К биометрическим категориям персональных данных относятся

Содержание

Что нужно знать о биометрических персональных данных?

К биометрическим категориям персональных данных относятся
Что нужно знать о биометрических персональных данных?

Эта публикация основана на нормах статьи 11 Федерального закона “О персональных данных” и разъяснениях Роскомнадзора от 30 августа 2013 года (вопросы отнесения фото- и видео- изображения, дактилоскопических данных и иной информации к биометрическим персональным данным и особенности их обработки).

Тем, кто планирует хорошо ориентироваться в вопросах правомерности использования данных биометрии нужно знать разницу между биометрическими данными и биометрическими персональными данными.

Биометрические данные – это сведения, которые характеризуют физиологические и биологические особенности человека. Такие сведения могут содержаться в отпечатках пальцев, изображении радужной оболочки глаза, анализы ДНК, фото-, видеоизображения, аудиозаписи голоса и других источниках биометрических признаков.

Биометрические персональные данные – это данные биометрии человека, с помощью которых можно установить его личность, то есть произвести идентификацию.

Данные, с помощью которых может быть произведено установление личности человека получают в результате обработки биометрических персональных данных.

Под обработкой персональных данных подразумевается любое действие с данными, которые могут быть использованы для установления личности субъекта персональных данных.

Это означает, например, что фотографирование человека, то есть фиксирование его биометрических признаков внешности не является обработкой персональных данных субъекта, пока изображение не будет подвергнуто действиям по выявлению идентифицирующих биометрических признаков.

На основании статьи 11 Федерального закона от 27.07.2006 года для обработки биометрических персональных данных нужно письменное согласие субъекта этих данных, кроме некоторых случаев, указанных в законодательстве.

Без разрешения субъекта данных можно обрабатывать его биометрию в целях:

  • оперативно-розыскной деятельности;
  • необходимости осуществления процессов государственной службы;
  • реализации уголовно-исполнительной системы;
  • противодействия терроризму или коррупции;
  • обеспечения системы обороны или безопасности государства;
  • обеспечения транспортной безопасности;
  • и других, установленных законодательством случаях.

Нельзя проводить идентификацию личности человека по биометрическим данным без его письменного согласия в частных и коммерческих интересах организаций и физических лиц.

Примеры и особенности

На основании норм, упоминаемых в этой статье, следует:

1. Фотография лица человека (отдельно от данных ФИО) не является биометрическими персональными данными, но содержит биометрические признаки.

Эти признаки могут формировать биометрический информационный шаблон и могут быть использованы оператором для установления личности человека (например, биометрическая аутентификация при входе в аккаунт интернет-магазина).

Данные биометрического шаблона являются биометрическими персональными данными.

2. Отпечаток пальца на промежуточной поверхности (дактилоскопический образец) не является биометрическими персональными данными, но содержит биометрические признаки, которые могут быть обработаны для установления личности владельца отпечатка, в результате чего может быть произведена обработка биометрических персональных данных.

Если подобная обработка производится в следственных целях, то для её осуществления не требуется разрешения от субъекта данных, если в целях осуществления доступа к информационной коммерческой системе, то письменное согласие на обработку нужно.

3. запись человека камерой видеонаблюдения не является обработкой биометрических персональных пока не будет производиться установление личности субъекта, например, правоохранительными органами в целях оперативно-розыскных мероприятий.

4. Ксерокопирование (светокопирование) и сканирование удостоверений личности с фотографией без целей последующего проведения идентификации личности по копиям документов не является обработкой биометрических персональных данных.

Разъяснения вопросов обработки биометрических персональных данных от 30 августа 2013 года на официальном сайте Роскомнадзора.

3 июня 2020 года.

юрист Демешин Сергей Владимирович.

Участвуйте в обсуждении, пройдите опрос об интересных темах будущих публикаций (ссылка опроса в описании канала, также в описании указаны правила комментирования публикаций).

