Что относится к биометрическим пдн
Что относится к биометрическим пдн
(в ред. Федерального закона от 25.07.2011 N 261-ФЗ)
(см. текст в предыдущей редакции)
1. Сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные) и которые используются оператором для установления личности субъекта персональных данных, могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.
2. Обработка биометрических персональных данных может осуществляться без согласия субъекта персональных данных в связи с реализацией международных договоров Российской Федерации о реадмиссии, в связи с осуществлением правосудия и исполнением судебных актов, в связи с проведением обязательной государственной дактилоскопической регистрации, а также в случаях, предусмотренных законодательством Российской Федерации об обороне, о безопасности, о противодействии терроризму, о транспортной безопасности, о противодействии коррупции, об оперативно-разыскной деятельности, о государственной службе, уголовно-исполнительным законодательством Российской Федерации, законодательством Российской Федерации о порядке выезда из Российской Федерации и въезда в Российскую Федерацию, о гражданстве Российской Федерации, законодательством Российской Федерации о нотариате.
(в ред. Федеральных законов от 04.06.2014 N 142-ФЗ, от 31.12.2017 N 498-ФЗ, от 27.12.2019 N 480-ФЗ)
Биометрические персональные данные: в чем суть и где их используют
Все полученные знания о личных биоданных человека собираются, хранятся и могут использоваться для опознания людей. Это особенно актуально в связи с активизацией угроз международного и внутреннего терроризма.
Классификация биологических данных
Суть в том, что сведения, полученные по индикации индивидуальных характеристик каждого конкретного человека с использованием технологий, являются персональными биометрическими данными. По существу, они различаются на:
статичные, которые передающиеся генетически человеку при рождении: ДНК, радужная оболочка глаза, отпечатки пальцев;
динамические, изменяемые в процессе развития и жизненных обстоятельств: голос, почерк, походка.
Правовое применение
В ФЗ-152 от 27.07.2006 года регламентирована правовая основа по защите персональных данных физических лиц. Законодательством определен порядок обращения с биопараметрами в рамках реализации конституционных прав граждан, гарантирующих неприкосновенность частной жизни и сохранность персональной тайны.
Личные биометрические сведения оператор может использовать без письменного разрешения при следующих чрезвычайных обстоятельствах:
необходимой депортации из другого государства.
В целях исполнения приставами судебных решений.
В случаях противодействия терроризму.
Осуществления оперативно-розыскной деятельности.
Связанных с коррупцией в госслужбе.
Важно! Биологические параметры характерные для каждого человека хранятся в защищенной базе данных в виде цифрового кода. При похищении закодированного ключа злоумышленник может воспользоваться секретной информацией для осуществления противоправных действий.
Системы биометрических технологий
Создание технологических систем позволяет осуществить проверку подлинности биоданных на основе методов сравнительной биометрической аутентификации. Сведения о пользователе такие, как сетчатка глаза, оттиск подушечки пальца и другие сканируются. Полученные параметры обрабатываются в системах с использованием цифровых технологий. Процесс аутентификации проводится в четыре этапа:
Запись
В процессе записи ведется запоминание одного или нескольких экземпляров физического образца биометрического параметра для более полного составления характеристики изображения.
Преобразование
Зафиксированная уникальная информация обрабатывается и путем технологических манипуляций закрепленный биологический параметр человека преобразовывается в цифровой код.
Сравнение
Закодированный биопараметр сравнивается с представленным для анализа образчиком.
Совпадение/несовпадение
В результате система аутентификации выдает оценку, совпадает или нет хранящийся в базе данных закодированный биометрический параметр с анализируемым образчиком.
Важно! Технологические системы аутентификации подлежат общей стандартизации по надежности и должны иметь сертификаты качества, которые выдает ICSA (Международная ассоциация по компьютерной безопасности).
Практическое применение
Практическое применение биометрических технологий востребовано во многих сферах деятельности, связанных с гарантией обеспечения безопасности доступа к различной информации. Системы с цифровой базой закодированных биологических параметров помогают решать задачи по идентификации личности в случаях обеспечения:
организации антитеррористических операций;
охраны общественного правопорядка;
безопасности банковских операций;
реализации оценки в розничной торговле;
предоставления социальных услуг;
выдачи заграничного паспорта либо визы;
разблокировки устройства смартфонов, компьютерных гаджетов.
Основные биометрические параметры
Современные технологии охватывают уникальные и динамичные биопараметры для решения вопросов персональной идентификации личности. К ним относятся:
Отпечатки пальцев
Изображение папиллярных линий на пальцах руки, различающиеся у всех людей, в том числе у близнецов, на протяжении всей жизни. Этот уникальный, статичный параметр используют в системах идентификация для установления личности.
Важно! Это надежный, проверенный годами способ идентификации, при котором невозможно искусственно восстановить идентичный отпечаток.
Радужная оболочка глаза
Надежным способ в биометрической технологии является проведение идентификации при сравнении радужной оболочки глаза. Такой параметр у человека остается неизменным в течении всей жизни. Изображение сохраняется неизменным при любых обстоятельствах, включая:
операцию на глаза по ликвидации катаракты;
введения имплантатов на роговице;
использование простых и цветных контактных линз;
пожизненную слепоту человека.
Важно! При наличии у человека радужной оболочки глаза, которая выглядит для запоминающих устройств, как сеть, состоящая из множества переплетающихся кругов, компьютерные технологии могут всегда идентифицировать владельца.
Голос
Голосовые характеристики являются динамичными параметрами, идентификация которых востребовано:
при удаленном обслуживании в контакт-центрах;
в банковских учреждениях;
в автоматических голосовых меню.
Важно! Голосовой параметр может измениться, и не всегда индикация бывает точной. На голос влияют возрастные факторы, Лор заболевания и другие воздействия.
Виды биометрических данных сегодня постоянно дополняются, усовершенствуются, и создаются новые системы распознавания личности. Проводятся работы по созданию единой базы данных. На законодательном уровне решаются вопросы правового регулирования обеспечения сохранности и доступа к персональным данным. Не за горами тот день, когда подтвердить свою личность можно будет одним мизинцем, прикоснувшись к биометрическому считывателю!
Биометрические персональные данные
Осуществляя операции с ПДн, компании и предприниматели часто сталкиваются с необходимостью правильной обработки и защиты биометрических персональных данных. Это случается, прежде всего, из-за непонимания сути биометрии и незнания законодательных аспектов регулирования на международном уровне и в пределах РФ. По мере интеграции новых технологий сбора, хранения, распространения, уничтожения, изменения личной информации проблема становится все более серьезной и актуальной не только для больших фирм, но и для среднего и малого бизнеса. Чтобы минимизировать риск штрафных санкций от Роскомнадзора, ухудшения деловой репутации и судебных разбирательств, необходимо разобраться:
Что относится к биометрическим данным человека в соответствии с ФЗ-152?
Для того чтобы идентифицировать гражданина, можно использовать различные способы и источники информации. Что такое биометрические ПДн? Это совокупность сведений о человеке, которые касаются его физиологических и поведенческих отличий, и на основании которых возможно подтвердить личность, управлять и контролировать доступ (например, к банковской ячейке, помещениям с ограниченным входом и т.д.). Полный список представлен в Федеральном Законе № 152. Он включает:
Вопреки расхожему мнению видеоизображения и фотографии (в том числе те, которые присутствуют в паспорте, личном деле работника или служебном пропуске и т.п.) не являются биометрическими персональными данными, т.к. они не используются для установления личности, а только лишь подтверждают их принадлежность конкретному субъекту, чья личность уже определена.
Что касается УЗИ, КТ, МРТ, рентгеновских снимков, находящихся в медицинской карте субъекта, то они переходят в категорию биометрических только при использовании следственными органами в целях определения личности нарушителя, свидетеля, пострадавшего по административному, гражданскому или криминальному делу. Таким образом, выделение таких ПДн носит условный характер, а правила использования, хранения и совершения других операций напрямую зависят от целей оператора. Помимо идентификации биометрия выполняет функцию верификации. Уникальность данных позволяет с максимальной точностью установить, является ли человек именно тем, кем себя называет — даже у однояйцевых близнецов радужная оболочка глаз отличается, также как и дактилоскопические данные.
Что такое биометрические персональные данные в Интернете?
Закон не выделяет такие ПДн в отдельную группу, соответственно, в их отношении действуют все требования в плане обработки и защиты, что предусмотрены в ФЗ-152. При обнаружении факта несанкционированного использования субъект имеет полное право:
Важные нюансы обработки биометрических персональных данных
Основное условие легального проведения операций, связанных с идентификацией по ПДн работников, клиентов, бизнес-партнеров — наличие письменного разрешения владельца. Без него обрабатывать информацию запрещено. Впрочем, закон о защите персональных данных позволяет не получать на биометрию согласие в письменном виде, если:
Среди других исключений, касающихся обработки персональных данных, которые могут быть использованы в качестве биометрических, стоит отметить:
ФЗ-152 указывает на необходимость хранения и обработки ПДн в том объеме и в течение того количества времени, которое требуется для достижения поставленных целей. Особенного внимания заслуживает организация процессов, связанных с обработкой биометрических данных работников. Например, запрещено хранить на предприятии копию паспорта сотрудника, но в личном деле фотография должна присутствовать, поскольку не предназначена для идентификации человека, ведь личность уже подтверждена.
Какие российские и международные нормы защищают биометрические персональные данные?
Несмотря на активную работу в направлении обеспечения безопасности данной категории ПДн, далеко не все моменты проработаны как на федеральном, так и на международном уровне. Основополагающими регулирующими документами являются:
Правила защиты биометрических персональных данных прописаны также в стандартах ISO 17799 и ISO 15489.
Детальную информацию о законодательстве в области биометрических персональных данных, а также рекомендации относительно создания эффективной системы их защиты согласно установленным в РФ требованиям можно получить у консультантов нашего специализированного Центра. Эксперты помогут не только разобраться в юридических особенностях, но и своевременно внести изменения в процессы обработки ПДн.
Что относится к биометрическим пдн
(1).jpg "p1110798(1)(1)")
Об актуальных изменениях в КС узнаете, став участником программы, разработанной совместно с АО «Сбербанк-АСТ». Слушателям, успешно освоившим программу выдаются удостоверения установленного образца.
Программа разработана совместно с АО «Сбербанк-АСТ». Слушателям, успешно освоившим программу, выдаются удостоверения установленного образца.
Обзор документа
Разъяснения Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 30 августа 2013 г. «Разъяснения по вопросам отнесения фото-, видеоизображений, дактилоскопических данных и иной информации к биометрическим персональным данным и особенностей их обработки»
В соответствии с ч. 1 ст. 11 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» к биометрическим персональным данным относятся сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных.
Соответственно, в контексте Федерального закона «О персональных данных» отнесение сведений персонального характера к биометрическим персональным данным и их последующая обработка должны рассматриваться в рамках проводимых оператором мероприятий, направленных на установление личности конкретного лица, если иное не предусмотрено федеральными законами и принятыми на их основе нормативными правовыми актами.
Обработка биометрических персональных данных может осуществляться только при наличии согласия в письменной форме субъекта персональных данных, за исключением случаев, предусмотренных ч. 2 ст. 11 Федерального закона «О персональных данных, предусматривающей исключения, связанные с реализацией международных договоров Российской Федерации о реадмиссии, в связи с осуществлением правосудия и исполнением судебных актов, а также в случаях, предусмотренных законодательством Российской Федерации об обороне, о безопасности, о противодействии терроризму, о транспортной безопасности, о противодействии коррупции, об оперативно-розыскной деятельности, о государственной службе, уголовно-исполнительным законодательством Российской Федерации, законодательством Российской Федерации о порядке выезда из Российской Федерации и въезда в Российскую Федерацию.
