Русский
English
Français
Deutsch
Español
Italiano
Português
日本語
한국어
Дом
May 27, 2023
Нормативные вопросы
Поиск статьи
Поиск статьи
Лично идентифицируемые нейроданные всегда считаются личной информацией, независимо от цели. Однако в GDPR Великобритании нет четкого определения нейроданных как особой формы личной информации или данных особой категории. Таким образом, организациям необходимо тщательно учитывать оба:
Ключевые проблемы включают в себя:
Например, когда нейроданные собираются и обрабатываются в медицинских целях, это, скорее всего, будут данные о состоянии здоровья особой категории (SCD) в соответствии со статьей 9 (1) GDPR Великобритании. Поэтому требуется законное основание для обработки в соответствии со статьей 6 и выполнение условия для обработки данных особой категории в соответствии со статьей 9. Организации могут определить подходящее основание для обработки, и согласие может быть подходящим законным основанием и условием особой категории.
Некоторые группы, такие как частное предприятие Neurorights Foundation, рекомендуют в каждом случае предоставлять явное согласие перед обработкой нейроданных.14 Нам следует обращаться с такими звонками осторожно; хотя медицинское согласие остается отдельным и важным вопросом, явное согласие на обработку данных является лишь одним из множества соответствующих условий специальной категории в соответствии с GDPR Великобритании. По своей сути оно не «лучше», чем другие условия; организациям следует тщательно рассмотреть, что является наиболее подходящим.
Любое более широкое автоматическое использование согласия на использование личной информации в потребительских целях также может вызвать путаницу и вполне может быть неуместным в соответствии с GDPR Великобритании. Более широкий диалог и призывы к использованию согласия могут привести к тому, что люди предполагают, что они имеют право автоматически отозвать согласие организациям, использующим их информацию. Фактически, организации могут использовать другие подходящие базы для обработки, и они должны быть прозрачными в отношениикоторый основе, которую они использовали, и какие права применимы. Вместо того, чтобы всегда сосредотачиваться на согласии, прозрачность обработки может оказаться более эффективной, помогая людям понять, как организации используют их информацию.
В редких случаях организации могут напрямую использовать нейроданные для идентификации или проверки физического лица. В данном случае это особая категория.биометрический данные, которые также подпадают под действие статьи 9 (1) GDPR. Однако, хотя это технически осуществимо, вполне вероятно, что большинство видов использования будут носить классификационный характер, как показано в сценариях. Это связано с дороговизной и сложностью идентификации людей таким способом по сравнению с другими надежными биометрическими методологиями. Где информацияможет позволяют организациям идентифицировать людей, нейроданные также могут быть биометрическими данными в соответствии со статьей 4 (14) GDPR Великобритании. Таким образом, это личная информация, а не данные особой категории. (Биометрические данные особой категории требуют от организаций обработки личной информации с целью уникальной идентификации). Организациям, обрабатывающим личную информацию, необходимо учитывать, когда и как используемая ими информация может позволить идентифицировать человека и каковы вероятные последствия.
Напротив, организации могут широко использовать некоторые крупномасштабные нейроданные, не применяя дополнительных мер безопасности для обработки данных специальной категории.
Например, во многих из приведенных выше сценариев рассматривается эмоциональная и поведенческая классификация людей для таких целей, как трудоустройство, благополучие или развлечения. Поэтому существует риск дальнейшего профилирования или даже депсевдонимизации. Это связано со сложностью собираемой информации и большей легкостью, с которой информация может быть связана с человеком. Организации могут целенаправленно связывать информацию с человеком после идентификации или проверки, чтобы получить максимальную выгоду.
В этих случаях организации могут располагать информацией, которая может не соответствовать определению данных особой категории в статье 9 GDPR Великобритании, но все же может нанести существенный вред в случае неправильного использования. (В частности, потеря автономии, дискриминация, сдерживающие эффекты и личные страдания на личном уровне)15. Крупномасштабная обработка такой информации, вероятно, создаст проблему для поощрения передовой практики. Это подчеркивает необходимость рассматривать нейроданные как высокоэффективные и рискованные данные, даже если они используются в контекстах, которые явно не считаются данными особой категории. Наконец, организациям также необходимо помнить о том, может ли личная информация стать данными особой категории. Например, отслеживание информации о сотрудниках, такой как концентрация, которая может раскрыть данные о психическом здоровье.