Биометрические персональные данные

←Обратно к теме № 1 «НПА по персональным данным»

←Обратно к теме № 2 «Необходимый минимум документов по персданным»

Что такое биометрические персональные данные

Понятие биометрических персональных данных на законодательном уровне закреплено в ст. 11 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — закон № 152), в указанной статье под биометрическими персональными данными понимаются «сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность». Это могут быть уникальные параметры и физические атрибуты — в частности, отпечатки пальцев, сетчатка и радужная оболочка глаза, голосовые волны и черты лица и т.д. Названные характеристики непосредственно относятся к физическим лицам и в большинстве случаев являются биометрическими персональными данными.

Биометрические персональные данные относятся к специальной категории и имеют определенные свойства и особенности благодаря своим исключительным свойствам. В отличие от других персональных данных, биометрические персональные данные являются практически неизменяемыми, в то время как стандартные персональные данные могут быть в дальнейшем изменены (например, ФИО субъекта). Они являются уникальными: так, отпечатки пальцев присущи исключительно одному человеку, что позволяет осуществить идентификацию физического лица и существенно ограничивать право на неприкосновенность частной жизни. Приведенное обстоятельство позволяет рассматривать биометрические персональные данные в рамках отдельной категории.

Где используются биометрические персональные данные

Биометрические технологии имеют большой потенциал и применяются во многих сферах жизни, связанных с оказанием услуг физическим лицам: в государственном секторе, бизнесе, медицинской области и т.д. В государственном секторе биометрия используется в целях упрощенного распознавания людей при получении государственных услуг. В финансовой отрасли используются биометрические персональные данные для предоставления доступа в банковским услугам и осуществления транзакций, приема платежей и др.

Во многих отраслях бизнеса биометрические данные также могут использоваться для оптимизации производственных процессов: так, использование данных о потребностях их клиентов позволяет улучшить качество обслуживания и удовлетворения клиентов. В медицинской отрасли использование биометрических персональных данных пациентов позволяет упростить процедуру регистрации, сократить время ожидания и улучшить качество обслуживания. Во всех перечисленных случаях биометрические персональные данные используются оператором в целях определения личности субъекта.

НПА которые надо знать:

• Постановление Правительства РФ от 25.05.2023 № 815 «Об утверждении перечня случаев, при которых аутентификация с использованием информационных систем организаций, осуществляющих аутентификацию на основе биометрических персональных данных физических лиц, не допускается, и перечня случаев, при которых допускается использование биометрических персональных данных, согласие физического лица на обработку которых подписано простой электронной подписью, правом создания (замены) и выдачи ключа которой в порядке, предусмотренном законодательством Российской Федерации в области использования электронных подписей, обладает организация, осуществляющая аутентификацию на основе биометрических персональных данных физических лиц»
• Постановление Правительства РФ от 27.03.2023 № 478 «Об утверждении Правил представления физическим лицом отказа от сбора и размещения биометрических персональных данных в целях проведения идентификации и (или) аутентификации, отзыва такого отказа и письменного подтверждения многофункциональным центром предоставления государственных и муниципальных услуг представления физическим лицом указанных отказа и отзыва отказа, а также форм указанных отказа, отзыва отказа и письменного подтверждения их представления»

Обработка биометрических персональных данных

С принятием Федерального закона от 29.12.2022 № 572-ФЗ «Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных» обработка биометрических персональных данных проводится посредством использования единой биометрической системы (ЕБС). Оператором в системе ЕБС является АО «Центр биометрических технологий».

Обработка может заключаться в определении личности физлица (далее — идентификация) и проверке его подлинности (далее — аутентификация). Так, ЕБС применяется для идентификации и (или) аутентификации лица: например, при проходе на территории организаций с использованием информационных систем КПП. Условия использования единой биометрической системы (ЕБС) для организаций и ИП следующие:

• юрлицо или ИП не включено в перечень организаций и физлиц, причастных к экстремистской деятельности или терроризму, или в перечни организаций и физлиц, связанных с террористическими организациями и террористами или с распространением оружия массового уничтожения, указанного в Законе о противодействии легализации преступных доходов;
• у руководителя организации, ИП отсутствует неснятая или непогашенная судимость;
• в ЕГРЮЛ отсутствует запись о недостоверности сведений о юрлице.

