Комментарии 22
Дополните статью самой выжной для аудитории частью (ради которой по крайней мере кто-то будет озадачиваться этим вопросом) - Ответственность за нарушения при работе с БПДн :)
За нарушения при обработке БПДн предусмотрены штрафы по ст. 13.11 КоАП РФ.
Нашел только статью "Статья 13.11.3. Нарушение требований в области размещения биометрических персональных данных ". Там говориться про ЕБС. Как это относится например к СКУД в организации, который не использует ЕБС?
Главное, чтобы не было нарушения прав субъекта и использовалась не автоматическая идентификация, а именно аутентификация (подтверждение личности на основе ранее полученных данных).
И зачем тогда нужен СКУД "по лицу", если ещё придется дополнительно все равно карточку прикладывать? :) Или под ранее полученными данными является как раз информация в СКУД?
Если организация использует СКУД и не подключена к ЕБС, то использовать биометрию (например, фото или голос) для идентификации она не может.
Согласно п. 3 ст. 11 ФЗ-152, оператор не имеет права отказывать человеку в обслуживании, если тот не хочет сдавать биометрию — это подтверждается и судебной практикой. За нарушение — ответственность по п. 2 ст. 13.11 КоАП.
Что касается СКУД «по лицу» с карточкой — такая схема нужна, чтобы исключить передачу карты другому человеку. Карта служит как ключ, а лицо — как подтверждение, что это именно тот человек, кому карта выдана.
Под ранее полученными данными здесь имеется в виду, что система сначала считывает карту, находит в базе нужного сотрудника и уже потом сравнивает лицо с сохранённым фото. Это аутентификация, а не идентификация — система не перебирает всю базу, она просто сверяет, тот ли это человек.
Это всё круто, но есть "Вася", который работает по условиям рынка в своём провинциальном городке, со средней з/п и то ли черным, то ли серым оформлением. Как бы он не умничал, но если работодатель решит что все теперь работают через биометрию то Вася или будет как все или его попросту уволят. А другого не дано.
Если "Васю" не слушают, он вполне может обратиться в Роскомнадзор с запросом: законна ли обработка его данных и правомерно ли ограничивать проход, если он не дал согласие на биометрию. Ответ от РКН можно потом показать руководству. А если вопрос дойдёт до увольнения — уже можно идти в Трудовую инспекцию, чтобы разобраться с правовыми основаниями.
обратиться может, но я же указал вводные "провинциальный городок, то ли черным, то ли серым оформлением". Один раз он выступит, фирма штраф переживёт, а вот он, которого больше на работу там не возьмут, вряд ли.
Понимаем, в маленьком городе с серым рынком труда уволить — это реально страшно. Но именно поэтому всё так и держится: никто не хочет рисковать. Вася молчит — система работает. Но важно помнить: о рисках сбора биометрии давно известно, и основная ответственность лежит на операторе. Это он отвечает за последствия, не Вася. А если все будут молчать, завтра будет не только биометрия, но и что похуже.
Можете показать реальные кейсы, когда обращение в РКН давало хоть какой-то результат? Могу рассказать по опыту, что если нужно что-то добиться от РКН, то придется самому собирать все доказательства (что в данном случае почти невозможно, учитывая реальные условия рынка в провинциальном городе).
Да про какой провинциальный город можно говорить, если в 2024 году в одной из школ Санкт-Петербурга через родительские чаты собирали СНИЛСы родителей (не учеников). Не цель сбора, никаких согласий при этом официально не предлагалось подписать. Сбор был спущен на учителей, поэтому они отвечали, что это просто задача от руководства. Родители коллективно обратились в РКН (причем и те, кто не подумав СНИЛС переслал). В обращении предоставили переписки из родительского чата. Значете какой был ответ РКН? "Мы провели проверку... блаблабла ...предоставленные материалы из родительского чата не могут быть доказательством, т.к. чат разработан организацией, которая признана в России экстремистской организацией ...".
РКН не выписывает штраф налево и направо. РКН шевелится только в том случае, если нарушение происходит официальным путём. А все серые схемы не признаются РКН, как прецендент нарушения.
Вот реальный кейс - Endura E8173 - алюминиевый кейс (438x328x105 мм) купить на Tools.ru
Русский язык превосходит многие другие тем, что заимствованные из других языков термины можно трактовать по разному и использовать при смысловой нагрузке:
CASE как чехол или оболочка
CASE как случай или ситуация
CASE в технологиях (Computer-Aided Software Engineering)
CASE как контейнер или ящик
CASE в юриспруденции (дело)
CASE в медицине (случай заболевания)
CASE в бизнесе и маркетинге (кейс)
На данный пример (или кейс :) наглядно показывает как работает РКН - вместо конкретных ответов на вопросы уклонение в виде перевода стрелок в другую плоскость, одновременно стараясь принизить контрагента, цепляясь к не существенным для решения вопроса вещам.
