuie să justifice și să demonstreze necesitatea efectuării unei astfel de prelucrări.

În cuprinsul documentului sunt enumerate și datele cu caracter personal care pot fi prelucrate prin intermediul dispozitivelor biometrice de control al accesului. Acestea pot fi:

• Date furnizate de angajator sau de agenții săi (date de identificare);
• Datele generate de dispozitivul folosit (date din jurnal).

Reglementarea interzice ca la locul de muncă să se utilizeze un model de autentificare biometrică ce ar necesita eșantionare biologică ( prin salivă, sânge, etc.). Astfel, este permisă doar autentificarea biometrică efectuată pe baza caracteristicilor morfologice ale persoanelor în cauză (iris, amprentă, rețeaua venoasă a mâinii etc.).

Este important de reținut că alegerea tipului (tipurilor) de biometrie trebuie să fie justificată și documentată de către angajator, inclusiv motivul utilizării unei caracteristici biometrice, și nu a alteia.

Regulamentul tip mai cuprinde referiri cu privire la:

• Persoane îndreptățite să prelucreze datele;
• Alegerea modalităților de păstrare a șablonului;
• Modalitățile și durata conservării datelor;
• Informarea persoanelor vizate;
• Securitatea datelor;
• Necesitatea efectuării unei DPIA.

Până când ANSPDCP hotărăște să sprijine operatorii români prin oferirea de opinii, interpretări sau regulamente de tipul celui despre care am scris, nu ne rămâne decât să folosim materialele furnizate de alte autorități mai active și mai responsabile.