Биометрические персональные данные что к ним относится
Биометрические персональные данные что к ним относится
Биометрические персональные данные что к ним относится
(в ред. Федерального закона от 25.07.2011 N 261-ФЗ)
(см. текст в предыдущей редакции)
1. Сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные) и которые используются оператором для установления личности субъекта персональных данных, могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.
2. Обработка биометрических персональных данных может осуществляться без согласия субъекта персональных данных в связи с реализацией международных договоров Российской Федерации о реадмиссии, в связи с осуществлением правосудия и исполнением судебных актов, в связи с проведением обязательной государственной дактилоскопической регистрации, а также в случаях, предусмотренных законодательством Российской Федерации об обороне, о безопасности, о противодействии терроризму, о транспортной безопасности, о противодействии коррупции, об оперативно-разыскной деятельности, о государственной службе, уголовно-исполнительным законодательством Российской Федерации, законодательством Российской Федерации о порядке выезда из Российской Федерации и въезда в Российскую Федерацию, о гражданстве Российской Федерации, законодательством Российской Федерации о нотариате.
(в ред. Федеральных законов от 04.06.2014 N 142-ФЗ, от 31.12.2017 N 498-ФЗ, от 27.12.2019 N 480-ФЗ)
(см. текст в предыдущей редакции)
С 01.09.2022 ст. 11 дополняется ч. 3 (ФЗ от 14.07.2022 N 266-ФЗ). См. будущую редакцию.
Что нужно знать о биометрических персональных данных
Понятие биометрических данных. Какими законами регулируется обращение с такой информацией
Биометрия — это уникальные физические или поведенческие характеристики, которые позволяют отличать людей друг от друга.
На законодательном уровне в России порядок обращения с биометрическими персональными данными определен:
Где могут быть использованы физические сведения о гражданине
Биофизические информационные материалы могут понадобиться в различных сферах жизни, где требуется распознавание человека. Успешное применение биофизических особенностей граждан уже нашло себя в таких направлениях, как:
Идентификация по биометрическим данным гораздо надежнее, чем визуальная. Например, сотрудник банка не сумеет отличить друг от друга близнецов, а биометрический анализ их голоса и изображения с большой долей вероятности сможет.
Что относится к биометрическим материалам
Отнесение информации к биофизическим данным требует соблюдения следующих условий:
К биофизическим индивидуальным свойствам относятся:
Для распознавания гражданина необходима одна или больше поведенческих или физических особенностей. В постановлении № 722 к сведениям, подлежащим размещению в общей информационной системе индивидуальных данных, относятся:
По каким правилам собираются, обрабатываются и хранятся данные
Работа с индивидуальными сведениями граждан предполагает:
Эти процедуры регулирует приказ Минкомсвязи № 321.
Работа с персональными данными, в том числе биометрическими, осуществляется в следующем порядке:
Образец согласия на обработку персональных биометрических данных привели эксперты КонсультантПлюс. Получите пробный доступ к системе бесплатно и переходите к документу.
Без согласия информация может собираться в рамках (п. 2 ст. 11 закона № 152-ФЗ):
Хранение и защита идентификационных сведений
Защита биометрических персональных данных предполагает соблюдение оператором данных следующих правил (п.8 приказа № 321):
Конфиденциальность доступной информации должны хранить сотрудники, как собирающие биометрические данные, так и готовящие и выдающие ключи электронных подписей.
Дополнительно банковские учреждения должны (пп. 31, 33 Порядка, утв. приказом № 321):
Итоги
Таким образом, работа с биометрическим материалом позволяет идентифицировать людей по их голосу, фото, видео и другим индивидуальным особенностям. Порядок работы с биометрическими данными строго регламентирован законодательством. Чтобы организация могла работать с персональными сведениями, она должна направить уведомление в Роскомнадзор в порядке, предусмотренном приказом Роскомнадзора от 30.05.2017 № 94.
Биометрические персональные данные, нюансы и тонкости обработки
Применение биометрии как способа идентификации появилось еще в далеком 19-м веке. Английские колонизаторы ввели практику идентификации своих контрагентов из числа индийцев по отпечаткам пальцев и ладоней. Метод дорабатывался в дальнейшем, но применяется и по сей день. В этой статье мы попытаемся разобраться, что же относится к биометрическим данным и какие особенности обработки возникают у оператора при работе с данной категорией персональных данных.
Биометрические персональные данные, что это?
Для начала обратимся к определению, которое приводится в ст. 11 ФЗ-152 «О персональных данных». Биометрические персональные данные — это сведения, которые характеризуют физиологические и биологические особенности человека, и которые используются для установления личности субъекта ПД.
Исходя из разъяснений Роскомнадзора, к физиологическим данным относятся: дактилоскопические данные, радужная оболочка глаз, анализы ДНК, рост, вес, а также иные физиологические или биологические характеристики человека, в том числе изображение человека (фотография и видеозапись), которые позволяют установить его личность.
Например, цветное цифровое фотографическое изображение лица владельца паспорта является биометрическими персональными данными владельца документа. Эта норма закреплена в ПП РФ № 125 от 4 марта 2010г. Здесь речь идет о чипе внутри первой страницы биометрического паспорта (спасибо за поправки пользователю t12589645). В тоже время, необходимо принимать во внимание цель, которую преследует оператор при обработке персональных данных, но об этом чуть позже.
Особенности обработки биометрических персональных данных
Первое, что мы видим открыв ст. 11 ФЗ-152: « Обработка биометрических персональных данных может осуществляться только с письменного согласия субъекта ПД, в случае если данные используются для установления личности субъекта. Это основное отличие обработки данной категории ПД. В остальном оператор должен руководствоваться общими требования 152-ФЗ, к организации обработки персональных данных.
Из этого правила есть и ряд исключений, когда согласие на биометрию не требуется, они приведены в ч.2 ст.11. Письменное согласие не требуется в случаях, когда обработка данных производится в связи:
Цели обработки биометрических персональных данных
Биометрические персональные данные это сведения, которые характеризуют физиологические и биологические особенности человека,, и которые используются для установления личности субъекта ПД.
В Вашей организации используется система контроля управления доступа (СКУД) — это может быть таймформер или «аналоговый» вариант в виде сотрудника, который сверяет фотографию из базы данных и присутствующую на Вашем пропуске или паспорте. В данном случае используются фотографии, которые являются биометрическими данными, характеризующие физиологические особенности, и целью обработки является определение личности, предъявляющей пропуск. Согласно разъяснениям Роскомнадзора, фотографии и другие биометрические сведения(отпечатки пальцев и т.д.), используемые для обеспечения однократного и/или многократного прохода на охраняемую территорию относятся к обработке биометрических персональных данных.Такая процедура должна осуществляться только с письменного согласия.
Пример неправильной обработки биометрических персональных данных
Обратимся к Определению Верховного Суда РФ от 05.03.2018 № 307-КГ18-101
По итогам проверки Роскомнадзор выписал предписание организации(бассейну) с требованием прекратить использование фотографий клиентов на пропусках. Нарушение заключалось в отсутствии отдельного письменного согласия посетителей на обработку их биометрических данных, а именно фотографий.
Доводы приводимые оператором персональных данных, о том что:
Правильные цели обработки биометрических персональных данных
Достаточно тонкая грань, но при этом являющаяся очень значимым моментом, который может привести к штрафным санкциям,, поэтому рекомендуется систематически проводить внутренний аудит персональных данных.»
Личное дело сотрудника
Также биометрическими персональными данными не является фотография сотрудника, хранящаяся в личном деле и подпись работника. Т.к. все действия, которые совершает работодатель, используя данные из личного дела, направлены на подтверждение их принадлежности конкретному физическому лицу. При этом личность работника уже определена и его персональные данные уже имеются у работодателя.
Видеосъемка в общественных местах
В том случае, если на охраняемой территории или в публичных местах ведется видеосъемка, эти данные также не могут считаться биометрическими ПД, поскольку владелец видеокамеры не использует их для идентификации конкретного человека. Биометрическими эти данные могут стать, в случае передачи их в правоохранительные органы и если переданные видеоматериалы будут использоваться для определения личности конкретного физического лица.
На что стоит обратить внимание оператору организующему такую видеосъемку?
Оператор в таком случае должен проинформировать посетителей о том, что в данном месте ведется фото-, видеосъемка. Это может быть текстовая табличка или специализированная наклейка, специальных требований к оформлению не предъявляется. В том случае, если Вы выполнили это простое требование, то согласие посетителей на проведение таких мероприятий не требуется.
Если же Вы установили видеонаблюдение в рабочих помещениях, то не забудьте проинформировать работников об этом. Уведомлять нужно обязательно под роспись. Данное требования закреплено в Трудовом кодексе РФ ст. 74 и заключается в изменении условий трудового договора.
Цели организации видеонаблюдения
Повторю это еще раз, определение целей обработки – одна из ключевых задач оператора. И организация видеонаблюдения не является исключением. Цели должны быть определены заранее и иметь правовое обоснование.
Например, если видеонаблюдение ведется в офисе, то это может быть: «Фиксация возможных действий противоправного характера». В медицинских учреждениях или на производстве продуктов питания целью может быть: «Обеспечение прав пациентов, клиентов или потребителей». Наверняка, заказывая пиццу, Вы сталкивались с возможностью наблюдать за ее приготовлением по средствам вебкамер, направленных на рабочие места.
При этом данный процесс должен быть отражен во внутренней документации оператора. Должен быть определен ответственный, имеющий доступ к системе видеонаблюдения. Обычно это закрепляется приказом. Помимо этого необходимо предусмотреть порядок и сроки хранения видеозаписей, а также порядок их удаления. Само собой не забываем про информационные таблички.
Самое важное в одном абзаце
Подводя итог, еще раз хочется остановиться на самых важных моментах. Внимательно прочитайте ч.2 ст. 11 ФЗ-152 «О персональных данных» и во всех случаях, не попадающих под них, собирайте согласие на обработку биометрических персональных данных в письменном виде. Заранее определяйте цели обработки и строго придерживайтесь их. Не собирайте избыточную информацию. В случае, если Вы не знаете как трактовать то или иное требование закона, обратитесь к разъяснениям РКН или напишите им обращение с Вашим вопросом.
Видео про самые распространенные ошибки, оформлению Согласия на обработку персональных данных можно посмотреть на ютуб канале ПДМастер, также как и другие полезные материалы по тематике «Персональные данные».
Биометрические персональные данные: в чем суть и где их используют
Все полученные знания о личных биоданных человека собираются, хранятся и могут использоваться для опознания людей. Это особенно актуально в связи с активизацией угроз международного и внутреннего терроризма.
