Согласие на обработку биометрических персональных данных

Несмотря на постоянное усовершенствование законодательной базы в сфере обработки и защиты ПДн, на практике у операторов из-за нечеткости формулировок и противоречащих друг другу требований возникает масса сложностей. Есть ли необходимость получать согласие на обработку биометрических персональных данных? Что делать в случае отзыва? Как не быть оштрафованным из-за нарушения ФЗ-152? На каком этапе интегрировать механизм заполнения заявления при ведении бизнеса онлайн? На все перечисленные вопросы обязательно нужно найти ответы, чтобы грамотно организовать работу предприятия, завоевать доверие клиентов и избежать штрафов.

Зачем нужен документ и кто его должен подписывать?

В Федеральном законе № 152-ФЗ четко прописано, что для осуществления любых операций с биометрическими ПДн компании или предпринимателю необходимо получить согласие на обработку, хранение биометрических данных. При отсутствии разрешения на использование личной информации оператора могут оштрафовать, заблокировать его интернет-ресурс, а в отдельных случаях привлечь к гражданской ответственности, например, в случае причинения вреда гражданину. Помимо этого, наличие подписанных субъектами заявлений является свидетельством того, что вы нацелены на ведение бизнеса в рамках правового поля, что, в свою очередь, увеличивает лояльность целевой аудитории и улучшает имиджевую составляющую.

Но нужно помнить, интеграция механизма заполнения бланка согласия — это только часть мероприятий, направленных на обеспечение защиты ПДн на предприятии. Важно не только подтвердить законность хранения, копирования, изменения, распространения сведений, но и сделать так, чтобы биометрия использовалась в соответствии с поставленными целями и не дольше, чем нужно для их достижения.

Действующими нормативами российского законодательства предусмотрена необходимость заполнения заявления о согласии на обработку биометрических персональных данных во всех случаях, за исключением:

• операций на основе реализации международных соглашений РФ о реадмиссии;
• когда передача ПДн происходит в рамках выполнения государственных регистрационных действий в рамках оформления заграничных паспортов нового поколения;
• судебного производства, оперативно-разыскных и следственных действий;
• при проведении обязательной государственной дактилоскопической регистрации;
• а также в случаях, предусмотренных законами о государственной безопасности, об обороне, о борьбе с терроризмом и т.п.

Правовые нюансы

В 2018 году Правительством России была утверждена форма согласия на использование биометрических персональных данных, которая определила новые требования к операторам. В документе предписаны следующие моменты:

• подписание заявления осуществляется в отношении сразу 2 систем: Единой ИСПДн и ЕСИА;
• перечень ПДн, на использование которых нужно согласие;
• полученные сведения автоматически передаются в Ростелеком и непосредственному оператору (ИП, ООО и т.д.);
• максимальный срок хранения — 50 лет;
• предусматривается как автоматизированная, так и неавтоматизированная обработка информации, а также разрешение на выполнение проверки для подтверждения её правдивости и полноты;
• у гражданина есть возможность отозвать документ — для этого следует лично обратиться или переслать соответствующее заявление почтой (при наличии ЭЦП это можно сделать в электронном формате);
• даже после отзыва оператор вправе продолжать обработку, если имеются основания, прописанные во второй части 9 статьи ФЗ-152.

В 2019 году в изначальные правила были внесены изменения после вступления в силу правительственного Распоряжения № 2063-р. Наиболее существенными среди них можно назвать следующие:

1. Список обрабатываемых ПДн, как и предусмотрено ФЗ № 152, стал закрытым.
2. Вместо размытой формулировки, описывающей биометрические данные, на обработку которых дается согласие, появилось конкретное объяснение видов ПДн и целей их получения.
3. Сообщать идентификационный номер налогоплательщика нужно только в том случае, если он у субъекта есть.
4. В документе исчез пункт, где прописывалось применение информации для предоставления муниципальных, государственных услуг.
5. В новой версии отсутствует временное ограничение хранения сведений — это значит, что без отзыва владельца ПДн можно сохранять вечно.
6. Присутствует упоминание о разрешении обрабатывать контактные данные.
7. Предусмотрено делегирование полномочий по сбору, блокировке, уточнению, коррекции, копированию и уничтожению другим лицам (на основании договора либо поручения).

Как действовать, если нужно согласие на обработку персональных и биометрических данных

Озаботиться вопросом легализации процессов, связанных с использованием ПДн, на практике приходится всем ИП и предприятиям. Но не все понимают, что нужно подготовить целый пакет документов и осуществить ряд организационных действий, чтобы защитить личную информацию работников и клиентов. Сократить время и избежать ошибок удастся, доверившись специалистам нашего центра, которые досконально разбираются в законодательстве и могут оказать профессиональную помощь на любом этапе формирования и оптимизации СЗПДн.

Основные действия, которые необходимо выполнить для того, чтобы деятельность была организована в соответствии со статьями ФЗ-152 и подзаконными актами:

• составление текста политики обработки и защиты информации, а также согласия на обработку персональных биометрических данных;
• разработка внутренних распоряжений относительно заполнения и хранения документов (приказ об утверждении), назначения ответственных за защиту ПДн лиц;
• публикация на официальном сайте и/или в мобильном приложении, распечатка для предоставления по запросу проверяющих служб;
• включение в каждую онлайн-форму, где нужно вводить сведения о себе, ссылки на пользовательское соглашение и графу с подтверждением согласия на использование ПДн.

Отдельно следует продумать систему защиты, чтобы избежать несанкционированного доступа.

Образец согласия на обработку биометрических данных: основные пункты документа

Пример установленной законодательством формы можно найти на официальных сайтах государственных органов, также в Сети есть множество заполненных примеров. Чтобы документ имел юридическую силу, подавать на подпись его необходимо до факта передачи ПДн, при этом в его структуре обязательно должны присутствовать следующие пункты:

• полное Ф.И.О. и собственноручная подпись заявителя;
• год, месяц и число подписания;
• нормативно-правовая база;
• серия, номер, орган и дата выдачи гражданского паспорта (для детей предоставляются сведения из свидетельства о рождении);
• место проживания (не обязательно то, где зарегистрирован гражданин);
• представитель (при наличии) и реквизиты документа, подтверждающего его права действовать от имени субъекта ПДн;
• информация об операторах, которым на обработку передаются личные данные;
• цели обработки ПДн и биометрии;
• список сообщаемой информации;
• описание действий с передаваемыми сведениями;
• срок действия согласия и механизм отзыва документа;
• подтверждение об ознакомлении с ФЗ-152 и разъяснение способов защиты биометрических данных.