การนำทางข้อกำหนดการปฏิบัติตามข้อกำหนดสำหรับการรวบรวมข้อมูลไบโอเมตริกซ์: คู่มือสำหรับธุรกิจ

โดย Eva Kozar ผู้บริหารบัญชีอาวุโสซึง

ธุรกิจที่รวบรวมข้อมูลไบโอเมตริกซ์จะต้องปฏิบัติตามข้อกำหนดการปฏิบัติตามกฎระเบียบที่หลากหลายโดยมีกฎหมายเช่นกฎการป้องกันข้อมูลทั่วไป (GDPR), พระราชบัญญัติความเป็นส่วนตัวของผู้บริโภคแคลิฟอร์เนีย (CCPA) และกฎระเบียบเฉพาะอุตสาหกรรมที่ส่งผลกระทบต่อวิธีที่ บริษัท สามารถจัดเก็บและประมวลผลข้อมูลดังกล่าวได้ มาดูสิ่งที่เกี่ยวข้อง

กรณีที่เพิ่มขึ้นทั่วโลกเพื่อความปลอดภัยทางชีวภาพ

จากระบบข้อมูล Biometric Schengenไปยังการขึ้นเครื่องบินลูกค้าล้านคนด้วยเทคโนโลยีไบโอเมตริกซ์โดย Eurasian Bank ในปี 2565 ธุรกิจทุกรูปแบบและขนาดนั้นอาศัยความปลอดภัยทางชีวภาพและการตรวจสอบความถูกต้อง ซึ่งหมายความว่าพวกเขาจำเป็นต้องเร่งความเร็วด้วยข้อกำหนดการปฏิบัติตาม

ข้อกำหนดในการดำเนินการตามกระบวนการเพื่อให้สอดคล้องกับกฎหมายเกี่ยวกับการจัดการข้อมูลไม่มีอะไรใหม่ กฎหมายคุ้มครองข้อมูลและการปฏิบัติตามข้อกำหนดของ KYCเอกสารได้ทำให้ บริษัท ยุ่งอยู่กับการตรวจสอบให้แน่ใจว่าพวกเขามีมาตรฐานล่าสุด แต่ข้อผูกพันด้านกฎระเบียบมักจะล้าหลังเมื่อพูดถึงวิธีการรวบรวมจัดเก็บและประมวลผลข้อมูลไบโอเมตริกซ์

อย่างน้อยพวกเขาก็ทำจนถึงประมาณปี 2560

กฎระเบียบ

ประมาณปี 2560/2561 ที่การอภิปรายเกี่ยวกับกฎระเบียบของข้อมูลไบโอเมตริกซ์ได้เข้าสู่พิกัดมากเกินไป นี่เป็นผลมาจากการพัฒนาทั่วโลก

ในประเทศจีนกฎหมายความปลอดภัยทางไซเบอร์มีผลบังคับใช้ในวันที่ 1 มิถุนายน 2560 รวมถึงข้อกำหนดรอบ ๆปกป้องความเป็นส่วนตัวของข้อมูลไบโอเมตริกซ์- จีนผ่านไปกฎหมายคุ้มครองข้อมูลส่วนบุคคลซึ่งมีผลบังคับใช้พฤศจิกายน 2564 ซึ่งหมายความว่าธุรกิจที่ดำเนินงานในประเทศจีนมีภาระผูกพันที่ชัดเจนเมื่อพูดถึงข้อมูลไบโอเมตริกซ์

ในขณะเดียวกันในอินเดียการสนทนาเกี่ยวกับความเป็นส่วนตัวของข้อมูลเพิ่มขึ้นในระดับหนึ่งในปี 2560 เมื่อศาลฎีกาของประเทศตัดสินว่าความเป็นส่วนตัวเป็น“ สิทธิขั้นพื้นฐาน” อินเดียรวบรวมข้อมูลไบโอเมตริกซ์รวมถึงลายนิ้วมือสิบครั้งและการสแกนไอริสสองครั้งจากผู้อยู่อาศัยทุกคนที่มีอายุมากกว่า 18 ปีประเทศได้พยายามที่จะผ่านกฎหมายคุ้มครองข้อมูลส่วนบุคคลมานานหลายปีพร้อมร่างล่าสุด

กฎหมายที่กว้างที่สุดจนถึงปัจจุบันเมื่อพูดถึงข้อมูลไบโอเมตริกซ์คือ GDPR ซึ่งมีผลบังคับใช้เมื่อวันที่ 25 พฤษภาคม 2561 หน่วยงานใด ๆ ที่รวบรวมหรือประมวลผลข้อมูลส่วนบุคคลของสหภาพยุโรป (EU) ต้องปฏิบัติตาม GDPR รวมถึงข้อกำหนดเกี่ยวกับข้อมูลไบโอเมตริก ระเบียบดังกล่าวห้ามการประมวลผล“ หมวดหมู่ข้อมูลส่วนบุคคลประเภทพิเศษ” ซึ่งรวมถึงข้อมูลไบโอเมตริกซ์และปกป้องพลเมืองของสหภาพยุโรปจากการแบ่งปันข้อมูลที่ไม่ได้รับความยินยอม

