Осуществляя операции с ПДн, компании и предприниматели часто сталкиваются с необходимостью правильной обработки и защиты биометрических персональных данных. Это случается, прежде всего, из-за непонимания сути биометрии и незнания законодательных аспектов регулирования на международном уровне и в пределах РФ. По мере интеграции новых технологий сбора, хранения, распространения, уничтожения, изменения личной информации проблема становится все более серьезной и актуальной не только для больших фирм, но и для среднего и малого бизнеса. Чтобы минимизировать риск штрафных санкций от Роскомнадзора, ухудшения деловой репутации и судебных разбирательств, необходимо разобраться:
- какие персональные данные являются биометрическими, на какие разновидности они делятся;
- как должна быть организована обработка сведений;
- на какие правовые нормы опираться при организации СЗПДн.
Что относится к биометрическим данным человека в соответствии с ФЗ-152?
Для того чтобы идентифицировать гражданина, можно использовать различные способы и источники информации. Что такое биометрические ПДн? Это совокупность сведений о человеке, которые касаются его физиологических и поведенческих отличий, и на основании которых возможно подтвердить личность, управлять и контролировать доступ (например, к банковской ячейке, помещениям с ограниченным входом и т.д.). Полный список представлен в Федеральном Законе № 152. Он включает:
- генный код (ДНК);
- отпечатки пальцев на руках и ногах;
- рисунок сетчатки глаза;
- овал и строение лица и т.п.
Вопреки расхожему мнению видеоизображения и фотографии (в том числе те, которые присутствуют в паспорте, личном деле работника или служебном пропуске и т.п.) не являются биометрическими персональными данными, т.к. они не используются для установления личности, а только лишь подтверждают их принадлежность конкретному субъекту, чья личность уже определена.
Что касается УЗИ, КТ, МРТ, рентгеновских снимков, находящихся в медицинской карте субъекта, то они переходят в категорию биометрических только при использовании следственными органами в целях определения личности нарушителя, свидетеля, пострадавшего по административному, гражданскому или криминальному делу. Таким образом, выделение таких ПДн носит условный характер, а правила использования, хранения и совершения других операций напрямую зависят от целей оператора. Помимо идентификации биометрия выполняет функцию верификации. Уникальность данных позволяет с максимальной точностью установить, является ли человек именно тем, кем себя называет — даже у однояйцевых близнецов радужная оболочка глаз отличается, также как и дактилоскопические данные.
Что такое биометрические персональные данные в Интернете?
Закон не выделяет такие ПДн в отдельную группу, соответственно, в их отношении действуют все требования в плане обработки и защиты, что предусмотрены в ФЗ-152. При обнаружении факта несанкционированного использования субъект имеет полное право:
- потребовать удаления персональных данных из Сети;
- добиться пресечения и запрета на последующее использование личных сведений;
- получить компенсацию за моральный/материальный ущерб в судебном порядке;
- обратиться в контролирующие госструктуры для выяснения обстоятельств дела и защиты прав на изменение ПДн, хранение, передачу третьим лицам, копирование, уничтожение.
Важные нюансы обработки биометрических персональных данных
Основное условие легального проведения операций, связанных с идентификацией по ПДн работников, клиентов, бизнес-партнеров — наличие письменного разрешения владельца. Без него обрабатывать информацию запрещено. Впрочем, закон о защите персональных данных позволяет не получать на биометрию согласие в письменном виде, если:
- исполняется судебное решение;
- осуществляется разбирательство по уголовному, административному, гражданскому делу;
- производится регистрация в рамках обязательной государственной процедуры (получение заграничного или российского паспорта);
- проводятся действия в рамках международных соглашений о реадмиссии;
- речь идет о выполнении задач по обороне государства, предупреждению террористических актов, поддержанию транспортной безопасности и т.п.
Среди других исключений, касающихся обработки персональных данных, которые могут быть использованы в качестве биометрических, стоит отметить:
- применение графической информации для пользы общества и государства, например, публикация фотографий чиновников в дополнение к отчетам об их деятельности;
- распространение и хранение видео и фото на коммерческой основе — если человек получает оплату за публикации в СМИ или Интернете в рамках подписанного с заказчиком соглашения;
- использование фотографий, которые были получены в общественных местах, на концертах, спортивных соревнованиях, конкурсах красоты, модных показах и т.д. Но есть одно условие — изображение человека не должно выступать в качестве основного объекта.
ФЗ-152 указывает на необходимость хранения и обработки ПДн в том объеме и в течение того количества времени, которое требуется для достижения поставленных целей. Особенного внимания заслуживает организация процессов, связанных с обработкой биометрических данных работников. Например, запрещено хранить на предприятии копию паспорта сотрудника, но в личном деле фотография должна присутствовать, поскольку не предназначена для идентификации человека, ведь личность уже подтверждена.
Какие российские и международные нормы защищают биометрические персональные данные?
Несмотря на активную работу в направлении обеспечения безопасности данной категории ПДн, далеко не все моменты проработаны как на федеральном, так и на международном уровне. Основополагающими регулирующими документами являются:
- Конвенция № 108, принятая Советом Европы и ратифицированная РФ;
- Конституция Российской Федерации (ст. 23);
- Уголовный Кодекс РФ (ст. 272 и 137);
- ФЗ-152;
- КоАП;
- Общий регламент по защите данных (GDPR).
Правила защиты биометрических персональных данных прописаны также в стандартах ISO 17799 и ISO 15489.
Детальную информацию о законодательстве в области биометрических персональных данных, а также рекомендации относительно создания эффективной системы их защиты согласно установленным в РФ требованиям можно получить у консультантов нашего специализированного Центра. Эксперты помогут не только разобраться в юридических особенностях, но и своевременно внести изменения в процессы обработки ПДн.