Что нужно знать о биометрических персональных данных

Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Что нужно знать о биометрических персональных данных». Если у Вас нет времени на чтение или статья не полностью решает Вашу проблему, можете получить онлайн консультацию квалифицированного юриста в форме ниже.

Не так давно такое понятие, как биометрические данные было известно только небольшой группе людей. Сегодня оно пребывает на общем слуху. Всем интересно, что это такое, и как персональные данные могут быть использованы. Биометрические данные – это перечень характеристик биологического и физиологического характера. Эти данные отличаются у каждого человека. Они индивидуальны и не повторяются даже у очень похожих внешне людей. Именно потому биометрический материал используется для установления личности человека.

Кто и зачем собирает биометрию

Собирать биометрию начали не ради чипирования людей, как опасаются многие граждане, которые не знают, что собой представляет эта технология. Да, эти данные будут использоваться для идентификации человека, но только в цифровом формате. Это невероятно удобно, в первую очередь, для человека.

Теперь не придется стоять долгие очереди и собирать сотни бумажек, чтобы получить какой-то банковскую или любую другую услугу. Все можно сделать удаленно, а чтобы подтвердить свою личность, достаточно биометрическихданных, обработка которых может заменить недельную бумажную волокиту. Они только ваши, поэтому получить доступ к сведениям не сможет никто кроме вас. И не нужны никакие дополнительные защитные функции и т.п.

Рассмотрим для примера один из самых распространенных случаев – когда гражданин берет кредит. Раньше, чтобы одолжить в банке деньги, нужно было прийти в банк, принести не одну сотню бумажек. Это стоило времени и усилий. Благодаря биометрии процедура стала доступной удаленно.

Ещё одно очень важное преимущество биометрии – упрощенная процедура поездок в другие страны. Например, с биометрическими документами не нужно стоять на паспортном контроле. Биометрический документ – персональный. Его невозможно подделать. В некоторых странах уже можно не проходить контроль, если у вас есть биометрический паспорт.

Чтобы пройти процедуру и легально передвигаться по стране, потребуется подойти к датчику (это специальный прибор). Приложите к нему персональный биометрический паспорт. Теперь нужно отсканировать сетчатку глаза. Если система считала ваши данные, и человек попал в страну легально, он может свободно идти куда захочет.

Биометрия – это способ получать услуги быстрее и безопаснее, используя персональный набор физиологических качеств. Пока технология только набирает популярность, но происходит это стремительно. Придется в скором темпе адаптироваться.

Что не является биометрическими ПДн?

Не относятся к биометрическим данным фото в личном деле сотрудника, подпись и почерк. Происходит это по тому, что их анализ направлен на подтверждение принадлежности человеку, который уже идентифицирован в информационной системе.

Также не причисляют к биометрическим ПДн флюорографические и рентгеновские снимки, которые находятся в историях болезней, потому что их используют для установления болезни, а не личности. Исключением являются случаи, когда снимки используются в рамках следствия.

Тот же принцип действует для видеоматериалов, снятых на охраняемой территории и в публичных местах. Пока они не служат для установления личности, биометрическими они не являются.

Хранение и защита биометрических данных

Согласно 152-ФЗ персональные сведенья могут храниться не дольше, чем этого требуют цели их обработки, после чего они должны быть удалены или обезличены. Храниться биометрия может в информационных системах (далее – ИС), либо же вне ИС на материальных носителях информации (далее – МНИ). К МНИ могут относиться флешки, диски и т. д. Важно указать, что бумажные носители не являются МНИ.

В случаи использования МНИ, к ним и к технологиям хранения должны применяться требования защиты. Данные требования приведены в Постановлении от 6 июля 2008 г. №512 (далее – П 512).

МНИ должны обеспечивать:

• невозможность НСД;
• идентификацию ИС, в которую была записана данная биометрия;
• доступ к данным для уполномоченных лиц;
• защиту от несанкционированного изменения, записи или дополнения.

Технологии хранения биометрии вне ИС должны обеспечивать:

• доступ к данным для уполномоченных лиц;
• применение электронной цифровой подписи или других технологий для обеспечения целостности и неизменности данных на МНИ;
• проверку наличия согласия субъекта на обработку биометрии.

Основной сферой, в которой актуально использование биометрических ПДн, является банковская сфера. В банке может быть развернута так называемая Единая биометрическая система (далее – ЕБС). Это совсем небольшой выделенный сегмент в организации, в котором происходит сбор, обработка и хранение биометрии. Все данные из ЕБС передаются в Единую систему идентификации и аутентификации (далее – ЕСИА).

Защита биометрических данных и закон

ЕБС необходимо защищать в соответствии с 321 Приказом Минкомсвязи (далее – 321 Приказ). В нем содержатся правила обработки биометрии, размещения и обновления, а также требования к информационным технологиям и техническим средствам, которые собирают и обрабатывают данные. Биометрические образцы нельзя снимать подручными средствами, данный Приказ определяет характеристики для изображения лица и голоса субъекта ПДн.

Обязательным условием сдачи биометрии является регистрация физического лица, которое сдает свою биометрию, в ЕСИА. Если лицо там не зарегистрировано, то организация предлагает это сделать, при наличии заявления, прямо на месте.

