Конфиденциальность

Используем cookie и Яндекс.Метрику для аналитики и улучшения работы сайта. Метрика подключается только после вашего согласия.

Подробнее в Политике обработки персональных данных.

SEO-корпус

Биометрические персональные данные · обработка и Единая биометрическая система

·7 мин152-ФЗ · биометрия · Единая биометрическая система · согласие · персональные данные · распознавание лиц

Снимок лица для прохода в офис, голос для подтверждения операции по телефону, отпечаток пальца для входа в приложение. Бизнес встраивает биометрию повсюду, потому что это удобно. Но за этим удобством стоит самая жёсткая категория в законе о персональных данных и самые высокие штрафы. Утечка биометрии оценивается отдельной частью КоАП и доходит до двадцати миллионов рублей для юридического лица. Прежде чем ставить камеру с распознаванием лиц, оператору нужно понимать, что именно закон считает биометрией, когда без письменного согласия не обойтись и почему государство выстроило для биометрии отдельную инфраструктуру.

Что закон относит к биометрии

Определение в самой норме. Биометрические персональные данные это сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных (ч. 1 ст. 11 152-ФЗ). В этой фразе два условия, и работают они вместе.

Первое, сведения должны характеризовать физиологические или биологические особенности. Лицо, голос, отпечаток, рисунок вен, радужка. Второе, и это часто упускают, эти сведения должны использоваться оператором именно для установления личности. Отсюда практический критерий. Фотография в личном деле сотрудника, которую никто не прогоняет через систему распознавания, биометрией в смысле ст. 11 не становится, потому что не используется для установления личности. А та же фотография, загруженная в систему контроля доступа, которая по ней пускает человека через турникет, это уже биометрические данные со всеми требованиями. Цель использования превращает обычное фото в биометрию.

Письменное согласие как общее правило

Для биометрии закон поднимает планку основания. Биометрические персональные данные могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных, за исключением случаев, предусмотренных частью 2 этой статьи (ч. 1 ст. 11 152-ФЗ). Обратите внимание на разницу с обычными данными. Для большинства категорий по ст. 6 годятся разные основания, в том числе договор или законный интерес. Для биометрии общее правило одно, письменное согласие. Молчаливое, подразумеваемое, проставленное галочкой по умолчанию согласие здесь не работает.

Исключения перечислены закрытым списком. Обработка биометрии допускается без согласия в связи с реализацией международных договоров о реадмиссии, в связи с осуществлением правосудия и исполнением судебных актов, в связи с обязательной государственной дактилоскопической и геномной регистрацией, а также в случаях, предусмотренных законодательством об обороне, безопасности, противодействии терроризму, транспортной безопасности, противодействии коррупции, оперативно-разыскной деятельности, государственной службе, уголовно-процессуальным и уголовно-исполнительным законодательством, законодательством о выезде и въезде, о гражданстве, о правовом положении иностранных граждан, о миграционном учёте и о нотариате (ч. 2 ст. 11 152-ФЗ). Список государственно-публичный. Коммерческой компании, которая ставит распознавание лиц у входа или голосовую идентификацию в кол-центре, ни одно из этих исключений не подходит. Значит, у неё остаётся единственный путь, письменное согласие каждого человека.

Нельзя принуждать и нельзя отказывать

Закон отдельно защищает право человека сказать биометрии нет. Предоставление биометрических персональных данных не может быть обязательным, за исключением случаев из части 2 (ч. 3 ст. 11 152-ФЗ). Более того, оператор не вправе отказывать в обслуживании при отказе субъекта предоставить биометрию или дать согласие на обработку, если по федеральному закону получение такого согласия не является обязательным (ч. 3 ст. 11 152-ФЗ).

Это прямой запрет на конструкцию «либо сдай лицо, либо мы тебя не обслужим». Если банк, фитнес-клуб или сервис делает биометрию единственным способом получить услугу, он нарушает ч. 3 ст. 11. Биометрия должна оставаться альтернативой, а не пропуском. Рядом обязан работать обычный способ, карта, логин с паролем, паспорт у стойки. Эту развилку операторы недооценивают чаще всего, потому что бизнес-логика толкает к одному удобному каналу, а закон требует сохранить запасной.

Хранение биометрии вне информационных систем

Для биометрии установлен особый режим хранения на материальных носителях. Использование и хранение биометрических персональных данных вне информационных систем персональных данных могут осуществляться только на таких носителях и с применением такой технологии хранения, которые обеспечивают защиту этих данных от неправомерного или случайного доступа, их уничтожения, изменения, блокирования, копирования, предоставления и распространения (ч. 10 ст. 19 152-ФЗ). Требования к самим материальным носителям биометрии и к технологиям их хранения вне информационных систем устанавливает Правительство (п. 3 ч. 3 ст. 19 152-ФЗ). Иначе говоря, биометрию нельзя держать на обычной флешке в ящике стола. Носитель и технология хранения должны отвечать отдельным правительственным требованиям.

Зачем государству Единая биометрическая система

Закон предполагает идентификацию и аутентификацию человека с помощью единой биометрической системы. Сама ст. 11 152-ФЗ задаёт рамку обработки биометрии и письменного согласия, а порядок работы единой биометрической системы регулируется отдельным федеральным законодательством. Идея государства в централизации. Вместо того чтобы каждый банк и сервис копил собственные базы лиц и голосов, повышая риск множественных утечек, биометрия концентрируется в государственной системе с повышенными требованиями к защите, а коммерческие операторы получают идентификацию как сервис.

Для оператора это меняет тактику. Если задачу идентификации можно решить через государственную инфраструктуру, не создавая собственное хранилище биометрии, вы снимаете с себя самый дорогой риск, ответственность за утечку биометрической базы. Собственное хранилище лиц и голосов это всегда мишень и всегда повышенная санкция при инциденте.

На что смотрит суд и проверяющий

Первое, цель использования. Проверяющий выясняет, используются ли сведения именно для установления личности. От этого зависит, попадает ли обработка под ст. 11 вообще. Второе, форма согласия. Ищут письменное согласие на обработку биометрии, а не общую галочку про персональные данные. Третье, добровольность. Проверяют, есть ли у клиента работающая альтернатива биометрии и не отказывают ли ему в обслуживании при отказе сдавать лицо или голос. Четвёртое, защита и хранение, особенно на материальных носителях вне информационных систем по ч. 10 ст. 19.

Частые вопросы

Фотография сотрудника в личном деле это биометрия. Сама по себе нет, пока она не используется для установления личности. Как только фото загружается в систему распознавания и по нему пускают через турникет или подтверждают вход, начинают действовать требования ст. 11, включая письменное согласие.

Можно ли сделать биометрию единственным способом входа в сервис. Нет, если по федеральному закону согласие на её обработку не обязательно. Часть 3 ст. 11 запрещает делать предоставление биометрии обязательным и запрещает отказывать в обслуживании тем, кто отказался. Нужна обычная альтернатива.

Достаточно ли электронной галочки вместо письменного согласия. Закон требует именно письменную форму согласия на обработку биометрии за пределами исключений ч. 2. Оформление согласия и его форму стоит проработать заранее, иначе всё хранилище биометрии оказывается без законного основания.

Биометрия это самый чувствительный участок работы с персональными данными и самые высокие санкции при ошибке. Прежде чем запускать распознавание лиц или голосовую идентификацию, выстройте письменное согласие, добровольную альтернативу и безопасное хранение, а где возможно, опирайтесь на государственную инфраструктуру вместо собственной базы. Поможем выстроить процесс и оформить документы, обращайтесь.