Обзор законодательства

Обработка биометрических персональных данных: что нужно знать

Если раньше биометрические данные в работе были необходимы только сотрудникам ведомственных органов, то сейчас использовать биометрию начинают компании, не имеющие отношение к государственной службе. В связи с этим Роскомнадзор разъяснил операторам биометрических ПДн вопросы, вызывающие затруднения.

Что такое биометрические ПДн?

Согласно части 1 статьи 11 закона 152 «О персональных данных» биометрические данные – это сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных.

То есть, в контексте ФЗ причислять персональные сведения к биометрическим ПДн и обрабатывать их необходимо только в случаях, когда необходимо установить конкретную личность.

К биометрическим данным по закону относятся:

  • дактилоскопические данные;
  • цвет глаз;
  • рост и вес;
  • прикус;
  • и др.

Также к биометрия — это фото- и видеоизображения человека, на которых можно установить его личность.

Законодательная база

Обрабатывать биометрические ПДн можно только с письменного согласия субъекта. Исключения прописаны в части 2 статьи 11 закона 152. К ним относятся:

  • реализация международных договоров России о реадмиссии;
  • деятельность судов;
  • проведение обязательной государственной дактилоскопической регистрации;
  • вопросы обороны, безопасности, противодействия терроризму, безопасности транспорта, противодействия коррупции, оперативно-розыскной деятельности, госслужбы;
  • исполнение уголовно-исполнительного законодательства РФ;
  • нормы законодательства РФ о порядке выезда и въезда в страну;
  • нормы законодательства о российском гражданстве.

Порядок работы с фото- и видеоизображением человека указан в статье 152.1 Гражданского кодекса РФ. Публикация и использования таких материалов разрешены только с согласия того, кто присутствует на фото или видео. После смерти человека, разрешение на использование его изображения могут дать представители: дети, супруг, родители. Согласно статье, согласие не требуется в случаях, когда:

  • изображение используется в общественных, государственных и иных интересах;
  • изображение получено на публичных мероприятиях или в местах свободного посещения (исключением является случай, когда используется изображение конкретного человека);
  • осуществлялась платная фото- или видеосъемка.

В конце 2017 года был введен механизм удаленной идентификации клиента кредитной организации, порядок которого прописан в 484-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации».  Изменения были внесены в законы «О банках и банковской деятельности», «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма», «Об информации, информационных технологиях и о защите информации».

Суть поправок в том, что после личной идентификации информация о человеке с его согласия вносится в единую биометрическую систему и единую систему идентификации и аутентификации (ЕСИА). Осуществлять эту процедуру могут только организации, соответствующие критериям Банка России. Практика позволяет человеку, который был идентифицирован, получать некоторые виды услуг банка без личного присутствия.

Фото и видео

Если изображение человека на фотографии используется для установления его личности, то его обработка должна осуществляться в соответствии со статьей 11 152-ФЗ «О персональных данных». Под это определение попадают фотографии человека в загранпаспорте и на пропусках, разрешающих вход на охраняемую территорию. Случаи же, когда документы, удостоверяющие личность человека, сканируют для подтверждения действий, а не для идентификации, обработкой биометрических ПДн не считаются.

Разрешение человека необходимо, когда его изображение используется в рекламных целях. И если он посчитает, что распространение информации с его фото нанесло ему моральный ущерб или может привести к угрозе жизни или здоровью, распространение рекламы необходимо прекратить.

В ситуациях, когда видеонаблюдение ведется в рабочих помещениях, согласно статье 74 Трудового кодекса РФ, сотрудники должны быть поставлены в известность и подтвердить это в подписью в документе. Посетители таких мест должны быть уведомлены о ведении съемки.

Осуществлять видеонаблюдение можно только для конкретных целей, которые должны быть обусловлены деятельностью компании, для повышения качества услуг или продуктов и обеспечения прав клиентов. Каждая организация, которая ведет видеонаблюдение, должна разработать порядок и сроки хранения записей, определить ответственного за систему видеонаблюдения сотрудника.

Дактилоскопические данные

Учитывая, что особенности строения папиллярных узоров пальцев преобразуются в цифровую форму и размещаются в базах данных в виде информационного шаблона, они считаются биометрическими ПДн. Это значит, что обработка данных должна осуществляться согласно требованиям статьи 11 закона «О персональных данных» и 128-ФЗ «О государственной дактилоскопической регистрации в Российской Федерации».

Что не является биометрическими ПДн?

Не относятся к биометрическим данным фото в личном деле сотрудника, подпись и почерк. Происходит это по тому, что их анализ направлен на подтверждение принадлежности человеку, который уже идентифицирован в информационной системе.

Также не причисляют к биометрическим ПДн флюорографические и рентгеновские снимки, которые находятся в историях болезней, потому что их используют для установления болезни, а не личности. Исключением являются случаи, когда снимки используются в рамках следствия.

Тот же принцип действует для видеоматериалов, снятых на охраняемой территории и в публичных местах. Пока они не служат для установления личности, биометрическими они не являются.