Источник: https://zen.yandex.ru/media/info_law_society/chto-nujno-znat-o-biometricheskih-personalnyh-dannyh-5ed77b42607b4521a5e9cd8f

Биометрические персональные данные – что это такое, обработка биометрических ПДн и международные нормы защиты

К биометрическим категориям персональных данных относятся

Осуществляя операции с ПДн, компании и предприниматели часто сталкиваются с необходимостью правильной обработки и защитыбиометрических персональных данных. Это случается, прежде всего, из-за непонимания сути биометрии и незнания законодательных аспектов регулирования на международном уровне и в пределах РФ.

По мере интеграции новых технологий сбора, хранения, распространения, уничтожения, изменения личной информации проблема становится все более серьезной и актуальной не только для больших фирм, но и для среднего и малого бизнеса.

Чтобы минимизировать риск штрафных санкций от Роскомнадзора, ухудшения деловой репутации и судебных разбирательств, необходимо разобраться:

  • какие персональные данные являются биометрическими, на какие разновидности они делятся;
  • как должна быть организована обработка сведений;
  • на какие правовые нормы опираться при организации СЗПДн.

Что относится к биометрическим данным человека в соответствии с ФЗ-152?

Для того чтобы идентифицировать гражданина, можно использовать различные способы и источники информации.

Что такое биометрические ПДн? Это совокупность сведений о человеке, которые касаются его физиологических и поведенческих отличий, и на основании которых возможно подтвердить личность, управлять и контролировать доступ (например, к банковской ячейке, помещениям с ограниченным входом и т.д.). Полный список представлен в Федеральном Законе № 152. Он включает:

  • генный код (ДНК);
  • отпечатки пальцев на руках и ногах;
  • рисунок сетчатки глаза;
  • овал и строение лица и т.п.

Вопреки расхожему мнению видеоизображения и фотографии (в том числе те, которые присутствуют в паспорте, личном деле работника или служебном пропуске и т.п.) не являются биометрическими персональными данными, т.к. они не используются для установления личности, а только лишь подтверждают их принадлежность конкретному субъекту, чья личность уже определена.

Что касается УЗИ, КТ, МРТ, рентгеновских снимков, находящихся в медицинской карте субъекта, то они переходят в категорию биометрических только при использовании следственными органами в целях определения личности нарушителя, свидетеля, пострадавшего по административному, гражданскому или криминальному делу.

Таким образом, выделение таких ПДн носит условный характер, а правила использования, хранения и совершения других операций напрямую зависят от целей оператора. Помимо идентификации биометрия выполняет функцию верификации.

Уникальность данных позволяет с максимальной точностью установить, является ли человек именно тем, кем себя называет — даже у однояйцевых близнецов радужная оболочка глаз отличается, также как и дактилоскопические данные.

Что такое биометрические персональные данные в Интернете?

Закон не выделяет такие ПДн в отдельную группу, соответственно, в их отношении действуют все требования в плане обработки и защиты, что предусмотрены в ФЗ-152. При обнаружении факта несанкционированного использования субъект имеет полное право:

  • потребовать удаления персональных данных из Сети;
  • добиться пресечения и запрета на последующее использование личных сведений;
  • получить компенсацию за моральный/материальный ущерб в судебном порядке;
  • обратиться в контролирующие госструктуры для выяснения обстоятельств дела и защиты прав на изменение ПДн, хранение, передачу третьим лицам, копирование, уничтожение.

Важные нюансы обработки биометрических персональных данных

Основное условие легального проведения операций, связанных с идентификацией по ПДн работников, клиентов, бизнес-партнеров — наличие письменного разрешения владельца. Без него обрабатывать информацию запрещено. Впрочем, закон о защите персональных данных позволяет не получать на биометрию согласие в письменном виде, если:

  • исполняется судебное решение;
  • осуществляется разбирательство по уголовному, административному, гражданскому делу;
  • производится регистрация в рамках обязательной государственной процедуры (получение заграничного или российского паспорта);
  • проводятся действия в рамках международных соглашений о реадмиссии;
  • речь идет о выполнении задач по обороне государства, предупреждению террористических актов, поддержанию транспортной безопасности и т.п.

Среди других исключений, касающихся обработки персональных данных, которые могут быть использованы в качестве биометрических, стоит отметить:

  • применение графической информации для пользы общества и государства, например, публикация фотографий чиновников в дополнение к отчетам об их деятельности;
  • распространение и хранение видео и фото на коммерческой основе — если человек получает оплату за публикации в СМИ или Интернете в рамках подписанного с заказчиком соглашения;
  • использование фотографий, которые были получены в общественных местах, на концертах, спортивных соревнованиях, конкурсах красоты, модных показах и т.д. Но есть одно условие — изображение человека не должно выступать в качестве основного объекта.

ФЗ-152 указывает на необходимость хранения и обработки ПДн в том объеме и в течение того количества времени, которое требуется для достижения поставленных целей.

Особенного внимания заслуживает организация процессов, связанных с обработкой биометрических данных работников.

Например, запрещено хранить на предприятии копию паспорта сотрудника, но в личном деле фотография должна присутствовать, поскольку не предназначена для идентификации человека, ведь личность уже подтверждена.

Какие российские и международные нормы защищают биометрические персональные данные?

Несмотря на активную работу в направлении обеспечения безопасности данной категории ПДн, далеко не все моменты проработаны как на федеральном, так и на международном уровне. Основополагающими регулирующими документами являются:

  • Конвенция № 108, принятая Советом Европы и ратифицированная РФ;
  • Конституция Российской Федерации (ст. 23);
  • Уголовный Кодекс РФ (ст. 272 и 137);
  • ФЗ-152;
  • КоАП;
  • Общий регламент по защите данных (GDPR).

Правила защиты биометрических персональных данных прописаны также в стандартах ISO 17799 и ISO 15489.

Детальную информацию о законодательстве в области биометрическихперсональных данных, а также рекомендации относительно создания эффективной системы их защиты согласно установленным в РФ требованиям можно получить у консультантов нашего специализированного Центра. Эксперты помогут не только разобраться в юридических особенностях, но и своевременно внести изменения в процессы обработки ПДн.

Источник: https://data-sec.ru/personal-data/biometric/

Биометрические персональные данные, нюансы и тонкости обработки

К биометрическим категориям персональных данных относятся

Применение биометрии как способа идентификации появилось еще в далеком 19-м веке. Английские колонизаторы ввели практику идентификации своих контрагентов из числа индийцев по отпечаткам пальцев и ладоней.

Метод дорабатывался в дальнейшем, но применяется и по сей день.

В этой статье мы попытаемся разобраться, что же относится к биометрическим данным и какие особенности обработки возникают у оператора при работе с данной категорией персональных данных.

Биометрические персональные данные, что это?

Для начала обратимся к определению, которое приводится в ст. 11 ФЗ-152 «О персональных данных». Биометрические персональные данные — это сведения, которые характеризуют физиологические и биологические особенности человека, и которые используются для установления личности субъекта ПД.

Исходя из разъяснений Роскомнадзора, к физиологическим данным относятся: дактилоскопические данные, радужная оболочка глаз, анализы ДНК, рост, вес, а также иные физиологические или биологические характеристики человека, в том числе изображение человека (фотография и видеозапись), которые позволяют установить его личность.

Например, цветное цифровое фотографическое изображение лица владельца паспорта является биометрическими персональными данными владельца документа. Эта норма закреплена в ПП РФ № 125 от 4 марта 2010г.

Здесь речь идет о чипе внутри первой страницы биометрического паспорта (спасибо за поправки пользователю t12589645).

В тоже время, необходимо принимать во внимание цель, которую преследует оператор при обработке персональных данных, но об этом чуть позже.

Особенности обработки биометрических персональных данных

Первое, что мы видим открыв ст. 11 ФЗ-152: « Обработка биометрических персональных данных может осуществляться только с письменного согласия субъекта ПД, в случае если данные используются для установления личности субъекта. Это основное отличие обработки данной категории ПД.

В остальном оператор должен руководствоваться общими требования 152-ФЗ, к организации обработки персональных данных. Из этого правила есть и ряд исключений, когда согласие на биометрию не требуется, они приведены в ч.2 ст.11.

Письменное согласие не требуется в случаях, когда обработка данных производится в связи:

  • с реализацией международных договоров о реадмиссии;
  • с осуществлением правосудия и исполнение судебных актов;
  • с проведением обязательной государственной дактилоскопической регистрацией;
  • в случаях, предусмотренных законодательством РФ об обороне, противодействии терроризму, о транспортной безопасности, о противодействии коррупции, оперативно-розыскной деятельности и т.д.

Помимо ч.2 ст.11 есть еще ряд исключений, регламентируемых другими нормативно-правовыми актами:

  1. Использование изображения в государственных, общественных или иных публичных интересах. Например, к таким случаем можно отнести информацию (фото или видеозапись), связанную с исполнением своих функций должностными лицами и общественными деятелями.Данное исключение зафиксировано в п.25 Постановления Пленума Верховного Суда РФ № 16 от 15 июня 2010г.
  2. Использование изображения полученного при съемке, проводимой в местах свободного посещения или на публичных мероприятиях: собраниях, концертах, спортивных соревнованиях и т.д. При этом изображение субъекта не должно быть основным объектом использования.
  3. Использование фотографий и видеозаписей, за которые гражданин получил оплату. Этот и предыдущий пункт регламентированы Статьей 152.1 ГК РФ. «Охрана изображения гражданина»

Если изображение гражданина, получено или используется без его согласия и распространено в сети «Интернет», гражданин вправе требовать удаления этого изображения, а также пресечения или запрещения дальнейшего его распространения.

Цели обработки биометрических персональных данных

В начале статьи мы выдвинули утверждение, что важно принимать во внимание цель обработки биометрических персональных данных. Давайте попробуем разобраться, почему же это имеет такое большое значение.

Для этого вернемся к разъяснениям РКН и самому определению биометрических ПД:
Биометрические персональные данные это сведения, которые характеризуют физиологические и биологические особенности человека,, и которые используются для установления личности субъекта ПД. Ключевой момент здесь: «используются для установления личности субъекта ПД».

Другими словами, если оператор использует паспорт для определения личности владельца документа, то такая обработка должна строго соответствовать требованиям ст.11 Федерального закона « О персональных данных».

Давайте разберем это на примерах: В Вашей организации используется система контроля управления доступа (СКУД) — это может быть таймформер или «аналоговый» вариант в виде сотрудника, который сверяет фотографию из базы данных и присутствующую на Вашем пропуске или паспорте.

В данном случае используются фотографии, которые являются биометрическими данными, характеризующие физиологические особенности, и целью обработки является определение личности, предъявляющей пропуск. Согласно разъяснениям Роскомнадзора, фотографии и другие биометрические сведения(отпечатки пальцев и т.д.), используемые для обеспечения однократного и/или многократного прохода на охраняемую территорию относятся к обработке биометрических персональных данных.Такая процедура должна осуществляться только с письменного согласия.

Пример неправильной обработки биометрических персональных данных

Обратимся к Определению Верховного Суда РФ от 05.03.2018 № 307-КГ18-101

По итогам проверки Роскомнадзор выписал предписание организации(бассейну) с требованием прекратить использование фотографий клиентов на пропусках. Нарушение заключалось в отсутствии отдельного письменного согласия посетителей на обработку их биометрических данных, а именно фотографий. Доводы приводимые оператором персональных данных, о том что:

  • Посетители давали общее согласие на обработку ПД,
  • Посетители добровольно прикрепляли фото к пропускам
  • ПП РФ № 125 не упоминает фото на бумажном носителе, а говорит только о «цветном цифровом фотографическом изображении»

не нашли понимание у судей и требования предписания остались в силе.

Правильные цели обработки биометрических персональных данных

Вернемся к разъяснениям Роскомнадзора, в которых приведены случаи, когда биометрические данные могут обрабатываться в соответствии с общими требованиями ФЗ «О персональных данных».

Например, Вы приходите в банк или поликлинику, там у Вас также могут спросить паспорт и отсканировать его или снять копию. Но в этом случае целью будет являться подтверждение осуществления действий конкретным лицом (заключение договора на оказание услуг, банковских, услуг связи и т.д.

) без проведения процедур установления личности. Такие действия уже не будут классифицироваться как обработка биометрических персональных данных. Соответственно, обработка данных должна осуществляться в соответствии с общими требованиями, установленными ФЗ-152.

Достаточно тонкая грань, но при этом являющаяся очень значимым моментом, который может привести к штрафным санкциям.

Личное дело сотрудника

Также биометрическими персональными данными не является фотография сотрудника, хранящаяся в личном деле и подпись работника. Т.к. все действия, которые совершает работодатель, используя данные из личного дела, направлены на подтверждение их принадлежности конкретному физическому лицу.

При этом личность работника уже определена и его персональные данные уже имеются у работодателя.

При этом хранить копию паспорта считается правонарушением, т.к.

согласно Статье 65 Трудового кодекса Российской Федерации перечень персональных данных хранимый работодателем не определен, а данная статья определяет перечень данных, которые работник предъявляет при заключении трудового договора. К ним, в частности, относится и паспорт, как документ определяющий личность.

Хранение же копии паспорта может классифицироваться как избыточные действие по отношению к заявленным целям их обработки. Здесь в качестве примера приведу пример из кассационной инстанции Северо-Кавказкого округа.

съемка в общественных местах

В том случае, если на охраняемой территории или в публичных местах ведется видеосъемка, эти данные также не могут считаться биометрическими ПД, поскольку владелец видеокамеры не использует их для идентификации конкретного человека. Биометрическими эти данные могут стать, в случае передачи их в правоохранительные органы и если переданные видеоматериалы будут использоваться для определения личности конкретного физического лица.

На что стоит обратить внимание оператору организующему такую видеосъемку?

Оператор в таком случае должен проинформировать посетителей о том, что в данном месте ведется фото-, видеосъемка. Это может быть текстовая табличка или специализированная наклейка, специальных требований к оформлению не предъявляется.

В том случае, если Вы выполнили это простое требование, то согласие посетителей на проведение таких мероприятий не требуется.

Если же Вы установили видеонаблюдение в рабочих помещениях, то не забудьте проинформировать работников об этом. Уведомлять нужно обязательно под роспись.

Данное требования закреплено в Трудовом кодексе РФ ст. 74 и заключается в изменении условий трудового договора.

Цели организации видеонаблюдения

Повторю это еще раз, определение целей обработки – одна из ключевых задач оператора. И организация видеонаблюдения не является исключением. Цели должны быть определены заранее и иметь правовое обоснование.

Например, если видеонаблюдение ведется в офисе, то это может быть: «Фиксация возможных действий противоправного характера». В медицинских учреждениях или на производстве продуктов питания целью может быть: «Обеспечение прав пациентов, клиентов или потребителей».

Наверняка, заказывая пиццу, Вы сталкивались с возможностью наблюдать за ее приготовлением по средствам вебкамер, направленных на рабочие места. При этом данный процесс должен быть отражен во внутренней документации оператора. Должен быть определен ответственный, имеющий доступ к системе видеонаблюдения.

Обычно это закрепляется приказом. Помимо этого необходимо предусмотреть порядок и сроки хранения видеозаписей, а также порядок их удаления. Само собой не забываем про информационные таблички.

Самое важное в одном абзаце

Подводя итог, еще раз хочется остановиться на самых важных моментах. Внимательно прочитайте ч.2 ст. 11 ФЗ-152 «О персональных данных» и во всех случаях, не попадающих под них, собирайте согласие на обработку биометрических персональных данных в письменном виде. Заранее определяйте цели обработки и строго придерживайтесь их.

Не собирайте избыточную информацию. В случае, если Вы не знаете как трактовать то или иное требование закона, обратитесь к разъяснениям РКН или напишите им обращение с Вашим вопросом.

про самые распространенные ошибки, оформлению Согласия на обработку персональных данных можно посмотреть на ютуб канале ПДМастер, также как и другие полезные материалы по тематике «Персональные данные».

Хабы:

  • Информационная безопасность

Источник: https://habr.com/ru/post/508744/

Поделиться:
Нет комментариев

    Добавить комментарий

    Ваш e-mail не будет опубликован. Все поля обязательны для заполнения.