The use of Netradyne’s Visual Login System (VLS) may constitute processing of biometric data in some jurisdictions. The contents of this page provide a limited overview of regulatory requirements associated with biometric data.

Note: The contents of this section should not be construed as legal advice or a substitute for legal advice. While Netradyne attempts to provide relevant and current information regarding regulatory requirements that apply to the processing of biometric data, it makes no claims that the information provided here is exhaustive, current, or adequate. Similarly, Netradyne makes no claims that the sample consent form or the Biometric Information Policy provided by Netradyne are sufficient to comply with all applicable legal and regulatory requirements in your jurisdiction. It is imperative to seek definitive legal advice and check applicability of different laws in your region before enabling the VLS feature.

Last Updated: 07/2023

In the United States, Texas, Illinois, and Washington are currently the only states with dedicated biometric privacy laws. However, many states have expanded their comprehensive privacy laws, placing restrictions on the collection, use, retention, and sharing of biometric information. The City of Portland has also passed an ordinance that prohibits certain uses of facial recognition technologies. If you choose to enable the Visual Login System (VLS), those laws might apply to your use of VLS.

Presented below is a summary of existing and proposed biometric privacy laws in some of the states. The law in this area is changing rapidly, and the information provided is not intended to be a substitute for legal advice. If you have any questions, please contact privacy@netradyne.com.

Existing Legislations- Summary of Key Requirements

Illinois

(740 ILCS 14/) Biometric Information Privacy Act

The law requires entities in possession of biometric identifiers or biometric information to comply with certain requirements-

• Provide a notice to individuals, whose biometric information is to be collected, informing them of the specific purposes and duration for which biometric information will be collected, stored, or used.
• Obtain a written release from the individuals to proceed with the collection or disclosure of the biometric information.
• Make available to the public a written policy establishing the retention schedule and guidelines for permanently destroying biometric information.

Texas

Texas Business and Commerce Code Sec. 503.001.

Entity capturing a biometric identifier of an individual for a commercial purpose is required to-

• Notify the individual before capturing the biometric identifier and obtain the individual’s consent to capture the biometric identifier.
• Protect the data from disclosure using reasonable measures.
• Destroy biometric identifiers within a reasonable time, but not later than the first anniversary of the date the purpose for collecting the biometric information expires.

Washington

Wash. Rev. Code § 19.375.010 et seq.

• A person may not enroll a biometric identifier in a database for a commercial purpose, without first providing notice, obtaining consent, or providing a mechanism to prevent the subsequent use of a biometric identifier for a commercial purpose.

City of Portland

Portland City Code, Title 34- Digital Justice, Chapters 34.10.010-34.10-050

• The ordinance prohibits a Private Entity from using Face Recognition Technologies in Places of Public Accommodation within the boundaries of the City of Portland.

Proposed Legislations- Summary of Key Requirements

Arizona

2023 AZ S.B. 1238

• Private entities must develop a public written policy establishing retention schedule and destruction guidelines for biometric information.
• Private entities must obtain informed written consent from individuals prior to collection of their biometric information.
• Biometric information must be destroyed upon the earlier of (1) satisfaction of the purpose for collecting the information; or (2) within 3 years of the relevant individual’s last interaction with the entity.

Connecticut

2023 CT S.B. 730

• Any entity using facial recognition technology to identify customers and guests in a public space must post a clear disclosure of such use.

Hawaii

2023 HI H.B. 1085

• Private entities must develop a public written policy establishing retention schedule and destruction guidelines for biometric information.
• Private entities must obtain informed written consent from individuals prior to collection of their biometric information.
• Biometric information must be destroyed upon the earlier of (1) satisfaction of the purpose for collecting the information; or (2) within 3 years of the relevant individual’s last interaction with the entity.

Maryland

HB 33/ SB 169

• Private entities must develop a public written policy establishing retention schedule and destruction guidelines for biometric information.
• Private entities must obtain informed written consent from individuals prior to collection of their biometric information.
• Biometric information must be destroyed upon the earlier of (1) satisfaction of the purpose for collecting the information; or (2) within 3 years of the relevant individual’s last interaction with the entity; or (3) within 30 days after receiving a request to delete an individual’s data.
• Act would take effect on October 1, 2023

Massachusetts

2023 MA S.B. 195

• Private entities must develop a public written policy establishing retention schedule and destruction guidelines for biometric information.
• Private entities must obtain informed written consent from individuals prior to collection of their biometric information.
• Biometric information must be destroyed upon the earliest of (1) satisfaction of the purpose for collecting said information or (2) within 1 year of the relevant individual’s last interaction with the entity.

Similar bills have been proposed in Minnesota, Missouri, Montana, Nevada, New Jersey, Pennsylvania and Tennessee.

The collection and use of biometric information is covered by comprehensive state privacy laws including California, Colorado, Virginia, Connecticut, and Utah. The privacy laws in these states regulate biometric information as a form of “sensitive” information.

Most of the laws/bills stress on the following key requirements-

• Provide notice and obtain consent from individuals.
• Develop a written policy establishing a retention schedule and guidelines for destruction of biometric data.

