Биометрические персональные данные
Тема биометрических персональных данных вызывает очень много вопросов практического применения в различных сферах, таких, как финансы, медицина, безопасность, государственный сектор и др. Расскажем о наиболее интересных вопросах данной темы.
←Обратно к теме № 1 «НПА по персональным данным»
←Обратно к теме № 2 «Необходимый минимум документов по персданным»
Что такое биометрические персональные данные
Понятие биометрических персональных данных на законодательном уровне закреплено в ст. 11 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — закон № 152), в указанной статье под биометрическими персональными данными понимаются «сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность». Это могут быть уникальные параметры и физические атрибуты — в частности, отпечатки пальцев, сетчатка и радужная оболочка глаза, голосовые волны и черты лица и т.д. Названные характеристики непосредственно относятся к физическим лицам и в большинстве случаев являются биометрическими персональными данными.
Биометрические персональные данные относятся к специальной категории и имеют определенные свойства и особенности благодаря своим исключительным свойствам. В отличие от других персональных данных, биометрические персональные данные являются практически неизменяемыми, в то время как стандартные персональные данные могут быть в дальнейшем изменены (например, ФИО субъекта). Они являются уникальными: так, отпечатки пальцев присущи исключительно одному человеку, что позволяет осуществить идентификацию физического лица и существенно ограничивать право на неприкосновенность частной жизни. Приведенное обстоятельство позволяет рассматривать биометрические персональные данные в рамках отдельной категории.
Где используются биометрические персональные данные
Биометрические технологии имеют большой потенциал и применяются во многих сферах жизни, связанных с оказанием услуг физическим лицам: в государственном секторе, бизнесе, медицинской области и т.д. В государственном секторе биометрия используется в целях упрощенного распознавания людей при получении государственных услуг. В финансовой отрасли используются биометрические персональные данные для предоставления доступа в банковским услугам и осуществления транзакций, приема платежей и др.
Во многих отраслях бизнеса биометрические данные также могут использоваться для оптимизации производственных процессов: так, использование данных о потребностях их клиентов позволяет улучшить качество обслуживания и удовлетворения клиентов. В медицинской отрасли использование биометрических персональных данных пациентов позволяет упростить процедуру регистрации, сократить время ожидания и улучшить качество обслуживания. Во всех перечисленных случаях биометрические персональные данные используются оператором в целях определения личности субъекта.
НПА которые надо знать:
- Постановление Правительства РФ от 25.05.2023 № 815 «Об утверждении перечня случаев, при которых аутентификация с использованием информационных систем организаций, осуществляющих аутентификацию на основе биометрических персональных данных физических лиц, не допускается, и перечня случаев, при которых допускается использование биометрических персональных данных, согласие физического лица на обработку которых подписано простой электронной подписью, правом создания (замены) и выдачи ключа которой в порядке, предусмотренном законодательством Российской Федерации в области использования электронных подписей, обладает организация, осуществляющая аутентификацию на основе биометрических персональных данных физических лиц»
- Постановление Правительства РФ от 27.03.2023 № 478 «Об утверждении Правил представления физическим лицом отказа от сбора и размещения биометрических персональных данных в целях проведения идентификации и (или) аутентификации, отзыва такого отказа и письменного подтверждения многофункциональным центром предоставления государственных и муниципальных услуг представления физическим лицом указанных отказа и отзыва отказа, а также форм указанных отказа, отзыва отказа и письменного подтверждения их представления»
Обработка биометрических персональных данных
С принятием Федерального закона от 29.12.2022 № 572-ФЗ «Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных» обработка биометрических персональных данных проводится посредством использования единой биометрической системы (ЕБС). Оператором в системе ЕБС является АО «Центр биометрических технологий».
Обработка может заключаться в определении личности физлица (далее — идентификация) и проверке его подлинности (далее — аутентификация). Так, ЕБС применяется для идентификации и (или) аутентификации лица: например, при проходе на территории организаций с использованием информационных систем КПП. Условия использования единой биометрической системы (ЕБС) для организаций и ИП следующие:
- юрлицо или ИП не включено в перечень организаций и физлиц, причастных к экстремистской деятельности или терроризму, или в перечни организаций и физлиц, связанных с террористическими организациями и террористами или с распространением оружия массового уничтожения, указанного в Законе о противодействии легализации преступных доходов;
- у руководителя организации, ИП отсутствует неснятая или непогашенная судимость;
- в ЕГРЮЛ отсутствует запись о недостоверности сведений о юрлице.
Обработка биометрических данных в жизни
Рассмотрим вышесказанное в контексте следующей ситуации. Работодатель решил использовать в офисах систему видеонаблюдения, чтобы следить за тем, как работники ведут переговоры с клиентами. Правильно ли считать, что он тем самым обрабатывает биометрические данные своих сотрудников, а заодно и клиентов? Попробуем ответить на вопрос отнесения видеозаписи на рабочем месте, не предназначенной для идентификации личности, к биометрическим персональным данным с помощью разъяснений Роскомнадзора.