ภาระหน้าที่ของ GDPR ในทางปฏิบัติ

ข้อห้ามของ GDPR ไม่ได้หมายความว่า บริษัท ไม่สามารถประมวลผลข้อมูลไบโอเมตริกซ์ได้เลย มันหมายความว่าพวกเขาต้องทำเป็นไปตามเงื่อนไขบางประการ- สิ่งเหล่านี้รวมถึงบุคคลที่ให้ความยินยอมอย่างชัดเจนสำหรับการประมวลผลข้อมูลการเรียกร้องทางกฎหมายการคุ้มครองที่จำเป็นต่อผลประโยชน์ของแต่ละบุคคลหากพวกเขาไม่สามารถให้ความยินยอมได้เหตุผลผลประโยชน์สาธารณะที่เกี่ยวข้องกับสุขภาพของประชาชนและภาระผูกพันที่น่าพึงพอใจภายใต้การจ้างงานประกันสังคมและกฎหมายคุ้มครองสังคม

กฎระเบียบข้อมูลไบโอเมตริกซ์ในสหรัฐอเมริกา

ในขณะที่ทุกคนที่ประมวลผลข้อมูลไบโอเมตริกซ์ของผู้อยู่อาศัยในสหภาพยุโรปจะต้องปฏิบัติตาม GDPR แต่ก็ไม่มีการเทียบเท่ากับรัฐบาลกลางในสหรัฐอเมริกาแทนการปกป้องดังกล่าวได้รับการจัดการตามกฎหมายของรัฐซึ่งหมายความว่าธุรกิจจะต้องปฏิบัติตามกฎระเบียบท้องถิ่นที่แตกต่างกันไปขึ้นอยู่กับที่พวกเขาอยู่ บริษัท ขนาดใหญ่บางแห่งยังมีแนวทางการกำกับดูแลตนเองที่ตกลงกันโดยคณะกรรมาธิการการค้าของรัฐบาลกลาง บริษัท ใด ๆ ที่ประมวลผลข้อมูลที่เป็นของผู้อยู่อาศัยในสหภาพยุโรปตกอยู่ภายใต้ GDPR เช่นกัน

ผลที่ได้คือบางรัฐในสหรัฐอเมริกามีกฎหมายความเป็นส่วนตัวของข้อมูลไบโอเมตริกซ์ในขณะที่คนอื่นไม่ได้ เรื่องที่ซับซ้อนคือข้อเท็จจริงที่ว่าหน่วยงานของรัฐหลายแห่งให้การจัดการการจัดการข้อมูลไบโอเมตริกซ์อย่างน้อยก็ในระดับหนึ่ง เหล่านี้รวมถึงสถาบันมาตรฐานและเทคโนโลยีแห่งชาติสำนักงานคณะกรรมการอาหารและยาคณะกรรมาธิการการค้าของรัฐบาลกลางและกรมอนามัยและบริการมนุษย์ผ่านพระราชบัญญัติการประกันสุขภาพและความรับผิดชอบ (HIPAA)

ความคืบหน้าด้านการกำกับดูแลชั้นนำบางอย่างในสหรัฐอเมริกาอยู่ในแคลิฟอร์เนียซึ่งผ่านพระราชบัญญัติความเป็นส่วนตัวของผู้บริโภคแคลิฟอร์เนียในเดือนมิถุนายน 2561 และพระราชบัญญัติสิทธิความเป็นส่วนตัวของแคลิฟอร์เนียในเดือนพฤศจิกายน 2563 กฎหมายทั้งสองมีผลบังคับใช้ในวันที่ 1 มกราคม 2563 และ 1 มกราคม 2566 ตามลำดับ ภายใต้กฎหมายของแคลิฟอร์เนียข้อมูลไบโอเมตริกซ์ในขณะนี้รับประกันการป้องกันเดียวกันเป็นข้อมูลส่วนบุคคลรูปแบบอื่น ๆ

ระหว่างพวกเขากฎหมาย GDPR และแคลิฟอร์เนียมีอิทธิพลต่อกฎหมายการคุ้มครองข้อมูลในประเทศอื่น ๆ อีกมากมายรวมถึงข้อมูลไบโอเมตริกซ์ ประเทศต่าง ๆ ตั้งแต่เกาหลีใต้ถึงบราซิลได้ใช้วิธีการนี้ในการปกป้องและควบคุมข้อมูลด้วยกฎหมายคุ้มครองข้อมูลทั่วไปของหลัง (Lei Geral de Proteção de Dados) โดยเฉพาะรวมถึงข้อมูลไบโอเมตริกซ์ในคำจำกัดความของข้อมูลส่วนบุคคลที่ละเอียดอ่อน