Last Updated: 07/2023

Summary of Key Requirements

The use of VLS in EU is primarily regulated by the provisions of the EU General Data Protection Regulation (GDPR).

• The GDPR treats “biometric data” as a special category of personal data and therefore requires due consideration to the principles of lawfulness, necessity, proportionality and data minimization.
• Controllers should first assess the impact on fundamental rights and freedoms and consider less intrusive means to achieve their legitimate purpose of the processing.
• The use of biometric recognition functionality by private entities for their own purposes (e.g. marketing, statistical, or even security) will, in most cases, require explicit consent from all data subjects (Article 9 (2) (a) GDPR), however another suitable exception in Article 9 could also be applicable.
• The use of VLS in some EU countries might also require assessing specific video-surveillance laws or employment laws in that country. In these EU countries, for companies that have a Works Council, the use of VLS may be subject to prior approval by the Works Council.
• A Data Protection Impact Assessment (DPIA) should be conducted to assess impact on the rights and freedoms of the drivers. The assessment scope should include VLS.
• Netradyne recommends notifying drivers of the purposes of processing their personal data. It is advisable that in addition to providing a detailed privacy notice, privacy stickers be used inside the vehicles to notify drivers of their personal data (including biometric data, as applicable) being processed.
• Netradyne recommends obtaining informed consent from all drivers before enabling VLS in UK/EU.

If you have any questions, please contact privacy@netradyne.com.

Last Updated: 07/2023

Summary of Key Canadian Privacy Law Requirements

• As with the EU GDPR, Canadian privacy laws consider biometric information to be sensitive personal information. Thus, entities wishing to process such data must generally obtain informed and explicit consent to do so.
• A Privacy Impact Assessment (PIA) should be conducted to assess privacy impact on individuals. Canadian privacy laws require that the collection and use of personal information be limited to what is reasonable and necessary in the circumstances.
• Due consideration should be given to principles of data minimization, retention limitation, data subject rights, transparency and data security.
• Quebec has more stringent requirements associated with biometric data processing. The creation of a database of biometric characteristics or measures must be disclosed to the Commission d’accès à l’information (CAI), no later than 60 days before such database is put into operation.

If you have any questions, please contact privacy@netradyne.com.

L’ utilisation du Visual Login System (VLS) de Netradyne peut constituer un traitement dedonnéesbiométriques  dans certaines juridictions. Le contenu de cette page donne un aperçu limité des  exigencesréglementaires associées aux données biométriques.

Note : Le contenu de cette section ne doit pas être interprété comme un conseil juridique ou comme un substitut à un conseil. uridique. Bien que Netradyne s’efforce de fournir des informations pertinentes et actuelles concernant les exigences réglementaires applicables au traitement des données biométriques, elle ne prétend pas que les informations fournies ici sont exhaustives, actuelles ou adéquates. De même, Netradyne ne prétend pas que l’exemple de formulaire de consentement ou la politique d’information biométrique fournis par Netradyne sont suffisants pour se conformer à toutes les exigences légales et réglementaires applicables dans votre juridiction. Il est impératif de demander un avis juridique définitif et de vérifier l’applicabilité des différentes lois dans votre région avant d’ activer la fonction VLS.

Dernière mise à jour : 07/2023

Aux États-Unis, le Texas, l’ Illinois et l’ État de Washington sont actuellement les seuls États à disposer de lois spécifiques sur la protection de la vie privée en matière de biométrie. Toutefois, de nombreux États ont élargi leur législation globale en matière de protection de la vie privée, en imposant des restrictions à la collecte, à l’ utilisation, à la conservation et au partage des informations biométriques. La ville de Portland a également adopté une ordonnance interdisant certaines utilisations des technologies de reconnaissance faciale. Si vous choisissez d ‘ activer le  système de connexionvisuelle (VLS), ces lois peuvent s’appliquer à votre utilisation du VLS.

Vous trouverez ci-dessous un résumé des lois existantes et proposées en matière de protection de la vie privée dans certains États. La législation dans ce domaine évolue rapidement et les informations fournies ne sauraient se substituer à un avis juridique. Si vous avez des questions, veuillez contacter privacy@netradyne.com.

Législation existante – Résumé des principales exigences

Illinois

(740 ILCS 14/) Loi sur la confidentialité des informations biométriques 

La loi exige que les entités en possession d ‘ identifiants biométriques ou d’ informations biométriques se conforment à certaines exigences, à savoir

• Fournir un avis aux personnes dont les données biométriques doivent être collectées,  lesinformant des finalités spécifiques et de la durée pendant laquelle les données biométriques seront collectées, stockées ou utilisées.
• Obtenir une autorisation écrite des personnes concernées pour procéder à la collecte ou à la divulgation des informations biométriques.
• Mettre à la disposition du public une politique écrite établissant le calendrier de conservation et les lignes directrices pour la destruction définitive des informations biométriques.

Texas

Code des affaires et du commerce du Texas Sec. 503.001. 

