Биометрические персональные данные: что это такое, перечень личных сведений, относящихся к ним, согласно роскомнадзору, а также образец согласия на их обработку

Федеральный закон от 27.07.2006 №152-ФЗ «О персональных данных» в ст.11 определяет, что биометрические персональные данные – это сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность.

Биометрические персональные данные используются оператором персональных данных для установления личности субъекта персональных данных.

Биометрические персональные данные могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных, за исключением случаев:

• реализацией международных договоров Российской Федерации о реадмиссии;
• в связи с осуществлением правосудия и исполнением судебных актов;
•  в случаях, предусмотренных законодательством Российской Федерации:
•  об обороне;
• о безопасности;
• о противодействии терроризму;
• о транспортной безопасности;
• о противодействии коррупции;
• об оперативно-розыскной деятельности;
• о государственной службе;
• уголовно-исполнительным законодательством Российской Федерации;
• законодательством Российской Федерации о порядке выезда из Российской Федерации и въезда в Российскую Федерацию;
• о гражданстве Российской Федерации.

Разъяснения Роскомнадзора «О вопросах отнесения фото- и видео- изображения, дактилоскопических данных и иной информации к биометрическим персональным данным и особенности их обработки» к биометрическим персональным данным относит физиологические данные (дактилоскопические данные, радужная оболочка глаз, анализы ДНК, рост, вес и другие), а также иные физиологические или биологические характеристики человека, в том числе изображение человека (фотография и видеозапись), которые позволяют установить его личность и используются оператором для установления личности субъекта.

В соответствии со ст.152.

1 Гражданского кодекса Российской Федерации обнародование и дальнейшее использование изображения гражданина (в том числе его фотографии, а также видеозаписи или произведения изобразительного искусства, в которых он изображен) допускаются только с согласия этого гражданина. После смерти гражданина его изображение может использоваться только с согласия его законных представителей (супруги, дети, родители). Такое согласие не требуется в случаях, когда:

1. использование изображения осуществляется в государственных, общественных или иных публичных интересах.
2. изображение гражданина получено при съемке, которая проводится в местах, открытых для свободного посещения, или на публичных мероприятиях (собраниях, съездах, конференциях, концертах, представлениях, спортивных соревнованиях и подобных мероприятиях), за исключением случаев, когда такое изображение является основным объектом использования;
3. гражданин позировал за плату.

Фотографические изображения сотрудников, посетителей государственных и муниципальных органов, предприятий (организации), содержащиеся в системе контроля управления доступа (СКУД) являются биометрическими персональными данными.

Система контроля управления доступа

Данные изображения, характеризуют физиологические и биологические особенности человека, позволяющие установить, принадлежит ли данному лицу предъявляемый СКУД пропуск, на основе которых можно установить его личность путем сравнения фото с лицом предъявителя пропуска и указываемых владельцем пропуска фамилии, имени и отчества с указанными в СКУД, и эти данные используются оператором персональных данных для установления личности субъекта персональных данных в случае сомнения в том, что пропуск предъявляется его действительным владельцем.

Таким образом, фотографическое изображение и иные сведения, используемые для обеспечения однократного и/или многократного прохода на охраняемую территорию и установления личности гражданина, также относятся к биометрическим персональным данным.

Не считается обработкой персональных данных сканирование и (или) ксерокопирование паспорта для подтверждения осуществления определенных действий конкретным лицом (например, заключение договора на оказание услуг, в том числе банковских, медицинских и т.п.) без проведения процедур идентификации (установления личности).

Биометрическими персональными данными не являются:

1. фотографическое изображение, содержащееся в личном деле работника;
2. подпись лица, наличие которой в различных договорных отношениях является обязательным требованием;
3. почерк, в том числе анализируемый уполномоченными органами в рамках почерковедческой экспертизы;
4. рентгеновские или флюорографические снимки, характеризующие физиологические и биологические особенности человека и находящиеся в истории болезни (медицинской карте) пациента (не имеет значения, бумажной или электронной);
5. материалами видеосъемки в публичных местах и на охраняемой территории.

Но в случае их передачи по запросу субъектов оперативно-розыскной деятельности, органов следствия и дознания в рамках проводимых ими мероприятий указанные сведения становятся биометрическими персональными данными, поскольку используются операторами персональных данных (органами следствия и дознания) в целях установления личности конкретного лица.

Видеонаблюдение может осуществляться только для конкретных и заранее определенных целей. Эти цели должны быть обусловлены соответствующими нормативными правовыми актами, устанавливающими правовые основания видеонаблюдения (видеосъемки).

При ведении видеонаблюдения в рабочих помещениях оператора персональных данных работники должны быть уведомлены об изменении условий трудового договора по причинам, связанным с изменением организационных или технологических условий труда (введением видеонаблюдения), под роспись.