Исходя из определения, установленного Федеральным законом «О персональных данных» к биометрическим персональным данным относятся физиологические данные (дактилоскопические данные, радужная оболочка глаз, анализы ДНК, рост, вес и другие), а также иные физиологические или биологические характеристики человека, в том числе изображение человека (фотография и видеозапись), которые позволяют установить его личность и используются оператором для установления личности субъекта.
По существу обработки фото- или видеоизображения субъекта персональных данных и распространения на указанную деятельность положений ст. 11 Федерального закона «О персональных данных» необходимо отметить следующее.
В соответствии со ст. 152.1 Гражданского кодекса Российской Федерации обнародование и дальнейшее использование изображения гражданина (в том числе его фотографии, а также видеозаписи или произведения изобразительного искусства, в которых он изображен) допускаются только с согласия этого гражданина. После смерти гражданина его изображение может использоваться только с согласия его законных представителей (супруги, дети, родители). Такое согласие не требуется в случаях, когда:
1) использование изображения осуществляется в государственных, общественных или иных публичных интересах.
(Согласно п. 25 постановления Пленума Верховного Суда Российской Федерации от 15 июня 2010 г. №16 к общественным интересам следует относить не любой интерес, проявляемый аудиторией, а, например, потребность общества в обнаружении и раскрытии угрозы демократическому правовому государству и гражданскому обществу, общественной безопасности, окружающей среде.
К таким интересам, к примеру, относится информация, связанная с исполнением своих функций должностными лицами и общественными деятелями. Соответственно, сообщение подробностей частной жизни лица, не занимающегося какой-либо публичной деятельностью, под данное исключение не подпадает).
2) изображение гражданина получено при съемке, которая проводится в местах, открытых для свободного посещения, или на публичных мероприятиях (собраниях, съездах, конференциях, концертах, представлениях, спортивных соревнованиях и подобных мероприятиях), за исключением случаев, когда такое изображение является основным объектом использования;
3) гражданин позировал за плату.
Исходя из смысла указанной статьи, опубликование, в том числе редакцией СМИ, фотографического изображения в случаях, предусмотренных ст. 152.1 Гражданского кодекса Российской Федерации, а также полученного из общедоступных источников не требует соблюдения условий, связанных с получением письменного согласия субъекта персональных данных.
Существуют положения нормативных правовых актов, прямо относящих фотографическое изображение к биометрическим персональным данным.
Согласно пункту 6 Перечня персональных данных, записываемых на электронные носители информации, содержащиеся в основных документах, удостоверяющих личность гражданина Российской Федерации, по которым граждане Российской Федерации осуществляют выезд из Российской Федерации и въезд в Российскую Федерацию, утвержденного постановлением Правительства Российской Федерации 4 марта 2010 г. № 125, цветное цифровое фотографическое изображение лица владельца документа является биометрическими персональными данными владельца документа.
В тоже время, необходимо принимать во внимание цель, которую преследует оператор при осуществлении действий, связанных с обработкой персональных данных, в том числе фотографического изображения, содержащихся в паспорте.
В случае, если они используются оператором для установления личности субъекта персональных данных (в том числе в случае проведения такой процедуры представителями операторов, имеющими полномочия на установление личности владельца паспорта), то данная обработка должна осуществляться в строгом соответствии со ст. 11 Федерального закона «О персональных данных».