เคล็ดลับการปฏิบัติตามและแนวทางปฏิบัติที่ดีที่สุด

ธุรกิจใด ๆ ที่รวบรวมข้อมูลไบโอเมตริกซ์จะต้องตรวจสอบให้แน่ใจว่าเป็นไปตามข้อกำหนดในท้องถิ่นเกี่ยวกับการปกป้องข้อมูลนั้น นอกจากนี้ยังต้องปฏิบัติตามข้อกำหนดเฉพาะของอุตสาหกรรมเช่น HIPAA สำหรับผู้ให้บริการด้านการดูแลสุขภาพในสหรัฐอเมริกา

การปฏิบัติตามกฎระเบียบนี้เริ่มต้นด้วยการรับรู้ ก่อนที่จะเริ่มรวบรวมข้อมูลไบโอเมตริกซ์ธุรกิจจำเป็นต้องวิจัยและเข้าใจกฎหมายที่ใช้กับมัน ถัดไปมาวางแผน การปฏิบัติตามกฎหมายหลายชิ้นไม่ใช่เรื่องง่ายเสมอไป แต่แผนการที่ชัดเจนสามารถช่วยระบุสิ่งที่ต้องทำและปัญหาที่อาจเกิดขึ้นจากนั้นนำไปสู่แผนงานสำหรับการปฏิบัติตามภาระหน้าที่เหล่านั้น การลงทุนในขั้นตอนการวางแผนนี้สามารถช่วยประหยัดเวลาและเงินได้ไกลออกไป

เมื่อพูดถึงการวางกระบวนการป้องกันข้อมูลไบโอเมตริกซ์ในสถานที่ธุรกิจควรตรวจสอบให้แน่ใจว่าพวกเขาได้รับความยินยอมที่เหมาะสมและมีบันทึกการทำเช่นนั้น พวกเขาควรตรวจสอบให้แน่ใจว่าพวกเขาใช้มาตรการรักษาความปลอดภัยที่แข็งแกร่งซึ่งพัฒนาขึ้นเพื่อจัดการกับเทคโนโลยีและภัยคุกคามที่พัฒนาขึ้น บริษัท ควรตรวจสอบให้แน่ใจว่าพวกเขามีนโยบายการปกป้องข้อมูลที่ชัดเจนและมีประสิทธิภาพพร้อมกับการฝึกอบรมสำหรับพนักงานทุกคน

หลังจากวางกระบวนการเพื่อให้แน่ใจว่าการปฏิบัติตามกฎระเบียบธุรกิจจะต้องตรวจสอบสิ่งเหล่านี้อย่างต่อเนื่อง นี่คือเพื่อให้แน่ใจว่าไม่มีการละเมิดข้อกำหนดการปฏิบัติตามและสิ่งที่เกิดขึ้นจะถูกรายงานตามข้อกำหนดที่เกี่ยวข้อง ยกตัวอย่างเช่นองค์กรภายใต้เขตอำนาจศาลของ GDPR มีเวลาเพียง 72 ชั่วโมงในการรายงานการละเมิดใด ๆ ต่ออำนาจกำกับดูแลของพวกเขา

การห่อหุ้ม

การปฏิบัติตามบางครั้งอาจดูเหมือนปวดหัวโดยมีห่วงมากมายที่จะกระโดดผ่าน แต่ข้อกำหนดการปฏิบัติตามมีเหตุผลสำคัญอย่างยิ่ง นี่คือเหตุผลที่ทุกธุรกิจต้องตรวจสอบให้แน่ใจว่าต้องดำเนินการทุกขั้นตอนที่จำเป็นเพื่อปกป้องข้อมูลไบโอเมตริกซ์และปฏิบัติตามภาระหน้าที่การปฏิบัติตามกฎระเบียบที่เกี่ยวข้อง

เกี่ยวกับผู้แต่ง

Eva Kozar เข้าร่วมซึงการฉ้อโกงนักสู้ในปี 2563 เมื่อมีผู้จัดการการฉ้อโกงเพียง 20 คนที่สร้างเทคโนโลยีที่เป็นนวัตกรรมและก่อกวนนี้ ตั้งแต่นั้นมาเธอได้สนับสนุนเรื่องราวความสำเร็จในการขยายตัวของซอนไม่เพียง แต่ใน LATAM แต่ยังรวมถึงในส่วนที่เหลือของโลกด้วย Eva หลงใหลในการเดินทางการทำอาหารและดนตรี

ข้อจำกัดความรับผิดชอบ: ข้อมูลเชิงลึกของอุตสาหกรรม Biometric Update จะถูกส่งเนื้อหา มุมมองที่แสดงในโพสต์นี้เป็นของผู้เขียนและไม่จำเป็นต้องสะท้อนมุมมองของการอัปเดตไบโอเมตริกซ์