Какая информация может быть отнесена к категории биометрические персональные данные сдо
Перейти к содержимому

Какая информация может быть отнесена к категории биометрические персональные данные сдо

  • автор:

Какая информация может быть отнесена к категории биометрические персональные данные сдо

(в ред. Федерального закона от 25.07.2011 N 261-ФЗ)

(см. текст в предыдущей редакции)

1. Сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные) и которые используются оператором для установления личности субъекта персональных данных, могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.

2. Обработка биометрических персональных данных может осуществляться без согласия субъекта персональных данных в связи с реализацией международных договоров Российской Федерации о реадмиссии, в связи с осуществлением правосудия и исполнением судебных актов, в связи с проведением обязательной государственной дактилоскопической регистрации, обязательной государственной геномной регистрации, а также в случаях, предусмотренных законодательством Российской Федерации об обороне, о безопасности, о противодействии терроризму, о транспортной безопасности, о противодействии коррупции, об оперативно-разыскной деятельности, о государственной службе, уголовно-исполнительным законодательством Российской Федерации, законодательством Российской Федерации о порядке выезда из Российской Федерации и въезда в Российскую Федерацию, о гражданстве Российской Федерации, законодательством Российской Федерации о нотариате.

(в ред. Федеральных законов от 04.06.2014 N 142-ФЗ, от 31.12.2017 N 498-ФЗ, от 27.12.2019 N 480-ФЗ, от 06.02.2023 N 8-ФЗ)

(см. текст в предыдущей редакции)

3. Предоставление биометрических персональных данных не может быть обязательным, за исключением случаев, предусмотренных частью 2 настоящей статьи. Оператор не вправе отказывать в обслуживании в случае отказа субъекта персональных данных предоставить биометрические персональные данные и (или) дать согласие на обработку персональных данных, если в соответствии с федеральным законом получение оператором согласия на обработку персональных данных не является обязательным.

Что нужно знать о биометрических персональных данных

Понятие биометрических данных. Какими законами регулируется обращение с такой информацией

Биометрия — это уникальные физические или поведенческие характеристики, которые позволяют отличать людей друг от друга.

На законодательном уровне в России порядок обращения с биометрическими персональными данными определен:

  1. Законом «О персональных данных» от 27.07.2006 № 152-ФЗ.
  2. Законом «Об информации, информационных технологиях . » от 27.07.2006 № 149-ФЗ.
  3. Постановлением Правительства РФ «Об определении состава сведений, размещаемых в единой информационной системе персональных данных. » от 30.06.2018 № 772.
  4. Приказом Минкомсвязи России «Об утверждении порядка обработки. » от 25.06.2018 № 321.

Президиумом Совета при Президенте РФ по стратегическому развитию и национальным проектам протоколом от 24.12.2018 № 16 был утвержден паспорт национальной программы «Цифровая экономика РФ», в соответствии с которым создается Единая биометрическая система. С 01.07.2018 сбор биофизических параметров своих клиентов начали крупные банковские учреждения, реализуя положения закона «О внесении изменений в отдельные законодательные акты РФ» от 31.12.2017 № 482-ФЗ. Таким образом, биометрические данные уже используются банками для идентификации клиентов по голосу и видео.

Где могут быть использованы физические сведения о гражданине

Биофизические информационные материалы могут понадобиться в различных сферах жизни, где требуется распознавание человека. Успешное применение биофизических особенностей граждан уже нашло себя в таких направлениях, как:

  • выдача биометрических загранпаспортов;
  • оформление виз в упрощенном порядке с применением биометрического распознавания;
  • дактилоскопическая регистрация иностранцев и граждан России;
  • идентификация в пропускных системах офисов и компьютерных системах, смартфонах и т. д.

Идентификация по биометрическим данным гораздо надежнее, чем визуальная. Например, сотрудник банка не сумеет отличить друг от друга близнецов, а биометрический анализ их голоса и изображения с большой долей вероятности сможет.

Что относится к биометрическим материалам

Отнесение информации к биофизическим данным требует соблюдения следующих условий:

  • сведения должны отображать информацию о субъекте;
  • применение указанной информации позволяет распознать человека.