L’entité qui saisit l ‘ identifiant biométrique d’ une personne à des fins commerciales est tenue de…

• Notifier la personne avant la saisie de l’ identifiant biométrique et obtenir son consentement à la saisie de l’identifiant biométrique.
• Protéger les données contre la divulgation en utilisant des mesures raisonnables.
• Détruire les identifiants biométriques dans un délai raisonnable, mais pas plus tard que le premier anniversaire de la date à laquelle la finalité de la collecte des informations biométriques prend fin.

Washington

Wash. Rev. Code § 19.375.010 et seq.

• Il est interdit d’ enregistrer un identifiant biométrique dans une base de données à des fins commerciales sans en avoir été informé au préalable, sans avoir obtenu son consentement ou sans avoir prévu un mécanisme permettant d’ empêcher l ‘ utilisation ultérieure d’ un identifiant biométrique à des fins commerciales.

Ville de Portland 

Code de la ville de Portland, titre 34 – Justice numérique, chapitres 34.10.010-34.10-050 

• L’ ordonnance interdit à une entité privée d’ utiliser des technologies de  reconnaissance facialedans les lieux d ‘ hébergement public situés sur le territoire de la ville de Portland.

Législation proposée – Résumé des principales exigences

Arizona

2023 AZ S.B. 1238

• Les entités privées doivent élaborer une politique écrite publique établissant un calendrier de conservation et des directives de destruction des informations biométriques.
• Les entités privées doivent obtenir le consentement écrit et éclairé des personnes avant de collecter leurs données biométriques.
• Les informations biométriques doivent être détruites à la première des deux dates suivantes : (1) la finalité de la collecte des informations ; ou (2) dans les trois ans suivant la dernière interaction de la personne concernée avec l’entité.

Connecticut

2023 CT S.B. 730

• Toute entité utilisant la technologie de reconnaissance faciale pour identifier les clients et les invités dans un espace public doit afficher une information claire sur cette utilisation.

Hawaii

2023 HI H.B. 1085

• Les entités privées doivent élaborer une politique écrite publique établissant un calendrier de conservation et des directives de destruction des informations biométriques.
• Les entités privées doivent obtenir le consentement écrit et éclairé des personnes avant de collecter leurs données biométriques.
• Les informations biométriques doivent être détruites à la première des deux dates suivantes : (1) la finalité de la collecte des informations ; ou (2) dans les trois ans suivant la dernière interaction de la personne concernée avec l’entité.

Maryland

HB 33/ SB 169

• Les entités privées doivent élaborer une politique écrite publique établissant un calendrier de conservation et des directives de destruction des informations biométriques.
• Les entités privées doivent obtenir le consentement écrit et éclairé des personnes avant de collecter leurs données biométriques.
• Les  informations biométriques doivent être détruites à la première des éventualités suivantes : (1) la finalité de la collecte des informations ; ou (2) dans les 3 ans suivant la dernière interaction de la personne concernée avec l’ entité ; ou (3) dans les 30 jours suivant la réception d’ une demande d’effacement des données d’une personne.
• La  loi entrera en vigueur le 1er octobre 2023.

Massachusetts

2023 MA S.B. 195

• Les entités privées doivent élaborer une politique écrite publique établissant un calendrier de conservation et des directives de destruction des informations biométriques.
• Les entités privées doivent obtenir le consentement écrit et éclairé des personnes avant de collecter leurs données biométriques.
• Les  informations biométriques doivent être détruites à la première des éventualités suivantes (1) lafinalité de la collecte desdites informations ou (2) dans un délai d’ un an à compter de la dernière interaction de la personne concernée avec l’entité.

Des projets de loi similaires ont été proposés dans le Minnesota, le Missouri, le Montana, le Nevada, le New Jersey, la Pennsylvanie et le Tennessee.

La collecte et l’utilisation d’informations biométriques sont couvertes par des lois nationales détaillées sur la protection de la vie privée, notamment en  California au Colorado en Virginia dans le Connecticut, et dans l’Utah. Leslois sur la protection de la vie privée de ces États considèrent les informations biométriques comme une forme d’information “sensible”.

La plupart des lois/projets de loi mettent l’accent sur les exigences clés suivantes

• Informer les personnes et obtenir leur consentement.
• Élaborer une politique écrite établissant un calendrier de conservation et des lignes directrices pour la destruction des données biométriques. destruction des données biométriques.

Dernière mise à jour : 07/2023

Résumé des principales exigences

L’ utilisation des VLS dans l’ UE est principalement régie par les dispositions du règlement général sur la protection des données (RGPD) de l’UE.

