Биометрические персональные данные, нюансы и тонкости обработки

    image

    Применение биометрии как способа идентификации появилось еще в далеком 19-м веке. Английские колонизаторы ввели практику идентификации своих контрагентов из числа индийцев по отпечаткам пальцев и ладоней. Метод дорабатывался в дальнейшем, но применяется и по сей день. В этой статье мы попытаемся разобраться, что же относится к биометрическим данным и какие особенности обработки возникают у оператора при работе с данной категорией персональных данных.

    Биометрические персональные данные, что это?


    Для начала обратимся к определению, которое приводится в ст. 11 ФЗ-152 «О персональных данных». Биометрические персональные данные — это сведения, которые характеризуют физиологические и биологические особенности человека, и которые используются для установления личности субъекта ПД.

    Исходя из разъяснений Роскомнадзора, к физиологическим данным относятся: дактилоскопические данные, радужная оболочка глаз, анализы ДНК, рост, вес, а также иные физиологические или биологические характеристики человека, в том числе изображение человека (фотография и видеозапись), которые позволяют установить его личность.

    Например, цветное цифровое фотографическое изображение лица владельца паспорта является биометрическими персональными данными владельца документа. Эта норма закреплена в ПП РФ № 125 от 4 марта 2010г. Здесь речь идет о чипе внутри первой страницы биометрического паспорта (спасибо за поправки пользователю t12589645). В тоже время, необходимо принимать во внимание цель, которую преследует оператор при обработке персональных данных, но об этом чуть позже.

    Особенности обработки биометрических персональных данных


    Первое, что мы видим открыв ст. 11 ФЗ-152: « Обработка биометрических персональных данных может осуществляться только с письменного согласия субъекта ПД, в случае если данные используются для установления личности субъекта. Это основное отличие обработки данной категории ПД. В остальном оператор должен руководствоваться общими требования 152-ФЗ, к организации обработки персональных данных.

    Из этого правила есть и ряд исключений, когда согласие на биометрию не требуется, они приведены в ч.2 ст.11. Письменное согласие не требуется в случаях, когда обработка данных производится в связи:

    • с реализацией международных договоров о реадмиссии;
    • с осуществлением правосудия и исполнение судебных актов;
    • с проведением обязательной государственной дактилоскопической регистрацией;
    • в случаях, предусмотренных законодательством РФ об обороне, противодействии терроризму, о транспортной безопасности, о противодействии коррупции, оперативно-розыскной деятельности и т.д.

    Помимо ч.2 ст.11 есть еще ряд исключений, регламентируемых другими нормативно-правовыми актами:

    1. Использование изображения в государственных, общественных или иных публичных интересах. Например, к таким случаем можно отнести информацию (фото или видеозапись), связанную с исполнением своих функций должностными лицами и общественными деятелями.Данное исключение зафиксировано в п.25 Постановления Пленума Верховного Суда РФ № 16 от 15 июня 2010г.
    2. Использование изображения полученного при съемке, проводимой в местах свободного посещения или на публичных мероприятиях: собраниях, концертах, спортивных соревнованиях и т.д. При этом изображение субъекта не должно быть основным объектом использования.
    3. Использование фотографий и видеозаписей, за которые гражданин получил оплату. Этот и предыдущий пункт регламентированы Статьей 152.1 ГК РФ. «Охрана изображения гражданина»

    Если изображение гражданина, получено или используется без его согласия и распространено в сети «Интернет», гражданин вправе требовать удаления этого изображения, а также пресечения или запрещения дальнейшего его распространения.