К биофизическим индивидуальным свойствам относятся:

  • отпечатки пальцев и ладоней;
  • радужка оболочки глаз;
  • анализы ДНК;
  • образ лица;
  • особенности строения тела;
  • состояние психического здоровья;
  • рост;
  • вес.

Для распознавания гражданина необходима одна или больше поведенческих или физических особенностей. В постановлении № 722 к сведениям, подлежащим размещению в общей информационной системе индивидуальных данных, относятся:

  • фото- или видеоизображение лица гражданина;
  • данные голоса, полученные при помощи звукозаписывающих устройств.

По каким правилам собираются, обрабатываются и хранятся данные

Работа с индивидуальными сведениями граждан предполагает:

  • сбор;
  • хранение;
  • использование;
  • обновление;
  • защиту информации.

Эти процедуры регулирует приказ Минкомсвязи № 321.

Работа с персональными данными, в том числе биометрическими, осуществляется в следующем порядке:

  1. Уведомление оператором по сбору информации Роскомнадзора о том, что биометрические сведения будут собираться. Методические рекомендации по оповещению закреплены в приказе Роскомнадзора от 30.05.2017 № 94. Уведомление не требуется, если (п. 2 ст. 22 закона № 152-ФЗ):
  • сбор проводится в рамках трудового законодательства;
  • информация используется только для заключения сделки, стороной которой является субъект персональных сведений, и никуда не передается;
  • сведения ограничены Ф. И. О.;
  • в иных перечисленных в законе случаях.
  1. Получение письменного согласия субъекта персональной информации на сбор данных о нем.

Образец согласия на обработку персональных биометрических данных привели эксперты КонсультантПлюс. Получите пробный доступ к системе бесплатно и переходите к документу.

Без согласия информация может собираться в рамках (п. 2 ст. 11 закона № 152-ФЗ):

  • международных договоров о реадмиссии;
  • судопроизводства;
  • исполнения судебных решений;
  • обязательной дактилоскопической регистрации.
  1. Сбор сведений. Информацию должен получать уполномоченный сотрудник при личном присутствии человека. При этом создается биометрический шаблон, который подписывается электронной подписью и размещается в единой информационной системе.
  2. Хранение персональных биометрических шаблонов осуществляется не менее чем 50 лет со дня размещения в системе.

Хранение и защита идентификационных сведений

Защита биометрических персональных данных предполагает соблюдение оператором данных следующих правил (п.8 приказа № 321):

  • сбор сведений должны осуществлять уполномоченные сотрудники, обеспеченные ключами простой электронной подписи;
  • ключи электронных подписей хранятся таким образом, чтобы исключить несанкционированный доступ к ним и избежать незаконного изменения, добавления, удаления информации;
  • за передачу ключей электронной подписи третьим лицам либо необеспечение их конфиденциальности предусмотрена ответственность.

Конфиденциальность доступной информации должны хранить сотрудники, как собирающие биометрические данные, так и готовящие и выдающие ключи электронных подписей.

Дополнительно банковские учреждения должны (пп. 31, 33 Порядка, утв. приказом № 321):

  • информировать Банк России об обнаружении случаев нарушения правил защиты информационных материалов при работе с ними в срок не позже следующего рабочего дня с момента выявления такого факта;
  • ежегодно оценивать безопасность технической защиты информации, привлекая специализированные организации.

Итоги

Таким образом, работа с биометрическим материалом позволяет идентифицировать людей по их голосу, фото, видео и другим индивидуальным особенностям. Порядок работы с биометрическими данными строго регламентирован законодательством. Чтобы организация могла работать с персональными сведениями, она должна направить уведомление в Роскомнадзор в порядке, предусмотренном приказом Роскомнадзора от 30.05.2017 № 94.

Нужно ли отказываться от биометрии до 31 августа

Это уникальные физиологические и биологические характеристики человека: лицо, отпечаток пальца, голос, рисунок вен или сетчатки глаза.