Аналогичная ситуация с фотографическими изображениями сотрудников, посетителей государственных и муниципальных органов, предприятий (организации), содержащимися в системе контроля управления доступа (СКУД), которые являются биометрическими персональными данными, поскольку характеризуют физиологические и биологические особенности человека, позволяющие установить, принадлежит ли данному лицу предъявляемый СКУД пропуск, на основе которых можно установить его личность путем сравнения фото с лицом предъявителя пропуска и указываемых владельцем пропуска фамилии, имени и отчества с указанными в СКУД, и эти данные используются оператором для установления личности субъекта персональных данных в случае сомнения в том, что пропуск предъявляется его действительным владельцем.
Таким образом, фотографическое изображение и иные сведения, используемые для обеспечения однократного и/или многократного прохода на охраняемую территорию и установления личности гражданина, также относятся к биометрическим персональным данным.
В соответствии с ч. 1 ст. 11 Федерального закона «О персональных данных» обработка биометрических персональных данных в подобных случаях может осуществляться только при наличии согласия в письменной форме субъекта персональных данных.
В иных случаях, когда сканирование паспорта осуществляется оператором для подтверждения осуществления определенных действий конкретным лицом (например, заключение договора на оказание услуг, в том числе банковских, медицинских и т.п.) без проведения процедур идентификации (установления личности), данные действия не могут считаться обработкой биометрических персональных данных и ст. 11 Федерального закона «О персональных данных» не регулируются. Соответственно, обработка сведений, в данных случаях, осуществляется в соответствии с общими требованиями, установленными Федеральным законом «О персональных данных».
Аналогичный подход следует применять при осуществлении ксерокопирования документа, удостоверяющего личность.
Также не является биометрическими персональными данными фотографическое изображение, содержащиеся в личном деле работника, а также подпись лица, наличие которой в различных договорных отношениях является обязательным требованием, и почерк, в том числе анализируемый уполномоченными органами в рамках почерковедческой экспертизы. Все они не могут рассматриваться как биометрические персональные данные, поскольку действия с использованием указанных данных направлены на подтверждение их принадлежности конкретному физическому лицу, чья личность уже определена и чьи персональные данные уже имеются в распоряжении оператора.
Аналогичная позиция и с материалами видеосъемки в публичных местах и на охраняемой территории. До передачи их для установления личности снятого человека они не являются биометрическим персональными данными, обработка которых регулируется общими положениями Федерального закона «О персональных данных», поскольку не используются оператором (владельцем видеокамеры или лицом, организовавшим ее эксплуатацию) для установления личности. Однако, указанные материалы, используемые органами, осуществляющими оперативно-розыскную деятельность, дознание и следствие в рамках проводимых мероприятий, являются биометрическими персональными данными, в случае, если целью их обработки является установление личности конкретного физического лица.
Необходимо отметить, что при ведении видеонаблюдения в рабочих помещениях оператора с целью фиксации возможных действий противоправного характера согласно ст. 74 Трудового кодекса Российской Федерации работники должны быть уведомлены об изменении условий трудового договора по причинам, связанным с изменением организационных или технологических условий труда (введением видеонаблюдения), под роспись.
Вместе с тем, посетители указанных публичных мест должны заранее предупреждаться их администрацией о возможной фото-, видеосъемке, соответствующими текстовыми и/или графическими предупреждениями. При соблюдении указанных условий согласие субъектов на проведение указанных мероприятии не требуется.
Видеонаблюдение может осуществляться только для конкретных и заранее определенных целей. Эти цели должны быть обусловлены соответствующими нормативными правовыми актами, устанавливающими правовые основания видеонаблюдения (видеосъемки).
Кроме того, необходимо отдельно отметить случаи открытого наблюдения, которое ведется в целях обеспечения прав пациентов, клиентов, потребителей при осуществлении тех или иных услуг населению (например, медицинских или по производству продуктов питания), путем установления видеокамер направленных на рабочие места сотрудников с целью осуществления контроля качества предоставляемых услуг.