• Le GDPR considère les ” données biométriques ” comme une catégorie spéciale de données à caractère personnel et  exige parconséquent que les principes de légalité, de nécessité, de proportionnalité et de minimisation des données soient dûment pris en compte.
• Les  responsables du traitement doivent d’abord évaluer l ‘ impact sur les droits et libertés fondamentaux et envisager des moyens moins intrusifs pour atteindre la finalité légitime du traitement.
•  L’ utilisation de la fonctionnalité de reconnaissance biométrique par des entités privées à leurs propres fins (par exemple, à des fins de marketing, de statistiques ou même de sécurité) nécessitera , dans la plupart des cas, le consentement explicite de toutes les personnes concernées (article 9, paragraphe 2, point a), du GDPR), mais une autre  exceptionappropriée prévue à l’ article 9 pourrait également s ‘appliquer.
• L’ utilisation de VLS dans certains pays de l’UE peut également nécessiter l’ évaluation des lois spécifiques sur la vidéosurveillance ou des lois sur l’emploi dans ce pays. Dans ces pays, pour les entreprises dotées d’un comité d’entreprise, l’utilisation de la VLS peut être soumise à l’approbation préalable du comité d’entreprise.
• Une  analyse d’impact sur la protection des données (DPIA) doit être menée pour évaluer l’impact sur les droits et libertés des conducteurs. Le champ d’application de l’ évaluation doit inclure le VLS.
• Netradyne recommande d’ informer les conducteurs des finalités du traitement de leurs  donnéespersonnelles. Il est conseillé, en plus de fournir un avis de  confidentialité détaillé, d ‘ utiliser des autocollants deconfidentialité à l’intérieur des véhicules pour informer les conducteurs du traitement de leurs données personnelles (y compris les données biométriques, le cas échéant).
• Netradyne recommande d’obtenir le consentement éclairé de tous les conducteurs avant d’activer le VLS au Royaume-Uni et dans l’Union européenne.

Si vous avez des questions, veuillez contacter privacy@netradyne.com.

Dernière mise à jour : 07/2023

Résumé des principales exigences de la législation canadienne en matière de protection de la vie privée

• Comme pour le GDPR de l’UE, les lois canadiennes sur la protection de la vie privée considèrent les informations biométriques comme des informations personnelles sensibles. Par conséquent, les entités qui souhaitent traiter ces données doivent généralement obtenir un consentement éclairé et explicite.
• Une évaluation de l’ impact sur la vie privée (EIVP) doit être réalisée pour évaluer l’ impact sur lavie privée des individus. Les lois canadiennes sur la protection de la vie privée exigent que la collecte et l’utilisation d’informations personnelles soient limitées à ce qui est raisonnable et nécessaire dans les circonstances.
• Les principes de minimisation des données, de limitation de la conservation, de droits des personnes concernées, de transparence et de sécurité des données  doivent être dûment pris en compte .
• Le Quebec a des exigences plus strictes en ce qui concerne le traitement des données biométriques. La création d’ une base de données de caractéristiques ou de mesures  biométriquesdoit être divulguée à la Commission d’accès à l’information (CAI), au plus tard 60 jours avant la mise en service de cette base de données.

Si vous avez des questions, veuillez contacter privacy@netradyne.com.

Die Verwendung des Visual Login System (VLS) von Netradyne kann in einigen Rechtsordnungen eine Verarbeitung biometrischer Daten darstellen. Der Inhalt dieser Seite bietet einen begrenzten Überblick über die rechtlichen Anforderungen im Zusammenhang mit biometrischen Daten.

Hinweis: Der Inhalt dieses Abschnitts darf nicht als Rechtsberatung oder als Ersatz für eine Rechtsberatung ausgelegt werden. Netradyne versucht zwar, relevante und aktuelle Informationen über die für die Verarbeitung biometrischer Daten geltenden rechtlichen Anforderungen bereitzustellen, erhebt jedoch keinen Anspruch darauf, dass die hier bereitgestellten Informationen vollständig, aktuell oder angemessen sind. Ebenso erhebt Netradyne keinen Anspruch darauf, dass das von Netradyne zur Verfügung gestellte Muster-Einwilligungsformular oder die Richtlinie für biometrische Daten ausreicht, um alle in Ihrem Land geltenden gesetzlichen und behördlichen Anforderungen zu erfüllen. Bevor Sie die VLS-Funktion aktivieren, sollten Sie sich unbedingt rechtlich beraten lassen und die Anwendbarkeit der verschiedenen Gesetze in Ihrer Region prüfen.

Letzte Aktualisierung: 07.2023

In den Vereinigten Staaten sind Texas, Illinois und Washington derzeit die einzigen Bundesstaaten mit speziellen Datenschutzgesetzen für biometrische Daten. Viele Bundesstaaten haben jedoch ihre umfassenden Datenschutzgesetze erweitert und Beschränkungen für die Erhebung, Verwendung, Aufbewahrung und Weitergabe biometrischer Daten eingeführt. Auch die Stadt Portland hat eine Verordnung erlassen, die bestimmte Verwendungen von Gesichtserkennungstechnologien untersagt. Wenn Sie sich dafür entscheiden, das VisualLogin System (VLS) zu aktivieren, könnten diese Gesetze auf Ihre Nutzung des VLS zutreffen.

Im Folgenden finden Sie eine Zusammenfassung der bestehenden und geplanten Gesetze zum Schutz der biometrischen Daten in einigen Bundesstaaten. Die Gesetzgebung in diesem Bereich ändert sich schnell, und die bereitgestellten Informationen sind nicht als Ersatz für eine Rechtsberatung gedacht. Wenn Sie Fragen haben, wenden Sie sich  bitte an privacy@netradyne.com.

