Обработка биометрических персональных данных: что нужно знать

Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Обработка биометрических персональных данных: что нужно знать». Если у Вас нет времени на чтение или статья не полностью решает Вашу проблему, можете получить онлайн консультацию квалифицированного юриста в форме ниже.

Не так давно такое понятие, как биометрические данные было известно только небольшой группе людей. Сегодня оно пребывает на общем слуху. Всем интересно, что это такое, и как персональные данные могут быть использованы. Биометрические данные – это перечень характеристик биологического и физиологического характера. Эти данные отличаются у каждого человека. Они индивидуальны и не повторяются даже у очень похожих внешне людей. Именно потому биометрический материал используется для установления личности человека.

Кто и зачем собирает биометрию

Собирать биометрию начали не ради чипирования людей, как опасаются многие граждане, которые не знают, что собой представляет эта технология. Да, эти данные будут использоваться для идентификации человека, но только в цифровом формате. Это невероятно удобно, в первую очередь, для человека.

Теперь не придется стоять долгие очереди и собирать сотни бумажек, чтобы получить какой-то банковскую или любую другую услугу. Все можно сделать удаленно, а чтобы подтвердить свою личность, достаточно биометрическихданных, обработка которых может заменить недельную бумажную волокиту. Они только ваши, поэтому получить доступ к сведениям не сможет никто кроме вас. И не нужны никакие дополнительные защитные функции и т.п.

Рассмотрим для примера один из самых распространенных случаев – когда гражданин берет кредит. Раньше, чтобы одолжить в банке деньги, нужно было прийти в банк, принести не одну сотню бумажек. Это стоило времени и усилий. Благодаря биометрии процедура стала доступной удаленно.

Ещё одно очень важное преимущество биометрии – упрощенная процедура поездок в другие страны. Например, с биометрическими документами не нужно стоять на паспортном контроле. Биометрический документ – персональный. Его невозможно подделать. В некоторых странах уже можно не проходить контроль, если у вас есть биометрический паспорт.

Чтобы пройти процедуру и легально передвигаться по стране, потребуется подойти к датчику (это специальный прибор). Приложите к нему персональный биометрический паспорт. Теперь нужно отсканировать сетчатку глаза. Если система считала ваши данные, и человек попал в страну легально, он может свободно идти куда захочет.

Биометрия – это способ получать услуги быстрее и безопаснее, используя персональный набор физиологических качеств. Пока технология только набирает популярность, но происходит это стремительно. Придется в скором темпе адаптироваться.

Персональные сведения и видеосъемка

Когда работодатель решает осуществлять видеонаблюдение в офисных помещениях, чтобы фиксировать возможные противоправные действия по ст. 74 ТК, он обязан уведомить сотрудников под подпись об изменении условий трудового договора по причинам, которые связаны с организационными или технологическими условиями труда (а именно — ввод видеонаблюдения).

Посетителей публичных мест нужно заранее в текстовом или графическом виде предупреждать о том, что будет производиться фотосъемка или видеосъемка. При этом не требуется получать с них согласие.

Правила видеосъемки такие:

• производится лишь для конкретных целей, которые заранее определены и обусловлены соответствующими НПА;
• имеются ситуации открытого наблюдения, проводимого для контроля качества предоставляемых заказчикам услуг. Для установления дополнительных гарантий соблюдения их прав, а также самого персонала, принимаются внутренние документы, в которых Роскомнадзор советует указать правила и сроки хранения видеозаписей, ответственных лиц, которые имеют доступ к системе видеонаблюдения. Также нужно информировать о ведении видеонаблюдения через специальные информационные таблички в зонах видимости камер.

Образец согласия на обработку биометрических данных: основные пункты документа

Пример установленной законодательством формы можно найти на официальных сайтах государственных органов, также в Сети есть множество заполненных примеров. Чтобы документ имел юридическую силу, подавать на подпись его необходимо до факта передачи ПДн, при этом в его структуре обязательно должны присутствовать следующие пункты:

• полное Ф.И.О. и собственноручная подпись заявителя;
• год, месяц и число подписания;
• нормативно-правовая база;
• серия, номер, орган и дата выдачи гражданского паспорта (для детей предоставляются сведения из свидетельства о рождении);
• место проживания (не обязательно то, где зарегистрирован гражданин);
• представитель (при наличии) и реквизиты документа, подтверждающего его права действовать от имени субъекта ПДн;
• информация об операторах, которым на обработку передаются личные данные;
• цели обработки ПДн и биометрии;
• список сообщаемой информации;
• описание действий с передаваемыми сведениями;
• срок действия согласия и механизм отзыва документа;
• подтверждение об ознакомлении с ФЗ-152 и разъяснение способов защиты биометрических данных.