В целях установления дополнительных гарантий соблюдения прав как потребителей (пациентов, клиентов), а также самих работников и сотрудников должны быть приняты внутренние документы, которыми должны быть предусмотрены порядок и сроки хранения видеозаписей, а также ответственные лица, имеющие доступ к системе видеонаблюдения. Также необходимо предусмотреть возможность информирования о системе видеонаблюдения путем размещения информационных табличек (о возможной фото-, видеосъемке соответствующими текстовыми и/или графическими предупреждениями) в зонах видимости камер.

Источник: https://fstec21.blogspot.com/2017/09/biometric-personal-data.html

Идентификации личности. Биометрические персональные данные и что это такое?

Если провести случайный опрос среди населения о том, что из себя представляют персональные биометрические данные и что к ним относится, каков их перечень, наверняка, многие придут в замешательство и не смогут ответить что-то внятное.

А между тем, в современном мире уже достаточно широко практикуется сбор и обработка БПД. И очень скоро это станет такой же обыденностью, как сфотографироваться на паспорт или идентифицировать того или иного человека по отпечаткам пальцев (что тоже является одним из параметров биометрики).

Дорогие читатели! Наши статьи рассказывают о типовых способах решения юридических вопросов, но каждый случай носит уникальный характер. 

Если вы хотите узнать, как решить именно Вашу проблему — обращайтесь в форму онлайн-консультанта справа или звоните по телефону +7 (812) 467-38-62. Это быстро и бесплатно!

Скрыть содержание

Что это такое?

Персональные биометрические данные — это уникальные и универсальные характеристики человеческой личности, которые не изменяются на протяжении всей жизни (например, ДНК, отпечатки пальцев или рисунок радужной оболочки глаза). Эти данные необходимы, прежде всего, для распознавания личности и обеспечения всеобщей безопасности.

Идентификации личности

Как поясняет Роскомнадзор, для того, чтобы личные данные человека считались биометрическими, должны соблюдаться следующие условия:

1. В данных должны отображаться физиологические и биологические особенности субъекта.
2. Используя эту информацию, можно с лёгкостью распознать личность человека.
3. Для установления личности, обработкой данных должен заниматься оператор.

Эти три фактора должны осуществляться одновременно.

ВАЖНО! Биометрическими данными могут быть только такие данные, которые используются именно для идентификации личности.

Например, результаты анализов или рентгеновские снимки — не биометрические данные. А вот когда они будут переданы следствию, тогда они будут таковыми являться.

В лице оператора выступают только государственные структуры.

Что такое анализ сведений?

Обработка — это сравнительный анализ индивидуальных физиологических и биологических особенностей того или иного субъекта оператором, и использование этих данных в различных следственных операциях.

БПД могут обрабатываться, в большинстве случаев, только по согласию субъекта, которое должно быть оформлено в письменном виде (или в электронном).

Согласие лица не требуется в исключительных случаях.

Случаи, в которых не требуется письменного согласия человека (на основании Федерального Закона от 04.06.2014 № 142-ФЗ):

• при осуществлении правосудия и исполнении судебных актов;
• в случае обороны и сохранения всеобщей безопасности;
• в случае, когда требуется предотвратить террористическую операцию;
• в оперативно-розыскной деятельности;
• в борьбе с коррупцией и др.

Что может быть БПД?

К БПД относятся:

• дактилоскопические данные (отпечатки пальцев);
• радужка глаза;
• ДНК-анализы;
• фотография человека (в том числе, на электронном носителе), используемая для прохода на какую-либо территорию;
• параметры роста и веса.

Что не относится?

1. Анализы крови, ДНК и другие медицинские исследования, если они не используются оператором для установления личности субъекта (о сборе и обработке личных сведений в медицинском учреждении мы рассказывали тут).
2. Фотография в личном деле работника (о персональных данных работника читайте тут).
3. Почерк, (в т.ч. используемый для проведения почерковедческой экспертизы).
4. Копии разворота паспорта (2 и 3 страницы) в случае, если они необходимы для заключения какого-либо коммерческого договора.
5. Видеоматериалы (например, снятые в публичном месте).

ВАЖНО! Получается так, что те же самые фотографии, видео, результаты биологических исследований и пр., могут быть одновременно как БПД, так и не являться таковыми.

Суть в том, что одни используются операторами (следственными органами и др.) для идентификации личности, а другие нет.

Подробную информацию о том, что относится и не относится к персональным данным, вы найдете тут.

Как они классифицируются?

Биометрические данные условно подразделяются на две основные группы:

1. Данные физиологического характера, которые касаются каких-то особенностей тела (отпечатки пальцев, скан руки, ДНК-анализ, рисунок радужки глаза, голос, запах человека, распознавание лица).
2. Поведенческие факторы, характеризующие поведение человека в тех или иных ситуациях (условиях). Например: речь, походка, эмоциональная реакция и др.

Где используются?