В целях установления дополнительных гарантий соблюдения прав как потребителей (пациентов, клиентов), а также самих работников и сотрудников должны быть приняты внутренние документы, которыми должны быть предусмотрены порядок и сроки хранения видеозаписей, а также ответственные лица, имеющие доступ к системе видеонаблюдения. Также необходимо предусмотреть возможность информирования о системе видеонаблюдения путем размещения информационных табличек в зонах видимости камер.
Вместе с тем, если в результате опубликования фотографий или видеозаписи, возникает реальная угроза жизни и здоровью гражданина, либо ему наносятся моральные страдания, то на основании его мотивированного обращения распространение (демонстрация) данной информации должно быть прекращено.
Наличие согласия на обработку персональных данных либо иных законных оснований (договор) также необходимо в случае использования изображения гражданина в рекламных целях.
Соблюдение указанных условий должно осуществляться средствами массовой информации на этапе предоставления заказчиком соответствующих материалов.
По существу отнесения к биометрическим персональным данным дактилоскопической информации, а также их обработки в биометрических системах идентификации, построенных на использовании в качестве идентификаторов информации об особенностях строения папиллярных узоров пальцев рук человека (дактилоскопической информации), необходимо учитывать следующее.
Обработка дактилоскопической информации в системе биометрической идентификации осуществляется путем преобразования изображения папиллярных узоров на промежуточной поверхности в цифровую форму и размещения полученных данных в базе данных в виде биометрического информационного шаблона.
Ввиду изложенного, во всех случаях, не подпадающих под указанные в ч. 2 ст. 11 Федерального закона «О персональных данных», для использования дактилоскопической информации в системах идентификации, контроля и управления доступом необходимо получение от субъекта или его представителя согласия в письменной форме на обработку его биометрических персональных данных по правилам, установленным ч. 4 ст. 9 Федерального закона «О персональных данных».
Обзор документа
Биометрические персональные данные граждан обрабатываются с их согласия (за исключением некоторых случаев, связанных, в частности, с реадмиссией, осуществлением правосудия, госслужбой, транспортной безопасностью, ОРД).
К таким данным относятся физиологические и биологические характеристики человека, которые используются оператором, чтобы установить его личность. В частности, это могут быть отпечатки пальцев, радужная оболочка глаз, анализы ДНК, рост, вес, изображение человека (фотография и видеозапись).
Изображение гражданина может использоваться без его согласия в государственных, общественных или иных публичных интересах. Причем это не любой интерес, проявляемый аудиторией, а, например, потребность общества в обнаружении и раскрытии угрозы демократическому правовому государству и гражданскому обществу, общественной безопасности, окружающей среде. В частности, речь может идти об информации, связанной с исполнением должностными лицами и общественными деятелями своих функций. Соответственно, сообщать подробности частной жизни лица, не занимающегося какой-либо публичной деятельностью, запрещено без его согласия.
Таким образом, для опубликования, в т. ч. редакцией СМИ, фотографии гражданина в вышеуказанных случаях, а также если изображение получено из общедоступных источников, согласие лица не нужно.
Если опубликование фотографий (видеозаписи) реально угрожает жизни и здоровью гражданина либо наносит ему моральные страдания, то на основании его мотивированного обращения распространение (демонстрация) данной информации должно быть прекращено.
К биометрическим персональным данным относятся фотоизображение и иные сведения, используемые для обеспечения прохода на охраняемую территорию и установления личности гражданина. В то же время ими не являются фотография из личного дела работника, а также подпись лица, наличие которой в различных договорных отношениях является обязательным, и почерк, в т. ч. анализируемый в рамках почерковедческой экспертизы.
Не могут считаться обработкой биометрических персональных данных ксерокопирование и сканирование паспорта для подтверждения совершения определенных действий конкретным лицом (например, заключение договора на оказание услуг) без проведения процедур идентификации (установления личности).
О видеонаблюдении в рабочих помещениях сотрудники должны предупреждаться под роспись.