Классификация биологических данных
Суть в том, что сведения, полученные по индикации индивидуальных характеристик каждого конкретного человека с использованием технологий, являются персональными биометрическими данными. По существу, они различаются на:
статичные, которые передающиеся генетически человеку при рождении: ДНК, радужная оболочка глаза, отпечатки пальцев;
динамические, изменяемые в процессе развития и жизненных обстоятельств: голос, почерк, походка.
Правовое применение
В ФЗ-152 от 27.07.2006 года регламентирована правовая основа по защите персональных данных физических лиц. Законодательством определен порядок обращения с биопараметрами в рамках реализации конституционных прав граждан, гарантирующих неприкосновенность частной жизни и сохранность персональной тайны.
Личные биометрические сведения оператор может использовать без письменного разрешения при следующих чрезвычайных обстоятельствах:
необходимой депортации из другого государства.
В целях исполнения приставами судебных решений.
В случаях противодействия терроризму.
Осуществления оперативно-розыскной деятельности.
Связанных с коррупцией в госслужбе.
Важно! Биологические параметры характерные для каждого человека хранятся в защищенной базе данных в виде цифрового кода. При похищении закодированного ключа злоумышленник может воспользоваться секретной информацией для осуществления противоправных действий.
Системы биометрических технологий
Создание технологических систем позволяет осуществить проверку подлинности биоданных на основе методов сравнительной биометрической аутентификации. Сведения о пользователе такие, как сетчатка глаза, оттиск подушечки пальца и другие сканируются. Полученные параметры обрабатываются в системах с использованием цифровых технологий. Процесс аутентификации проводится в четыре этапа:
Запись
В процессе записи ведется запоминание одного или нескольких экземпляров физического образца биометрического параметра для более полного составления характеристики изображения.
Преобразование
Зафиксированная уникальная информация обрабатывается и путем технологических манипуляций закрепленный биологический параметр человека преобразовывается в цифровой код.
Сравнение
Закодированный биопараметр сравнивается с представленным для анализа образчиком.
Совпадение/несовпадение
В результате система аутентификации выдает оценку, совпадает или нет хранящийся в базе данных закодированный биометрический параметр с анализируемым образчиком.
Важно! Технологические системы аутентификации подлежат общей стандартизации по надежности и должны иметь сертификаты качества, которые выдает ICSA (Международная ассоциация по компьютерной безопасности).
Практическое применение
Практическое применение биометрических технологий востребовано во многих сферах деятельности, связанных с гарантией обеспечения безопасности доступа к различной информации. Системы с цифровой базой закодированных биологических параметров помогают решать задачи по идентификации личности в случаях обеспечения:
организации антитеррористических операций;
охраны общественного правопорядка;
безопасности банковских операций;
реализации оценки в розничной торговле;
предоставления социальных услуг;
выдачи заграничного паспорта либо визы;
разблокировки устройства смартфонов, компьютерных гаджетов.
Основные биометрические параметры
Современные технологии охватывают уникальные и динамичные биопараметры для решения вопросов персональной идентификации личности. К ним относятся:
Отпечатки пальцев
Изображение папиллярных линий на пальцах руки, различающиеся у всех людей, в том числе у близнецов, на протяжении всей жизни. Этот уникальный, статичный параметр используют в системах идентификация для установления личности.
Важно! Это надежный, проверенный годами способ идентификации, при котором невозможно искусственно восстановить идентичный отпечаток.
Радужная оболочка глаза
Надежным способ в биометрической технологии является проведение идентификации при сравнении радужной оболочки глаза. Такой параметр у человека остается неизменным в течении всей жизни. Изображение сохраняется неизменным при любых обстоятельствах, включая:
операцию на глаза по ликвидации катаракты;
введения имплантатов на роговице;
использование простых и цветных контактных линз;
пожизненную слепоту человека.
Важно! При наличии у человека радужной оболочки глаза, которая выглядит для запоминающих устройств, как сеть, состоящая из множества переплетающихся кругов, компьютерные технологии могут всегда идентифицировать владельца.
Голос
Голосовые характеристики являются динамичными параметрами, идентификация которых востребовано:
при удаленном обслуживании в контакт-центрах;
в банковских учреждениях;
в автоматических голосовых меню.
Важно! Голосовой параметр может измениться, и не всегда индикация бывает точной. На голос влияют возрастные факторы, Лор заболевания и другие воздействия.
Виды биометрических данных сегодня постоянно дополняются, усовершенствуются, и создаются новые системы распознавания личности. Проводятся работы по созданию единой базы данных. На законодательном уровне решаются вопросы правового регулирования обеспечения сохранности и доступа к персональным данным. Не за горами тот день, когда подтвердить свою личность можно будет одним мизинцем, прикоснувшись к биометрическому считывателю!
Биометрические персональные данные: в чем суть и где их используют
Все полученные знания о личных биоданных человека собираются, хранятся и могут использоваться для опознания людей. Это особенно актуально в связи с активизацией угроз международного и внутреннего терроризма.
Классификация биологических данных
Суть в том, что сведения, полученные по индикации индивидуальных характеристик каждого конкретного человека с использованием технологий, являются персональными биометрическими данными. По существу, они различаются на:
статичные, которые передающиеся генетически человеку при рождении: ДНК, радужная оболочка глаза, отпечатки пальцев;
динамические, изменяемые в процессе развития и жизненных обстоятельств: голос, почерк, походка.
Правовое применение
В ФЗ-152 от 27.07.2006 года регламентирована правовая основа по защите персональных данных физических лиц. Законодательством определен порядок обращения с биопараметрами в рамках реализации конституционных прав граждан, гарантирующих неприкосновенность частной жизни и сохранность персональной тайны.
Личные биометрические сведения оператор может использовать без письменного разрешения при следующих чрезвычайных обстоятельствах:
необходимой депортации из другого государства.
В целях исполнения приставами судебных решений.
В случаях противодействия терроризму.
Осуществления оперативно-розыскной деятельности.
Связанных с коррупцией в госслужбе.
Важно! Биологические параметры характерные для каждого человека хранятся в защищенной базе данных в виде цифрового кода. При похищении закодированного ключа злоумышленник может воспользоваться секретной информацией для осуществления противоправных действий.
Системы биометрических технологий
Создание технологических систем позволяет осуществить проверку подлинности биоданных на основе методов сравнительной биометрической аутентификации. Сведения о пользователе такие, как сетчатка глаза, оттиск подушечки пальца и другие сканируются. Полученные параметры обрабатываются в системах с использованием цифровых технологий. Процесс аутентификации проводится в четыре этапа:
Запись
В процессе записи ведется запоминание одного или нескольких экземпляров физического образца биометрического параметра для более полного составления характеристики изображения.
Преобразование
Зафиксированная уникальная информация обрабатывается и путем технологических манипуляций закрепленный биологический параметр человека преобразовывается в цифровой код.
Сравнение
Закодированный биопараметр сравнивается с представленным для анализа образчиком.
Совпадение/несовпадение
В результате система аутентификации выдает оценку, совпадает или нет хранящийся в базе данных закодированный биометрический параметр с анализируемым образчиком.
Важно! Технологические системы аутентификации подлежат общей стандартизации по надежности и должны иметь сертификаты качества, которые выдает ICSA (Международная ассоциация по компьютерной безопасности).
Практическое применение
Практическое применение биометрических технологий востребовано во многих сферах деятельности, связанных с гарантией обеспечения безопасности доступа к различной информации. Системы с цифровой базой закодированных биологических параметров помогают решать задачи по идентификации личности в случаях обеспечения:
организации антитеррористических операций;
охраны общественного правопорядка;
безопасности банковских операций;
реализации оценки в розничной торговле;
предоставления социальных услуг;
выдачи заграничного паспорта либо визы;
разблокировки устройства смартфонов, компьютерных гаджетов.
Основные биометрические параметры
Современные технологии охватывают уникальные и динамичные биопараметры для решения вопросов персональной идентификации личности. К ним относятся:
Отпечатки пальцев
Изображение папиллярных линий на пальцах руки, различающиеся у всех людей, в том числе у близнецов, на протяжении всей жизни. Этот уникальный, статичный параметр используют в системах идентификация для установления личности.
Важно! Это надежный, проверенный годами способ идентификации, при котором невозможно искусственно восстановить идентичный отпечаток.
Радужная оболочка глаза
Надежным способ в биометрической технологии является проведение идентификации при сравнении радужной оболочки глаза. Такой параметр у человека остается неизменным в течении всей жизни. Изображение сохраняется неизменным при любых обстоятельствах, включая:
операцию на глаза по ликвидации катаракты;
введения имплантатов на роговице;
использование простых и цветных контактных линз;
пожизненную слепоту человека.
Важно! При наличии у человека радужной оболочки глаза, которая выглядит для запоминающих устройств, как сеть, состоящая из множества переплетающихся кругов, компьютерные технологии могут всегда идентифицировать владельца.
Голос
Голосовые характеристики являются динамичными параметрами, идентификация которых востребовано:
при удаленном обслуживании в контакт-центрах;
в банковских учреждениях;
в автоматических голосовых меню.
Важно! Голосовой параметр может измениться, и не всегда индикация бывает точной. На голос влияют возрастные факторы, Лор заболевания и другие воздействия.
Виды биометрических данных сегодня постоянно дополняются, усовершенствуются, и создаются новые системы распознавания личности. Проводятся работы по созданию единой базы данных. На законодательном уровне решаются вопросы правового регулирования обеспечения сохранности и доступа к персональным данным. Не за горами тот день, когда подтвердить свою личность можно будет одним мизинцем, прикоснувшись к биометрическому считывателю!
Разъяснения Министерства цифрового развития, связи и массовых коммуникаций РФ о некоторых нормах Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»
Письмо № ОП-П24-070-19433 от 17.07.2020 г.
Порядок обработки биометрических персональных данных регулируется ст. 11 Закона о персональных данных. В соответствии с ч. 1 ст. 11 Закона о персональных данных сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные и которые используются оператором для установления личности субъекта персональных данных, могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.
Фотографические изображения посетителей организации, содержащиеся в системе контроля управления доступа (СКУД), будут являться биометрическими персональными данными, поскольку они характеризуют физиологические и биологические особенности человека, позволяют установить, принадлежит ли данному лицу предъявляемый СКУД пропуск, на основе которого можно установить его личность путем сравнения фото с лицом предъявителя пропуска и указываемых владельцем пропуска фамилии,имени и отчества с указанными в СКУД.
Таким образом, фотографическое изображение и иные сведения, используемые для обеспечения однократно и/или многократного прохода на охраняемую территорию и установления личности гражданина, также относятся к биометрическим персональным данным.
В качестве одного из оснований обработки биометрических персональных данных установлено наличие согласия в письменной форме субъекта персонально данных.
