Что относится к биометрическим персональным данным

Согласно части 1 статьи 11 закона 152 «О персональных данных» биометрические данные – это сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных.

То есть, в контексте ФЗ причислять персональные сведения к биометрическим ПДн и обрабатывать их необходимо только в случаях, когда необходимо установить конкретную личность.

К биометрическим данным по закону относятся:

• дактилоскопические данные;
• цвет глаз;
• рост и вес;
• прикус;
• и др.

Также к биометрия — это фото- и видеоизображения человека, на которых можно установить его личность.

Законодательная база

Обрабатывать биометрические ПДн можно только с письменного согласия субъекта. Исключения прописаны в части 2 статьи 11 закона 152 . К ним относятся:

• реализация международных договоров России о реадмиссии;
• деятельность судов;
• проведение обязательной государственной дактилоскопической регистрации;
• вопросы обороны, безопасности, противодействия терроризму, безопасности транспорта, противодействия коррупции, оперативно-розыскной деятельности, госслужбы;
• исполнение уголовно-исполнительного законодательства РФ;
• нормы законодательства РФ о порядке выезда и въезда в страну;
• нормы законодательства о российском гражданстве.

Порядок работы с фото- и видеоизображением человека указан в статье 152.1 Гражданского кодекса РФ . Публикация и использования таких материалов разрешены только с согласия того, кто присутствует на фото или видео. После смерти человека, разрешение на использование его изображения могут дать представители: дети, супруг, родители.

Согласно статье, согласие не требуется в случаях, когда:

• изображение используется в общественных, государственных и иных интересах;
• изображение получено на публичных мероприятиях или в местах свободного посещения (исключением является случай, когда используется изображение конкретного человека);
• осуществлялась платная фото- или видеосъемка.

Суть поправок в том, что после личной идентификации информация о человеке с его согласия вносится в единую биометрическую систему и единую систему идентификации и аутентификации (ЕСИА). Осуществлять эту процедуру могут только организации, соответствующие критериям Банка России. Практика позволяет человеку, который был идентифицирован, получать некоторые виды услуг банка без личного присутствия.

Дактилоскопические данные

Учитывая, что особенности строения папиллярных узоров пальцев преобразуются в цифровую форму и размещаются в базах данных в виде информационного шаблона, они считаются биометрическими ПДн. Это значит, что обработка данных должна осуществляться согласно требованиям статьи 11 закона «О персональных данных» и 128-ФЗ «О государственной дактилоскопической регистрации в Российской Федерации» .

Что такое биометрические данные

Не так давно такое понятие, как биометрические данные было известно только небольшой группе людей. Сегодня оно пребывает на общем слуху. Всем интересно, что это такое, и как персональные данные могут быть использованы.

Биометрические данные – это перечень характеристик биологического и физиологического характера. Эти данные отличаются у каждого человека. Они индивидуальны и не повторяются даже у очень похожих внешне людей.

Именно потому биометрический материал используется для установления личности человека.

На сегодня биометрия включает пять типов данных, которые может дать гражданин:

• Собираются отпечатки пальцев человека;
• Изображение лица;
• Записывают персональный голос;
• Делают сканирование радужки глаз;
• Фиксируют рисунок кровеносных сосудов на ладони и на пальце.

Все эти показатели индивидуальны у каждого человека и вероятность, что у кого-то будет идентичным хотя бы один из рассматриваемых показателей, сводится к нулю. А поскольку берутся все пять образцов для обработки данных, личность человека будет полностью идентифицирована, даже если гражданин изменит внешность. Ведь биометрический материал у него останется тем же.

Использование биометрии с 1 октября 2022 года

Биометрические персональные данные теперь собирают и с россиян. Жители РФ могут сами загрузить рассматриваемые данные в систему, которая начала работать с 1 октября. Называется система «Единая биометрическая система».

Получить возможность войти в неё можно, используя приложение «Биометрия». Эта система позволяет внести данные без обращения в банк, как это нужно было делать ранее. Процедуру проходит дистанционно, потому считается особенно удобной.

Кроме того, биометрия позволяет дистанционно получать и оплачивать множество актуальных услуг:

• Проезд в метро. Биометрия позволяет оплачивать проезд в любой станции метро Москвы.
• Банковские услуги. Теперь подтвердить личность гражданин сможет без лишней бумажной волокиты. . Например, на данный момент такая услуга доступна для заключения договора с операторами связи.