Bestehende Gesetzgebung – Zusammenfassung der wichtigsten Anforderungen

Illinois

(740 ILCS 14/) Gesetz zum Schutz biometrischer Daten 

Nach dem Gesetz müssen Einrichtungen, die im Besitz biometrischer Identifikatoren oder biometrischer Informationen sind, bestimmte Anforderungen erfüllen.

• Die Personen, deren biometrische Daten erfasst  werden sollen, müssendarüber informiert werden,zu welchem Zweck und für welche Dauer die biometrischen Daten erfasst, gespeichert oder verwendet werden.
• Einholung einer schriftlichen Freigabe der Personen für die Erhebung oder Weitergabe der biometrischen Daten.
• Der Öffentlichkeit eine schriftliche Richtlinie zur Verfügung stellen, in der der Zeitplan für die  Aufbewahrung und die Leitlinien für die endgültige Vernichtung biometrischer Daten festgelegt sind.

Texas

Texas Business and Commerce Code Sec. 503.001. 

Eine Einrichtung, die einen biometrischen Identifikator einer Person für einen kommerziellen Zweck erfasst, muss

• Benachrichtigen Sie die Person vor der Erfassung des biometrischen Identifikators und holen Sie die Zustimmung der Person zur Erfassung des biometrischen Identifikators ein.
• Schützen Sie die Daten durch angemessene Maßnahmen vor Offenlegung.
• Vernichtung der biometrischen Identifikatoren innerhalb eines angemessenen Zeitraums, spätestens jedoch am ersten Jahrestag des Datums, an dem der Zweck der Erfassung der biometrischen Daten entfällt.

Washington

Wash. Rev. Code § 19.375.010 et seq.

• Eine Person darf einen biometrischen Identifikator nicht zu kommerziellen Zwecken in eine Datenbank eintragen, ohne dies vorher mitzuteilen, eine Zustimmung einzuholen oder einen Mechanismus vorzusehen, der die spätere Verwendung eines biometrischen Identifikators zu kommerziellen Zwecken verhindert.

Stadt Portland 

Portland City Code, Titel 34 – Digitale Gerechtigkeit, Kapitel 34.10.010-34.10-050 

• Die Verordnung verbietet einer privaten Einrichtung den Einsatz von Gesichtserkennungstechnologien in öffentlichen Unterkünften innerhalb der Stadtgrenzen von Portland.

Vorgeschlagene Gesetzgebung – Zusammenfassung der wichtigsten Anforderungen

Arizona

2023 AZ S.B. 1238

• Private Stellen müssen eine öffentliche schriftliche Richtlinie ausarbeiten, in der ein Zeitplan für die Aufbewahrung und Vernichtung biometrischer Daten festgelegt ist.
• Private Einrichtungen müssen vor der Erhebung biometrischer Daten die schriftliche Zustimmung der betroffenen Personen einholen.
• Biometrische Daten müssen vernichtet werden, wenn (1) der Zweck der Datenerhebung erfüllt ist oder (2) innerhalb von drei Jahren nach der letzten Interaktion der betreffenden Person mit der Einrichtung, je nachdem, was früher eintritt.

Connecticut

2023 CT S.B. 730

• Jede Einrichtung, die Gesichtserkennungstechnologie zur Identifizierung von Kunden und Gästen in einem öffentlichen Raum einsetzt, muss eine klare Offenlegung dieser Verwendung anbringen.

Hawaii

2023 HI H.B. 1085

• Private Stellen müssen eine öffentliche schriftliche Richtlinie ausarbeiten, in der ein Zeitplan für die Aufbewahrung und Vernichtung biometrischer Daten festgelegt ist.
• Private Einrichtungen müssen vor der Erhebung biometrischer Daten die schriftliche Zustimmung der betroffenen Personen einholen.
• Biometrische Daten müssen vernichtet werden, wenn (1) der Zweck der Datenerhebung erfüllt ist oder (2) innerhalb von drei Jahren nach der letzten Interaktion der betreffenden Person mit der Einrichtung, je nachdem, was früher eintritt.

Maryland

HB 33/ SB 169

• Private Stellen müssen eine öffentliche schriftliche Richtlinie ausarbeiten, in der ein Zeitplan für die Aufbewahrung und Vernichtung biometrischer Daten festgelegt ist.
• Private Einrichtungen müssen vor der Erhebung biometrischer Daten die schriftliche Zustimmung der betroffenen Personen einholen.
• Biometrische Daten müssen vernichtet werden, sobald (1) der Zweck der Datenerhebung erfüllt ist  oder (2) innerhalb von drei Jahren nach der letzten Interaktion der betreffenden Person mit der Einrichtung oder (3) innerhalb von 30 Tagen nach Erhalt eines Antrags auf Löschung der Daten einer Person, je nachdem, was früher ein tritt.
• Das  Gesetz würde am 1. Oktober 2023 in Kraft treten .