Положениями ч. 2 ст. 11 Закона о персональных данных установлены случаи, при наступлении которых согласие в письменной форме субъекта персональных данных, не требуется.
Так, согласно указанной норме обработка биометрические персональных данных может осуществляться без согласия субъекта персональных данных в связи с реализацией международных договоров Российской Федерации о реадмиссии, в связи с осуществлением правосудия и исполнением судебных актов, в связи с проведением обязательной государственной дактилоскопической регистрации, а также в случаях, предусмотренных законодательством Российской Федерации об обороне, о безопасности, о противодействии терроризму, о транспортной безопасности, о противодействии коррупции, об оперативно-разыскной деятельности, о государственной службе, уголовно-исполнительным законодательством Российской Федерации, законодательством Российской Федерации о порядке выезда из Российской Федерации и въезда в Российскую Федерацию, о гражданстве Российской Федерации.
Общий подход предоставления согласия, закрепленный в ч. 2 ст. 9 Закона о персональных данных, предусматривающий предоставление согласия субъекта персональных данных или его законного представителя в случае обработки биометрических персональных данных не применим, поскольку в соответствии с ч. 1 ст. 11 Закона о персональных данных соответствующее согласие в письменной форме может быть предоставлено исключительно субъектом персональных данных. Возможность делегирования права предоставления согласия в указанном случае законодательством Российской Федерации в области персональных данных не установлено.
Во всех случаях, не подпадающих под указанные в ч. 2 ст. 11 Закона о персональных данных, необходимо получение от субъекта личного согласия в письменной форме на обработку его биометрических персональных данных.
Таким образом, обработка биометрических персональных данных учащихся с согласия в письменной форме законного представителя субъекта персональных данных на обработку его биометрических персональных данных не допускается, за исключением случаев, предусмотренных ч. 2 ст. 11 Закона о персональных данных.
С учетом изложенного, законодательством Российской Федерации не предусмотрены случаи, предполагающие обработку биометрических персональных данных в целях установления личности для осуществления пропускного режима, в том числе в образовательные учреждения.
Таким образом, законодательством Российской Федерации в области персональных данных порядок и условия обработки биометрических персональных данных несовершеннолетних лиц не предусмотрены, что исключает наличие оснований для осуществления такой обработки образовательными учреждениями.
В соответствии с решениями, принятыми на совещании по вопросу соблюдения требований законодательства Российской Федерации в области персональных данных при подключении образовательных учреждений к программно-аппаратным комплексам с применением технологии распознавания лиц и обработки биометрических персональных данных, состоявшемся 24.01.2020, соответствующие рекомендации по применению положений Закона о персональных данных при обработке биометрических персональных данных несовершеннолетних направлены в адрес Минпросвещения России и Рособрнадзора.
Практические рекомендации
по применению положений Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» при обработке биометрических
персональных данных несовершеннолетних
В соответствии с ч, 1 ст. 11 Закона о персональных данных сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные) и которые используются оператором для установления личности субъекта персональных данных, могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.
Следовательно, к биометрическим персональным данным относятся физиологические данные (дактилоскопические данные, радужная оболочка глаз, голос, анализы ДНК и другие), а также иные физиологические или биологические характеристики человека, в том числе, изображение человека (фотография и видеозапись).
Биометрические персональные данные будут являться таковыми при наличии условий:
— они признаны таковыми в силу положений нормативных правовых актов;
— они характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность;
— они используются оператором для установления личности субъекта персональных данных.
Фотографические изображения посетителей организации, содержащиеся в системе контроля управления доступа (СКУД), будут являться биометрическими персональными данными, поскольку они характеризуют физиологические и биологические особенности человека, позволяют установить, принадлежит ли данному лицу предъявляемый СКУД пропуск, на основе которого можно установить его личность путем сравнения фото с лицом предъявителя пропуска и указываемых владельцем пропуска фамилии, имени и отчества с указанными в СКУД.
Таким образом, фотографическое изображение и иные сведения, используемые для обеспечения однократного и/или многократного прохода на охраняемую территорию и установления личности гражданина, также относятся к биометрическим персональным данным.
Отпечатки пальцев человека являются биометрическими персональными данными (дактилоскопической информацией), обработка которых осуществляется только в случаях установленных Федеральным законом от 25.07.1998 № 128-ФЗ «О государственной дактилоскопической регистрации в Российской Федерации», которым четко определены виды и порядок проведения дактилоскопической регистрации. Обработка указанных данных в иных случаях, действующим законодательством не предусмотрена.
В Российской Федерации проведение государственной дактилоскопической регистрации, а также использование дактилоскопической информации осуществляются в целях идентификации личности человека.
Проведение государственной дактилоскопической регистрации возможно в случаях:
— розыска пропавших без вести граждан Российской Федерации, иностранных граждан и лиц без гражданства;
— установления личности человека по отпечаткам пальцев (ладоней) рук неопознанного трупа;
— установления личности граждан Российской Федерации, иностранных граждан и лиц без гражданства, не способных по состоянию здоровья или возрасту сообщить данные о своей личности либо не имеющих документов, удостоверяющих личность;
подтверждения личности граждан Российской Федерации, иностранных граждан и лиц без гражданства;
— предупреждения, раскрытия и расследования преступлений, а также предупреждения и выявления административных правонарушений.
Таким образом, дактилоскопическая регистрации посетителей для осуществления однократного/многократного пропуска на территорию не подпадает под действие Закона № 128-ФЗ. Следовательно, в таком случае осуществляется обработка биометрических персональных данных, не предусмотренная законом. Данное деяние образует состав административного правонарушения, предусмотренного ч. 1 ст. 13.11 КоАП РФ.
Правовые основания обработки персональных данных установлены ч. 1 ст. 6 Закона о персональных данных.
Вместе с тем, правовое регулирование обработки биометрических персональных данных выделено в отдельной статье 11 Закона о персональных данных, которой определены правовые основания обработки указанной категории персональных данных.
В качестве одного из оснований обработки биометрических персональных данных установлено наличие согласия в письменной форме субъекта персональных данных.
Положениями ч. 2 ст. 11 Закона о персональных данных установлены случаи, при наступлении которых согласие в письменной форме субъекта персональных данных, не требуется.
Так, согласно указанной норме обработка биометрических персональных данных может осуществляться без согласия субъекта персональных данных в связи с реализацией международных договоров Российской Федерации о реадмиссии, в связи с осуществлением правосудия и исполнением судебных актов, в связи с проведением обязательной государственной дактилоскопической регистрации, а также в случаях, предусмотренных законодательством Российской Федерации об обороне, о безопасности, о противодействии терроризму, о транспортной безопасности, о противодействии коррупции, об оперативно-разыскной деятельности, о государственной службе, уголовно-исполнительным законодательством Российской Федерации, законодательством Российской Федерации о порядке выезда из Российской Федерации и въезда в Российскую Федерацию, о гражданстве Российской Федерации, при обработке биометрических персональных данных несовершеннолетних лиц.
Полагаем необходимым отметить, что общий подход предоставления согласия, закрепленный в ч. 1 ст. 9 Закона о персональных данных, предусматривающий предоставление согласия субъекта персональных данных или его законного представителя в случае обработки биометрических персональных данных не применим, поскольку в соответствии с ч. 1 ст. 11 Закона о персональных данных соответствующее согласие в письменной форме может быть предоставлено исключительно субъектом персональных данных. Возможность делегирования права предоставления согласия в указанном случае законодательством Российской Федерации в области персональных данных не установлено.
Во всех случаях, не подпадающих под указанные в ч. 2 ст. 11 Закона о персональных данных, необходимо получение от субъекта личного согласия в письменной форме на обработку его биометрических персональных данных.
Таким образом, обработка биометрических персональных данных учащихся с согласия в письменной форме законного представителя субъекта персональных данных на обработку его биометрических персональных данных не допускается, за исключением случаев, предусмотренных ч. 2 ст. 11 Закона о персональных данных.
С учетом изложенного, законодательством Российской Федерации не предусмотрены случаи, предполагающие обработку биометрических персональных данных в целях установления личности для осуществления пропускного режима, в том числе в образовательные учреждения.
Таким образом, законодательством Российской Федерации в области персональных данных порядок и условия обработки биометрических персональных данных несовершеннолетних лиц не предусмотрены, что исключает наличие оснований для осуществления такой обработки образовательными учреждениями.
В этой связи в случае осуществления образовательными учреждениями обработки биометрических персональных данных несовершеннолетних лиц, необходимо принять меры по прекращению обработки биометрических персональных данных учащихся (несовершеннолетних) и их уничтожению (при наличии базы данных).
Биометрические персональные данные
Осуществляя операции с ПДн, компании и предприниматели часто сталкиваются с необходимостью правильной обработки и защиты биометрических персональных данных. Это случается, прежде всего, из-за непонимания сути биометрии и незнания законодательных аспектов регулирования на международном уровне и в пределах РФ. По мере интеграции новых технологий сбора, хранения, распространения, уничтожения, изменения личной информации проблема становится все более серьезной и актуальной не только для больших фирм, но и для среднего и малого бизнеса. Чтобы минимизировать риск штрафных санкций от Роскомнадзора, ухудшения деловой репутации и судебных разбирательств, необходимо разобраться:
Что относится к биометрическим данным человека в соответствии с ФЗ-152?
Для того чтобы идентифицировать гражданина, можно использовать различные способы и источники информации. Что такое биометрические ПДн? Это совокупность сведений о человеке, которые касаются его физиологических и поведенческих отличий, и на основании которых возможно подтвердить личность, управлять и контролировать доступ (например, к банковской ячейке, помещениям с ограниченным входом и т.д.). Полный список представлен в Федеральном Законе № 152. Он включает:
Вопреки расхожему мнению видеоизображения и фотографии (в том числе те, которые присутствуют в паспорте, личном деле работника или служебном пропуске и т.п.) не являются биометрическими персональными данными, т.к. они не используются для установления личности, а только лишь подтверждают их принадлежность конкретному субъекту, чья личность уже определена.
Что касается УЗИ, КТ, МРТ, рентгеновских снимков, находящихся в медицинской карте субъекта, то они переходят в категорию биометрических только при использовании следственными органами в целях определения личности нарушителя, свидетеля, пострадавшего по административному, гражданскому или криминальному делу. Таким образом, выделение таких ПДн носит условный характер, а правила использования, хранения и совершения других операций напрямую зависят от целей оператора. Помимо идентификации биометрия выполняет функцию верификации. Уникальность данных позволяет с максимальной точностью установить, является ли человек именно тем, кем себя называет — даже у однояйцевых близнецов радужная оболочка глаз отличается, также как и дактилоскопические данные.
