Биометрические персональные данные

Осуществляя операции с ПДн, компании и предприниматели часто сталкиваются с необходимостью правильной обработки и защиты биометрических персональных данных. Это случается, прежде всего, из-за непонимания сути биометрии и незнания законодательных аспектов регулирования на международном уровне и в пределах РФ. По мере интеграции новых технологий сбора, хранения, распространения, уничтожения, изменения личной информации проблема становится все более серьезной и актуальной не только для больших фирм, но и для среднего и малого бизнеса. Чтобы минимизировать риск штрафных санкций от Роскомнадзора, ухудшения деловой репутации и судебных разбирательств, необходимо разобраться:

• какие персональные данные являются биометрическими, на какие разновидности они делятся;
• как должна быть организована обработка сведений;
• на какие правовые нормы опираться при организации СЗПДн.

Что относится к биометрическим данным человека в соответствии с ФЗ-152?

Для того чтобы идентифицировать гражданина, можно использовать различные способы и источники информации. Что такое биометрические ПДн? Это совокупность сведений о человеке, которые касаются его физиологических и поведенческих отличий, и на основании которых возможно подтвердить личность, управлять и контролировать доступ (например, к банковской ячейке, помещениям с ограниченным входом и т.д.). Полный список представлен в Федеральном Законе № 152. Он включает:

• генный код (ДНК);
• отпечатки пальцев на руках и ногах;
• рисунок сетчатки глаза;
• овал и строение лица и т.п.

Вопреки расхожему мнению видеоизображения и фотографии (в том числе те, которые присутствуют в паспорте, личном деле работника или служебном пропуске и т.п.) не являются биометрическими персональными данными, т.к. они не используются для установления личности, а только лишь подтверждают их принадлежность конкретному субъекту, чья личность уже определена.

Что касается УЗИ, КТ, МРТ, рентгеновских снимков, находящихся в медицинской карте субъекта, то они переходят в категорию биометрических только при использовании следственными органами в целях определения личности нарушителя, свидетеля, пострадавшего по административному, гражданскому или криминальному делу. Таким образом, выделение таких ПДн носит условный характер, а правила использования, хранения и совершения других операций напрямую зависят от целей оператора. Помимо идентификации биометрия выполняет функцию верификации. Уникальность данных позволяет с максимальной точностью установить, является ли человек именно тем, кем себя называет — даже у однояйцевых близнецов радужная оболочка глаз отличается, также как и дактилоскопические данные.

Что такое биометрические персональные данные в Интернете?

Закон не выделяет такие ПДн в отдельную группу, соответственно, в их отношении действуют все требования в плане обработки и защиты, что предусмотрены в ФЗ-152. При обнаружении факта несанкционированного использования субъект имеет полное право:

• потребовать удаления персональных данных из Сети;
• добиться пресечения и запрета на последующее использование личных сведений;
• получить компенсацию за моральный/материальный ущерб в судебном порядке;
• обратиться в контролирующие госструктуры для выяснения обстоятельств дела и защиты прав на изменение ПДн, хранение, передачу третьим лицам, копирование, уничтожение.

Важные нюансы обработки биометрических персональных данных

Основное условие легального проведения операций, связанных с идентификацией по ПДн работников, клиентов, бизнес-партнеров — наличие письменного разрешения владельца. Без него обрабатывать информацию запрещено. Впрочем, закон о защите персональных данных позволяет не получать на биометрию согласие в письменном виде, если:

• исполняется судебное решение;
• осуществляется разбирательство по уголовному, административному, гражданскому делу;
• производится регистрация в рамках обязательной государственной процедуры (получение заграничного или российского паспорта);
• проводятся действия в рамках международных соглашений о реадмиссии;
• речь идет о выполнении задач по обороне государства, предупреждению террористических актов, поддержанию транспортной безопасности и т.п.

Среди других исключений, касающихся обработки персональных данных, которые могут быть использованы в качестве биометрических, стоит отметить:

• применение графической информации для пользы общества и государства, например, публикация фотографий чиновников в дополнение к отчетам об их деятельности;
• распространение и хранение видео и фото на коммерческой основе — если человек получает оплату за публикации в СМИ или Интернете в рамках подписанного с заказчиком соглашения;
• использование фотографий, которые были получены в общественных местах, на концертах, спортивных соревнованиях, конкурсах красоты, модных показах и т.д. Но есть одно условие — изображение человека не должно выступать в качестве основного объекта.

ФЗ-152 указывает на необходимость хранения и обработки ПДн в том объеме и в течение того количества времени, которое требуется для достижения поставленных целей. Особенного внимания заслуживает организация процессов, связанных с обработкой биометрических данных работников. Например, запрещено хранить на предприятии копию паспорта сотрудника, но в личном деле фотография должна присутствовать, поскольку не предназначена для идентификации человека, ведь личность уже подтверждена.

Какие российские и международные нормы защищают биометрические персональные данные?

Несмотря на активную работу в направлении обеспечения безопасности данной категории ПДн, далеко не все моменты проработаны как на федеральном, так и на международном уровне. Основополагающими регулирующими документами являются:

• Конвенция № 108, принятая Советом Европы и ратифицированная РФ;
• Конституция Российской Федерации (ст. 23);
• Уголовный Кодекс РФ (ст. 272 и 137);
• ФЗ-152;
• КоАП;
• Общий регламент по защите данных (GDPR).

Правила защиты биометрических персональных данных прописаны также в стандартах ISO 17799 и ISO 15489.

Детальную информацию о законодательстве в области биометрических персональных данных, а также рекомендации относительно создания эффективной системы их защиты согласно установленным в РФ требованиям можно получить у консультантов нашего специализированного Центра. Эксперты помогут не только разобраться в юридических особенностях, но и своевременно внести изменения в процессы обработки ПДн.