• для распознавания черт преступника и поиска его местонахождения;
• для предотвращения террористических операций;
• для розыска пропавших лиц;
• для помощи следственным органам в раскрытии какого-либо дела;
• для идентификации сотрудников организации и пропуска их на рабочее место.

Согласие — кем, когда и как составляется?

Биометрические данные могут использоваться для самых разнообразных целей, поэтому на их обработку обязательно берется согласие.

Согласно ФЗ №152 (ст.9 и ст.11) «О персональных данных», согласие на обработку БПД составляется тем лицом (или его представителем), данные которого будут обработаны и использованы в целях, озвученных оператором или директором данного заведения.

Например, при устройстве в какую-либо организацию, где биометрические параметры необходимы для сотрудничества, для пропуска на предприятие и т.д.

Согласие на обработку БПД можно составить по следующему образцу:

1. В правом верхнем углу указываем наименование организации, куда будут предоставлены личные данные и, если требуется, ФИО человека, на имя которого составляется документ (допустим, директору).
2. По центру прописываем: «Согласие на обработку моих биометрических персональных данных».
3. Далее: Я, (указываем свои ФИО), прописанный(ая) по адресу (свой полный адрес).
4. Ниже, необходимо указать свои паспортные данные.
5. Прописываем: На основании ст.9 ФЗ №152, даю согласие на обработку в (название организации), располагающейся (адрес предприятия) следующих моих БПД (здесь нужно перечислить те данные, которые будут предоставлены в обработку: анализы ДНК, рисунок радужки глаза и др.).
6. Перечисляем те цели, в которых будут использованы БПД (например, для допуска к секретной информации).
7. Указываем период (дату: число, месяц, год) действия соглашения.
8. Ставим подпись и дату заполнения документа.

По мере технологического развития общества, принципы биометрии будут всё больше внедряться в различные сферы жизни. Так, уже сейчас в странах Европы (и частично в России) используются биометрические паспорта. По мнению учёных, использование подобных технологий позволит нам подняться на более качественный уровень существования.

Не нашли ответа на свой вопрос? Узнайте, как решить именно Вашу проблему — позвоните прямо сейчас: 

+7 (812) 467-38-62 (Москва)

 

Это быстро и бесплатно!

Источник: https://101million.com/personal/priem-na-rabotu/konfidentsialnaya-informatsiya/personalnye-dannye/biometricheskie.html

Биометрические персональные данные россиян

В свете скорого вступления в действие закона о биометрической идентификации клиентов банков хотелось бы вернуться немного назад и вспомнить, а чем собственно являются биометрические персональные данные. Что по этому поводу нам говорит Роскомнадзор и как нам быть, если придется с ними работать.

Согласно Федеральному закону от 27.07.2006 N 152-ФЗ «О персональных данных», ст. 11:«Сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные) и которые используются оператором для установления личности субъекта персональных данных, могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.»Для детей у Роскомнадзора есть упрощенное объяснение: Биометрические персональные данные представляют собой сведения о наших биологических особенностях. Эти данные уникальны, принадлежат только одному человеку и никогда не повторяются. Биометрические данные заложены в нас от рождения самой природой, они никем не присваиваются, это просто закодированная информация о человеке, которую люди научились считывать. К таким данным относятся:

отпечаток пальца, рисунок радужной оболочки глаза, код ДНК, слепок голоса и пр.

В соответствии с приказом Федерального агентства по техническому регулированию и метрологии от 6 марта 2017 года №448 была организована деятельность технического комитета по стандартизации ТК 098 «Биометрия и биомониторинг».

Согласно Приложению N 3 к приказу Федерального агентства по техническому регулированию и метрологии от 6 марта 2017 г. N 448 (Положение о техническом комитете по стандартизации «Биометрия и биомониторинг») ТК призван решать следующие задачи:

• формирование программы национальной стандартизации по закрепленной за ТК 098 областью деятельностью и контроль за реализацией этой программы;
• рассмотрение предложений по применению международных и региональных стандартов на национальном и межгосударственном уровнях в закрепленной за ТК 098 области деятельности;
• проведение экспертизы проектов национальных и межгосударственных стандартов и проектов изменений к действующим стандартам, а также представление их на утверждение (принятие) в Росстандарт;
• участие в работе межгосударственного технического комитета по стандартизации (МТК) и международных технических комитетах (ИСО/ТК), которые имеют общую с ним область деятельности;
• регулярная проверка действующих в Российской Федерации и закрепленных за ТК 098 национальных и межгосударственных стандартов с целью выявления необходимости их обновления или отмены;
• оценка целесообразности утверждения закрепленных за ТК 098 предварительных национальных стандартов в качестве национальных стандартов Российской Федерации по результатам мониторинга их применения;

Источник: https://habr.com/company/cloud4y/blog/413899/

Биометрические персональные данные: что к ним относится

Биометрические персональные данные — что к ним относится, где они используются, как собираются и хранятся? Такие вопросы возникают в связи с последними законодательными изменениями, позволившими использовать идентификационные особенности человека для различных целей. Из статьи вы узнаете, какие данные принято считать биометрическими, для чего они могут понадобиться, каковы правила их сбора, хранения и обработки.