Что такое биометрические персональные данные в Интернете?
Закон не выделяет такие ПДн в отдельную группу, соответственно, в их отношении действуют все требования в плане обработки и защиты, что предусмотрены в ФЗ-152. При обнаружении факта несанкционированного использования субъект имеет полное право:
Важные нюансы обработки биометрических персональных данных
Основное условие легального проведения операций, связанных с идентификацией по ПДн работников, клиентов, бизнес-партнеров — наличие письменного разрешения владельца. Без него обрабатывать информацию запрещено. Впрочем, закон о защите персональных данных позволяет не получать на биометрию согласие в письменном виде, если:
Среди других исключений, касающихся обработки персональных данных, которые могут быть использованы в качестве биометрических, стоит отметить:
ФЗ-152 указывает на необходимость хранения и обработки ПДн в том объеме и в течение того количества времени, которое требуется для достижения поставленных целей. Особенного внимания заслуживает организация процессов, связанных с обработкой биометрических данных работников. Например, запрещено хранить на предприятии копию паспорта сотрудника, но в личном деле фотография должна присутствовать, поскольку не предназначена для идентификации человека, ведь личность уже подтверждена.
Какие российские и международные нормы защищают биометрические персональные данные?
Несмотря на активную работу в направлении обеспечения безопасности данной категории ПДн, далеко не все моменты проработаны как на федеральном, так и на международном уровне. Основополагающими регулирующими документами являются:
Правила защиты биометрических персональных данных прописаны также в стандартах ISO 17799 и ISO 15489.
Детальную информацию о законодательстве в области биометрических персональных данных, а также рекомендации относительно создания эффективной системы их защиты согласно установленным в РФ требованиям можно получить у консультантов нашего специализированного Центра. Эксперты помогут не только разобраться в юридических особенностях, но и своевременно внести изменения в процессы обработки ПДн.
Биометрические персональные данные что к ним относится
Об актуальных изменениях в КС узнаете, став участником программы, разработанной совместно с АО »СБЕР А». Слушателям, успешно освоившим программу, выдаются удостоверения установленного образца.
Программа разработана совместно с АО »СБЕР А». Слушателям, успешно освоившим программу, выдаются удостоверения установленного образца.
Обзор документа
Разъяснения Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 30 августа 2013 г. «Разъяснения по вопросам отнесения фото-, видеоизображений, дактилоскопических данных и иной информации к биометрическим персональным данным и особенностей их обработки»
В соответствии с ч. 1 ст. 11 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» к биометрическим персональным данным относятся сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных.
Соответственно, в контексте Федерального закона «О персональных данных» отнесение сведений персонального характера к биометрическим персональным данным и их последующая обработка должны рассматриваться в рамках проводимых оператором мероприятий, направленных на установление личности конкретного лица, если иное не предусмотрено федеральными законами и принятыми на их основе нормативными правовыми актами.
Обработка биометрических персональных данных может осуществляться только при наличии согласия в письменной форме субъекта персональных данных, за исключением случаев, предусмотренных ч. 2 ст. 11 Федерального закона «О персональных данных, предусматривающей исключения, связанные с реализацией международных договоров Российской Федерации о реадмиссии, в связи с осуществлением правосудия и исполнением судебных актов, а также в случаях, предусмотренных законодательством Российской Федерации об обороне, о безопасности, о противодействии терроризму, о транспортной безопасности, о противодействии коррупции, об оперативно-розыскной деятельности, о государственной службе, уголовно-исполнительным законодательством Российской Федерации, законодательством Российской Федерации о порядке выезда из Российской Федерации и въезда в Российскую Федерацию.
Исходя из определения, установленного Федеральным законом «О персональных данных» к биометрическим персональным данным относятся физиологические данные (дактилоскопические данные, радужная оболочка глаз, анализы ДНК, рост, вес и другие), а также иные физиологические или биологические характеристики человека, в том числе изображение человека (фотография и видеозапись), которые позволяют установить его личность и используются оператором для установления личности субъекта.
По существу обработки фото- или видеоизображения субъекта персональных данных и распространения на указанную деятельность положений ст. 11 Федерального закона «О персональных данных» необходимо отметить следующее.
В соответствии со ст. 152.1 Гражданского кодекса Российской Федерации обнародование и дальнейшее использование изображения гражданина (в том числе его фотографии, а также видеозаписи или произведения изобразительного искусства, в которых он изображен) допускаются только с согласия этого гражданина. После смерти гражданина его изображение может использоваться только с согласия его законных представителей (супруги, дети, родители). Такое согласие не требуется в случаях, когда:
1) использование изображения осуществляется в государственных, общественных или иных публичных интересах.
(Согласно п. 25 постановления Пленума Верховного Суда Российской Федерации от 15 июня 2010 г. №16 к общественным интересам следует относить не любой интерес, проявляемый аудиторией, а, например, потребность общества в обнаружении и раскрытии угрозы демократическому правовому государству и гражданскому обществу, общественной безопасности, окружающей среде.
К таким интересам, к примеру, относится информация, связанная с исполнением своих функций должностными лицами и общественными деятелями. Соответственно, сообщение подробностей частной жизни лица, не занимающегося какой-либо публичной деятельностью, под данное исключение не подпадает).
2) изображение гражданина получено при съемке, которая проводится в местах, открытых для свободного посещения, или на публичных мероприятиях (собраниях, съездах, конференциях, концертах, представлениях, спортивных соревнованиях и подобных мероприятиях), за исключением случаев, когда такое изображение является основным объектом использования;
3) гражданин позировал за плату.
Исходя из смысла указанной статьи, опубликование, в том числе редакцией СМИ, фотографического изображения в случаях, предусмотренных ст. 152.1 Гражданского кодекса Российской Федерации, а также полученного из общедоступных источников не требует соблюдения условий, связанных с получением письменного согласия субъекта персональных данных.
Существуют положения нормативных правовых актов, прямо относящих фотографическое изображение к биометрическим персональным данным.
Согласно пункту 6 Перечня персональных данных, записываемых на электронные носители информации, содержащиеся в основных документах, удостоверяющих личность гражданина Российской Федерации, по которым граждане Российской Федерации осуществляют выезд из Российской Федерации и въезд в Российскую Федерацию, утвержденного постановлением Правительства Российской Федерации 4 марта 2010 г. № 125, цветное цифровое фотографическое изображение лица владельца документа является биометрическими персональными данными владельца документа.
В тоже время, необходимо принимать во внимание цель, которую преследует оператор при осуществлении действий, связанных с обработкой персональных данных, в том числе фотографического изображения, содержащихся в паспорте.
В случае, если они используются оператором для установления личности субъекта персональных данных (в том числе в случае проведения такой процедуры представителями операторов, имеющими полномочия на установление личности владельца паспорта), то данная обработка должна осуществляться в строгом соответствии со ст. 11 Федерального закона «О персональных данных».
Аналогичная ситуация с фотографическими изображениями сотрудников, посетителей государственных и муниципальных органов, предприятий (организации), содержащимися в системе контроля управления доступа (СКУД), которые являются биометрическими персональными данными, поскольку характеризуют физиологические и биологические особенности человека, позволяющие установить, принадлежит ли данному лицу предъявляемый СКУД пропуск, на основе которых можно установить его личность путем сравнения фото с лицом предъявителя пропуска и указываемых владельцем пропуска фамилии, имени и отчества с указанными в СКУД, и эти данные используются оператором для установления личности субъекта персональных данных в случае сомнения в том, что пропуск предъявляется его действительным владельцем.
Таким образом, фотографическое изображение и иные сведения, используемые для обеспечения однократного и/или многократного прохода на охраняемую территорию и установления личности гражданина, также относятся к биометрическим персональным данным.
В соответствии с ч. 1 ст. 11 Федерального закона «О персональных данных» обработка биометрических персональных данных в подобных случаях может осуществляться только при наличии согласия в письменной форме субъекта персональных данных.
В иных случаях, когда сканирование паспорта осуществляется оператором для подтверждения осуществления определенных действий конкретным лицом (например, заключение договора на оказание услуг, в том числе банковских, медицинских и т.п.) без проведения процедур идентификации (установления личности), данные действия не могут считаться обработкой биометрических персональных данных и ст. 11 Федерального закона «О персональных данных» не регулируются. Соответственно, обработка сведений, в данных случаях, осуществляется в соответствии с общими требованиями, установленными Федеральным законом «О персональных данных».
Аналогичный подход следует применять при осуществлении ксерокопирования документа, удостоверяющего личность.
Также не является биометрическими персональными данными фотографическое изображение, содержащиеся в личном деле работника, а также подпись лица, наличие которой в различных договорных отношениях является обязательным требованием, и почерк, в том числе анализируемый уполномоченными органами в рамках почерковедческой экспертизы. Все они не могут рассматриваться как биометрические персональные данные, поскольку действия с использованием указанных данных направлены на подтверждение их принадлежности конкретному физическому лицу, чья личность уже определена и чьи персональные данные уже имеются в распоряжении оператора.
Аналогичная позиция и с материалами видеосъемки в публичных местах и на охраняемой территории. До передачи их для установления личности снятого человека они не являются биометрическим персональными данными, обработка которых регулируется общими положениями Федерального закона «О персональных данных», поскольку не используются оператором (владельцем видеокамеры или лицом, организовавшим ее эксплуатацию) для установления личности. Однако, указанные материалы, используемые органами, осуществляющими оперативно-розыскную деятельность, дознание и следствие в рамках проводимых мероприятий, являются биометрическими персональными данными, в случае, если целью их обработки является установление личности конкретного физического лица.
Необходимо отметить, что при ведении видеонаблюдения в рабочих помещениях оператора с целью фиксации возможных действий противоправного характера согласно ст. 74 Трудового кодекса Российской Федерации работники должны быть уведомлены об изменении условий трудового договора по причинам, связанным с изменением организационных или технологических условий труда (введением видеонаблюдения), под роспись.
Вместе с тем, посетители указанных публичных мест должны заранее предупреждаться их администрацией о возможной фото-, видеосъемке, соответствующими текстовыми и/или графическими предупреждениями. При соблюдении указанных условий согласие субъектов на проведение указанных мероприятии не требуется.
Видеонаблюдение может осуществляться только для конкретных и заранее определенных целей. Эти цели должны быть обусловлены соответствующими нормативными правовыми актами, устанавливающими правовые основания видеонаблюдения (видеосъемки).
Кроме того, необходимо отдельно отметить случаи открытого наблюдения, которое ведется в целях обеспечения прав пациентов, клиентов, потребителей при осуществлении тех или иных услуг населению (например, медицинских или по производству продуктов питания), путем установления видеокамер направленных на рабочие места сотрудников с целью осуществления контроля качества предоставляемых услуг.