    Цели обработки биометрических персональных данных


    В начале статьи мы выдвинули утверждение, что важно принимать во внимание цель обработки биометрических персональных данных. Давайте попробуем разобраться, почему же это имеет такое большое значение. Для этого вернемся к разъяснениям РКН и самому определению биометрических ПД:
    Биометрические персональные данные это сведения, которые характеризуют физиологические и биологические особенности человека,, и которые используются для установления личности субъекта ПД.
    Ключевой момент здесь: «используются для установления личности субъекта ПД». Другими словами, если оператор использует паспорт для определения личности владельца документа, то такая обработка должна строго соответствовать требованиям ст.11 Федерального закона « О персональных данных». Давайте разберем это на примерах:

    В Вашей организации используется система контроля управления доступа (СКУД) — это может быть таймформер или «аналоговый» вариант в виде сотрудника, который сверяет фотографию из базы данных и присутствующую на Вашем пропуске или паспорте. В данном случае используются фотографии, которые являются биометрическими данными, характеризующие физиологические особенности, и целью обработки является определение личности, предъявляющей пропуск. Согласно разъяснениям Роскомнадзора, фотографии и другие биометрические сведения(отпечатки пальцев и т.д.), используемые для обеспечения однократного и/или многократного прохода на охраняемую территорию относятся к обработке биометрических персональных данных.Такая процедура должна осуществляться только с письменного согласия.

    Пример неправильной обработки биометрических персональных данных


    image

    Обратимся к Определению Верховного Суда РФ от 05.03.2018 № 307-КГ18-101
    По итогам проверки Роскомнадзор выписал предписание организации(бассейну) с требованием прекратить использование фотографий клиентов на пропусках. Нарушение заключалось в отсутствии отдельного письменного согласия посетителей на обработку их биометрических данных, а именно фотографий.

    Доводы приводимые оператором персональных данных, о том что:

    • Посетители давали общее согласие на обработку ПД,
    • Посетители добровольно прикрепляли фото к пропускам
    • ПП РФ № 125 не упоминает фото на бумажном носителе, а говорит только о «цветном цифровом фотографическом изображении»

    не нашли понимание у судей и требования предписания остались в силе.

    Правильные цели обработки биометрических персональных данных


    Вернемся к разъяснениям Роскомнадзора, в которых приведены случаи, когда биометрические данные могут обрабатываться в соответствии с общими требованиями ФЗ «О персональных данных». Например, Вы приходите в банк или поликлинику, там у Вас также могут спросить паспорт и отсканировать его или снять копию. Но в этом случае целью будет являться подтверждение осуществления действий конкретным лицом (заключение договора на оказание услуг, банковских, услуг связи и т.д.) без проведения процедур установления личности. Такие действия уже не будут классифицироваться как обработка биометрических персональных данных. Соответственно, обработка данных должна осуществляться в соответствии с общими требованиями, установленными ФЗ-152.

    Достаточно тонкая грань, но при этом являющаяся очень значимым моментом, который может привести к штрафным санкциям.

    Личное дело сотрудника


    Также биометрическими персональными данными не является фотография сотрудника, хранящаяся в личном деле и подпись работника. Т.к. все действия, которые совершает работодатель, используя данные из личного дела, направлены на подтверждение их принадлежности конкретному физическому лицу. При этом личность работника уже определена и его персональные данные уже имеются у работодателя.

    При этом хранить копию паспорта считается правонарушением, т.к. согласно Статье 65 Трудового кодекса Российской Федерации перечень персональных данных хранимый работодателем не определен, а данная статья определяет перечень данных, которые работник предъявляет при заключении трудового договора. К ним, в частности, относится и паспорт, как документ определяющий личность. Хранение же копии паспорта может классифицироваться как избыточные действие по отношению к заявленным целям их обработки. Здесь в качестве примера приведу пример из кассационной инстанции Северо-Кавказкого округа.

    Видеосъемка в общественных местах


    image

    В том случае, если на охраняемой территории или в публичных местах ведется видеосъемка, эти данные также не могут считаться биометрическими ПД, поскольку владелец видеокамеры не использует их для идентификации конкретного человека. Биометрическими эти данные могут стать, в случае передачи их в правоохранительные органы и если переданные видеоматериалы будут использоваться для определения личности конкретного физического лица.

    На что стоит обратить внимание оператору организующему такую видеосъемку?


    Оператор в таком случае должен проинформировать посетителей о том, что в данном месте ведется фото-, видеосъемка. Это может быть текстовая табличка или специализированная наклейка, специальных требований к оформлению не предъявляется. В том случае, если Вы выполнили это простое требование, то согласие посетителей на проведение таких мероприятий не требуется.