Обработка биометрических данных в жизни

Рассмотрим вышесказанное в контексте следующей ситуации. Работодатель решил использовать в офисах систему видеонаблюдения, чтобы следить за тем, как работники ведут переговоры с клиентами. Правильно ли считать, что он тем самым обрабатывает биометрические данные своих сотрудников, а заодно и клиентов? Попробуем ответить на вопрос отнесения видеозаписи на рабочем месте, не предназначенной для идентификации личности, к биометрическим персональным данным с помощью разъяснений Роскомнадзора.

Ведомство неоднократно в своих разъяснениях комментировало подобные ситуации: «материалы видеосъемки в публичных местах и на охраняемой территории не являются биометрическими персональными данными, обработка которых регулируется общими положениями закона № 152-ФЗ, поскольку не используются оператором для установления личности субъектов». Из чего становится ясно, что при ведении видеонаблюдения в офисе соблюдать законодательство о персональных данных не нужно, так как видеонаблюдение рабочего процесса не свидетельствует об обработке персональных данных с целью установления личности работников, видеозапись не используется с целью установления обстоятельств их частной жизни или раскрытия личной и семейной тайны. Однако это не отменяет обязанность работодателя, устанавливающего видеонаблюдение за рабочими местами, соблюсти трудовое законодательство — уведомить работников за два месяца о введении системы видеонаблюдения.

Аналогичным образом разрешаются ситуации, когда видеонаблюдение установлено на КПП. По мнению судов, ведение видеосъемки связано с обеспечением безопасности, а значит, речь не идет о получении персональных данных работника. Такое мнение высказал суд в Определении Московского городского суда от 26.04.2019 № 4г-4823/2019. Однако совершенно по-другому разворачивается дело в случае ведения видеонаблюдения на КПП с целью идентификации работников. В этом случае суды считают видеонаблюдение обработкой персональных данных (см., например, Решение Верховного суда Республики Дагестан от 24.05.2018 № 21-607/2018).

В определенных случаях даже простая фотография человека будет считаться его биометрическими персональными данными: так, наиболее распространенным примером биометрических данных является фотография, используемая в паспорте, водительском удостоверении или медицинской карте. В этом случае изображение лица человека фиксируется и сохраняется, чтобы впоследствии сравнить его с другой фотографией или с живым человеком.

Как видим из приведенных примеров, при отнесении тех или иных сведений к биометрическим персональным данным решающее значение имеет цель: так, если данные о человеке используются в целях определения его личности, то речь идет именно о персональных данных, и здесь придется учесть все вышеприведенные нюансы.

Приведем более сложную ситуацию из жизни. Представим, что работодатель арендует офисное помещение в бизнес-центре. Работники каждый день проходят через проходную, предъявляя электронные пропуски с фотографиями сотрудникам охраны бизнес-центра. Здесь речь идет не о простой обработке биометрических данных, а об обработке третьим лицом. Такие отношения регулируются в рамках части 3 статьи 6 закона № 152, где содержатся нюансы, соблюдение которых обязательно для работодателя при осуществлении обработки персональных данных его работников третьему лицу — охранной организацией. Последняя не обязана получать согласие работников, поскольку ответственность перед ними за действия обработчика несет именно оператор — работодатель, а не обработчик, который, в свою очередь, отвечает за собственное неправомерное поведение непосредственно перед оператором. Об этом нам говорят ч. 2 и 4 вышеупомянутой статьи.

Аналогичного мнения придерживаются суды (например, в апелляционном Определении Ленинградского областного суда от 23.01.2019 по делу № 33-410/2019, решении Арбитражного суда Иркутской области от 04.12.2018 по делу № А19-6583/2017). Но для работодателя возникает обязанность получить согласие работника на обработку его персданных конкретным третьим лицом — непосредственным обработчиком. В таком согласии нужно указать следующее (ч. 4 ст. 9 закона № 152):

• наименование, ИНН, ОГРН обработчика, осуществляющего обработку биометрических персональных данных;
• перечень персональных данных и перечень действий с персональными данными, на обработку которых дается согласие;
• цель их обработки, срок, в течение которого действует согласие на обработку персональных данных, а также способ его отзыва.

Работодатель может получить от работника согласие на обработку биометрических персональных данных, разрешенных для распространения, чтобы при каждом случае не запрашивать у работника отдельное согласие (ст. 10.1 закона № 152-ФЗ).

Вопросы для самопроверки

Проверьте себя — ответьте на несколько ключевых вопросов по теме. Каждый вопрос разверните, нажав на него мышкой — и увидите правильный ответ.

Далее к теме № 4: как непосредственно работать с персональными данными→