В целях установления дополнительных гарантий соблюдения прав как потребителей (пациентов, клиентов), а также самих работников и сотрудников должны быть приняты внутренние документы, которыми должны быть предусмотрены порядок и сроки хранения видеозаписей, а также ответственные лица, имеющие доступ к системе видеонаблюдения. Также необходимо предусмотреть возможность информирования о системе видеонаблюдения путем размещения информационных табличек в зонах видимости камер.
Вместе с тем, если в результате опубликования фотографий или видеозаписи, возникает реальная угроза жизни и здоровью гражданина, либо ему наносятся моральные страдания, то на основании его мотивированного обращения распространение (демонстрация) данной информации должно быть прекращено.
Наличие согласия на обработку персональных данных либо иных законных оснований (договор) также необходимо в случае использования изображения гражданина в рекламных целях.
Соблюдение указанных условий должно осуществляться средствами массовой информации на этапе предоставления заказчиком соответствующих материалов.
По существу отнесения к биометрическим персональным данным дактилоскопической информации, а также их обработки в биометрических системах идентификации, построенных на использовании в качестве идентификаторов информации об особенностях строения папиллярных узоров пальцев рук человека (дактилоскопической информации), необходимо учитывать следующее.
Обработка дактилоскопической информации в системе биометрической идентификации осуществляется путем преобразования изображения папиллярных узоров на промежуточной поверхности в цифровую форму и размещения полученных данных в базе данных в виде биометрического информационного шаблона.
Ввиду изложенного, во всех случаях, не подпадающих под указанные в ч. 2 ст. 11 Федерального закона «О персональных данных», для использования дактилоскопической информации в системах идентификации, контроля и управления доступом необходимо получение от субъекта или его представителя согласия в письменной форме на обработку его биометрических персональных данных по правилам, установленным ч. 4 ст. 9 Федерального закона «О персональных данных».
Обзор документа
Биометрические персональные данные граждан обрабатываются с их согласия (за исключением некоторых случаев, связанных, в частности, с реадмиссией, осуществлением правосудия, госслужбой, транспортной безопасностью, ОРД).
К таким данным относятся физиологические и биологические характеристики человека, которые используются оператором, чтобы установить его личность. В частности, это могут быть отпечатки пальцев, радужная оболочка глаз, анализы ДНК, рост, вес, изображение человека (фотография и видеозапись).
Изображение гражданина может использоваться без его согласия в государственных, общественных или иных публичных интересах. Причем это не любой интерес, проявляемый аудиторией, а, например, потребность общества в обнаружении и раскрытии угрозы демократическому правовому государству и гражданскому обществу, общественной безопасности, окружающей среде. В частности, речь может идти об информации, связанной с исполнением должностными лицами и общественными деятелями своих функций. Соответственно, сообщать подробности частной жизни лица, не занимающегося какой-либо публичной деятельностью, запрещено без его согласия.
Таким образом, для опубликования, в т. ч. редакцией СМИ, фотографии гражданина в вышеуказанных случаях, а также если изображение получено из общедоступных источников, согласие лица не нужно.
Если опубликование фотографий (видеозаписи) реально угрожает жизни и здоровью гражданина либо наносит ему моральные страдания, то на основании его мотивированного обращения распространение (демонстрация) данной информации должно быть прекращено.
К биометрическим персональным данным относятся фотоизображение и иные сведения, используемые для обеспечения прохода на охраняемую территорию и установления личности гражданина. В то же время ими не являются фотография из личного дела работника, а также подпись лица, наличие которой в различных договорных отношениях является обязательным, и почерк, в т. ч. анализируемый в рамках почерковедческой экспертизы.
Не могут считаться обработкой биометрических персональных данных ксерокопирование и сканирование паспорта для подтверждения совершения определенных действий конкретным лицом (например, заключение договора на оказание услуг) без проведения процедур идентификации (установления личности).
О видеонаблюдении в рабочих помещениях сотрудники должны предупреждаться под роспись.
Биометрические персональные данные россиян
В свете скорого вступления в действие закона о биометрической идентификации клиентов банков хотелось бы вернуться немного назад и вспомнить, а чем собственно являются биометрические персональные данные. Что по этому поводу нам говорит Роскомнадзор и как нам быть, если придется с ними работать.
Согласно Федеральному закону от 27.07.2006 N 152-ФЗ «О персональных данных», ст. 11:
«Сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные) и которые используются оператором для установления личности субъекта персональных данных, могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.»
Биометрические персональные данные представляют собой сведения о наших биологических особенностях. Эти данные уникальны, принадлежат только одному человеку и никогда не повторяются.
Биометрические данные заложены в нас от рождения самой природой, они никем не присваиваются, это просто закодированная информация о человеке, которую люди научились считывать. К таким данным относятся:
отпечаток пальца, рисунок радужной оболочки глаза, код ДНК, слепок голоса и пр.
О стандартах
В соответствии с приказом Федерального агентства по техническому регулированию и метрологии от 6 марта 2017 года №448 была организована деятельность технического комитета по стандартизации ТК 098 «Биометрия и биомониторинг».
Согласно Приложению N 3 к приказу Федерального агентства по техническому регулированию и метрологии от 6 марта 2017 г. N 448 (Положение о техническом комитете по стандартизации «Биометрия и биомониторинг») ТК призван решать следующие задачи:
Наименование национального стандарта
ГОСТ ISO/IEC 2382-37-2016*
Информационные технологии. Словарь. Часть 37. Биометрия (принят протоколом МГС №93-П от 22 ноября 2016 г.)
ГОСТ ISO/IEC 19794-1-2015*
Информационные технологии. Биометрия. Форматы обмена биометрическими данными. Часть 1. Структура
ГОСТ Р ИСО/МЭК 19794-2-2013
Информационные технологии. Биометрия. Форматы обмена биометрическими данными. Часть 2. Данные изображения отпечатка пальца — контрольные точки
ГОСТ Р ИСО/МЭК 19794-3-2009
Автоматическая идентификация. Идентификация биометрическая. Форматы обмена биометрическими данными. Часть 3. Спектральные данные изображения отпечатка пальца
ГОСТ Р ИСО/МЭК 19794-4-2014
Информационные технологии. Биометрия. Форматы обмена биометрическими данными. Часть 4. Данные изображения отпечатка пальца
ГОСТ Р ИСО/МЭК 19794-5-2013
Информационные технологии. Биометрия. Форматы обмена биометрическими данными. Часть 5. Данные изображения лица
ГОСТ Р ИСО/МЭК 19794-6-2014
Информационные технологии. Биометрия. Форматы обмена биометрическими данными. Часть 6. Данные изображения радужной оболочки глаза
ГОСТ Р ИСО/МЭК 19794-7-2009
Автоматическая идентификация. Идентификация биометрическая. Форматы обмена биометрическими данными. Часть 7. Данные динамики подписи
ГОСТ Р ИСО/МЭК 19794-8-2015
Информационные технологии. Биометрия. Форматы обмена биометрическими данными. Часть 8. Данные изображения отпечатка пальца — остов
ГОСТ Р ИСО/МЭК 19794-9-2015
Информационные технологии. Биометрия. Форматы обмена биометрическими данными. Часть 9. Данные изображения сосудистого русла
ГОСТ Р ИСО/МЭК 19794-10-2010
Автоматическая идентификация. Идентификация биометрическая. Форматы обмена биометрическими данными. Часть 10. Данные геометрии контура кисти руки
ГОСТ Р ИСО/МЭК 19794-11-2015
Информационные технологии. Биометрия. Форматы обмена биометрическими данными. Часть 11. Обрабатываемые данные динамики подписи
ГОСТ Р ИСО/МЭК 19794-14-2017
Информационные технологии. Биометрия. Форматы обмена биометрическими данными. Часть 14. Данные ДНК
ГОСТ Р ИСО/МЭК 19795-1-2007
Автоматическая идентификация. Идентификация биометрическая. Эксплуатационные испытания и протоколы испытаний в биометрии. Часть 1. Принципы и структура
ГОСТ Р ИСО/МЭК 19795-2-2008
Автоматическая идентификация. Идентификация биометрическая. Эксплуатационные испытания и протоколы испытаний в биометрии.