Благодаря биометрии многие услуги переводятся в дистанционный формат. Например, уже сейчас с ее помощью можно открыть банковский счет, оформить электронную подпись и карту болельщика, сдать экзамен из другого города и прочее. Это очень важно в период необходимости повышения доступности сервисов, в том числе для инвалидов, которые порой не могут прийти очно и получить услугу, или студентов, которые не могут позволить себе приехать на вступительный экзамен в другой город.

Теперь важное. Биометрические данные никто не может собирать без разрешения. Использовать их можно только с вашего согласия. Это следует из текста Федерального закона от 29.12.2022 № 572-ФЗ

Кто может собирать биометрию

С 2023 года для повышения безопасности вся биометрия будет храниться только в Единой биометрической системе (ЕБС). Биометрию можно зарегистрировать через мобильное приложение «Госуслуги Биометрия» и в банках. Скоро — в МФЦ.

Кто не может собирать биометрию

ЗАПРЕЩЕНО собирать биометрию коммерческим организациям, а так же банкоматам, видеокамерам, колл-центрам и т.д.

Где хранятся биометрические данные

Данные хранятся в Единой биометрической системе — сейчас там лицо и голос. При этом персональные данные хранятся отдельно.

Для чего используется биометрия

Только для государственных и иных услуг в гражданской сфере. Для отслеживания — нет! Следить за гражданами с применением ЕБС невозможно. Мало того, это запрещено Федеральным законом № 572, где указано, что использование Единой биометрической системы возможно только для предоставления государственных и иных услуг в гражданской сфере.

Как узнать, сдавали ли биометрию

Для этого необходимо зайти на портал Госуслуги. Найти там Профиль, а в нем — Биометрия

Узнать, что вы раньше сдавали биометрию, можно на Госуслугах

Там указано, зарегистрирована ли ваша биометрия, как ее оформить или удалить. Проверьте сейчас. Управлять своей биометрией можно в едином окне.

Что делать, если биометрия НЕ зарегистрирована

Биометрию можно зарегистрировать: стандартную — в мобильном приложении «Госуслуги Биометрия» , подтвержденную — в банке.

Или можно ничего не делать. При этом срочно идти в МФЦ и писать заявление на отказ до 31 августа НЕ НУЖНО, так как вашей биометрии и так нет в системе.

В какой срок можно отказаться от сбора биометрии

Без официального согласия сбор и не проводится. Ни через банкоматы, ни через камеры. Если биометрию уже сдавали, удалить ее можно в любое время, даже после 31 августа.

Биометрические персональные данные: понятие и правила обработки

К биометрическим персональным данным относят сведения, которые характеризуют физиологические и биологические особенности человека и по которых можно установить его личность. По общему правилу собирать биометрию и обрабатывать ее другими способами можно только с письменного согласия на обработку биометрических персональных данных от их субъекта (ч. 1 – 3 ст. 12 Федерального закона от 27.07.2006 № 152-ФЗ , далее – Закон № 152-ФЗ).

Федеральный закон от 14.07.2022 № 266-ФЗ (далее – Закон № 266-ФЗ) внес изменения в правила работы с персональными данными (персданными, ПД), в том числе – и с биометрическими. Узнаем, какие требования к работе с биометрией нужно выполнять уже с 1 сентября 2022 года .

Оптимально организовать работу с биометрией по новым требованиям закона поможет наш обучающий курс .

Скачайте образцы документов для работы:

Обязательные условия согласия на обработку персданных

Правила использования изображения гражданина при обработке персданных

Биометрические персональные данные: что к ним относится

Что такое биометрия на практике? Это физические сведения человека (дактилоскопические данные, радужная оболочка глаз, анализы ДНК, рост, вес и др.) и иные его физиологические и биологические характеристики (в том числе изображение – фотография и видеозапись). Такие сведения классифицируют как биометрические, когда их обработка направлена на установление личности конкретного лица и производится с этой целью (абз. 2 «Разъяснений по вопросам отнесения фото-, видеоизображений, дактилоскопических данных и иной информации к биометрическим персональным данным и особенностей их обработки» от 30.08.2013 (Роспотребнадзор), далее – Разъяснения).

Только тогда мы имеем дело с данными, для обработки и распространения которых нужно получать согласия, уведомлять Роскомнадзор о работе с ними и исполнять иные требования закона (абз. 4 Разъяснений).