• Понятие биометрических данных. Какими законами регулируется обращение с такой информацией
• Где могут быть использованы физические сведения о гражданине
• Что относится к биометрическим материалам
• По каким правилам собираются, обрабатываются и хранятся данные
• Хранение и защита идентификационных сведений
• Итоги

Понятие биометрических данных. Какими законами регулируется обращение с такой информацией

Биометрия — это уникальные физические или поведенческие характеристики, которые позволяют отличать людей друг от друга.

На законодательном уровне в России порядок обращения с биометрическими персональными данными определен:

1. Законом «О персональных данных» от 27.07.2006 № 152-ФЗ.
2. Законом «Об информации, информационных технологиях …» от 27.07.2006 № 149-ФЗ.
3. Постановлением Правительства РФ «Об определении состава сведений, размещаемых в единой информационной системе персональных данных…» от 30.06.2018 № 772.
4. Приказом Минкомсвязи России «Об утверждении порядка обработки…» от 25.06.2018 № 321.

Президиумом Совета при Президенте РФ по стратегическому развитию и национальным проектам протоколом от 24.12.2018 № 16 был утвержден паспорт национальной программы «Цифровая экономика РФ», в соответствии с которым создается Единая биометрическая система. С 01.07.

2018 сбор биофизических параметров своих клиентов начали крупные банковские учреждения, реализуя положения закона «О внесении изменений в отдельные законодательные акты РФ» от 31.12.2017 № 482-ФЗ.

Таким образом, биометрические данные уже используются банками для идентификации клиентов по голосу и видео.

Где могут быть использованы физические сведения о гражданине

Биофизические информационные материалы могут понадобиться в различных сферах жизни, где требуется распознавание человека. Успешное применение биофизических особенностей граждан уже нашло себя в таких направлениях, как:

• выдача биометрических загранпаспортов;
• оформление виз в упрощенном порядке с применением биометрического распознавания;
• дактилоскопическая регистрация иностранцев и граждан России;
• идентификация в пропускных системах офисов и компьютерных системах, смартфонах и т. д.

Идентификация по биометрическим данным гораздо надежнее, чем визуальная. Например, сотрудник банка не сумеет отличить друг от друга близнецов, а биометрический анализ их голоса и изображения с большой долей вероятности сможет.

Что относится к биометрическим материалам

Отнесение информации к биофизическим данным требует соблюдения следующих условий:

• сведения должны отображать информацию о субъекте;
• применение указанной информации позволяет распознать человека.

К биофизическим индивидуальным свойствам относятся:

• отпечатки пальцев и ладоней;
• радужка оболочки глаз;
• анализы ДНК;
• образ лица;
• особенности строения тела;
• состояние психического здоровья;
• рост;
• вес.

Для распознавания гражданина необходима одна или больше поведенческих или физических особенностей. В постановлении № 722 к сведениям, подлежащим размещению в общей информационной системе индивидуальных данных, относятся:

• фото- или видеоизображение лица гражданина;
• данные голоса, полученные при помощи звукозаписывающих устройств.

По каким правилам собираются, обрабатываются и хранятся данные

Работа с индивидуальными сведениями граждан предполагает:

• сбор;
• хранение;
• использование;
• обновление;
• защиту информации.

Эти процедуры регулирует приказ Минкомсвязи № 321.

Работа с персональными данными, в том числе биометрическими, осуществляется в следующем порядке:

1. Уведомление оператором по сбору информации Роскомнадзора о том, что биометрические сведения будут собираться. Методические рекомендации по оповещению закреплены в приказе Роскомнадзора от 30.05.2017 № 94. Уведомление не требуется, если (п. 2 ст. 22 закона № 152-ФЗ):

• сбор проводится в рамках трудового законодательства;
• информация используется только для заключения сделки, стороной которой является субъект персональных сведений, и никуда не передается;
• сведения ограничены Ф. И. О.;
• в иных перечисленных в законе случаях.

1. Получение письменного согласия субъекта персональной информации на сбор данных о нем. Без согласия информация может собираться в рамках (п. 2 ст. 11 закона № 152-ФЗ):

• международных договоров о реадмиссии;
• судопроизводства;
• исполнения судебных решений;
• обязательной дактилоскопической регистрации.

1. Сбор сведений. Информацию должен получать уполномоченный сотрудник при личном присутствии человека. При этом создается биометрический шаблон, который подписывается электронной подписью и размещается в единой информационной системе.
2. Хранение персональных биометрических шаблонов осуществляется не менее чем 50 лет со дня размещения в системе.

Хранение и защита идентификационных сведений

Защита биометрических персональных данных предполагает соблюдение оператором данных следующих правил (п.8 приказа № 321):

• сбор сведений должны осуществлять уполномоченные сотрудники, обеспеченные ключами простой электронной подписи;
• ключи электронных подписей хранятся таким образом, чтобы исключить несанкционированный доступ к ним и избежать незаконного изменения, добавления, удаления информации;
• за передачу ключей электронной подписи третьим лицам либо необеспечение их конфиденциальности предусмотрена ответственность.

Конфиденциальность доступной информации должны хранить сотрудники, как собирающие биометрические данные, так и готовящие и выдающие ключи электронных подписей.

Дополнительно банковские учреждения должны (пп. 31, 33 Порядка, утв. приказом № 321):

• информировать Банк России об обнаружении случаев нарушения правил защиты информационных материалов при работе с ними в срок не позже следующего рабочего дня с момента выявления такого факта;
• ежегодно оценивать безопасность технической защиты информации, привлекая специализированные организации.

Итоги

Таким образом, работа с биометрическим материалом позволяет идентифицировать людей по их голосу, фото, видео и другим индивидуальным особенностям.

Порядок работы с биометрическими данными строго регламентирован законодательством.

Чтобы организация могла работать с персональными сведениями, она должна направить уведомление в Роскомнадзор в порядке, предусмотренном приказом Роскомнадзора от 30.05.2017 № 94.

Подписывайтесь на наш бухгалтерский канал Яндекс.Дзен

Подписаться

Источник: https://nalog-nalog.ru/personalnye_dannye/chto-nuzhno-znat-o-biometricheskih-personalnyh-dannyh/

Club.CNews.ru: Новые разъяснения Роскомнадзора – теперь про биометрические персональные данные

В обстановке «строгой конспирации и секретности», конечно же, поздним вечером пятницы, на сайте Роскомнадзора опубликован второй документ, подготовленный уполномоченным органом с участием экспертной группы, куда вхожу и я. На этот раз разъяснения касаются вопросов отнесения фото- и видео- изображений, дактилоскопических данных и иной информации к биометрическим персональным данным и особенностей их обработки.

Судя по количеству прочтений, тема биометрии – самая популярная среди читателей моего блога.

На персональной страничке прямых заходов на пост «Биометрические персональные данные: что это?» – более 7200, на портале SecurityLab, где есть зеркало блога, – без малого 3000 прочтений.

Поскольку в написании текста разъяснений я принимал самое непосредственное участие, позволю себе выделить главное, что в них отражено.

С самого начала я настаивал на формулировке «биометрические персональные данные, обработка которых регламентируется 152-ФЗ», но поддержки у коллег не нашел. Тем не менее, крайне важным представляется, что в разъяснении четко указаны три признака, при которых на работу с этой категорий сведений распространяются ограничения, определенные ст.11 152-ФЗ. Это сведения, которые:

•          характеризуют физиологические и биологические особенности человека;
•          на основании которых можно установить его личность;
•         которые используются оператором для установления личности субъекта персональных данных.

Все три признака должны присутствовать одновременно! Из чего следует логичный вывод, что «отнесение сведений персонального характера к биометрическим персональным данным и их последующая обработка должны рассматриваться в рамках проводимых оператором мероприятий, направленных на установление личности конкретного лица». Нет идентификации – нет биометрии в понимании Федерального закона «О персональных данных».

Поэтому рентгеновские снимки или результаты биохимического анализа крови в поликлинике – не биометрические персональные данные. Как и результаты видеосъемки в офисе или фотография в личном деле работника.

Все они не используются для идентификации субъекта медицинским учреждением, кадровым органом или службой безопасности. Но как только они попадут в органы следствия, дознания или исполнения судебных актов для розыска или установления личности, они становятся именно биометрическими персональными данными.

А оператором в отношении этих биометрических данных будут как раз следственные и исполнительные органы.

Исходя их этих же соображений, цифровое фото, зашитое в чип загранпаспорта или пропуска, используемого в СКУД, – биометрия, поскольку используется оно как раз при установлении личности владельца пропуска, предъявившего его на входе, паче чаяния у охранника возникнут сомнения, что молодой человек, проходящий через трипод, похож на пожилую даму, чей портрет в этот момент появился на экране монитора.

К чему это я? А к тому, что в соответствии с законом, организации, поставившие у себя СКУД, использующие фотографии и уж тем более дактилоскопическую систему идентификации, должны получить у владельцев пропусков или лиц, прислоняющих свои пальчики к считывателю, согласие на обработку персональных данных в письменной форме, предусмотренной частью 4 ст.

9 Федерального закона. И никак по-другому. А вот ФМС, выдающей биометрические загранпаспорта, никаких согласий получать не надо. Часть 2 ст.