Часть 2. Методы проведения технологического и сценарного испытаний
Автоматическая идентификация. Идентификация биометрическая. Эксплуатационные испытания и протоколы испытаний в биометрии. Часть 3. Особенности проведения испытаний при различных биометрических модальностях
ГОСТ Р ИСО/МЭК 19795-4-2011
Информационные технологии. Биометрия. Эксплуатационные испытания и протоколы испытаний в биометрии. Часть 4. Испытания на совместимость
ГОСТ Р ИСО/МЭК 19795-6-2015
Информационные технологии. Биометрия. Эксплуатационные испытания и протоколы испытаний в биометрии. Часть 6. Методология проведения оперативных испытаний
ГОСТ Р ИСО/МЭК 19784-1-2007
Автоматическая идентификация. Идентификация биометрическая. Биометрический программный интерфейс. Часть 1. Спецификация биометрического программного интерфейса
ГОСТ Р ИСО/МЭК 19784-2-2010
Автоматическая идентификация. Идентификация биометрическая. Биометрический программный интерфейс. Часть 2. Интерфейс поставщика биометрической функции архива
ГОСТ Р ИСО/МЭК 19784-4-2014
Информационные технологии. Биометрия. Биометрический программный интерфейс. Часть 4. Интерфейс поставщика функции биометрического датчика
ГОСТ Р ИСО/МЭК 19785-1-2008
Автоматическая идентификация. Идентификация биометрическая. Единая структура форматов обмена биометрическими данными. Часть
1. Спецификация элементов данных
ГОСТ Р ИСО/МЭК 19785-2-2008
Автоматическая идентификация. Идентификация биометрическая. Единая структура форматов обмена биометрическими данными. Часть 2. Процедуры действий регистрационного органа в области биометрии
ГОСТ Р ИСО/МЭК 19785-4-2012
Информационные технологии. Биометрия. Единая структура форматов обмена биометрическими данными. Часть 4. Спецификация формата блока защиты информации
ГОСТ Р ИСО/МЭК 24708-2013
Информационные технологии. Биометрия. Протокол межсетевого обмена БиоАПИ
ГОСТ Р ИСО/МЭК 24709-1-2009
Автоматическая идентификация. Идентификация биометрическая. Испытания на соответствие биометрическому программному интерфейсу (БиоАПИ). Часть 1. Методы и процедуры
ГОСТ Р ИСО/МЭК 24709-2-2011
Информационные технологии. Биометрия. Испытания на соответствие биометрическому программному интерфейсу (БиоАПИ). Часть 2. Тестовые утверждения для поставщиков биометрических услуг
ГОСТ Р ИСО/МЭК 24709-3-2013
Информационные технологии. Биометрия. Испытания на соответствие биометрическому программному интерфейсу (БиоАПИ). Часть 3. Тестовые утверждения для инфраструктур БиоАПИ
ГОСТ ISO/IEC 24713-1-2013*
Информационные технологии. Биометрические профили для взаимодействия и обмена данными. Часть 1. Общая архитектура биометрической системы и биометрические профили
ГОСТ Р ИСО/МЭК 24713-2-2011
Информационные технологии. Биометрия. Биометрические профили для взаимодействия и обмена данными. Часть 2. Физический контроль доступа сотрудников аэропорта
ГОСТ Р ИСО/МЭК 24713-3-2016
Информационные технологии. Биометрия. Биометрические профили для взаимодействия и обмена данными. Часть 3. Биометрическая верификация и идентификация моряков
ГОСТ Р ИСО/МЭК 29109-1-2012
Информационные технологии. Биометрия. Методология испытаний на соответствие форматам обмена биометрическими данными, определенным в комплексе стандартов ИСО/МЭК 19794. Часть 1. Обобщенная методология испытаний на соответствие
ГОСТ Р ИСО/МЭК 29109-4-2015
Информационные технологии. Биометрия. Методология испытаний на соответствие форматам обмена биометрическими данными, определенным в комплексе стандартов ИСО/МЭК 19794. Часть 4. Данные изображения отпечатка пальца
ГОСТ Р ИСО/МЭК 29109-5-2013
Информационные технологии. Биометрия. Методология испытаний на соответствие форматам обмена биометрическими данными, определенным в комплексе стандартов ИСО/МЭК 19794. Часть 5. Данные изображения лица
ГОСТ Р ИСО/МЭК 29109-6-2016
Информационные технологии. Биометрия. Методология испытаний на соответствие форматам обмена биометрическими данными, определенным в комплексе стандартов ИСО/МЭК 19794. Часть 6. Данные изображения радужной оболочки глаза
ГОСТ Р ИСО/МЭК 29109-7-2016
Информационные технологии. Биометрия. Методология испытаний на соответствие форматам обмена биометрическими данными, определенным в комплексе стандартов ИСО/МЭК 19794. Часть 7. Данные динамики подписи
ГОСТ Р ИСО/МЭК 29109-8-2016
Информационные технологии. Биометрия. Методология испытаний на соответствие форматам обмена биометрическими данными, определенным в комплексе стандартов ИСО/МЭК 19794. Часть 8. Данные изображения отпечатка пальца — остов
ГОСТ Р ИСО/МЭК 29109-9-2017
Информационные технологии. Биометрия. Методология испытаний на соответствие форматам обмена биометрическими данными, определенным в комплексе стандартов ИСО/МЭК 19794. Часть 9. Данные изображения сосудистого русла
ГОСТ Р ИСО/МЭК 29109-10-2017
Информационные технологии. Биометрия. Методология испытаний на соответствие форматам обмена биометрическими данными, определенным в комплексе стандартов ИСО/МЭК 19794. Часть 10. Данные геометрии контура кисти руки
ГОСТ Р ИСО/МЭК 29794-1-2012
Информационные технологии. Биометрия. Качество биометрических образцов. Часть 1. Структура
ГОСТ Р ИСО/МЭК 29141-2012
Информационные технологии. Биометрия. Одновременное получение изображений отпечатков десяти пальцев с помощью БиоАПИ
ГОСТ Р 54412-2011/ISO/IEC TR 24741:2007
Информационные технологии. Биометрия. Обучающая программа по биометрии
Как видим, перечень довольно обширный, но и это еще не все. Кроме непосредственно биометрических технологий, так же касаются биометрии и стандарты на машиносчитываемые паспортно-визовые документы, а так же на идентификационные карты с биометрическими данными. Приводить в рамках данной статьи их не будем, при желании ознакомиться с ними, все это можно найти на сайте ТК 098.
О разъяснениях Роскомнадзора
Выпущенные в свет разъяснения Роскомнадзора, которые как раз поднимали «…вопросы отнесения фото- и видео- изображения, дактилоскопических данных и иной информации к биометрическим персональным данным и особенности их обработки.», многими были проигнорированы и зря. До сих пор возникает много вопросов, ответы на которые можно было найти в разъяснениях, не закапываясь в ГОСТы. Поэтому предлагаю еще раз пройти по основным тезисам, а для кого-то ознакомиться с ними впервые.
Исходя из определения, приведенного выше, в контексте Федерального закона «О персональных данных» отнесение сведений персонального характера к биометрическим персональным данным и их последующая обработка должны рассматриваться в рамках проводимых оператором мероприятий, направленных на установление личности конкретного лица, если иное не предусмотрено федеральными законами и принятыми на их основе нормативными правовыми актами.
Т.е., если пользователь, допустим, ставит свою фотографию на какую-нибудь аватарку, то мы не считаем это биометрическими данными, т.к. по аватарке мы не определяем личность пользователя. Тем не менее, есть случаи, когда фотографию прямо относят к биометрическим персональным данным.
«Согласно пункту 6 Перечня персональных данных, записываемых на электронные носители информации, содержащиеся в основных документах, удостоверяющих личность гражданина Российской Федерации, по которым граждане Российской Федерации осуществляют выезд из Российской Федерации и въезд в Российскую Федерацию, утвержденного постановлением Правительства Российской Федерации 4 марта 2010 г. № 125, цветное цифровое фотографическое изображение лица владельца документа является биометрическими персональными данными владельца документа.»
В случаях, когда сканирование паспорта осуществляется оператором для подтверждения осуществления определенных действий конкретным лицом, например, заключение договора на оказание услуг, в том числе банковских, медицинских и т.п.) без проведения процедур идентификации (установления личности), данные действия не могут считаться обработкой биометрических персональных данных и ст. 11 Федерального закона «О персональных данных» не регулируются. Соответственно, обработка сведений, в данных случаях, осуществляется в соответствии с общими требованиями, установленными Федеральным законом «О персональных данных».
Не являются биометрическим персональными данными рентгеновские или флюорографические снимки, характеризующие физиологические и биологические особенности человека, и находящиеся в истории болезни (медицинской карте) пациента (не имеет значения, бумажной или электронной), поскольку они не используются оператором (медицинским учреждением) для установления личности пациента. Но в случае их передачи по запросу субъектов оперативно-розыскной деятельности, органов следствия и дознания в рамках проводимых ими мероприятий указанные сведения становятся биометрическими персональными данными, поскольку используются операторами — органами следствия и дознания в целях установления личности конкретного лица. Т.е. в органы следствия передаются сведения медицинского характера, а там они уже становятся биометрическими персональными данными.
Аналогичным подходом нужно руководствоваться и при получении иных сведений, которые можно отнести к биометрическим персональным данным. Таким образом, если мы используем полученные сведения характеризующие физиологические и биологические особенности человека для установления личности, то у нас биометрия, если нет – иное.
Главное, что в случае обработки биометрических персональных данных необходимо помнить:
«В соответствии с ч. 1 ст. 11 Федерального закона «О персональных данных» обработка биометрических персональных данных может осуществляться только при наличии согласия в письменной форме субъекта персональных данных.»
Обработка биометрических персональных данных: что нужно знать
Если раньше биометрические данные в работе были необходимы только сотрудникам ведомственных органов, то сейчас использовать биометрию начинают компании, не имеющие отношение к государственной службе. В связи с этим Роскомнадзор разъяснил операторам биометрических ПДн вопросы, вызывающие затруднения.
Что такое биометрические ПДн?
Согласно части 1 статьи 11 закона 152 «О персональных данных» биометрические данные – это сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных.
То есть, в контексте ФЗ причислять персональные сведения к биометрическим ПДн и обрабатывать их необходимо только в случаях, когда необходимо установить конкретную личность.
К биометрическим данным по закону относятся:
Также к биометрия — это фото- и видеоизображения человека, на которых можно установить его личность.
Законодательная база
Суть поправок в том, что после личной идентификации информация о человеке с его согласия вносится в единую биометрическую систему и единую систему идентификации и аутентификации (ЕСИА). Осуществлять эту процедуру могут только организации, соответствующие критериям Банка России. Практика позволяет человеку, который был идентифицирован, получать некоторые виды услуг банка без личного присутствия.
Фото и видео
Если изображение человека на фотографии используется для установления его личности, то его обработка должна осуществляться в соответствии со статьей 11 152-ФЗ «О персональных данных». Под это определение попадают фотографии человека в загранпаспорте и на пропусках, разрешающих вход на охраняемую территорию. Случаи же, когда документы, удостоверяющие личность человека, сканируют для подтверждения действий, а не для идентификации, обработкой биометрических ПДн не считаются.
Разрешение человека необходимо, когда его изображение используется в рекламных целях. И если он посчитает, что распространение информации с его фото нанесло ему моральный ущерб или может привести к угрозе жизни или здоровью, распространение рекламы необходимо прекратить.
Осуществлять видеонаблюдение можно только для конкретных целей, которые должны быть обусловлены деятельностью компании, для повышения качества услуг или продуктов и обеспечения прав клиентов. Каждая организация, которая ведет видеонаблюдение, должна разработать порядок и сроки хранения записей, определить ответственного за систему видеонаблюдения сотрудника.
Дактилоскопические данные
Что не является биометрическими ПДн?
Не относятся к биометрическим данным фото в личном деле сотрудника, подпись и почерк. Происходит это по тому, что их анализ направлен на подтверждение принадлежности человеку, который уже идентифицирован в информационной системе.
Также не причисляют к биометрическим ПДн флюорографические и рентгеновские снимки, которые находятся в историях болезней, потому что их используют для установления болезни, а не личности. Исключением являются случаи, когда снимки используются в рамках следствия.
Тот же принцип действует для видеоматериалов, снятых на охраняемой территории и в публичных местах. Пока они не служат для установления личности, биометрическими они не являются.
Статья 11. Биометрические персональные данные
Информация об изменениях:
Федеральным законом от 25 июля 2011 г. N 261-ФЗ статья 11 настоящего Федерального закона изложена в новой редакции, распространяющейся на правоотношения, возникшие с 1 июля 2011 г.
ГАРАНТ:
См. комментарии к статье 11 настоящего Федерального закона
1. Сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные) и которые используются оператором для установления личности субъекта персональных данных, могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.