Мировая практика использования биометрии довольно распространена. Интересно, что самая крупная база данныхбиометрии расположена в неожиданном государстве – Индии. Эта система называется Aadhaar, куда внесены более 80% всех жителей страны.

Практика оказалась очень полезной, и теперь данные используются в большинстве областей. Например, для получения разнообразных государственных услуг, финансовой отрасли, туризме, даже в образовательной сфере.

Россия пока только развивает это направление, но уже сделала несколько решительных шагов. Например, биометрическая идентификация возможна в девяти банках, но в планах её освоение не только в финансах, но медицине, образовании, ритейле и т.п.

Кто и зачем собирает биометрию

Собирать биометрию начали не ради чипирования людей, как опасаются многие граждане, которые не знают, что собой представляет эта технология. Да, эти данные будут использоваться для идентификации человека, но только в цифровом формате. Это невероятно удобно, в первую очередь, для человека.

Теперь не придется стоять долгие очереди и собирать сотни бумажек, чтобы получить какой-то банковскую или любую другую услугу. Все можно сделать удаленно, а чтобы подтвердить свою личность, достаточно биометрическихданных, обработка которых может заменить недельную бумажную волокиту. Они только ваши, поэтому получить доступ к сведениям не сможет никто кроме вас.

И не нужны никакие дополнительные защитные функции и т.п.

Рассмотрим для примера один из самых распространенных случаев – когда гражданин берет кредит. Раньше, чтобы одолжить в банке деньги, нужно было прийти в банк, принести не одну сотню бумажек. Это стоило времени и усилий. Благодаря биометрии процедура стала доступной удаленно.

Ещё одно очень важное преимущество биометрии – упрощенная процедура поездок в другие страны. Например, с биометрическими документами не нужно стоять на паспортном контроле. Биометрический документ – персональный. Его невозможно подделать. В некоторых странах уже можно не проходить контроль, если у вас есть биометрический паспорт.

Чтобы пройти процедуру и легально передвигаться по стране, потребуется подойти к датчику (это специальный прибор). Приложите к нему персональный биометрический паспорт. Теперь нужно отсканировать сетчатку глаза. Если система считала ваши данные, и человек попал в страну легально, он может свободно идти куда захочет.

Биометрия – это способ получать услуги быстрее и безопаснее, используя персональный набор физиологических качеств. Пока технология только набирает популярность, но происходит это стремительно. Придется в скором темпе адаптироваться.

Надежность системы биометрии данных

Обработка биометрических персональных данных проходит достаточно быстро, но после этого, до тех пор, пока вы остаетесь собой, о рисках можно не беспокоиться. Биометрия – это надежный ключ от сейфа, который вы носите с собой. Система сложная, но чтобы защититься от мошенников её сделали ещё сложнее. В результате, подделка в принципе невозможна.

Принцип работы механизма достаточно продуктивный:

• Гражданин проходит удаленную идентификацию по видео, передавай свой биометрический материал.
• Алгоритм занимается обработкой выражения лица и голоса отдельно друг от друга, чтобы определить % процент схожести рассматриваемого видео с контрольным шаблоном, полученным ранее.
• Работа «модуля аномалий» включается, если алгоритм дает сбой и не обрабатывает данные. Работа этого модуля – найти причины сбоя обработки. Если есть риск мошенничества, информация об этом стремительно поступает в банк. Через несколько секунд мошенник уже заблокирован.

На случай если системой воспользуются люди с очень похожей внешностью (например, идентичные близнецы), у них ничего не получится. Причина во множественности ступеней защиты, включая двухфакторную идентификацию (голос и внешность), а также логин и пароль от госуслуг. Так что без вашего ведома, никто не сможет войти в систему, даже если обработка внешних данных по видео может совпасть, биометрия не допустит операцию.

Биометрические данные граждан при изменении внешности

Внешность человека имеет свойство меняться в силу возраста, травм или операций. Если хотите, чтобы система исправно работала даже после таких трансформаций, персональные данные в ней нужно менять. Стандартный срок – раз в три года.

Внеурочно зарегистрироваться придется, если внешность изменилась сильно и обработкаперсональных данных невозможна. Например, после пластической операции, травмы. Если просто отрастили бороду – сбоя не возникнет.

Также придется вносить обновленные данные, если сильно охрипли – система не считает изменившийся голос. Конечно, можно подождать пока голос не вернет свой привычный тембр, но если этого не происходит, придется идти в банк, подтверждать свою личность и новый голос.