Ведомство неоднократно в своих разъяснениях комментировало подобные ситуации: «материалы видеосъемки в публичных местах и на охраняемой территории не являются биометрическими персональными данными, обработка которых регулируется общими положениями закона № 152-ФЗ, поскольку не используются оператором для установления личности субъектов». Из чего становится ясно, что при ведении видеонаблюдения в офисе соблюдать законодательство о персональных данных не нужно, так как видеонаблюдение рабочего процесса не свидетельствует об обработке персональных данных с целью установления личности работников, видеозапись не используется с целью установления обстоятельств их частной жизни или раскрытия личной и семейной тайны. Однако это не отменяет обязанность работодателя, устанавливающего видеонаблюдение за рабочими местами, соблюсти трудовое законодательство — уведомить работников за два месяца о введении системы видеонаблюдения.
Аналогичным образом разрешаются ситуации, когда видеонаблюдение установлено на КПП. По мнению судов, ведение видеосъемки связано с обеспечением безопасности, а значит, речь не идет о получении персональных данных работника. Такое мнение высказал суд в Определении Московского городского суда от 26.04.2019 № 4г-4823/2019. Однако совершенно по-другому разворачивается дело в случае ведения видеонаблюдения на КПП с целью идентификации работников. В этом случае суды считают видеонаблюдение обработкой персональных данных (см., например, Решение Верховного суда Республики Дагестан от 24.05.2018 № 21-607/2018).
В определенных случаях даже простая фотография человека будет считаться его биометрическими персональными данными: так, наиболее распространенным примером биометрических данных является фотография, используемая в паспорте, водительском удостоверении или медицинской карте. В этом случае изображение лица человека фиксируется и сохраняется, чтобы впоследствии сравнить его с другой фотографией или с живым человеком.
Как видим из приведенных примеров, при отнесении тех или иных сведений к биометрическим персональным данным решающее значение имеет цель: так, если данные о человеке используются в целях определения его личности, то речь идет именно о персональных данных, и здесь придется учесть все вышеприведенные нюансы.
Приведем более сложную ситуацию из жизни. Представим, что работодатель арендует офисное помещение в бизнес-центре. Работники каждый день проходят через проходную, предъявляя электронные пропуски с фотографиями сотрудникам охраны бизнес-центра. Здесь речь идет не о простой обработке биометрических данных, а об обработке третьим лицом. Такие отношения регулируются в рамках части 3 статьи 6 закона № 152, где содержатся нюансы, соблюдение которых обязательно для работодателя при осуществлении обработки персональных данных его работников третьему лицу — охранной организацией. Последняя не обязана получать согласие работников, поскольку ответственность перед ними за действия обработчика несет именно оператор — работодатель, а не обработчик, который, в свою очередь, отвечает за собственное неправомерное поведение непосредственно перед оператором. Об этом нам говорят ч. 2 и 4 вышеупомянутой статьи.
Аналогичного мнения придерживаются суды (например, в апелляционном Определении Ленинградского областного суда от 23.01.2019 по делу № 33-410/2019, решении Арбитражного суда Иркутской области от 04.12.2018 по делу № А19-6583/2017). Но для работодателя возникает обязанность получить согласие работника на обработку его персданных конкретным третьим лицом — непосредственным обработчиком. В таком согласии нужно указать следующее (ч. 4 ст. 9 закона № 152):
- наименование, ИНН, ОГРН обработчика, осуществляющего обработку биометрических персональных данных;
- перечень персональных данных и перечень действий с персональными данными, на обработку которых дается согласие;
- цель их обработки, срок, в течение которого действует согласие на обработку персональных данных, а также способ его отзыва.
Работодатель может получить от работника согласие на обработку биометрических персональных данных, разрешенных для распространения, чтобы при каждом случае не запрашивать у работника отдельное согласие (ст. 10.1 закона № 152-ФЗ).
Вопросы для самопроверки
Проверьте себя — ответьте на несколько ключевых вопросов по теме. Каждый вопрос разверните, нажав на него мышкой — и увидите правильный ответ.
-
Что такое биометрические персональные данные?
Это сведения, характеризующие физиологические и биологические особенности человека, позволяющие установить его личность (например, отпечатки пальцев, радужная оболочка глаза).
-
В чем отличие биометрических данных от других персональных данных?
Биометрические данные практически неизменяемы и уникальны для каждого человека.
-
Как регулируется обработка биометрических персональных данных?
С помощью единой биометрической системы (ЕБС), оператором которой является АО "Центр Биометрических Технологий".
-
Какие условия использования ЕБС для организаций и ИП?
Несколько условий, включая отсутствие судимости у руководителя и отсутствие записи о недостоверности сведений о юрлице в ЕГРЮЛ.
-
Законно ли организовать скрытое видеонаблюдение в офисе?
Незаконно.
-
Может ли фотография человека считаться его биометрическими персональными данными?
Да, если используется для определения его личности, например, в паспорте или водительском удостоверении.
-
Надо ли работодателю получать отдельное согласие на обработку биометрических персональных данных?
Да, надо.
-
Какие требования предъявляются к согласию на обработку биометрических персональных данных?
В согласии должны быть указаны наименование и данные обработчика, перечень персональных данных и действий с ними, цель обработки, срок действия согласия и способ его отзыва.
Далее к теме № 4: как непосредственно работать с персональными данными→