Информация об изменениях:
2. Обработка биометрических персональных данных может осуществляться без согласия субъекта персональных данных в связи с реализацией международных договоров Российской Федерации о реадмиссии, в связи с осуществлением правосудия и исполнением судебных актов, в связи с проведением обязательной государственной дактилоскопической регистрации, а также в случаях, предусмотренных законодательством Российской Федерации об обороне, о безопасности, о противодействии терроризму, о транспортной безопасности, о противодействии коррупции, об оперативно-разыскной деятельности, о государственной службе, уголовно-исполнительным законодательством Российской Федерации, законодательством Российской Федерации о порядке выезда из Российской Федерации и въезда в Российскую Федерацию, о гражданстве Российской Федерации, законодательством Российской Федерации о нотариате.
Информация об изменениях:
Биометрические персональные данные и технологии идентификации: какие правовые проблемы могут возникнуть?
pegasustudio / Depositphotos.com |
Автоматизация занимает отдельное место в сфере идентификации и аутентификации пользователей – использование функции распознавания человека применяется как организациями, так и государственными органами. К первому случаю можно отнести оказание финансовых услуг банковскими организациями: так, некоторые банки используют системы идентификации с помощью биометрии, например, с помощью голоса можно подтверждать совершение операций. Примером второго выступает использование камер видеонаблюдения, установленных на улице и в общественном транспорте.
Государство амбициозно внедряет новые автоматизированные решения: к данному процессу подключаются различные предприятия. На тематическом мероприятии директор по информационным технологиям АО «Гознак» Олег Барсуков сообщил о том, что компания занимается разработкой и автоматизации прохода пассажиров на транспорт на основе биометрической идентификации и электронного документа. Он пообещал представить на обозрение в ближайшее время технологию верификации по радужной оболочке глаза. Эксперт также отметил, что предприятие развивает технологии, использующие в основе биометрию: помимо радужной оболочки глаза также планируют сканировать вены ладоней.
При правовой оценке планируемых нововведений возникает вопрос о том, каким образом они будут соотноситься с законодательством, а именно каким образом будет соблюдаться Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее – Закон № 152-ФЗ).
В первую очередь следует определить, относятся ли данные, получаемые при идентификации с помощью радужной оболочки глаза или вен ладоней, к биометрическим персональным данным. Текущее законодательство, разъяснения государственных органов и судебная практика в значительной степени разнятся.
К биометрическим персональным данным относятся сведения, которые характеризуют физиологические и биологические особенности человека (п. 1 ст. 11 Закона № 152-ФЗ). Важно отметить, что на основании таких сведений можно установить личность субъекта персональных данных: для этой цели они обрабатываются оператором.
Постановление Правительства РФ от 30 июня 2018 г. № 772 к биометрическим персональным данным относит изображение лица человека, полученные с помощью фото-, видеоустройств и данные голоса человека, полученные с помощью звукозаписывающих устройств (подп. а) Постановления).
Роскомнадзор также выражал свою позицию по вопросу того, какие персональные данные относятся к биометрическим. Так, по мнению ведомства, к биометрическим персональным данным относятся физиологические данные (дактилоскопические данные, радужная оболочка глаз, анализы ДНК, рост, вес и другие), а также иные физиологические или биологические характеристики человека, в том числе изображение человека (фотография и видеозапись), которые позволяют установить его личность и используются оператором для установления личности субъекта (Разъяснения Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 30 августа 2013 г. «Разъяснения по вопросам отнесения фото-, видеоизображений, дактилоскопических данных и иной информации к биометрическим персональным данным и особенностей их обработки»). К ним же относятся фото и иные сведения, используемые для обеспечения прохода на охраняемую территорию и установления личности гражданина.
При этом судебная практика демонстрирует противоположные подходы относительно того, какие сведения относятся к биометрическим персональным данным, а какие нет.
Фотографии на пропуске суды расценивают как биометрические персональные данные. Так, в одном деле Арбитражного суда Северо-Западного округа прямо указал, что такие фотографии характеризуют физиологические и биологические особенности человека, на основе которых можно установить его личность путем сравнения фото и содержащихся на документе (пропуске) фамилии, имени и отчества с лицом предъявителя пропуска (Постановление Арбитражного суда Северо-Западного округа от 21 ноября 2017 г. N Ф07-11732/17 по делу № А42-342/2017). Верховный Суд Российской Федерации впоследствии подтвердил позицию суда нижестоящей инстанции, отметив, что предприятие не получило согласие субъектов на обработку биометрических персональных данных (Определение Верховного Суда РФ от 5 марта 2018 г. № 307-КГ18-101 по делу № А42-342/2017). К аналогичным доводам приходят и другие суды – лица, предоставляющие фотографию на пропуск с целью использования предприятием для установления личности субъекта, должны давать письменное согласие на обработку биометрических персональных данных (Постановление Тринадцатого арбитражного апелляционного суда от 16 августа 2018 г. № 13АП-15087/18).
В одном деле гражданка П. обратилась в ГУ МВД России с административным иском на Департамент информационных технологий (ДИТ) г. Москвы. По мнению истца, ДИТ с помощью камер видеонаблюдения обрабатывает ее биометрические персональные данные. Судебная коллегия не усмотрела факта идентификации, в связи с чем решила, что само по себе получение изображения истца в период ее нахождения на территории, попадающей под сектор наблюдения конкретной камеры, установленной в целях контроля за окружающей обстановкой, не является способом сбора биометрических персональных данных, поскольку не использовалось непосредственно для определения личности, а при отсутствии процедуры идентификации личности, видеоизображения граждан не могут считаться биометрическими персональными данными. Суд посчитал, что в рассматриваемом случае отсутствует необходимость получать письменное согласие гражданина на обработку биометрических персональных данных. Подробнее об этом деле, а также об утечках при использовании систем распознавания лиц читайте в нашем материале: Использование системы видеонаблюдения – нарушение законодательства о персональных данных?
В другом деле гражданка С. пожаловалась на гражданку М., которая без согласия осуществляла видеосъемку на камеру мобильного телефона с участием первой. Территориальное управление Роскомнадзора отказало в возбуждении дела, установив, что видеозапись не содержит сведений, позволяющих идентифицировать гражданку С. как конкретного субъекта персональных данных, что свидетельствует об отсутствии нарушений положений закона о персональных данных, в связи с чем доводы жалобы были опровергнуты районным и областным судом (Постановление Четвертого кассационного суда общей юрисдикции от 16 октября 2020 г. по делу № 16-894/2020).
Основную сложность использование обработки биометрических персональных данных обязательное наличие согласия в письменной форме (ч. 1 ст. 11 Закона № 152-ФЗ). Более того, при применении информационных технологий в целях идентификации применяется форма, утвержденная Правительством РФ (в соответствии с ч. 5 ст. 14.1 Федерального закона от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»). Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено законом (п. 1 ст. 9 Закона № 152-ФЗ).
Обработка биометрических персональных данных возможна без согласия субъекта в некоторых случаях, определенных законом. Представляется, что для целей обработки персональных данных при идентификации может быть справедливо следующие случаи (ч. 2 ст. 11 Закона № 152-ФЗ):
Помимо требования об обязательном письменном согласии на обработку персональных данных оператору требуется соблюдать положение о неразглашении персональных данных без согласия субъекта. В одном деле апелляционный суд согласился с доводами суда первой инстанции, отметив, что у потребителя не было возможности отказаться от передачи его персональных данных третьим лицам, и, следовательно, потребитель, являющийся стороной договора, был лишен возможности влиять на его содержание (Постановление Одиннадцатого арбитражного апелляционного суда от 28 октября 2020 г. № 11АП-13301/20 по делу N А55-14835/2020). Такую деятельность суд трактовал как нарушение законодательства, в части персональных данных деятельность ответчика противоречит ст. 7 Закона № 152-ФЗ – операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных.
В условиях цифровизации основная опасность – кража идентификации, уверен заместитель Министра финансов Российской Федерации, председатель совета директоров АО «Гознак» Алексей Моисеев. В случае скомпроментирования пароля банк сразу заметит, оповестит клиента, который, в свою очередь, может поменять пароль. В случае же кражи идентификации сценарий действия не так очевиден.
1 Подробнее об этом случае можно узнать на официальном сайте окружной электронной газеты Зеленоградского административного округа г. Москвы.
Что такое биометрические данные и как с ними работать
Использование биометрических данных все активнее входит в нашу жизнь. Наглядный пример — возможность оплатить проезд в московском метро при помощи технологии распознавания лиц. Что еще причисляют к биометрическим данным, относятся ли они, в свою очередь, к персональным данным, как их правильно собирать, обрабатывать и хранить, рассказывается в нашей статье.
Биометрические персональные данные – это сведения, характеризующие биологические и физиологические особенности человека, на основании которых можно установить личность человека (п. 1 ст. 11 Закона «О персональных данных» от 27.07.2006 № 152-ФЗ).
Закон № 152-ФЗ и другие нормативные акты не определяют, какие именно сведения являются биометрическими. К ним относят, например (письма Минцифры РФ от 17.07.2020 № ОП-П24-070-19433, Роскомнадзора от 10.02.2020 № 08АП-6782):
• изображения человека (фото, видеозапись).
• отпечатки пальцев;
• информацию о радужной оболочке глаза;
• результаты анализов ДНК;
• голос;
• рост, вес.
Под персональными данными понимается любая информация, которая прямо или косвенно относится к определенному или определяемому физическому лицу (п. 1 ст. 3 закона № 152-ФЗ). Под определение, разумеется, подпадают и сведения, характеризующие биологические и физиологические особенности человека. Более того закон № 152-ФЗ использует такое понятие, как «биометрические персональные данные». Именно о них и пойдет речь дальше в нашей статье.
Биометрические персональные данные являются таковыми при наличии трех условий (письмо Роскомнадзора № 08АП-6782):
• они признаны таковыми в силу положений нормативных правовых актов;
• они характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность;
• они используются для установления личности.
Приведем несколько примеров:
• цифровое фото гражданина России и изображение папиллярных узоров двух его пальцев используют в загранпаспорте (Постановление Правительства РФ от 04.03.2010 № 125);
• фотографию гражданина России и его 10 отпечатков пальцев потребуют для оформления шенгенской визы (ст. 13 Регламента ЕС 810/2009 от 13.07.2009).
• изображения и данные голоса собирают госорганы и банки для ведения единой биометрической системы (ст. 14.1 Закона «Об информации, информационных технологиях и о защите информации» от 27.07.2006 № 149-ФЗ, Постановление Правительства РФ от 30.06.2018 № 772, Приказ Минцифры РФ от 10.09.2021 № 930).
Не признаются биометрическими персональными данными:
• сведения о лице, чья личность уже определена (фотография сотрудника, находящаяся в личном деле, подпись уполномоченного лица в договоре, почерк, изучаемый в ходе почерковедческой экспертизы);
• сведения о пациенте, не используемые для установления его личности (медкарта, рентгеновские снимки). Сведения, переданные в правоохранительные органы, становятся персональными данными, так как используются ими для установления личности;
• материалы видеосъемки на охраняемой территории и в публичных местах, если они не переданы правоохранительным органам для идентификации определенных лиц.
В некоторых случаях для начала сбора биометрических данных необходимо уведомить Роскомнадзор. Методические рекомендации утверждены Приказом Роскомнадзора от 30.05.2017 № 94. Чаще всего подавать такое уведомление не нужно. В частности, не требуется уведомление, если сведения (ч. 2 ст. 22 закона № 152-ФЗ):
• необходимы для однократного пропуска гражданина на территорию компании или в других аналогичных целях;
• собирают в рамках трудового законодательства.
Разберем процедуру сбора данных на примере порядка, утвержденного приказом № 930. В соответствии с ним для единой биометрической системы осуществляется сбор данных:
• голоса;
• изображения лица.
Его проводят госорганы, банки и другие организации, уполномоченные на это законом. В каждом таком органе или организации должны быть определены сотрудники, ответственные за сбор сведений.
В пункте 11 порядка № 930 установлены требования к изображению:
• на нем должно быть только одно лицо, наличие других лиц запрещено;
• выражение лица – нейтрально, рот закрыт, глаза открыты;
• лицо должно быть равномерно освещено, чтобы на изображении не было тени;
• запрещено наличие солнцезащитных очков.
Требования к записи голоса (п. 12 порядка № 930):
• на записи должен быть один голос;
• сообщение должно быть произнесено на русском языке;
• произнесенное сообщение должно соответствовать тому, что было сгенерировано программой;
• эмоционально-психологическое состояние субъекта при записи голоса должно быть нормальным, не возбужденным.
Если компания обрабатывает биометрические персональные данные, то, как правило, ей нужно получить согласие гражданина на это (ч. 1 ст. 11 закона № 152-ФЗ). Примером может служить ситуация, когда происходит фотографирование клиентов, чтобы оформить им пропуск (письмо Минцифры РФ от 17.07.2020 № ОП-П24-070-19433).
Если же, например, гражданин оплачивает товар с использованием сканера отпечатков пальцев на своем смартфоне, согласие получать не нужно, поскольку организация непосредственно не обрабатывает его данные.
При оформлении согласия на обработку биометрических персональных данных нужно учитывать следующие моменты (ч. 1 ст. 9 закона № 152-ФЗ):
• согласие должно быть конкретным, информированным и сознательным;
• форма выражения согласия должна быть такая, чтобы можно было подтвердить его получение лицом, обрабатывающим сведения;
• согласие должно быть выражено письменно или посредством электронной подписи (ч. 4 ст. 9 закона № 152-ФЗ).
Письменное согласие на обработку персональных биометрических данных должно включать в себя, в частности:
• Ф.И.О., адрес гражданина, сведения о его паспорте;
• Ф.И.О., адрес представителя физлица, сведения о его паспорте, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных). Например, интересы несовершеннолетних представляют их родители без доверенности. Они предъявляют свидетельство о рождении ребенка;
• название или Ф.И.О. и адрес оператора;
• цель обработки биометрических персональных данных;
• перечень данных, на обработку которых дается согласие;
• наименование или Ф.И.О. и адрес лица, осуществляющего обработку данных по поручению оператора, если обработка будет поручена такому лицу;
• перечень действий с данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки;
• срок, в течение которого действует согласие, а также способ его отзыва, если другое правило не установлено федеральным законом;
• подпись субъекта персональных данных.
Форма согласия на обработку данных, необходимых для регистрации физлица в единой системе идентификации и аутентификации, утверждена Распоряжением Правительства РФ от 30.06.2018 № 1322-р.
Собранные в соответствии с порядком № 930 образцы изображения гражданина РФ и его голоса проверяются на соответствие требованиям, установленным п. 10 и 11 порядка № 930. Если они нужного качества, то их передают в единую биометрическую систему.
Передаваемые образцы должны содержать:
• метку даты, времени и места;
• информацию о технических средствах, с использованием которых осуществлялся процесс сбора и обработки параметров данных;
• сведения о состоянии данных;
• информацию о способе сбора параметров данных.
Передача происходит в автоматизированном режиме с использованием средств криптографической защиты.
В единой системе переданные сведения проходят повторную проверку. Если она устанавливает соответствие образцов требованиям, создается биометрический контрольный шаблон, который подлежит хранению.
Шаблон, созданный в единой биометрической системе, в дальнейшем служит для идентификации гражданина РФ с применением информационных технологий. Параметры данных хранятся в системе не менее 50 лет с момента размещения. Однако использовать их в целях идентификации личности разрешено не более пяти лет (в определенных случаях — не более трех лет) с даты сбора (п. 16 порядка № 930).
В московском метро в октябре 2021 года заработал сервис Face Pay. Пассажиры получили возможность оплачивать проезд при помощи системы распознавания лиц.
В силу вступит с 01.03.2023 Постановление Правительства РФ «О случаях и сроках использования биометрических персональных данных, размещенных физическими лицами в единой информационной системе…» от 15.06.2022 № 1067. Им предусмотрено, что биометрические данные можно будет использовать:
• при аутентификации на портале госуслуг;
• проведении промежуточной и итоговой аттестации по образовательным программам высшего образования;
• осуществлении операций с использованием платежных карт в организациях торговли и сферы услуг в сумме, не превышающей 1 тыс. рублей, включая НДС;
• осуществлении кредитными организациями дополнительной аутентификации клиента — физического лица при его дистанционном обслуживании при условии, что такой клиент ранее был идентифицирован этой организацией в порядке, установленном Законом «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма» от 07.08.2001 № 115-ФЗ;
• осуществлении оплаты проезда с применением информационных систем города Москвы;
• заключении договоров об оказании услуг связи посредством сети Интернет;
• выдаче персонифицированной карты на посещение спортивных соревнований.
Обработка биометрических персональных осуществляется в общем порядке с учетом следующих особенностей (ч. 2 ст. 6, ст. 11, п. 3 ч. 3, ч. 10 ст. 19 закона № 152-ФЗ):
• на обработку данных по общему правилу необходимо получить письменное согласие;
• хранение таких данных осуществляется с соблюдением особых требований, о которых мы расскажем ниже.
Существуют случаи, когда биометрические данные можно обрабатывать без письменного согласия. В частности, это возможно, если они обрабатываются в связи:
• с реализацией международных договоров России о реадмиссии;
• с осуществлением правосудия и исполнением судебных актов;
• с проведением обязательной государственной дактилоскопической регистрации;
• в случаях, предусмотренных законодательством РФ об обороне, о противодействии терроризму, противодействии коррупции, оперативно-разыскной деятельности, о нотариате, гражданстве РФ и так далее.
При обработке биометрических персональных данных в информационных системах соответствующим операторам необходимо использовать средства защиты информации, обеспечивающие их безопасность от угроз, в частности, установленные:
• в перечне угроз безопасности, утвержденном Приказом Минцифры РФ от 25.05.2021 № 494, — применимо к операторам, которые обрабатывают указанные данные в единой информационной системе персональных данных;
• перечне угроз безопасности, утвержденном Приказом Минцифры РФ от 01.09.2021 № 902, — применимо к операторам, обрабатывающим данные в информационных системах организаций, осуществляющих идентификацию и (или) аутентификацию с использованием биометрических персональных данных физлиц;
• в перечне угроз безопасности, утвержденном Указанием Банка России от 16.12.2021 № 6018-У, — применимо к операторам — организациям финансового рынка, обрабатывающим данные в информационных системах организаций финрынка.
С момента вступления в силу Указания Банка России от 16.12.2021 № 6017-У операторам — организациям финансового рынка, обрабатывающим биометрические данные при взаимодействии с единой биометрической системой, также необходимо учитывать перечень угроз безопасности, утвержденный данным указанием.
Гражданин вправе отозвать свое согласие на обработку биометрических данных (ч. 2 ст. 9 закона № 152-ФЗ). В этом случае их нельзя впредь использовать для установления его личности. Заявление на отзыв согласия пишется в произвольной форме. В нем необходимо указать:
• полное наименование организации, которая осуществила сбор сведений;
• ее юридический адрес, а также фактический адрес отделения, если речь идет о банке;
• сведения о заявителе: Ф.И.О., номер и серию паспорта, адрес регистрации.
Лучше всего подавать заявление лично, в двух экземплярах. Один экземпляр, с отметкой о регистрации входящей документации, остается на руках у заявителя.
Храниться биометрические персональные данные могут (п. 10 ст. 3, ч. 10 ст. 19 закона № 152-ФЗ):
• в информационных системах персональных данных;
• вне таких систем.
Использовать и хранить биометрические персональные данные вне информационных систем можно только на таких материальных носителях и с применением такой технологии хранения информации, которые обеспечивают защиту этих данных от неправомерного или случайного доступа к ним, их уничтожения, изменения, блокирования, копирования, предоставления, распространения (ч. 10 ст. 19 закона № 152-ФЗ).
Требования к материальным носителям биометрических персональных данных и технологиям их хранения вне информационных систем установлены Постановлением Правительства РФ от 06.07.2008 № 512. Под материальным носителем для целей применения указанных требований понимается машиночитаемый носитель информации, в том числе магнитный и электронный. Таким образом, на хранение биометрических персональных данных на бумажных носителях эти требования не распространяются.
Материальный носитель должен обеспечивать (п. 4 требований № 512):
• защиту от несанкционированной повторной и дополнительной записи информации после ее извлечения из информационной системы;
• возможность доступа к записанным на материальный носитель данным оператору и лицам, уполномоченным в соответствии с законодательством РФ на работу с ними;
• возможность идентификации информационной системы, в которую была осуществлена запись биометрических данных, а также оператора, осуществившего такую запись;
• невозможность несанкционированного доступа к биометрическим данным, содержащимся на материальном носителе.
Как правило, тип материального носителя компания вправе выбрать сама (п. 7 требований № 512). Это может быть, например, внешний накопитель данных (внешний жесткий диск, карта памяти, внешний SSD-накопитель, USB-накопитель). При этом необходимо вести учет количества таких материальных носителей и присваивать каждому носителю свой уникальный идентификационный номер, который позволяет точно определить оператора, осуществившего запись биометрических персональных данных на материальный носитель (п. 8 требований № 512).
Технологии хранения биометрических персональных данных должны обеспечивать, в частности, применение средств электронной подписи (пп. «б» п. 9 требований № 512).
При хранении биометрических персональных данных вне информационных систем персональных данных следует обеспечить регистрацию фактов несанкционированной повторной и дополнительной записи информации после ее извлечения из такой системы (п. 11 требований № 512).