Massachusetts

2023 MA S.B. 195

• Private Stellen müssen eine öffentliche schriftliche Richtlinie ausarbeiten, in der ein Zeitplan für die Aufbewahrung und Vernichtung biometrischer Daten festgelegt ist.
• Private Einrichtungen müssen vor der Erhebung biometrischer Daten die schriftliche Zustimmung der betroffenen Personen einholen.
•  Biometrische Daten müssen vernichtet werden, sobald (1) der Zweck der Datenerhebung erfüllt  ist oder (2) innerhalb eines Jahres nach der letzten Interaktion der betreffenden Person mit der Einrichtung.

Ähnliche Gesetzesentwürfe wurden in Minnesota, Missouri, Montana, Nevada, New Jersey, Pennsylvania und Tennessee vorgelegt.

Die Erfassung und Verwendung biometrischer Daten wird durch umfassende Datenschutzgesetze der Bundesstaaten California, Colorado, Virginia, Connecticut, und Utah geregelt. In den Datenschutzgesetzen dieser Staaten werden biometrische Daten als “sensible” Informationen behandelt.

In den meisten Gesetzen/Gesetzesentwürfen wird auf die folgenden Hauptanforderungen hingewiesen

• Benachrichtigung und Einholung der Zustimmung der Betroffenen.
• Ausarbeitung einer schriftlichen Richtlinie, die einen Zeitplan für die Aufbewahrung und Leitlinien für die Vernichtung biometrischer Daten.

Letzte Aktualisierung: 07.2023

Zusammenfassung der wichtigsten Anforderungen

Die Verwendung von VLS in der EU wird in erster Linie durch die Bestimmungen der EU-Datenschutzgrundverordnung (GDPR) geregelt.

• Die Datenschutz-Grundverordnung behandelt “biometrische Daten” als eine besondere Kategorie personenbezogener Daten und  verlangtdaher eine angemessene Berücksichtigung der Grundsätze der Rechtmäßigkeit, Notwendigkeit, Verhältnismäßigkeit und Datenminimierung.
• Die für die Verarbeitung Verantwortlichen sollten zunächst die Auswirkungen auf die Grundrechte und -freiheiten bewerten und  weniger einschneidende Mittel inBetracht ziehen, um den rechtmäßigen Zweck der Verarbeitung zu erreichen.
• Die Nutzung biometrischer Erkennungsfunktionen durch private Stellen für ihre eigenen Zwecke (z. B. Marketing, Statistik oder sogar Sicherheit) erfordert  in den meisten Fällen die ausdrückliche Einwilligung aller betroffenen Personen (Artikel 9 Absatz 2 Buchstabe a DSGVO), doch  könnte auch eine andere geeignete Ausnahme in Artikel 9 anwendbar sein.
• Der Einsatz von VLS in einigen EU-Ländern kann auch die Prüfung spezifischer Videoüberwachungsgesetze oder Arbeitsgesetze in diesem Land erfordern. In diesen EU-Ländern kann der Einsatz von VLS in Unternehmen, die einen Betriebsrat haben, der vorherigen Genehmigung durch den Betriebsrat unterliegen.
• Es sollte eine Datenschutz-Folgenabschätzung (DPIA) durchgeführt werden, um die Auswirkungen auf die Rechte und Freiheiten der Fahrer zu  bewerten. Der Umfang der Bewertung sollte den VLS einschließen.
• Netradyne empfiehlt, die Fahrer über die Zwecke der Verarbeitung ihrer personenbezogenen Daten zu informieren. Es ist ratsam, zusätzlich zu einem ausführlichen Datenschutzhinweis  Datenschutzaufkleber in den Fahrzeugen zu verwenden, um die Fahrer über die Verarbeitung ihrer personenbezogenen Daten (einschließlich gegebenenfalls biometrischer Daten) zu informieren.
• Netradyne empfiehlt, die informierte Zustimmung aller Fahrer einzuholen , bevor VLS in UK/EUaktiviert wird.

Wenn Sie Fragen haben, wenden Sie sich bitte an privacy@netradyne.com.

Letzte Aktualisierung: 07.2023

Zusammenfassung der wichtigsten Anforderungen des kanadischen Datenschutzgesetzes

• Wie die EU-DSGVO betrachten auch die kanadischen Datenschutzgesetze biometrische Daten als sensible personenbezogene Daten. Daher müssen Einrichtungen, die solche Daten verarbeiten wollen, in der Regel eine informierte und ausdrückliche Zustimmung dazu einholen.
• Eine Datenschutz-Folgenabschätzung (Privacy Impact Assessment – PIA) sollte durchgeführt werden, umdie Auswirkungen auf die Privatsphäre des Einzelnen zu bewerten. Die kanadischen Datenschutzgesetze verlangen, dass die Erhebung und Verwendung personenbezogener Daten auf das unter den gegeben en Umständen angemessene und notwendige Maß beschränkt wird.
• Die  Grundsätze der Datenminimierung, der Beschränkung der Aufbewahrung , der Rechte der Betroffenen, der Transparenz und der Datensicherheit  sollten gebührend berücksichtigt werden
• In Quebec gelten strengere Anforderungen für die Verarbeitung biometrischer Daten. Die Einrichtung einer Datenbank mit biometrischen Merkmalen oder Maßnahmen muss der Commission d’accès à l’information (CAI) spätestens 60 Tagevor Inbetriebnahme der Datenbankmitgeteilt werden.