Закон и право по биометрии в России и мире

Согласно текущему закону, по отношению к биометрическимданным, использовать сведения о физиологических особенностях человека разрешено, только если есть письменное разрешение человека, которому рассматриваемые биометрические данные принадлежат. В других случаях обработка невозможна.

Но есть ситуации, когда персональные биометрические данные могут обрабатываться и без согласия человека. Например, в случаях, когда действует договор о реадмиссии, когда исполняются судебные акты или правосудие осуществляет другие действия, где биометрия необходима.

Также биометрическиеперсональные сведения могут быть использованы в задачах, связанных с безопасностью, противодействием терроризму/коррупции. Иногда персональные материалы применяются в оперативно-розыскной работе и других задачах предусмотренных законодательством России.

Получить юридическую помощь по вопросам биометрических данных граждан можно на нашем сайте.

От чего необходимо защищать биометрические данные?

Разобраться с этим нам поможет Приказ №494, в котором содержится перечень актуальных угроз безопасности при обработке биометрии. Но данный документ определяет угрозы для биометрии, которая обрабатывается в государственных органах, органах местного самоуправления, и организациях, но не в сегменте ЕБС банков.

Для определения угроз безопасности в сегменте ЕБС необходимо пользоваться Указанием Банка России и ПАО «Ростелеком» №4859 -У/01/01/782-18 (далее – Указание №4859).

Самыми главными угрозами является угрозы:

• целостности;
• конфиденциальности;
• доступности;
• НСД.

Также ЦБ приводит Методические рекомендации № 4-МР, которые содержат в себе информацию по нейтрализации банками актуальных угроз безопасности. Документ содержит в себе рекомендации для обеспечения безопасности на этапе сбора и обработки биометрических ПДн.

Для защиты биометрии банкам рекомендуется применять сертифицированные СЗИ и СКЗИ, выделять сегмент ЕБС и реализовывать для него стандартный уровень защиты информации в соответствии с ГОСТ 57580.1–2017. Также необходимо обеспечить реализацию мер 321 Приказа.

Биометрические данные: изменения с 1 сентября 2022 года

Закон № 266-ФЗ установил новые правила работы с биометрией, а также – общие изменения в обработку ПД:

возможность ее поручении обработки другому лицу (включая иностранное);

сокращенные сроки предоставления информации;

обновленный порядок прекращения обработки ПД;

признаки согласий для работы с ними.

Каждое из этих изменения оказывает влияние на правила обработки биометрических данных. Рассмотрим их подробно.

Читайте на сайте статьи по теме «Персональные данные»

Изменение 1: нельзя обрабатывать биометрию без согласия субъекта ПД, а также – понуждать к его даче. По общему правилу сдать биометрию работник (соискатель, контрагент) может только по своему желанию. Работодатель (наниматель, контрагент) в свою очередь не вправе обязать его это сделать. Кроме того, оператор по общему правилу не может обрабатывать биометрические персональные данные без согласия их субъекта (ч.

3 ст. 11 Закона № 152-ФЗ ).

Изменение 2: нужно уведомлять Роскомнадзор об обработке биометрических данных. Даже при их обработке во исполнение закона нужно вовремя извещать ведомство, чтобы попасть в реестр операторов ПД (Письмо Роскомнадзора от 19.08.2022 № 08-75348).

Уведомление не направляют только в таких случаях (п. 8 ч. 2 ст. 22 Закона № 152-ФЗ):

оператор обрабатывает данные без автоматизации (например, компания с численностью до 25 человек);

ПД содержатся в информационных системах по защите безопасности государства и общественного порядка;

ПД используют по закону о транспортной безопасности.

Изменение 3: можно поручать обработку другому лицу (включая иностранное), но с условиями. Оператор может поручать обработку ПД (в том числе – и биометрию) другому лицу. Для этого нужно:

договор с лицом, которому передается обработка;

перечень ПД в поручении;

документы и иная информация, которые предоставляются по запросу (в том числе до обработки) и подтверждают принятие мер и соблюдение требований закона в целях исполнения поручения оператора.

При этом на поручителя перекладывают все обязанности по защите ПД как на оператора (ч. 3–5 ст. 6 Закона № 152-ФЗ).

Иностранные лица могут обрабатывать персональные данные с 1 сентября 2022 на основании согласия гражданина России (ч. 1.1 ст. 1 Закона № 152-ФЗ).

При передаче ПД иностранному лицу ответственность перед их субъектом – солидарная. Поэтому за нарушения при обработке переданных иностранным юридическим и физическим лицом можно привлечь к ответственности и оператора (работодателя) (ч. 6 ст. 6 Закона № 152-ФЗ).

Изменение 4: сокращены сроки на предоставлении информации о работе с ПД. Закон 266-ФЗ сократил сроки, в течение которых оператор должен предоставить субъекту ПД информацию об их обработке (запрос и предоставление): 10 рабочих дней вместо 30. Все сведения предоставляют, ориентируясь на форму запроса (ч. 3 и 7 ст.

14, ст. 20 Закона № 152-ФЗ).

Изменение 5: установлены новые правила прекращения обработки ПД по обращению их субъекта. Оператор должен исполнить требование субъекта ПД о прекращении их обработки в срок 10 рабочих дней с даты получения обращения. Такой срок можно продлить, но не более чем на пять рабочих дней. Для этого нужно направить в адрес субъекта ПД мотивированное уведомление с указанием причин продления срока (ч.

5.1 ст. 21 Закона № 152-ФЗ, пп. «б», п.

13 ст. 1 Закона 266-ФЗ).

Изменение 6: введены новые условия обработки биометрических персональных данных. Как мы выяснили, биометрию, как правило, обрабатывают с согласия субъекта ПД (работника, соискателя и др.). Биометрические персональные данные (образец) – общий с согласиями на обработку и распространение ПД, но с указанием категорий биометрических персональных данных (ст. ст.

9 и 10.1 Закона № 152-ФЗ).

Согласия на обработку и распространения биометрии, как и общие согласия для работы с ПД, должны быть предметными и однозначными, а не только сознательными, конкретными и информированными (ст. 9 Закона № 152-ФЗ). Эти требования относятся к условиям согласия (ч. 1 ст. 9 Закона № 152-ФЗ):

цель обработки персональных данных;

перечень ПД, на обработку которых дается согласие их субъекта;

наименование или фамилия, имя, отчество и адрес лица, которое осуществляет обработку ПД по поручению оператора (если она поручена такому лицу);

перечень действий с ПД, на совершение которых дается согласие, а также – общее описание способов обработки ПД, которые использует оператор;

срок, в течение которого действует согласие субъекта ПД и способу его отзыва.

В тексте согласий избегайте неопределенных и общих формулировок. Их положения должны соответствовать требованиям закона. Сведения о субъекте и операторе нужно указывать точно.

Цель, категории, перечень ПД, условия их обработки (распространения) определяют конкретно. Срок согласия должен совпадает с требованиями закона об архивном деле. При этом период действия согласия на распространение может быть определен наступлением какого-либо события, а не датой или периодом времени (ч.

13 ст. 10.1 Закона № 152-ФЗ).

Все положения согласий нужно разъяснить субъекту ПД до их подписания, чтобы он действовал осознанно и информировано (ст. ст. 9, 10.1, 18 и 22 Закона № 152-ФЗ). Когда субъект ПД отказывается предоставить обязательные персданные, нужно разъяснить последствия отказа от предоставления ПД и (или) согласия на их обработку (ч. 2 ст. 18 Закона № 152-ФЗ).

Обязательные условия согласия на обработку и распространение ПД скачайте здесь

Как отозвать согласия на обработку и распространение биометрии, объяснит консультант по трудовому праву .

Топ-5 документов по персональным данным, которые скачивают ваши коллеги:

Личное дело сотрудника

Также биометрическими персональными данными не является фотография сотрудника, хранящаяся в личном деле и подпись работника. Т.к. все действия, которые совершает работодатель, используя данные из личного дела, направлены на подтверждение их принадлежности конкретному физическому лицу.

При этом личность работника уже определена и его персональные данные уже имеются у работодателя.

При этом хранить копию паспорта считается правонарушением, т.к. согласно Статье 65 Трудового кодекса Российской Федерации перечень персональных данных хранимый работодателем не определен, а данная статья определяет перечень данных, которые работник предъявляет при заключении трудового договора. К ним, в частности, относится и паспорт, как документ определяющий личность.

Хранение же копии паспорта может классифицироваться как избыточные действие по отношению к заявленным целям их обработки. Здесь в качестве примера приведу пример из кассационной инстанции Северо-Кавказкого округа.