    Если же Вы установили видеонаблюдение в рабочих помещениях, то не забудьте проинформировать работников об этом. Уведомлять нужно обязательно под роспись. Данное требования закреплено в Трудовом кодексе РФ ст. 74 и заключается в изменении условий трудового договора.

    Цели организации видеонаблюдения


    Повторю это еще раз, определение целей обработки – одна из ключевых задач оператора. И организация видеонаблюдения не является исключением. Цели должны быть определены заранее и иметь правовое обоснование.

    Например, если видеонаблюдение ведется в офисе, то это может быть: «Фиксация возможных действий противоправного характера». В медицинских учреждениях или на производстве продуктов питания целью может быть: «Обеспечение прав пациентов, клиентов или потребителей». Наверняка, заказывая пиццу, Вы сталкивались с возможностью наблюдать за ее приготовлением по средствам вебкамер, направленных на рабочие места.

    При этом данный процесс должен быть отражен во внутренней документации оператора. Должен быть определен ответственный, имеющий доступ к системе видеонаблюдения. Обычно это закрепляется приказом. Помимо этого необходимо предусмотреть порядок и сроки хранения видеозаписей, а также порядок их удаления. Само собой не забываем про информационные таблички.

    Самое важное в одном абзаце


    Подводя итог, еще раз хочется остановиться на самых важных моментах. Внимательно прочитайте ч.2 ст. 11 ФЗ-152 «О персональных данных» и во всех случаях, не попадающих под них, собирайте согласие на обработку биометрических персональных данных в письменном виде. Заранее определяйте цели обработки и строго придерживайтесь их. Не собирайте избыточную информацию. В случае, если Вы не знаете как трактовать то или иное требование закона, обратитесь к разъяснениям РКН или напишите им обращение с Вашим вопросом.

    Видео про самые распространенные ошибки, оформлению Согласия на обработку персональных данных можно посмотреть на ютуб канале ПДМастер, также как и другие полезные материалы по тематике «Персональные данные».
    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее
    Реклама

    Комментарии 15

      +1
      Вывод о том, что «если Вы используете скан-копию паспорта, то работаете с биометрическими персональными данными» — неверный. Более правильно будет "… можете работать с биоПДн при определенных условиях..."
        –1
        Как видно из ПП РФ № 125 от 4 марта 2010г., скан-копия паспорта является биометрическими ПД, если Вы используете эти данные в работе, то очевидно, что Вы с ними работаете. Другое дело, что при определенных обстоятельствах, такая обработка может осуществляться в соответствии с общими правилами. НО если я не правильно сформулировал свою мысль, то прошу не судить строго, поскольку совсем не претендую на лавры писателя, а ставлю своей целью разобраться и помочь разобраться другим в достаточно дискуссионном вопросе.
          0
          В ПП 125 речь идет про ПДн, записываемые на электронные носители. Т.е. фото и «пальчики», записанные на чип в паспорте — это БИО ПДн. Копия паспорта к таковым не относится.
            –1
            Копия нет, но скан-копия паспорта, по определению записывается на какое-то электронное устройство, то бишь носитель информации. В данном случае я оперирую именно термином скан-копия
              0
              Если вы скан-копию запишете на "… электронные носители информации, содержащиеся в основных документах, удостоверяющих личность гражданина Российской Федерации...", то может быть это и будет ПДн, но, думаю, у вас это не получится. Так что скан-копия, по моему мнению, это не БИО ПДн. По поводу отнесения фото к БИО ПДн у РКН по этому вопросу позиция вроде поменялась. Есть ГОСТ Р ИСО/МЭК 19794-5-2013 и если изображение не соответствует этому ГОСТу, то это не БИО ПДн. Но это не точно. Эти позиции озвучиваются на днях открытых дверей и могут противоречить позиции, озвученной, например, годом ранее…
                0
                Насколько мне известно стандарты серии ИСО носят сугубо рекомендательных характер и требования которые они предъявляют соответственно тоже. Исключение составляет только дублирование этих требований в разных НПА, в частности приказах ФСТЭК.
                  0
                  Спасибо за Ваш комментарий, я с Вами согласен и внес правки
          0
          Является ли случаем работы с ПД (и вытекающие из неё обязанности Оператора ПД) снятие мобильным приложением фотографии человека и образца голоса, если для установления его личности (т. е. привязки к ФИО, адресу и т. д.) эти данные не используются — ну, скажем, всё полученное прямо в приложении хэшируется и только этот необратимый хэш отправляется куда-то наружу?
            0
            Если фотография и образец голоса позволят определить конкретного человека, то несомненно это будет являться персональными данными. Другое дело, что без дополнительной информации по вышеуказанным данным, мне представляется затруднительно определить конкретного человека, потому что как и с ситуацией с ФИО это лишь сужает выборку. Но доподлинно не указывает на личность физ. лица (поскольку людей с похожей внешностью и голосом может быть не один десяток). Как и писал в статье, огромное значение имеют обстоятельства (публичное выступление, оплата и выступление должностного лица). Что касается Вашего вопроса, постараюсь привести пример судебного дела со схожими обстоятельствами и опубликовать в комментариях.
              0
              Когда я был вынужден вступить в полемику на эту тему и, соответственно, полезть читать нормативные акты, я там увидел в статье 3.3 — «сбор (пофиг в каких условиях, для каких целей и даже без хранения) — это тоже обработка». Столь драконовское трактование меня опечалило.

              Не говоря уж о том, что раз уж (в соответствии с тем же самым 152-ФЗ) «персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)», то, если подходить педантично, даже ФИО с датой рождения не является ПД, поскольку не может однозначно относиться к конкретному человеку (возможны довольно частые коллизии).
                0
                Конечно нужно разбираться в каждой ситуации индивидуально, поэтому прошу относится к моему комментарию, как к мнению, а не как к позиции суда или регулятора или истине.
                Предполагаю, что Вы являетесь разработчиком приложения, в таком случае оператором персональных данных будет являться его пользователь. Вы же, в данном случае, должны вдумчиво проработать пользовательское соглашение или Вашу оферту. Где необходимо предусмотреть пункт передачи оператором персональных данных третьему лицу, т.е. Вам. При этом ответственность за обработку будет на стороне пользователя. И Вашими обязанностями по договору или соглашению будет адекватная организация хранения этих данных и целью в Вашем случае, будет только хранение и отсутствие утечек, т.е. дальнейшая их передача куда-либо — это и будет всей обработкой с Вашей стороны, без сбора и т.д. Другое дело, какие требования будут предъявляться к инфраструктуре, но это уже зависит от обстоятельств и состава персональных данных.Базовые требования приведены в 21 приказе, точнее его приложении. В своем комментарии, про поиск соответствующего разбирательства, я взял такие исходные критерии и постараюсь ответить Вам по существу, как только появится такая возможность.
            +1
            Например, Вы приходите в банк или поликлинику, там у Вас также могут спросить паспорт и отсканировать его или снять копию. Но в этом случае целью будет являться подтверждение осуществления действий конкретным лицом (заключение договора на оказание услуг, банковских, услуг связи и т.д.) без проведения процедур установления личности.
            Здесь не чего не перепутано? Какое подтверждение действий, мои действия подтвердить может только моя подпись в договоре как минимум в двух экземплярах.
              0
              Меня тоже эта цитата смутила. Биометрия именно тут используется для подтверждения личности. Причем как ни крути, но идет ее обработка. Хотелось бы точной цитаты, на основании чего такие исключения

              Вот мнение верховного суда
              Судьи напомнили, что согласно ч. 1 ст. 11 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные) и которые используются оператором для установления личности субъекта персональных данных, по общему правилу могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных.

              Это по поводу пропусков, но из цитаты видно, что при обработке биометрии согласие нужно всегда
                0
                Так трактует РКН в своих разъяснениях
                  0
                  Насколько я вижу по ссылке — данный документ нелегитимен. Роскомнадзор не имеет права толковать законы — это может делать только орган типа Верховного Суда. Разъяснения Роскомнадзора имеют силу только в случае утверждения Минюстом — в данном документе такой отметки нет. Пользоваться им можно исключительно для самоуспокоения, но не основания

            Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

            Самое читаемое