Wenn Sie Fragen haben, wenden Sie sich bitte an privacy@netradyne.com.

El uso del Sistema de Inicio de Sesión Visual (VLS) de Netradyne puede constituir el procesamiento dedatosbiométricos  en algunas jurisdicciones. El contenido de esta página ofrece una visión general limitada de  los requisitos normativos asociados a los datos biométricos.

Nota: El contenido de esta sección no debe interpretarse como asesoramiento jurídico ni como sustitutodel mismo. Aunque Netradyne intenta proporcionar información relevante y actualizada sobre los requisitos normativos que se aplican al tratamiento de datos biométricos, no afirma que la información aquí proporcionada sea exhaustiva, actual o adecuada. Del mismo modo, Netradyne no afirma que el modelo de formulario de consentimiento o la Política de información biométrica proporcionados por Netradyne sean suficientes para cumplir todos los requisitos legales y normativos aplicables en su jurisdicción. Es imprescindible buscar asesoramiento legal definitivo y comprobar la aplicabilidad de las distintas leyes de su región antes de activar la función VLS.

Última Actualización: 07/2023

En Estados Unidos, Texas, Illinois y Washington son actualmente los únicos estados con leyes específicas sobre privacidad biométrica. Sin embargo, muchos estados han ampliado sus leyes integrales de privacidad, imponiendo restricciones a la recopilación, uso, retención e intercambio de información biométrica. La ciudad de Portland también ha aprobado una ordenanza que prohíbe determinados usos de las tecnologías de reconocimiento facial. Si decide habilitar el  Sistema de Inicio de SesiónVisual (VLS), esas leyes podrían aplicarse a su uso del VLS.

A continuación se presenta un resumen de las leyes de privacidad biométrica existentes y propuestas en algunos de los estados. La legislación en este ámbito cambia rápidamente, y la información facilitada no pretende sustituir al asesoramiento jurídico. Si tiene alguna pregunta, póngase en contacto con privacy@netradyne.com.

Legislación Vigente – Resumen de los Principales Requisitos

Illinois

(740 ILCS 14/) Ley de privacidad de la información biométrica   

La ley obliga a  las entidades que posean identificadores biom étricos o información biométrica a cumplir determinados requisitos-.

• Proporcionar un aviso a las personas cuyos datos biom étricos vayan a recopilarse,  informándoles de los fines específicos y de la duración de la recopilación, almacenamiento o utilización de los datos biométricos.
• Obtener una autorización por escrito de las personas para proceder a la recogida o divulgación de la información biométrica.
• Poner a disposición del público una política escrita que establezca el calendario de  conservación y las directrices para destruir permanentemente la información biométrica.

Texas

Código de Comercio y Empresa de Texas, art. 503.001.

La  entidad que capture un identificador biométrico de una persona con fines comercialesdeberá

• Notificar al individuo antes de capturar el identificador biométrico y obtener el consentimiento del individuo para capturar el identificador biométrico.
• Proteger los datos de la divulgación utilizando medidas razonables.
• Destruir los identificadores biométricos en un plazo razonable, pero a más tardar en el primer aniversario de la fecha en que expire el propósito de la recogida de la información biométrica.

Washington

Wash. Rev. Code § 19.375.010 et seq.

• Una persona no podrá inscribir un identificador biométrico en una base de datos con fines comerciales sin notificarlo previamente, obtener su consentimiento o proporcionar un mecanismo para impedir el uso posterior de un identificador biométrico con fines comerciales.

Ciudad de Portland 

Código de la ciudad de Portland, Título 34: Justicia digital, Capítulos 34.10.010-34.10-050  

• La ordenanza prohíbe que una entidad privada utilice tecnologías de  reconocimiento facialen lugares de alojamiento público dentro de los límites de la ciudad de Portland.

Legislación propuesta – Resumen de los principales requisitos

Arizona

2023 AZ S.B. 1238

• Las entidades privadas deben desarrollar una política pública por escrito que establezca el calendario de conservación y las directrices de destrucción de la información biométrica.
• Las entidades privadas deben obtener el consentimiento informado por escrito de las personas antes de recoger su información biométrica.
• La información biométrica debe destruirse en el plazo de 3 años desde la última interacción de la persona en cuestión con la entidad, lo que ocurra primero: (1) cuando se haya cumplido el propósito para el que se recopiló la información; o (2) en el plazo de 3 años desde la última interacción de la persona en cuestión con la entidad.

Connecticut

2023 CT S.B. 730

• Toda entidad que utilice tecnología de reconocimiento facial para identificar a clientes e invitados en un espacio público debe informar claramente de dicho uso.

Hawaii

2023 HI H.B. 1085

• Las entidades privadas deben desarrollar una política pública por escrito que establezca el calendario de conservación y las directrices de destrucción de la información biométrica.
• Las entidades privadas deben obtener el consentimiento informado por escrito de las personas antes de recoger su información biométrica.
• La información biométrica debe destruirse en el plazo de 3 años desde la última interacción de la persona en cuestión con la entidad, lo que ocurra primero: (1) cuando se haya cumplido el propósito para el que se recopiló la información; o (2) en el plazo de 3 años desde la última interacción de la persona en cuestión con la entidad.

