Что нужно знать о биометрических персональных данных

Понятие биометрических данных. Какими законами регулируется обращение с такой информацией

Биометрия — это уникальные физические или поведенческие характеристики, которые позволяют отличать людей друг от друга.

На законодательном уровне в России порядок обращения с биометрическими персональными данными определен:

1. Законом «О персональных данных» от 27.07.2006 № 152-ФЗ.
2. Законом «Об информации, информационных технологиях ...» от 27.07.2006 № 149-ФЗ.
3. Постановлением Правительства РФ «Об определении состава сведений, размещаемых в единой информационной системе персональных данных...» от 30.06.2018 № 772.
4. Приказом Минцифры «О порядке обработки биометрических персональных данных...» от 12.05.2023 № 453.

Где могут быть использованы физические сведения о гражданине

Биофизические информационные материалы могут понадобиться в различных сферах жизни, где требуется распознавание человека. Успешное применение биофизических особенностей граждан уже нашло себя в таких направлениях, как:

• выдача биометрических загранпаспортов;
• оформление виз в упрощенном порядке с применением биометрического распознавания;
• дактилоскопическая регистрация иностранцев и граждан России;
• идентификация в пропускных системах офисов и компьютерных системах, смартфонах и т. д.

Идентификация по биометрическим данным гораздо надежнее, чем визуальная. Например, сотрудник банка не сумеет отличить друг от друга близнецов, а биометрический анализ их голоса и изображения с большой долей вероятности сможет.

Что относится к биометрическим материалам

Отнесение информации к биофизическим данным требует соблюдения следующих условий:

• сведения должны отображать информацию о субъекте;
• применение указанной информации позволяет распознать человека.

К биофизическим индивидуальным свойствам относятся:

• отпечатки пальцев и ладоней;
• радужка оболочки глаз;
• анализы ДНК;
• образ лица;
• особенности строения тела;
• состояние психического здоровья;
• рост;
• вес.

Для распознавания гражданина необходима одна или больше поведенческих или физических особенностей. В постановлении № 772 к сведениям, подлежащим размещению в общей информационной системе индивидуальных данных, относятся:

• фото- или видеоизображение лица гражданина;
• данные голоса, полученные при помощи звукозаписывающих устройств.

По каким правилам собираются, обрабатываются и хранятся данные

Работа с индивидуальными сведениями граждан предполагает:

• сбор;
• хранение;
• использование;
• обновление;
• защиту информации.

Эти процедуры регулирует приказ Минцифры № 453.

Работа с персональными данными, в том числе биометрическими, осуществляется в следующем порядке:

1. Уведомление оператором по сбору информации Роскомнадзора о том, что биометрические сведения будут собираться. Уведомление не требуется, если (п. 2 ст. 22 закона № 152-ФЗ):

• сбор проводится в рамках трудового законодательства;
• информация используется только для заключения сделки, стороной которой является субъект персональных сведений, и никуда не передается;
• сведения ограничены Ф. И. О.;
• в иных перечисленных в законе случаях.

2. Получение письменного согласия субъекта персональной информации на сбор данных о нем.

Образец согласия на обработку персональных биометрических данных привели эксперты КонсультантПлюс. Получите пробный доступ к системе бесплатно и переходите к документу.

Без согласия информация может собираться в рамках (п. 2 ст. 11 закона № 152-ФЗ):

• международных договоров о реадмиссии;
• судопроизводства;
• исполнения судебных решений;
• обязательной дактилоскопической регистрации.

3. Сбор сведений. Информацию должен получать уполномоченный сотрудник при личном присутствии человека. При этом создается биометрический шаблон, который подписывается электронной подписью и размещается в единой информационной системе.
4. Хранение персональных биометрических шаблонов осуществляется не менее чем 50 лет со дня размещения в системе.

Хранение и защита идентификационных сведений

Защита биометрических персональных данных предполагает соблюдение оператором данных следующих правил:

• сбор сведений должны осуществлять уполномоченные сотрудники, обеспеченные ключами простой электронной подписи;
• ключи электронных подписей хранятся таким образом, чтобы исключить несанкционированный доступ к ним и избежать незаконного изменения, добавления, удаления информации;
• за передачу ключей электронной подписи третьим лицам либо необеспечение их конфиденциальности предусмотрена ответственность.

Конфиденциальность доступной информации должны хранить сотрудники, как собирающие биометрические данные, так и готовящие и выдающие ключи электронных подписей.

Дополнительно банковские учреждения должны:

• информировать Банк России об обнаружении случаев нарушения правил защиты информационных материалов при работе с ними в срок не позже следующего рабочего дня с момента выявления такого факта;
• ежегодно оценивать безопасность технической защиты информации, привлекая специализированные организации.

С 11.12.2024 введена уголовная ответственность за незаконные использование, передачу, сбор и хранение компьютерной информации, содержащей персональные данные. За нарушения с биометрией наказывают строже. 

С 30.05.2025 существенно ужесточается административная ответственность за нарушения с персональными данными. Штрафы за биометрию крупнее.

Итоги

Таким образом, работа с биометрическим материалом позволяет идентифицировать людей по их голосу, фото, видео и другим индивидуальным особенностям. Порядок работы с биометрическими данными строго регламентирован законодательством, а ответственность за нарушения с биометрией строже. Чтобы организация могла работать с персональными сведениями, она должна направить уведомление в Роскомнадзор.