К частным компаниям, ИП и нотариусам предъявят жесткие требования

К работе с Единой биометрической системой потенциально могут получить доступ коммерческие компании любой формы собственности, ИП и нотариусы. Это по первоначалу пугает.

Однако каждому субъекту бизнеса потребуется специальная аккредитация. А получить ее будет не так просто. Новый закон предъявляет внушительный список требований к желающим.

Скажем, учредители бизнеса должны будут доказывать оператору, что у них нет неснятых и непогашенных судимостей, что они не являются фигурантами перечней экстремистов, террористов и т.п.

Бизнес будет обязан пройти проверки со стороны «федерального органа исполнительной власти, уполномоченного в области противодействия техническим разведкам и технической защиты информации». А банки и другие финансовые организации подвергнутся проверкам Центрального банка РФ.

Есть требования к размеру капитала компаний, претендующих на аккредитацию, и они весьма серьезны. Минимальный размер собственных средств организации должен составлять не менее 500 миллионов рублей. А на компенсации из-за потенциальных утечек данных и сопутствующих убытков должно быть выделено не менее 100 миллионов.

Есть и еще несколько условий, например:

• наличие лицензий на разработку, производство и распространение криптографических средств;
• наличие в собственности аппаратных шифровальных средств;
• наличие в штате организации не менее двух работников, осуществляющих деятельность по аутентификации на основе биометрических персональных данных, имеющих высшее образование в области IT или информационной безопасности…

• Согласие на сбор и обработку биометрии ЕБС и аккредитованный бизнес смогут получать не только с физической подписью, но и несколькими видами электронной — в том числе простой электронной подписью. Ее ключи станут выдавать гражданам сам оператор Единой биометрической системы, его региональные отделения, госорганы, банки и коммерческие организации. Требования к проверке электронной подписи обязано установить правительство.
• Государственный оператор Единой биометрической системы сможет взимать плату с бизнеса за ее использование.
• Правительство назначит некий федеральный исполнительный орган, который, в свою очередь, определит требования к информационным технологиям и техническим средствам, предназначенным для обработки биометрических персональных данных и векторов.
• Коммерческим организация законом разрешено лишь собирать и передавать биометрию в Единую систему. Хранить у себя и как-либо обрабатывать биометрические данные нельзя (статья 15, п. 1). Исключение (п. 3 той же статьи) возможно лишь на 10 суток, когда (и если) гражданин обратился с заявлением о неправомерном использовании его персональных биометрических данных. После 10 суток хранения организации обязаны данные уничтожить.
• Надзирать за всей этой махиной поручат неким «уполномоченным федеральным органам исполнительной власти». Заниматься безопасностью процедур, технических и программных средств биометрии также будет Центральный банк РФ. Его же обяжут вести надзор и контроль над работой с Единой биометрической системой российских финансовых организаций.

Подводя итог текущему состоянию биометрии в России и за рубежом, можно сделать следующие выводы:

• использование БПД в качестве основных идентификаторов личности в информационных и киберфизических системах – реальный тренд ближайшего будущего;
• биометрические системы стирают границы между общественными пространствами и частной жизнью, оставляя человеку все меньше возможностей быть неузнанным и сохранить свои действия в тайне;
• государство и бизнес получают больше контроля за своими гражданами и пользователями, нарушая их право на приватность;
• современные технические и организационные меры cybersecurity пока не могут в полной мере обеспечить информационную безопасность и защиту БПД.

Спрос на услугу населения и первые прогнозы банков

Хотя банки и хотели получить право на более качественную идентификацию своих клиентов посредством биометрии, однако, многие понимают, что помимо их желания есть нежелание граждан. Современная молодежь, которая только приветствует различные новации и адекватно воспринимает цифровизацию нашего мира, практически в большинстве поддерживают подобную инициативу. Особенно это касается тех, кто активно использует в своей деятельности интернет и удаленное обслуживание.

Проблемой же, по мнению сотрудников Сбербанка, станут люди среднего и более старшего поколения. Они негативно воспринимают все что непонятно. А особенно это касается пенсионеров, которые и так видят во всем подвох, а тут еще и хотят получить их биометрические данные. По предварительным предположениям, в первое время (1-2 года) люди будут неохотно предоставлять свои данные, но со временем это процесс станет необходимым.