Можно, наконец, вздохнуть с облегчением банкам, которых Управление Роскомнадзора по Краснодарскому краю и республике Адыгея и некоторые его коллеги-единомышленники постоянно штрафуют за ксерокопирование паспортов без письменного согласия клиентов.

Теперь всем будет ясно, что «В иных случаях, когда сканирование паспорта осуществляется оператором для подтверждения осуществления определенных действий конкретным лицом (например, заключение договора на оказание услуг, в том числе банковских, медицинских и т.п.

) без проведения процедур идентификации (установления личности), данные действия не могут считаться обработкой биометрических персональных данных и ст. 11 Федерального закона «О персональных данных» не регулируются.

Соответственно, обработка сведений, в данных случаях, осуществляется в соответствии с общими требованиями, установленными Федеральным законом «О персональных данных». Аналогичный подход следует применять при осуществлении ксерокопирования документа, удостоверяющего личность».

Конечно, всех сложных проблем, связанных с биометрией, данное разъяснение решить не может.

Остается, например, просто неприличное несоответствие оснований для обработки биометрических данных без согласия субъектов в федеральных законах «О персональных данных» и «О геномной регистрации».

Но все равно такие разъяснения представляются крайне важными для создания единой практики правоприменения. И не надо в очередной раз писать, что толкование законов – вне компетенции Роскомнадзора. Оно уж тем более не в компетенции авторов таких высказываний.

Считаю, что надо радикально менять определение биометрии в 152-ФЗ.

В рамках рабочей группы, созданной при Совете Федерации, я предложил следующее: «Биометрические персональные данные – это зафиксированные по определенным правилам параметры, характеризующие биологические особенности человека и используемые в системах автоматической идентификации (распознавания), такие, как изображения папиллярных узоров пальцев, сетчатки глаза и т.п. Само по себе фотографическое изображение человека, в том числе и в цифровой форме, к биометрическим данным не относится, если не используется для его автоматической идентификации».

Данный материал является частной записью члена сообщества Club.CNews.Редакция CNews не несет ответственности за его содержание.

Источник: https://club.cnews.ru/blogs/entry/novye_razyasneniya_roskomnadzora_

Как работает биометрическое законодательство в России

Технологии помогают людям следить друг за другом. За вами следит государство, частные компании и госорганы используют данные, пока вы и ваши друзья их открываете.

Российские законодатели уже не раз принимались за регулирование обращения с персональными данными, но про биометрические данные упоминали вскользь, а вот теперь добрались до них подробнее.

Рассказываем, что говорят российские законы о биометрических персональных данных, что изменят новые приказы Минкомсвязи и как вам защитить свои данные.

• Что за приказы Минкомсвязи
• Что российские законы сейчас говорят о биометрических данных;
• Какие законы защищают ваши персональные данные;
• Что изменят приказы Минкомсвязи;
• Как самостоятельно защитить свои биометрические (и не только) данные.

1. В Минкомсвязи готовят два проекта нормативных документов по регулированию биометрических персональных данных:
2. приказ «Об утверждении методики проверки соответствия предоставленных биометрических персональных данных физического лица…»;
3. приказ «Об утверждении порядка обработки, включая сбор и хранение, параметров биометрических персональных данных в целях идентификации…».
4. Ведомство завершает разработку проектов нормативных актов, окончен этап проведения общественных обсуждений и независимой антикоррупционной экспертизы.
5. В начало

Мы писали о том, как работают биометрические законы в других странах. В России персональные данные, в том числе биометрические, упоминаются в нескольких правовых актах.

Федеральный закон «О персональных данных» определяет, что персональные данные — это любая информация, которая прямо или косвенно относится к физическому лицу — субъекту персональных данных.

В пункте 5 постановления Правительства РФ № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» персональные данные делятся на:

— общедоступные данные (присутствуют в открытых источниках — адресных книгах и т. д.);

— специальные категории персональных данных (те, которые по общему правилу нельзя обрабатывать — о расе, религии и т .д.);

• — биометрические данные;
• — иные данные.
• У Роскомнадзора есть разъяснения «О вопросах отнесения фото- и видео- изображения, дактилоскопических данных и иной информации к биометрическим персональным данным и особенности их обработки» и Методические рекомендации по тому, как уведомлять уполномоченный орган о начале обработки персональных данных и о внесении изменений в ранее представленные сведения.
• К биометрическим персональным данным, по разъяснениям Роскомнадзора, относятся сведения, которые характеризуют физиологические и биологические особенности человека, уникальны, не изменяются и позволяют устанавливать личность
• — отпечатки пальцев,
• — отпечатки ладони,
• — анализы ДНК,
• — образ лица,
• — радужная оболочка глаз,
• — особенности строения тела, отдельных органов и тканей,
• — отпечатки пальцев,
• — радужная оболочка глаз,
• — анализы ДНК,
• — состояние психического здоровья,
• — рост,
• — вес,
• — фотография и видеозапись.

Фотография в системе охраны, которая позволяет идентифицировать человека при проходе на территорию организации, относится к биометрическим персональным данным. К ним же относится и фотография в паспорте.

Деление персональных данных на биометрические и остальные условно. Из тех же разъяснений Роскомнадзора мы узнаём, что рентгеновские или флюорографические снимки пациента не являются биометрическими персональными данными до тех пор, пока органы следствия и дознания не начинают использовать их для установления личности конкретного лица.

Если сотрудник банка при вашем обращении сканирует паспорт на подлинность через специальное устройство, это тоже не обработка биометрических данных, так как при этом не устанавливают личность. Обработка сведений в таких случаях, когда оператор сканирует паспорт, но личность не устанавливает, проводится по общим требованиям федерального закона «О персональных данных».

В начало

Конвенция Совета Европы № 108 «О защите физических лиц в отношении автоматизированной обработки персональных данных», которую ратифицировала Россия. Предусматривает охрану персональных данных при их автоматизированной обработке, говорит о праве субъекта на персональные данные.

Статья 23 Конституции РФ гарантирует каждому право на неприкосновенность частной жизни, личную и семейную тайну. Эта норма определяет границы, которые оператор персональных данных не вправе переступать при получении и при обработке информации о человеке.

Статьи 137 и 272 УК РФ говорят об уголовной ответственности за незаконный сбор или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, и неправомерный доступ к охраняемой законом компьютерной информации. По этим же статьям вас могут и осудить, как историка Михаила Супруна, если кому-то покажется, что вы разглашаете личную информацию. Об этом мы рассказывали в докладе о доступе к информации в России.

Закон «О персональных данных» устанавливает перечень данных, обработка которых запрещена, кроме особых случаев: о расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья и интимной жизни.

Исключительные случаи, при которых такие данные могут обрабатывать: если реализуется международный договор Российской Федерации, осуществляется правосудие, исполняются судебные акты, и в других случаях, предусмотренных законодательством РФ об обороне, безопасности и противодействии терроризму.

Биометрические данные по тому же закону, могут обрабатываться только при наличии согласия в письменной форме от субъекта персональных данных. Согласие должно быть осознанным и без принуждения, быть конкретным и определенным: какие данные и кому передаются.

Например, участники гражданского и уголовного процессов могут возражать против приобщения видеозаписи к гражданскому или уголовному делу, если запись велась с нарушением закона. Работодатель должен получить письменное согласие работника на обработку персональных данных, чтобы разместить фото на пропуске.

Об этом говорит определение ВС от 05.03.2018 № 307-КГ18-101.

Организации при обработке информации о физических лицах обязаны принимать организационные и технические меры для её защиты от неправомерного или случайного доступа. Закон о персональных данных обязывает все компании–операторы персональных данных назначить лицо, ответственное за организацию их обработки.

Из разъяснений Роскомнадзора следует, что согласие на обработку персональных данных нельзя получить по телефону или через смс-сообщения.

Персональные данные россиян, по 242-ФЗ, можно обрабатывать только с использованием размещенных в России баз данных. Сведения о месте нахождения таких баз оператор персональных данных должен направлять в Роскомнадзор. За нарушение порядка обработки информации по решению суда доступ к сайту блокируют.

Кодекс административных правонарушений (КоАП) предусматривает штраф за нарушение порядка обработки персональных данных (ст. 13.11). Юридические лица могут заплатить от 30 тысяч до 50 тысяч рублей за обработку персональных данных в непредусмотренных законом случаях и от 15 до 75 тысяч рублей за обработку персональных данных без письменного согласия.

С 25 мая все операторы данных, которые работают с персональной информацией о гражданах ЕС, должны выполнять новые правила GDPR (General Data Protection Regulation), мы уже писали о них. Они затронут многие российские компании, обрабатывающие персональные данные граждан ЕС — тех, кто не ведёт бизнес в ЕС, не затронут.

Новые правила объединяют и ужесточают все ранее существовавшие в европейских странах нормы защиты персональных данных. Компании, управляющие персональными данными, получат огромные штрафы, если не смогут обеспечить безопасность данных.

Санкции нарушителям нового европейского регламента строже, чем в КоАП: до 20 млн евро или 4 % от мирового годового оборота за финансовый год.

В начало

Приказ об утверждении порядка обработки параметров биометрических персональных данных для идентификации описывает технические моменты, которые раньше не были прописаны в нормативных документах.

Приказ Минкомсвязи определяет:

— Как будут обрабатывать параметры биометрических персональных данных для идентификации. В проекте приказа прописаны требования к качеству изображений, чтобы по ним можно было идентифицировать человека: ракурс, выражение лица, размеры, яркость, размер файла — и такие же требования к записи голоса: частота дискретизации, код сжатия, длительность, эмоционально-психологическое состояние.

— Как будут размещать и обновлять биометрические персональные данные в новой единой биометрической системе.Биометрические персональные данные будут хранить в новой системе три года, затем образцы придется обновлять.

— Какими должны быть технологии и технические средства, чтобы обрабатывать биометрические персональные данные для идентификации Например, они должны защищать от подбора.

Проект приказа «Об утверждении методики проверки соответствия предоставленных биометрических персональных данных физического лица» описывает возможность идентификации человека через сравнение его биометрических данных с теми, которые содержатся в единой системе (ЕБС).

Степень взаимного соответствия данных для применения удаленной идентификации должна составлять 0,99996.

Её понесёт уполномоченное лицо органа или организации, которое допустит ошибку.

Хотя они носят абстрактный характер и применимы и в других сферах.

ЦБ уже заявил, что банки будут регистрировать клиентов, передавших свои изображение лица и голос в единой биометрической системе (ЕБС) и в единой системе идентификации и аутентификации (ЕСИА).

Клиент сможет пользоваться удалённой идентификацией и получать банковские услуги, не заходя в банк. Удалённая идентификация должна заработать уже с 30 июня 2018 года по всей России, когда вступят в силу положения нового федерального закона.

Идентифицировать личность по биометрическим особенностям возможно, только если  есть система учёта данных с достоверными результатами первичной идентификации. Именно такую систему и собираются создать.

Есть мнение, что создание таких систем настолько глубоко затрагивает права граждан, включая право на семейную тайну, тайну усыновления, медицинскую тайну, неприкосновенность личности, что лучше такие базы вообще не создавать и запретить.

У них и так есть доступ не только в государственные, но и коммерческие базы данных.

В начало

Очевидно, вы не сможете остановить создание баз данных, которое запланировало государство, и не сможете помешать правоохранителям знать про вас практически всё. Но если вы хотите защитить свои биометрические данные, насколько это вообще возможно, вам помогут те же советы, что и с другими видами персональных данных.

Источник: https://team29.org/knowhow/facetouchid/

Разъясняем законодательство

Вопрос: Организация хочет собрать базу данных отпечатков пальцев у работников для установки терминалов, считывающих эти отпечатки и отмечающих прибытие сотрудника. Законно ли это? Ранее добавили пункт в трудовой договор на согласие сотрудников на обработку биометрических  данных.

Отвечает заместитель Курчатовского межрайонного прокурора Воротынцева Н.М.: В соответствии с ч. 1 ст. 11 Федерального закона от 27.07.

2006 N 152-ФЗ «О персональных данных» (далее — Федеральный закон N 152-ФЗ) к биометрическим персональным данным относятся сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных.

Исходя из определения, установленного Федеральным законом N 152-ФЗ, к биометрическим персональным данным относятся физиологические данные (дактилоскопические данные, радужная оболочка глаз, анализы ДНК, рост, вес и другие), а также иные физиологические или биологические характеристики человека, в том числе изображение человека (фотография и видеозапись), которые позволяют установить его личность и используются оператором для установления личности субъекта.

Принимая во внимание, что целью обработки указанных сведений в системах биометрической идентификации является установление личности конкретного лица, а также тот факт, что данная информация, содержащаяся в шаблоне, характеризует физиологические и биологические особенности человека — субъекта персональных данных, то она относится к биометрическим персональным данным, обработка которых должна осуществляться в соответствии со ст. 11 Федерального закона N 152-ФЗ, а также Федеральным законом от 25.07.1998 N 128-ФЗ «О государственной дактилоскопической регистрации в Российской Федерации».

Обработка биометрических персональных данных может осуществляться без согласия субъекта персональных данных в связи с реализацией международных договоров Российской Федерации о реадмиссии, в связи с осуществлением правосудия и исполнением судебных актов, а также в случаях, предусмотренных законодательством Российской Федерации об обороне, о безопасности, о противодействии терроризму, о транспортной безопасности, о противодействии коррупции, об оперативно-розыскной деятельности, о государственной службе, уголовно-исполнительным законодательством Российской Федерации, законодательством Российской Федерации о порядке выезда из Российской Федерации и въезда в Российскую Федерацию, о гражданстве Российской Федерации (ч. 2 ст. 11 Федерального закона N 152-ФЗ).

Ввиду изложенного, во всех случаях, не подпадающих под указанные в ч. 2 ст.

11 Федерального закона N 152-ФЗ, для использования дактилоскопической информации в системах идентификации, контроля и управления доступом необходимо получение от субъекта или его представителя согласия в письменной форме на обработку его биометрических персональных данных по правилам, установленным ч. 4              ст. 9 Федерального закона N 152-ФЗ.

Необходимо отметить, что при введении терминалов, считывающих дактилоскопические данные работников, согласно ст. 74 Трудового кодекса РФ, сотрудники должны быть уведомлены об изменении условий трудового договора под роспись по причинам, связанным с изменением организационных или технологических условий труда.

Источник: http://prockurskobl.ru/legislation/628.html