Обратите внимание! Закон по общему правилу запрещает обрабатывать ПД, включая биометрические данные, из общедоступных источников получения информации без согласия их субъекта (Федеральный закон от 30.12.2020 № 519-ФЗ ). Исключения – в части 2 статьи 11 Закона № 152-ФЗ. Правила использования изображения человека – в статье 152.1 ГК РФ.

Правила использования изображения гражданина скачайте по ссылке

Обработка биометрии без согласия на биометрические персональные данные

Такая обработка разрешена в случаях (ч. 2 ст. 11 Закона № 152-ФЗ ):

реализации международных договоров о реадмиссии;

осуществления правосудия и исполнением судебных актов;

проведения обязательной государственной дактилоскопической регистрации;

исполнения закона о: безопасности, обороне, противодействии терроризму и коррупции, транспортной безопасности, оперативно-разыскной деятельности, государственной службе, порядке выезда и въезда, гражданстве нотариате и уголовно-исполнительной системе.

Персональные данные – любая информация, которая прямо или косвенно относится к определенному или определяемому физическому лицу (субъекту ПД) (п. 1 ч. 1 ст. 3 Закона № 152-ФЗ). Следовательно, субъект персональных данных — физическое лицо, которого можно прямо или косвенно определить с помощью персональных данных.

Оператор персональных данных – это государственный или муниципальный орган, юридическое либо физическое лицо, которые самостоятельно или совместно с другими лицами организуют и (или) осуществляют обработку персональных данных, а также определяют ее цели; состав персданных, подлежащих обработке; а также действия (операции), совершаемые с ними (п. 2 ч. 1 ст. 3 Закона № 152-ФЗ).

Обработка биометрических персональных данных – любое действие (операция) или совокупность действий (операций), которые совершают с биометрическими персональными данными с использованием средств автоматизации или без них, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (ст. ст. 3 и 11 Закона № 152-ФЗ).

Важно! Правила размещения и обновления биометрических персональных данных в Единой биометрической системе (ЕБС) и в других информсистемах, которые обеспечивают идентификацию (аутентификацию) с использованием биометрии физлиц, устанавливает Приказ Минцифры России от 10.09.2021 № 930 . Порядок сбора параметров биометрии уполномоченными сотрудниками в целях идентификации гражданина определен в Приказе Минцифры России от 25.06.2018 № 321.

Биометрические данные: изменения с 1 сентября 2022 года

Закон № 266-ФЗ установил новые правила работы с биометрией, а также – общие изменения в обработку ПД:

возможность ее поручении обработки другому лицу (включая иностранное);

сокращенные сроки предоставления информации;

обновленный порядок прекращения обработки ПД;

признаки согласий для работы с ними.

Каждое из этих изменения оказывает влияние на правила обработки биометрических данных. Рассмотрим их подробно.

Читайте на сайте статьи по теме «Персональные данные»

Изменение 1: нельзя обрабатывать биометрию без согласия субъекта ПД, а также – понуждать к его даче. По общему правилу сдать биометрию работник (соискатель, контрагент) может только по своему желанию. Работодатель (наниматель, контрагент) в свою очередь не вправе обязать его это сделать. Кроме того, оператор по общему правилу не может обрабатывать биометрические персональные данные без согласия их субъекта (ч. 3 ст. 11 Закона № 152-ФЗ ).

Изменение 2: нужно уведомлять Роскомнадзор об обработке биометрических данных. Даже при их обработке во исполнение закона нужно вовремя извещать ведомство, чтобы попасть в реестр операторов ПД (Письмо Роскомнадзора от 19.08.2022 № 08-75348).

Уведомление не направляют только в таких случаях (п. 8 ч. 2 ст. 22 Закона № 152-ФЗ):

оператор обрабатывает данные без автоматизации (например, компания с численностью до 25 человек);

ПД содержатся в информационных системах по защите безопасности государства и общественного порядка;

ПД используют по закону о транспортной безопасности.

Изменение 3: можно поручать обработку другому лицу (включая иностранное), но с условиями. Оператор может поручать обработку ПД (в том числе – и биометрию) другому лицу. Для этого нужно:

договор с лицом, которому передается обработка;

перечень ПД в поручении;

документы и иная информация, которые предоставляются по запросу (в том числе до обработки) и подтверждают принятие мер и соблюдение требований закона в целях исполнения поручения оператора.

При этом на поручителя перекладывают все обязанности по защите ПД как на оператора (ч. 3–5 ст. 6 Закона № 152-ФЗ).

Иностранные лица могут обрабатывать персональные данные с 1 сентября 2022 на основании согласия гражданина России (ч. 1.1 ст. 1 Закона № 152-ФЗ).

При передаче ПД иностранному лицу ответственность перед их субъектом – солидарная. Поэтому за нарушения при обработке переданных иностранным юридическим и физическим лицом можно привлечь к ответственности и оператора (работодателя) (ч. 6 ст. 6 Закона № 152-ФЗ).

Изменение 4: сокращены сроки на предоставлении информации о работе с ПД. Закон 266-ФЗ сократил сроки, в течение которых оператор должен предоставить субъекту ПД информацию об их обработке (запрос и предоставление): 10 рабочих дней вместо 30. Все сведения предоставляют, ориентируясь на форму запроса (ч. 3 и 7 ст. 14, ст. 20 Закона № 152-ФЗ).

Изменение 5: установлены новые правила прекращения обработки ПД по обращению их субъекта. Оператор должен исполнить требование субъекта ПД о прекращении их обработки в срок 10 рабочих дней с даты получения обращения. Такой срок можно продлить, но не более чем на пять рабочих дней. Для этого нужно направить в адрес субъекта ПД мотивированное уведомление с указанием причин продления срока (ч. 5.1 ст. 21 Закона № 152-ФЗ, пп. «б», п. 13 ст. 1 Закона 266-ФЗ).

Изменение 6: введены новые условия обработки биометрических персональных данных. Как мы выяснили, биометрию, как правило, обрабатывают с согласия субъекта ПД (работника, соискателя и др.). Биометрические персональные данные (образец) – общий с согласиями на обработку и распространение ПД, но с указанием категорий биометрических персональных данных (ст. ст. 9 и 10.1 Закона № 152-ФЗ).

Согласия на обработку и распространения биометрии, как и общие согласия для работы с ПД, должны быть предметными и однозначными, а не только сознательными, конкретными и информированными (ст. 9 Закона № 152-ФЗ). Эти требования относятся к условиям согласия (ч. 1 ст. 9 Закона № 152-ФЗ):

цель обработки персональных данных;

перечень ПД, на обработку которых дается согласие их субъекта;

наименование или фамилия, имя, отчество и адрес лица, которое осуществляет обработку ПД по поручению оператора (если она поручена такому лицу);

перечень действий с ПД, на совершение которых дается согласие, а также – общее описание способов обработки ПД, которые использует оператор;

срок, в течение которого действует согласие субъекта ПД и способу его отзыва.

В тексте согласий избегайте неопределенных и общих формулировок. Их положения должны соответствовать требованиям закона. Сведения о субъекте и операторе нужно указывать точно. Цель, категории, перечень ПД, условия их обработки (распространения) определяют конкретно. Срок согласия должен совпадает с требованиями закона об архивном деле. При этом период действия согласия на распространение может быть определен наступлением какого-либо события, а не датой или периодом времени (ч. 13 ст. 10.1 Закона № 152-ФЗ).

Все положения согласий нужно разъяснить субъекту ПД до их подписания, чтобы он действовал осознанно и информировано (ст. ст. 9, 10.1, 18 и 22 Закона № 152-ФЗ). Когда субъект ПД отказывается предоставить обязательные персданные, нужно разъяснить последствия отказа от предоставления ПД и (или) согласия на их обработку (ч. 2 ст. 18 Закона № 152-ФЗ).

Обязательные условия согласия на обработку и распространение ПД скачайте здесь

Как отозвать согласия на обработку и распространение биометрии, объяснит консультант по трудовому праву .

Топ-5 документов по персональным данным, которые скачивают ваши коллеги:

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *