Александр @42

Фото сотрудника на сайте: биометрические персональные данные. Как с этим быть?

Минцифры предложило поправки к КоАП РФ об ответственности за нарушения при работе с персональными биометрическими данными. Предполагаются штрафы для юрлиц до 1 млн. руб. Рассмотрим, что такое биометрические персональные данные и что нужно делать при их использовании
Фото сотрудника на сайте: биометрические персональные данные. Как с этим быть?
Illustration: Megan Robinson/Axios

Биометрические персональные данные - это такие сведения о физиологических и биологических особенностях человека, по которым можно установить его личность (ч. 1 ст. 11 Федерального закона от 27.07.2006 № 152-ФЗ (ред. от 02.07.2021) «О персональных данных» – далее «Закон о персональных данных»).

Какие именно сведения являются биометрическими персональными данными, Закон о персональных данных не определяет. Конкретного исчерпывающего перечня таких сведений нет и в нормативных документах.

Как правило, к биометрическим персональным данным относят, например, (письма Минцифры России от 17.07.2020 № ОП-П24-070-19433, Роскомнадзора от 10.02.2020 № 08АП-6782):

  • фотографическое изображение человека;
  • видеоизображение человека;
  • дактилоскопические данные;
  • информация о радужной оболочке глаза;
  • результаты анализов ДНК;
  • данные о голосе.

По общему правилу, если фотографическое изображение вы используете для установления личности человека, оно признается биометрическими персональными данными. Например, к биометрическим персональным данным относят фото на пропуск, так как, в частности, сравнивая фото с лицом предъявителя пропуска, вы можете установить его личность (ч. 1 ст. 11 Закона о персональных данных).

То есть фотографии сотрудников - биометрические персональные данные, на них оформляется отдельное согласие на получение персональных данных (ПД) (что вы будете собирать и обрабатывать), размещение на сайте - это уже распространение и публикация на это нужно еще одно отдельное согласие сотрудника (ст. 10.1 Федерального закона от 27.07.2006 № 152-ФЗ (ред. от 02.07.2021)). Т.е. нужно иметь 2 документа: на сбор и обработку биометрических данных и отдельное согласие на их публикацию.

Заставить сотрудника дать согласие на публикацию биометрических данных нельзя, т.к. это будет уже нарушением сразу нескольких законов

У предприятия должен быть пакет документов (политика в области защиты персональных данных, дополнительные соглашения к трудовым договорам, согласия, порядок уничтожения ПД и т.д.), он сильно зависит от специфики деятельности, также нужно помнить, что реклама в интернете сейчас тоже должна маркироваться.

Хранение и использование биометрических данных осуществляете с соблюдением особых требований. Кстати, даже фото на пропуска тоже биометрические данные.

Общий порядок хранения биометрических персональных данных

Храниться такие данные могут (п. 10 ст. 3, ч. 10 ст. 19 Закона о персональных данных):

  • в информационных системах персональных данных;
  • вне таких систем.

Использовать и хранить биометрические персональные данные вне информационных систем персональных данных вы можете только на таких материальных носителях и с применением такой технологии хранения информации, которые обеспечивают защиту этих данных от неправомерного или случайного доступа к ним, их уничтожения, изменения, блокирования, копирования, предоставления, распространения (ч. 10 ст. 19 Закона о персональных данных).

Требования к материальным носителям биометрических персональных данных и технологиям их хранения вне информационных систем установлены Постановлением Правительства РФ от 06.07.2008 № 512 (ред. от 27.12.2012) «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных».

При этом материальный носитель для целей применения указанных Требований - это машиночитаемый носитель информации (в том числе магнитный и электронный) (п. 2 Требований к материальным носителям биометрических персональных данных). Таким образом, на хранение биометрических персональных данных на бумажных носителях эти Требования не распространяются.

Материальный носитель должен обеспечивать в том числе (п. 4 Требований к материальным носителям биометрических персональных данных):

  • защиту от несанкционированной повторной и дополнительной записи информации после ее извлечения из информационной системы персональных данных;
  • возможность доступа к записанным на материальный носитель биометрическим персональным данным оператору и лицам, уполномоченным в соответствии с законодательством РФ на работу с биометрическими персональными данными;
  • возможность идентификации информационной системы персональных данных, в которую была осуществлена запись биометрических персональных данных, а также оператора, осуществившего такую запись;
  • невозможность несанкционированного доступа к биометрическим персональным данным, содержащимся на материальном носителе.

Как правило, тип материального носителя вы вправе выбрать сами (п. 7 Требований к материальным носителям биометрических персональных данных).

Это может быть, например, внешний накопитель данных (внешний жесткий диск, карта памяти, внешний SSD-накопитель, USB-накопитель). При этом вы обязаны вести учет количества таких материальных носителей и присваивать каждому носителю свой уникальный идентификационный номер, который позволяет точно определить оператора, осуществившего запись биометрических персональных данных на материальный носитель (п. 8 Требований к материальным носителям биометрических персональных данных).

Технологии хранения биометрических персональных данных, которые вы используете, должны обеспечивать, в частности, применение средств электронной подписи (пп. «б» п. 9 Требований к материальным носителям биометрических персональных данных).

При хранении биометрических персональных данных вне информационных систем персональных данных вы должны обеспечить регистрацию фактов несанкционированной повторной и дополнительной записи информации после ее извлечения из такой системы (п. 11 Требований к материальным носителям биометрических персональных данных).

Госорганы и банки

Отметим, что для государственных органов и банков действуют специальные требования к обработке биометрических персональных данных.

В частности, в РФ создана и работает единая биометрическая система.

Единая информационная система персональных данных (единая биометрическая система) - это государственная информационная система персональных данных, с помощью которой госорганы и банки производят обработку, включая сбор и хранение биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным физического лица (п. 2 ч. 1, ч. 1.1 ст. 14.1 Федерального закона от 27.07.2006 № 149-ФЗ (ред. от 14.07.2022) «Об информации, информационных технологиях и о защите информации»).

Единая биометрическая система - это цифровая платформа, оператором которой является ПАО «Ростелеком» (ч. 17 ст. 14.1 Закона об информации, п. 1 распоряжения Правительства РФ от 22.02.2018 № 293-р).

Положение об этой системе утверждено Постановлением Правительства РФ от 16.06.2022 № 1089.

Состав сведений, которые размещаются в единой биометрической системе, утвержден Постановлением Правительства РФ от 30.06.2018 № 772. К ним относятся, в частности, данные изображения лица человека (полученные с помощью фото- и видеоустройств) и голоса человека (полученные с помощью звукозаписывающих устройств) (п. «а» указанного Состава сведений).

Начать дискуссию