А вот ВТБ отметил, что это реальный способ повысить число клиентов, выбирающих удаленное обслуживание. На сегодняшний день доля цифровых продаж в объеме оборота банка составляет около 40%. А по оптимистичным прогнозам она может достигнуть 60% уже к концу 2019 года.

Альфа-банк, присоединившись к глобальной программе, на первых парах начал принимать биометрические данные только в 2 центральных отделения. После того как персонал пройдет обучение, постепенно будет внедряться эта система и в других отделения. Уже к концу года получится охватить 87 отделений банка. Банк видит в этой системе реальную возможность для развития своей деятельности и упрощения процесс получения услуг для клиентов. А, помимо этого, таким образом получиться освободить часть сотрудников для развития других приоритетных направлений деятельности банка.

Специалисты по развитию в «Открытии» отмечают, что за столь короткий срок времени им уже удалось собрать более 40 тыс. фотографий. Использовать ее запланировано при большинстве проводимых операций, в том числе при переводах с карты банка. Отмечено, что такой способ идентификации упростит процесс оформления документов, ведь основная информация будет подтягиваться автоматически.

Как осуществляется обработка

Согласно ФЗ-152, обработка ПД, проводящаяся с целью идентификации личности, может проходить только с письменного согласия идентифицируемого человека.

Исключение из правила — сбор информации для проведения судебных разбирательств и поддержания безопасности граждан (противодействие терроризму, содействие следствию).

Также обработке биометрических персональных данных без предварительного согласия подвергаются фото- и видеоизображения, полученные при следующих обстоятельствах:

1. Сделанные во время общественных мероприятий (концерты, пресс-конференции);
2. Использующиеся для государственных целей;
3. Те изображения, за которые человек получил плату (т.е. выступил в качестве модели).

Принципы работы с биометрическими данными

Защита биометрических персональных данных заключается прежде всего в том, что их обработка производится только при наличии письменного согласия лица, которому они принадлежат (п. 1 ст. 11 закона № 152-ФЗ).

Без такого согласия они могут обрабатываться:

• в связи с реализацией международных договоров РФ о реадмиссии (от англ. to readmit — «принимать назад», т. е. о приеме на свою территорию своих граждан, подлежащих депортации из другой страны);
• осуществлением обязательной дактилоскопической регистрации;
• осуществлением правосудия и выполнением судебных решений;
• в других случаях, установленных законом.

Организации и индивидуальные предприниматели, взаимодействуя с сотрудниками, получают доступ к их персональных данным. Полученные сведения хранятся в личных карточках, которые заводят на работников. Также подобные сведения содержатся в личных делах сотрудников, при условии их ведения работодателем.

Под персональными данными понимается любая информация, касающаяся конкретного работника и необходимая работодателю в рамках трудовых отношений с ним (п. 1 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ).

По закону организация, получившая доступ к персданным, должна обеспечить их хранение и конфиденциальность. Обычно источником информации о себе является сам работник. Однако в некоторых случаях сведения о конкретном сотруднике могут быть запрошены у третьих лиц. В такой ситуации нужно получить письменное согласие сотрудника. Для этого компания должна проинформировать сотрудника (п. 3 ч. 1 ст. 86 ТК РФ):

• о целях получения данных и характере информации;
• источнике данных и способе получения;
• последствиях отказа от предоставления согласия на их получение.

Основные правила работы с персданными фиксируются в специальном внутреннем локальном акте – Положении о работе с персональными данными. Фотография работника к ним относится?

Хранение и защита идентификационных сведений

Защита биометрических персональных данных предполагает соблюдение оператором данных следующих правил (п.8 приказа № 321):

• сбор сведений должны осуществлять уполномоченные сотрудники, обеспеченные ключами простой электронной подписи;
• ключи электронных подписей хранятся таким образом, чтобы исключить несанкционированный доступ к ним и избежать незаконного изменения, добавления, удаления информации;
• за передачу ключей электронной подписи третьим лицам либо необеспечение их конфиденциальности предусмотрена ответственность.

Конфиденциальность доступной информации должны хранить сотрудники, как собирающие биометрические данные, так и готовящие и выдающие ключи электронных подписей.