Maryland

HB 33/ SB 169

• Las entidades privadas deben desarrollar una política pública por escrito que establezca el calendario de conservación y las directrices de destrucción de la información biométrica.
• Las entidades privadas deben obtener el consentimiento informado por escrito de las personas antes de recoger su información biométrica.
• La información biométrica debe destruirse en el plazo de 3 años desde la última interacción de la persona en cuestión con la entidad, o en el plazo de 30 días desde la recepción de una solicitud de eliminación de los datos de una persona.
• La ley entraría en vigorel 1 de Octubre de 2023

Massachusetts

2023 MA S.B. 195

• Las entidades privadas deben desarrollar una política pública por escrito que establezca el calendario de conservación y las directrices de destrucción de la información biométrica.
• Las entidades privadas deben obtener el consentimiento informado por escrito de las personas antes de recoger su información biométrica.
• La información biométrica debe destruirse  en el plazo de un año a partir de la última interacción de la persona en cuestión con la entidad.

Se han propuesto proyectos de ley similares en Minnesota, Misuri, Montana, Nevada, Nueva Jersey, Pensilvania y Tennessee.

La recopilación y el uso de información biométrica están regulados por leyes estatales de protección de la intimidad como las de California, Colorado, Virginia, Connecticut, and Utah. Lasleyes de privacidad  de estos estados regulan la información biométrica como una forma de información “sensible”.

La mayoría de las leyes/proyectos de ley hacen hincapié en los siguientes requisitos clave-.

• Notificar y obtener el consentimiento de las personas.
• Elaborar una política escrita que establezca un calendario de conservación y directrices para destrucción de datos biométricos.

Última Actualización: 07/2023

Resumen de requisitos clave

El uso de VLS en la UE está regulado principalmente por las disposiciones del Reglamento General de Protección de Datos (RGPD) de la UE.

• El RGPD trata los ” datos biom étricos” como una categoría especial de datos personales y , por tanto, exige que se tengan debidamente en cuenta los principios de licitud, necesidad, proporcionalidad y minimización de datos.
• Los responsables del tratamiento deben evaluar en primer lugar el impacto sobre los derechos y libertades fundamentales y considerar medios menos intrusivos para alcanzar la finalidad legítima del tratamiento.
• El uso de la funcionalidad de reconocimiento biométrico por parte de entidades privadas para sus propios fines (por ejemplo, de marketing, estadísticos o incluso de seguridad) requerirá , en la mayoría de los casos, el consentimiento explícito de todos los interesados (artículo 9, apartado 2, letra a) del RGPD), aunque  también podría ser aplicable otra  excepciónadecuada del artículo 9.
• El uso de VLS en algunos países de la UE también podría requerir la evaluación de las leyes específicas de videovigilancia o las leyes laborales de ese país. En estos países de la UE, para las empresas que tienen comité de empresa, el uso de VLS puede estar sujeto a la aprobación previa del comité de empresa.
• Debe realizarse una evaluación del impacto de la protección de datos (EIPD) para evaluar el impacto sobre los derechos y libertades de los conductores. El alcance de la evaluación debe incluir el VLS.
• Netradyne recomienda notificar a los conductores los fines del tratamiento de sus  datospersonales. Es aconsejable que, además de proporcionar un aviso de  privacidad detallado,  se utilicen pegatinas deprivacidad en el interior de los vehículos para notificar a los conductores el tratamiento de sus datos personales (incluidos los datos biométricos, en su caso).
• Netradyne recomienda obtener el consentimiento informado de todos los conductores antes de activar el VLS en el Reino Unido/UE.

Si tiene alguna pregunta, póngase en contacto con privacy@netradyne.com.

Última Actualización: 07/2023

Resumen de los Principales Requisitos de la Legislación Canadiense en Materia de Privacidad

• Al igual que el GDPR de la UE, la legislación canadiense sobre privacidad considera la información biométrica como información personal sensible. Por lo tanto, las entidades que deseen tratar dichos datos deben obtener generalmente un consentimiento informado y explícito para hacerlo.
• Debe realizarse una evaluación del impacto sobre la privacidad ( PIA) para valorar el impacto sobre  la privacidad de las personas. La legislación canadiense en materia de privacidad exige que la recopilación y el uso de información personal se limiten a lo que sea razonable y necesario dadas las circunstancias.
• Deben tenerse debidamente en cuenta los principios de minimización de datos, limitación de la conservación , derechos de los interesados, transparencia y seguridad de los datos.
• Quebec tiene requisitos más estrictos asociados al tratamiento de datos biométricos. La creación de una base de datos de características o medidas  biométricasdebe comunicarse a la Commission d’accès à l’information (CAI), a más tardar 60 días antes de su puesta en funcionamiento.

Si tiene alguna pregunta, póngase en contacto con privacy@netradyne.com.