РКН, когда рассматривает обращения по возможным нарушениям при обработке персональных данных, сначала анализирует предоставленную информацию — есть ли вообще признаки нарушения и формирует соответствующий ответ. Поэтому на первом этапе ответственность за сбор и предоставление сведений лежит на заявителе. Если данных недостаточно, РКН может назначить проверку, чтобы выяснить больше, либо выявить нарушения во время плановой проверки оператора. Что касается примера, где РКН отказался признать предоставленные сведения доказательством — окончательное решение здесь всё равно за судом. Поэтому при желании всегда можно обратиться в суд. Например, в Санкт-Петербурге уже были похожие кейсы: в некоторых учебных заведениях хотели внедрить биометрию в СКУД, но суд встал на сторону родителей. Он указал, что сбор биометрии возможен только с согласия самого человека, а дети (несовершеннолетние) не могут дать такое согласие сами, в отличие от других типов ПДн, где согласие может дать родитель. Один из таких кейсов — дело от 22.02.2023 № А27-10550/2022 (г. Кемерово): https://www.sudact.ru/arbitral/doc/jN8srStYspJO/
" запрет на доступ в случае отказа в предоставлении таких БПДн — это нарушение закона "
А что на счет курьеров и таксистов? "запрет на доступ к сервису" не относится к этому? Без сбора биометрии курьерить нельзя. И это не смотря на то, что "подтвердить себя" можно через госуслуги, что тот же "яндекс" и делает, но все равно требует биометрию и паспорт. И это не смотря на сливы личных данных в сеть (как в 2022).
Речь шла о доступе в контролируемую зону через СКУД с использованием БПДн. Обязывать всех проходить только по биометрии нельзя, если это не предусмотрено НПА — должны быть альтернативы. Согласно ФЗ-152, обработка ПДн (в том числе БПДн) должна быть законной и справедливой. Нужны чёткие цели и правовые основания, чаще всего — согласие субъекта (если не подпадает под исключения из ст.6). Оператор обязан разъяснять основания отказа при непредоставлении ПДн.
Пример: в реестре РКН указано, что у ООО «Яндекс.Такси» цели и перечень БПДн задекларированы — по другим юрлицам тоже можно посмотреть: https://pd.rkn.gov.ru/operators-registry/operators-list/
А поясните более детально, что здесь подразумевается под идентификацией? Скажем, в БД СКУД (которая может располагаться прямо в терминале) лежат просто вектора без привязки к ФИО и иным данным. СКУД просто смотрит есть такой вектор или нет. Кто конкретно - определить невозможно. Или я, скажем, умудрился один вектор на двоих людей создать. Тогда идентификация тоже происходит?
Вектор в Единой биометрической системе — это по сути уникальный набор данных, полученный после обработки биометрии (например, фото лица).
Идентификация — это когда система сначала определяет, кто перед ней, а потом проверяет, верны ли эти данные. То есть вектор здесь — уникальный идентификатор человека.
Аутентификация — это когда человек уже «представился» (например, приложил карту), и система просто сверяет: его ли это лицо.
В нашем случае, если других способов подтверждения нет и система просто перебирает все векторы в базе, чтобы найти совпадение по лицу — это уже идентификация, а не аутентификация. А значит, такая обработка попадает под более строгие правила.
Представим, что нет физической карты... есть нейросеть, проученная на 50 лиц. Она не различает их между собой, а лишь отвечает на вопрос: стоящий перед камерой человек входит в эти 50 или нет.
Где-то здесь есть идентификация?
В этом конкретном случае этап идентификации не используется. Тем не менее, закон 572-ФЗ применяется, даже если аутентификация проходит по голосу или лицу. Но есть исключения — в некоторых ситуациях можно обойтись без подключения к ЕБС, если использовать аккредитованные организации или самому пройти аккредитацию как компания, которая проводит биометрическую аутентификацию. По факту, сейчас всё, что связано с биометрией (голос, лицо), подпадает под действие этого закона.
аутентификация - совокупность мероприятий по проверке лица на принадлежность ему идентификаторов посредством сопоставления их со сведениями о лице, которыми располагает лицо, проводящее аутентификацию, и установлению правомерности владения лицом идентификаторами посредством использования аутентифицирующих признаков в рамках процедуры аутентификации, в результате чего лицо считается установленным;
В приведенном мною примере мы не устанавливаем конкретное лицо. Мы лишь устанавливаем факт правомерности. Получается, нет ни идентификации ни аутентификации, верно?
На практике таких случаев пока не встречалось — обычно используется связка разных идентификаторов. С технической стороны аутентификация затрагивает только часть — это проверка, что данные подлинные (например, биометрический вектор) и что у пользователя есть нужные права (то есть всё совпало).
Если говорить про правоприменение, то в ситуациях, где в процесс автоматизации включены биометрия — лицо или голос, позиция регулятора скорее будет на стороне распространения требований закона.
Когда фото становится биометрией: разбор закона и практики