Какая информация может быть отнесена к категории биометрические персональные данные сдо
(в ред. Федерального закона от 25.07.2011 N 261-ФЗ)
(см. текст в предыдущей редакции)
1. Сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные) и которые используются оператором для установления личности субъекта персональных данных, могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.
2. Обработка биометрических персональных данных может осуществляться без согласия субъекта персональных данных в связи с реализацией международных договоров Российской Федерации о реадмиссии, в связи с осуществлением правосудия и исполнением судебных актов, в связи с проведением обязательной государственной дактилоскопической регистрации, обязательной государственной геномной регистрации, а также в случаях, предусмотренных законодательством Российской Федерации об обороне, о безопасности, о противодействии терроризму, о транспортной безопасности, о противодействии коррупции, об оперативно-разыскной деятельности, о государственной службе, уголовно-исполнительным законодательством Российской Федерации, законодательством Российской Федерации о порядке выезда из Российской Федерации и въезда в Российскую Федерацию, о гражданстве Российской Федерации, законодательством Российской Федерации о нотариате.
(в ред. Федеральных законов от 04.06.2014 N 142-ФЗ, от 31.12.2017 N 498-ФЗ, от 27.12.2019 N 480-ФЗ, от 06.02.2023 N 8-ФЗ)
(см. текст в предыдущей редакции)
3. Предоставление биометрических персональных данных не может быть обязательным, за исключением случаев, предусмотренных частью 2 настоящей статьи. Оператор не вправе отказывать в обслуживании в случае отказа субъекта персональных данных предоставить биометрические персональные данные и (или) дать согласие на обработку персональных данных, если в соответствии с федеральным законом получение оператором согласия на обработку персональных данных не является обязательным.
Что нужно знать о биометрических персональных данных
Понятие биометрических данных. Какими законами регулируется обращение с такой информацией
Биометрия — это уникальные физические или поведенческие характеристики, которые позволяют отличать людей друг от друга.
На законодательном уровне в России порядок обращения с биометрическими персональными данными определен:
- Законом «О персональных данных» от 27.07.2006 № 152-ФЗ.
- Законом «Об информации, информационных технологиях . » от 27.07.2006 № 149-ФЗ.
- Постановлением Правительства РФ «Об определении состава сведений, размещаемых в единой информационной системе персональных данных. » от 30.06.2018 № 772.
- Приказом Минкомсвязи России «Об утверждении порядка обработки. » от 25.06.2018 № 321.
Президиумом Совета при Президенте РФ по стратегическому развитию и национальным проектам протоколом от 24.12.2018 № 16 был утвержден паспорт национальной программы «Цифровая экономика РФ», в соответствии с которым создается Единая биометрическая система. С 01.07.2018 сбор биофизических параметров своих клиентов начали крупные банковские учреждения, реализуя положения закона «О внесении изменений в отдельные законодательные акты РФ» от 31.12.2017 № 482-ФЗ. Таким образом, биометрические данные уже используются банками для идентификации клиентов по голосу и видео.
Где могут быть использованы физические сведения о гражданине
Биофизические информационные материалы могут понадобиться в различных сферах жизни, где требуется распознавание человека. Успешное применение биофизических особенностей граждан уже нашло себя в таких направлениях, как:
- выдача биометрических загранпаспортов;
- оформление виз в упрощенном порядке с применением биометрического распознавания;
- дактилоскопическая регистрация иностранцев и граждан России;
- идентификация в пропускных системах офисов и компьютерных системах, смартфонах и т. д.
Идентификация по биометрическим данным гораздо надежнее, чем визуальная. Например, сотрудник банка не сумеет отличить друг от друга близнецов, а биометрический анализ их голоса и изображения с большой долей вероятности сможет.
Что относится к биометрическим материалам
Отнесение информации к биофизическим данным требует соблюдения следующих условий:
- сведения должны отображать информацию о субъекте;
- применение указанной информации позволяет распознать человека.
К биофизическим индивидуальным свойствам относятся:
- отпечатки пальцев и ладоней;
- радужка оболочки глаз;
- анализы ДНК;
- образ лица;
- особенности строения тела;
- состояние психического здоровья;
- рост;
- вес.
Для распознавания гражданина необходима одна или больше поведенческих или физических особенностей. В постановлении № 722 к сведениям, подлежащим размещению в общей информационной системе индивидуальных данных, относятся:
- фото- или видеоизображение лица гражданина;
- данные голоса, полученные при помощи звукозаписывающих устройств.
По каким правилам собираются, обрабатываются и хранятся данные
Работа с индивидуальными сведениями граждан предполагает:
- сбор;
- хранение;
- использование;
- обновление;
- защиту информации.
Эти процедуры регулирует приказ Минкомсвязи № 321.
Работа с персональными данными, в том числе биометрическими, осуществляется в следующем порядке:
- Уведомление оператором по сбору информации Роскомнадзора о том, что биометрические сведения будут собираться. Методические рекомендации по оповещению закреплены в приказе Роскомнадзора от 30.05.2017 № 94. Уведомление не требуется, если (п. 2 ст. 22 закона № 152-ФЗ):
- сбор проводится в рамках трудового законодательства;
- информация используется только для заключения сделки, стороной которой является субъект персональных сведений, и никуда не передается;
- сведения ограничены Ф. И. О.;
- в иных перечисленных в законе случаях.
- Получение письменного согласия субъекта персональной информации на сбор данных о нем.
Образец согласия на обработку персональных биометрических данных привели эксперты КонсультантПлюс. Получите пробный доступ к системе бесплатно и переходите к документу.
Без согласия информация может собираться в рамках (п. 2 ст. 11 закона № 152-ФЗ):
- международных договоров о реадмиссии;
- судопроизводства;
- исполнения судебных решений;
- обязательной дактилоскопической регистрации.
- Сбор сведений. Информацию должен получать уполномоченный сотрудник при личном присутствии человека. При этом создается биометрический шаблон, который подписывается электронной подписью и размещается в единой информационной системе.
- Хранение персональных биометрических шаблонов осуществляется не менее чем 50 лет со дня размещения в системе.
Хранение и защита идентификационных сведений
Защита биометрических персональных данных предполагает соблюдение оператором данных следующих правил (п.8 приказа № 321):
- сбор сведений должны осуществлять уполномоченные сотрудники, обеспеченные ключами простой электронной подписи;
- ключи электронных подписей хранятся таким образом, чтобы исключить несанкционированный доступ к ним и избежать незаконного изменения, добавления, удаления информации;
- за передачу ключей электронной подписи третьим лицам либо необеспечение их конфиденциальности предусмотрена ответственность.
Конфиденциальность доступной информации должны хранить сотрудники, как собирающие биометрические данные, так и готовящие и выдающие ключи электронных подписей.
Дополнительно банковские учреждения должны (пп. 31, 33 Порядка, утв. приказом № 321):
- информировать Банк России об обнаружении случаев нарушения правил защиты информационных материалов при работе с ними в срок не позже следующего рабочего дня с момента выявления такого факта;
- ежегодно оценивать безопасность технической защиты информации, привлекая специализированные организации.
Итоги
Таким образом, работа с биометрическим материалом позволяет идентифицировать людей по их голосу, фото, видео и другим индивидуальным особенностям. Порядок работы с биометрическими данными строго регламентирован законодательством. Чтобы организация могла работать с персональными сведениями, она должна направить уведомление в Роскомнадзор в порядке, предусмотренном приказом Роскомнадзора от 30.05.2017 № 94.
Нужно ли отказываться от биометрии до 31 августа
Это уникальные физиологические и биологические характеристики человека: лицо, отпечаток пальца, голос, рисунок вен или сетчатки глаза.
Благодаря биометрии многие услуги переводятся в дистанционный формат. Например, уже сейчас с ее помощью можно открыть банковский счет, оформить электронную подпись и карту болельщика, сдать экзамен из другого города и прочее. Это очень важно в период необходимости повышения доступности сервисов, в том числе для инвалидов, которые порой не могут прийти очно и получить услугу, или студентов, которые не могут позволить себе приехать на вступительный экзамен в другой город.
Теперь важное. Биометрические данные никто не может собирать без разрешения. Использовать их можно только с вашего согласия. Это следует из текста Федерального закона от 29.12.2022 № 572-ФЗ
Кто может собирать биометрию
С 2023 года для повышения безопасности вся биометрия будет храниться только в Единой биометрической системе (ЕБС). Биометрию можно зарегистрировать через мобильное приложение «Госуслуги Биометрия» и в банках. Скоро — в МФЦ.
Кто не может собирать биометрию
ЗАПРЕЩЕНО собирать биометрию коммерческим организациям, а так же банкоматам, видеокамерам, колл-центрам и т.д.
Где хранятся биометрические данные
Данные хранятся в Единой биометрической системе — сейчас там лицо и голос. При этом персональные данные хранятся отдельно.
Для чего используется биометрия
Только для государственных и иных услуг в гражданской сфере. Для отслеживания — нет! Следить за гражданами с применением ЕБС невозможно. Мало того, это запрещено Федеральным законом № 572, где указано, что использование Единой биометрической системы возможно только для предоставления государственных и иных услуг в гражданской сфере.
Как узнать, сдавали ли биометрию
Для этого необходимо зайти на портал Госуслуги. Найти там Профиль, а в нем — Биометрия
Там указано, зарегистрирована ли ваша биометрия, как ее оформить или удалить. Проверьте сейчас. Управлять своей биометрией можно в едином окне.
Что делать, если биометрия НЕ зарегистрирована
Биометрию можно зарегистрировать: стандартную — в мобильном приложении «Госуслуги Биометрия» , подтвержденную — в банке.
Или можно ничего не делать. При этом срочно идти в МФЦ и писать заявление на отказ до 31 августа НЕ НУЖНО, так как вашей биометрии и так нет в системе.
В какой срок можно отказаться от сбора биометрии
Без официального согласия сбор и не проводится. Ни через банкоматы, ни через камеры. Если биометрию уже сдавали, удалить ее можно в любое время, даже после 31 августа.
Биометрические персональные данные: понятие и правила обработки
К биометрическим персональным данным относят сведения, которые характеризуют физиологические и биологические особенности человека и по которых можно установить его личность. По общему правилу собирать биометрию и обрабатывать ее другими способами можно только с письменного согласия на обработку биометрических персональных данных от их субъекта (ч. 1 – 3 ст. 12 Федерального закона от 27.07.2006 № 152-ФЗ , далее – Закон № 152-ФЗ).
Федеральный закон от 14.07.2022 № 266-ФЗ (далее – Закон № 266-ФЗ) внес изменения в правила работы с персональными данными (персданными, ПД), в том числе – и с биометрическими. Узнаем, какие требования к работе с биометрией нужно выполнять уже с 1 сентября 2022 года .
Оптимально организовать работу с биометрией по новым требованиям закона поможет наш обучающий курс .
Скачайте образцы документов для работы:
Обязательные условия согласия на обработку персданных
Правила использования изображения гражданина при обработке персданных
Биометрические персональные данные: что к ним относится
Что такое биометрия на практике? Это физические сведения человека (дактилоскопические данные, радужная оболочка глаз, анализы ДНК, рост, вес и др.) и иные его физиологические и биологические характеристики (в том числе изображение – фотография и видеозапись). Такие сведения классифицируют как биометрические, когда их обработка направлена на установление личности конкретного лица и производится с этой целью (абз. 2 «Разъяснений по вопросам отнесения фото-, видеоизображений, дактилоскопических данных и иной информации к биометрическим персональным данным и особенностей их обработки» от 30.08.2013 (Роспотребнадзор), далее – Разъяснения).
Только тогда мы имеем дело с данными, для обработки и распространения которых нужно получать согласия, уведомлять Роскомнадзор о работе с ними и исполнять иные требования закона (абз. 4 Разъяснений).
Обратите внимание! Закон по общему правилу запрещает обрабатывать ПД, включая биометрические данные, из общедоступных источников получения информации без согласия их субъекта (Федеральный закон от 30.12.2020 № 519-ФЗ ). Исключения – в части 2 статьи 11 Закона № 152-ФЗ. Правила использования изображения человека – в статье 152.1 ГК РФ.
Правила использования изображения гражданина скачайте по ссылке
Обработка биометрии без согласия на биометрические персональные данные
Такая обработка разрешена в случаях (ч. 2 ст. 11 Закона № 152-ФЗ ):
реализации международных договоров о реадмиссии;
осуществления правосудия и исполнением судебных актов;
проведения обязательной государственной дактилоскопической регистрации;
исполнения закона о: безопасности, обороне, противодействии терроризму и коррупции, транспортной безопасности, оперативно-разыскной деятельности, государственной службе, порядке выезда и въезда, гражданстве нотариате и уголовно-исполнительной системе.
Персональные данные – любая информация, которая прямо или косвенно относится к определенному или определяемому физическому лицу (субъекту ПД) (п. 1 ч. 1 ст. 3 Закона № 152-ФЗ). Следовательно, субъект персональных данных — физическое лицо, которого можно прямо или косвенно определить с помощью персональных данных.
Оператор персональных данных – это государственный или муниципальный орган, юридическое либо физическое лицо, которые самостоятельно или совместно с другими лицами организуют и (или) осуществляют обработку персональных данных, а также определяют ее цели; состав персданных, подлежащих обработке; а также действия (операции), совершаемые с ними (п. 2 ч. 1 ст. 3 Закона № 152-ФЗ).
Обработка биометрических персональных данных – любое действие (операция) или совокупность действий (операций), которые совершают с биометрическими персональными данными с использованием средств автоматизации или без них, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (ст. ст. 3 и 11 Закона № 152-ФЗ).
Важно! Правила размещения и обновления биометрических персональных данных в Единой биометрической системе (ЕБС) и в других информсистемах, которые обеспечивают идентификацию (аутентификацию) с использованием биометрии физлиц, устанавливает Приказ Минцифры России от 10.09.2021 № 930 . Порядок сбора параметров биометрии уполномоченными сотрудниками в целях идентификации гражданина определен в Приказе Минцифры России от 25.06.2018 № 321.
Биометрические данные: изменения с 1 сентября 2022 года
Закон № 266-ФЗ установил новые правила работы с биометрией, а также – общие изменения в обработку ПД:
возможность ее поручении обработки другому лицу (включая иностранное);
сокращенные сроки предоставления информации;
обновленный порядок прекращения обработки ПД;
признаки согласий для работы с ними.
Каждое из этих изменения оказывает влияние на правила обработки биометрических данных. Рассмотрим их подробно.
Читайте на сайте статьи по теме «Персональные данные»
Изменение 1: нельзя обрабатывать биометрию без согласия субъекта ПД, а также – понуждать к его даче. По общему правилу сдать биометрию работник (соискатель, контрагент) может только по своему желанию. Работодатель (наниматель, контрагент) в свою очередь не вправе обязать его это сделать. Кроме того, оператор по общему правилу не может обрабатывать биометрические персональные данные без согласия их субъекта (ч. 3 ст. 11 Закона № 152-ФЗ ).
Изменение 2: нужно уведомлять Роскомнадзор об обработке биометрических данных. Даже при их обработке во исполнение закона нужно вовремя извещать ведомство, чтобы попасть в реестр операторов ПД (Письмо Роскомнадзора от 19.08.2022 № 08-75348).
Уведомление не направляют только в таких случаях (п. 8 ч. 2 ст. 22 Закона № 152-ФЗ):
оператор обрабатывает данные без автоматизации (например, компания с численностью до 25 человек);
ПД содержатся в информационных системах по защите безопасности государства и общественного порядка;
ПД используют по закону о транспортной безопасности.
Изменение 3: можно поручать обработку другому лицу (включая иностранное), но с условиями. Оператор может поручать обработку ПД (в том числе – и биометрию) другому лицу. Для этого нужно:
договор с лицом, которому передается обработка;
перечень ПД в поручении;
документы и иная информация, которые предоставляются по запросу (в том числе до обработки) и подтверждают принятие мер и соблюдение требований закона в целях исполнения поручения оператора.
При этом на поручителя перекладывают все обязанности по защите ПД как на оператора (ч. 3–5 ст. 6 Закона № 152-ФЗ).
Иностранные лица могут обрабатывать персональные данные с 1 сентября 2022 на основании согласия гражданина России (ч. 1.1 ст. 1 Закона № 152-ФЗ).
При передаче ПД иностранному лицу ответственность перед их субъектом – солидарная. Поэтому за нарушения при обработке переданных иностранным юридическим и физическим лицом можно привлечь к ответственности и оператора (работодателя) (ч. 6 ст. 6 Закона № 152-ФЗ).
Изменение 4: сокращены сроки на предоставлении информации о работе с ПД. Закон 266-ФЗ сократил сроки, в течение которых оператор должен предоставить субъекту ПД информацию об их обработке (запрос и предоставление): 10 рабочих дней вместо 30. Все сведения предоставляют, ориентируясь на форму запроса (ч. 3 и 7 ст. 14, ст. 20 Закона № 152-ФЗ).
Изменение 5: установлены новые правила прекращения обработки ПД по обращению их субъекта. Оператор должен исполнить требование субъекта ПД о прекращении их обработки в срок 10 рабочих дней с даты получения обращения. Такой срок можно продлить, но не более чем на пять рабочих дней. Для этого нужно направить в адрес субъекта ПД мотивированное уведомление с указанием причин продления срока (ч. 5.1 ст. 21 Закона № 152-ФЗ, пп. «б», п. 13 ст. 1 Закона 266-ФЗ).
Изменение 6: введены новые условия обработки биометрических персональных данных. Как мы выяснили, биометрию, как правило, обрабатывают с согласия субъекта ПД (работника, соискателя и др.). Биометрические персональные данные (образец) – общий с согласиями на обработку и распространение ПД, но с указанием категорий биометрических персональных данных (ст. ст. 9 и 10.1 Закона № 152-ФЗ).
Согласия на обработку и распространения биометрии, как и общие согласия для работы с ПД, должны быть предметными и однозначными, а не только сознательными, конкретными и информированными (ст. 9 Закона № 152-ФЗ). Эти требования относятся к условиям согласия (ч. 1 ст. 9 Закона № 152-ФЗ):
цель обработки персональных данных;
перечень ПД, на обработку которых дается согласие их субъекта;
наименование или фамилия, имя, отчество и адрес лица, которое осуществляет обработку ПД по поручению оператора (если она поручена такому лицу);
перечень действий с ПД, на совершение которых дается согласие, а также – общее описание способов обработки ПД, которые использует оператор;
срок, в течение которого действует согласие субъекта ПД и способу его отзыва.
В тексте согласий избегайте неопределенных и общих формулировок. Их положения должны соответствовать требованиям закона. Сведения о субъекте и операторе нужно указывать точно. Цель, категории, перечень ПД, условия их обработки (распространения) определяют конкретно. Срок согласия должен совпадает с требованиями закона об архивном деле. При этом период действия согласия на распространение может быть определен наступлением какого-либо события, а не датой или периодом времени (ч. 13 ст. 10.1 Закона № 152-ФЗ).
Все положения согласий нужно разъяснить субъекту ПД до их подписания, чтобы он действовал осознанно и информировано (ст. ст. 9, 10.1, 18 и 22 Закона № 152-ФЗ). Когда субъект ПД отказывается предоставить обязательные персданные, нужно разъяснить последствия отказа от предоставления ПД и (или) согласия на их обработку (ч. 2 ст. 18 Закона № 152-ФЗ).
Обязательные условия согласия на обработку и распространение ПД скачайте здесь
Как отозвать согласия на обработку и распространение биометрии, объяснит консультант по трудовому праву .
Топ-5 документов по персональным данным, которые скачивают ваши коллеги: