Обзор законодательства
Обработка биометрических персональных данных: что нужно знать
Если раньше биометрические данные в работе были необходимы только сотрудникам ведомственных органов, то сейчас использовать биометрию начинают компании, не имеющие отношение к государственной службе. В связи с этим Роскомнадзор разъяснил операторам биометрических ПДн вопросы, вызывающие затруднения.
Что такое биометрические ПДн?
Согласно части 1 статьи 11 закона 152 «О персональных данных» биометрические данные – это сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных.
То есть, в контексте ФЗ причислять персональные сведения к биометрическим ПДн и обрабатывать их необходимо только в случаях, когда необходимо установить конкретную личность.
К биометрическим данным по закону относятся:
- дактилоскопические данные;
- цвет глаз;
- рост и вес;
- прикус;
- и др.
Также к биометрия — это фото- и видеоизображения человека, на которых можно установить его личность.
Законодательная база
Обрабатывать биометрические ПДн можно только с письменного согласия субъекта. Исключения прописаны в части 2 статьи 11 закона 152. К ним относятся:
- реализация международных договоров России о реадмиссии;
- деятельность судов;
- проведение обязательной государственной дактилоскопической регистрации;
- вопросы обороны, безопасности, противодействия терроризму, безопасности транспорта, противодействия коррупции, оперативно-розыскной деятельности, госслужбы;
- исполнение уголовно-исполнительного законодательства РФ;
- нормы законодательства РФ о порядке выезда и въезда в страну;
- нормы законодательства о российском гражданстве.
Порядок работы с фото- и видеоизображением человека указан в статье 152.1 Гражданского кодекса РФ. Публикация и использования таких материалов разрешены только с согласия того, кто присутствует на фото или видео. После смерти человека, разрешение на использование его изображения могут дать представители: дети, супруг, родители. Согласно статье, согласие не требуется в случаях, когда:
- изображение используется в общественных, государственных и иных интересах;
- изображение получено на публичных мероприятиях или в местах свободного посещения (исключением является случай, когда используется изображение конкретного человека);
- осуществлялась платная фото- или видеосъемка.
В конце 2017 года был введен механизм удаленной идентификации клиента кредитной организации, порядок которого прописан в 484-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации». Изменения были внесены в законы «О банках и банковской деятельности», «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма», «Об информации, информационных технологиях и о защите информации».
Суть поправок в том, что после личной идентификации информация о человеке с его согласия вносится в единую биометрическую систему и единую систему идентификации и аутентификации (ЕСИА). Осуществлять эту процедуру могут только организации, соответствующие критериям Банка России. Практика позволяет человеку, который был идентифицирован, получать некоторые виды услуг банка без личного присутствия.
Фото и видео
Если изображение человека на фотографии используется для установления его личности, то его обработка должна осуществляться в соответствии со статьей 11 152-ФЗ «О персональных данных». Под это определение попадают фотографии человека в загранпаспорте и на пропусках, разрешающих вход на охраняемую территорию. Случаи же, когда документы, удостоверяющие личность человека, сканируют для подтверждения действий, а не для идентификации, обработкой биометрических ПДн не считаются.
Разрешение человека необходимо, когда его изображение используется в рекламных целях. И если он посчитает, что распространение информации с его фото нанесло ему моральный ущерб или может привести к угрозе жизни или здоровью, распространение рекламы необходимо прекратить.
В ситуациях, когда видеонаблюдение ведется в рабочих помещениях, согласно статье 74 Трудового кодекса РФ, сотрудники должны быть поставлены в известность и подтвердить это в подписью в документе. Посетители таких мест должны быть уведомлены о ведении съемки.
Осуществлять видеонаблюдение можно только для конкретных целей, которые должны быть обусловлены деятельностью компании, для повышения качества услуг или продуктов и обеспечения прав клиентов. Каждая организация, которая ведет видеонаблюдение, должна разработать порядок и сроки хранения записей, определить ответственного за систему видеонаблюдения сотрудника.
Дактилоскопические данные
Учитывая, что особенности строения папиллярных узоров пальцев преобразуются в цифровую форму и размещаются в базах данных в виде информационного шаблона, они считаются биометрическими ПДн. Это значит, что обработка данных должна осуществляться согласно требованиям статьи 11 закона «О персональных данных» и 128-ФЗ «О государственной дактилоскопической регистрации в Российской Федерации».
Что не является биометрическими ПДн?
Не относятся к биометрическим данным фото в личном деле сотрудника, подпись и почерк. Происходит это по тому, что их анализ направлен на подтверждение принадлежности человеку, который уже идентифицирован в информационной системе.
Также не причисляют к биометрическим ПДн флюорографические и рентгеновские снимки, которые находятся в историях болезней, потому что их используют для установления болезни, а не личности. Исключением являются случаи, когда снимки используются в рамках следствия.
Тот же принцип действует для видеоматериалов, снятых на охраняемой территории и в публичных местах. Пока они не служат для установления личности, биометрическими они не являются.