企业必须允许员工撤销生物识别模板与自然人之间的身份链接

rupaliparvin984

西班牙数据保护局 (AEPD) 本周二发布了一份关于使用生物识别数据进行存在和访问控制的指南，该文件规定了在工作和非工作环境中使用生物识别技术的标准。它还规定了必须考虑的措施，以便任何通过该技术处理个人数据的公司或个人都遵守《通用数据保护条例》(GDPR) 等法规。 这篇文章的撰写即使不是在最好的时机，也是在几周前阿利坎特第二社会法院做出的一项开创性裁决之后，该裁决迫使一家公司向一名未经工人许可使用面部识别技术监控他的工人提供赔偿。该公司在任何时候都没有告知将使用他的图像输入用于招聘工人的监控系统的数据库，因此被迫向他支付 6,251 欧元。

正如 AEPD 在一份声明中所报道的那样，“生物识别系统以及从中获得的数据的处理正在迅速发展。” 从这个意义上说，他们指出，这些新系统不仅 电子邮件数据 增加了收集信息的细节，而且甚至允许“无需人的合作，有时甚至没有意识到”收集信息的可能性。这就是上一段所指出的情况。 指南中包含的其他问题 考虑到这一点，该机构已考虑并在其声明中表示，用于身份识别和认证的生物特征数据处理代表着“包括特殊类别数据的高风险”。正如他们所说，某些类别只能通过“解除对其处理的禁止的情况和使其合法化的条件”进行处理，包括在 RGPD 第 9.2 b) 条中。 该指南还规定了用于控制存在的生物识别处理的限制，当做出“无需人工干预的自动决策”时，可能会对受影响的人产生重大的法律后果。



同样，它规定，如果打算收集生物识别数据，在开始处理之前，必须进行数据保护影响评估。除其他方面外，该评估必须证明治疗的适宜性、必要性和相称性的三重分析已经通过。 最后，该机构添加了一系列在满足 GDPR 原则的所有合规要求的情况下必须执行的措施，例如： 向人们通报生物识别处理以及与之相关的高风险；在生物识别系统中实现撤销生物识别模板与自然人之间身份联系的可能性；使用特定的数据格式或技术，使生物识别数据库互连和未经验证的数据泄露成为不可能；或者使用加密来保护生物识别模板的机密性、可用性和完整性。