Дополнительно банковские учреждения должны (пп. 31, 33 Порядка, утв. приказом № 321):

• информировать Банк России об обнаружении случаев нарушения правил защиты информационных материалов при работе с ними в срок не позже следующего рабочего дня с момента выявления такого факта;
• ежегодно оценивать безопасность технической защиты информации, привлекая специализированные организации.

Приказы Минцифры и их проекты

• Приказ Минкомсвязи России приказы Минцифры от 25.06.2018 №321 (утратит силу с 01.03.2022) «Об утверждении порядка обработки, включая сбор и хранение, параметров биометрических персональных данных в целях идентификации, порядка размещения и обновления биометрических персональных данных в единой биометрической системе, а также требований к информационным технологиям и техническим средствам, предназначенным для обработки биометрических персональных данных в целях проведения идентификации».
• Приказ Минцифры России №930 (придет на смену 321-го приказа) «Об утверждении порядка обработки, включая сбор и хранение, параметров биометрических персональных данных, порядка размещения и обновления биометрических персональных данных в единой биометрической системе и в иных информационных системах, обеспечивающих идентификацию и (или) аутентификацию с использованием биометрических персональных данных физических лиц, а также требований к информационным технологиям и техническим средствам, предназначенным для обработки биометрических персональных данных в целях проведения идентификации».
• Приказ Минцифры России от 07.07.2021 №685 «Об определении форм подтверждения соответствия информационных технологий и технических средств, предназначенных для обработки биометрических персональных данных, требованиям, определенным в соответствии с пунктом 1 части 13 статьи 14.1 Федерального закона от 27 июля 2006 г. N 149-ФЗ «Об информации, информационных технологиях и о защите информации».
• Приказ Минцифры России от 25.05.2021 №494 «Об утверждении перечня угроз безопасности, актуальных при обработке биометрических персональных данных, их проверке и передаче информации о степени их соответствия представленным биометрическим персональным данным физического лица в единой информационной системе персональных данных, обеспечивающей обработку, включая сбор и хранение биометрических персональных данных, их проверку и передачу информации о степени их соответствия представленным биометрическим персональным данным физического лица, а также актуальных при взаимодействии государственных органов, органов местного самоуправления, индивидуальных предпринимателей, нотариусов и организаций, за исключением организаций финансового рынка, с указанной системой, с учетом оценки возможного вреда, проведенной в соответствии с законодательством Российской Федерации о персональных данных».
• Приказ Минцифры России от 01.09.2021 №902 «Об утверждении перечня угроз безопасности, актуальных при обработке биометрических персональных данных, их проверке и передаче информации о степени их соответствия предоставленным биометрическим персональным данным физического лица в информационных системах организаций, осуществляющих идентификацию и (или) аутентификацию с использованием биометрических персональных данных физических лиц, за исключением единой информационной системы персональных данных, обеспечивающей обработку, включая сбор и хранение биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным физического лица, а также актуальных при взаимодействии государственных органов, органов местного самоуправления, индивидуальных предпринимателей, нотариусов и организаций, за исключением организаций финансового рынка, с указанными информационными системами, с учетом оценки возможного вреда, проведенной в соответствии с законодательством Российской Федерации о персональных данных, и учетом вида аккредитации организации из числа организаций, указанных в частях 18.28 и 18.31 статьи 14.1 Федерального закона от 27 июля 2006 года N 149-ФЗ «Об информации, информационных технологиях и о защите информации».
• Проект приказа «Об утверждении перечня индикаторов риска нарушения обязательных требований по федеральному государственному контролю (надзору) в сфере идентификации и (или) аутентификации».
• Проект приказа «Об утверждении типового порядка действий уполномоченного работника многофункционального центра предоставления государственных и муниципальных услуг при размещении или обновлении в единой системе идентификации и аутентификации сведений, необходимых для регистрации физических лиц в данной системе, размещении биометрических персональных данных в единой информационной системе персональных данных, обеспечивающей обработку, включая сбор и хранение биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным физического лица, с использованием программно-технических комплексов».
• Проект приказа “Об утверждении формы проверочного листа (списка контрольных вопросов), используемого Министерством цифрового развития, связи и массовых коммуникаций Российской Федерации при осуществлении федерального государственного контроля (надзора) в сфере идентификации и (или) аутентификации”.

Похожие записи:

• Как в 2023 году зарегистрировать ИП самостоятельно — пошаговая инструкция
• Глава Минтруда назвал размер индексации пенсий неработающих пенсионеров
• Как проходит оспаривание отцовства