Произвести обновление биологической персональной информации можно по предложению самого физического лица, а также по истечению 3-х лет с момента предоставления свидетельств.

Если вашу биометрию кто-то уже собирал, она попадет в систему автоматом

В последние годы многие коммерческие и государственные организации собирали образцы изображений лиц и голосов граждан. Вас ведь фотографировали в банках? Вы слышали по телефону предупреждения «В целях безопасности… бла-бла-бла… разговор записывается»?

В таком случае знайте: все эти файлы будут переданы в государственную Единую биометрическую систему автоматически (статья 4, пункт 14).

Но следующая статья 15 говорит, что вас обязаны уведомить о передаче и размещении в ЕБС ваших данных не позднее, чем за 30 дней до ее осуществления. Форма уведомления, к сожалению, подробно не прописана. Сказано лишь: «в любой, позволяющей подтвердить факт получения уведомления, форме о таком размещении».

Хорошая новость — если вы не прохлопаете уведомление «в любой форме», то сможете опротестовать передачу своей биометрии. Не очень хорошая новость — закон упоминает некое «возражение», но не уточняет, как именно гражданин должен возражать тому, кто прислал уведомление.

Однако, если вы прошляпили момент, когда размещение ваших данных в ЕБС можно было опротестовать или не поняли, как это нужно было делать, вы сможете исправить ситуацию.

Закон позволяет гражданину обратиться в любой МФЦ (центр «Мои документы») или напрямую к Оператору Единой биометрической системы с заявлением об удалении и уничтожении своих биометрических данных.

Внимание: ждать уведомления стоит уже в следующем году. Организации всех форм собственности, ранее собиравшие биометрические данные россиян, будут обязаны передать их в Единую биометрическую систему в срок до 30 сентября 2023 года.

После передачи данных частники и госорганы будут обязаны уничтожить их копии, хранимые в собственных системах, и в течение 30 дней отчитаться об этом.

Что такое биометрические данные и где они используются

Начну с терминов: биометрические данные и биометрия – это не одно и то же, хотя часто под этими понятиями подразумевают уникальную информацию о человеке на основе его биологических характеристик. Однако, статья 11 федерального закона РФ от 27.07.2006 N 152-ФЗ «О персональных данных» дает четкое определение, что биометрические персональные данные (БПД) – это сведения, которые характеризуют физиологические и биологические особенности человека, на основании чего можно установить его личность [1]. Выделяют 2 основные категории биометрических данных [2]:

• физиологические, которые относятся к телу, например, отпечатки пальцев или ладоней, рисунок вен руки, лицо, ДНК, сетчатка глаз, запах, голос;
• поведенческие, связанные с поведением (походка, особенности речи).

Подводя итог текущему состоянию биометрии в России и за рубежом, можно сделать следующие выводы:

• использование БПД в качестве основных идентификаторов личности в информационных и киберфизических системах – реальный тренд ближайшего будущего;
• биометрические системы стирают границы между общественными пространствами и частной жизнью, оставляя человеку все меньше возможностей быть неузнанным и сохранить свои действия в тайне;
• государство и бизнес получают больше контроля за своими гражданами и пользователями, нарушая их право на приватность;
• современные технические и организационные меры cybersecurity пока не могут в полной мере обеспечить информационную безопасность и защиту БПД.

В нашу редакцию приходят письма от читателей. Приведём последние написанные ими отзывы:

Лично я, с недоверием отношусь к подобному нововведению. Конечно, я понимаю, что года через 2 свои данные все же придется предоставить. Но пока система еще довольно сырая, нет гарантии что она не сломается и данные не попадут в чужие руки, я предоставлять свои данные не собираюсь. Мне несложно взять с собой паспорт и заполнить нужные документы на месте.

Данил, 32 года, Москва

Я в числе первых решил предоставить свои данные для биометрической базы. Для меня это огромный шаг в будущее. Я считаю, что банкам давно нужно было внедрять такую практику, ведь для того чтобы тебя идентифицировали достаточно будет назвать свое Имя и Отчество, а система уже предоставит о тебе данные из базы. Это современно и прогрессивно.

Можно ли удалить свои биометрические данные из ЕБС?

Согласно закону о персональных данных ст. 9 ч. 2, за каждым гражданином остается право отозвать согласие на предоставление персональной информации и хранение иных данных. Соответственно биометрическую информацию можно отозвать из банка. Для этого потребуется составить заявление в организацию, где происходила сдача биометрики. Рекомендуется заполнить документ от руки.

Чтобы не переделывать документ и ускорить удаление данных в ЕБС, важно соблюсти несколько правил заполнения:

• в правой верхней части листа указывается полное название организации, юридический адрес, где были взяты биометрические образцы;
• далее указываются ФИО, паспортные данные гражданина;
• в обращении необходимо запросить ответ на заявление.

Простой документ решает проблему с хранением биометрических данных в базе ЕБС. Рекомендуется подавать заявление в двух экземплярах. Первый направляется в организацию, а второй остается у заявителя (в обязательном порядке потребовать проставление исходящего номера обращения).

На основании ФЗ-152, организация обязана удалить хранящиеся данные в течение 30 дней с момента получения заявления. Дальнейшее хранение персональных и биометрических данных возможно только на основании судебного постановления.

Важно обратить внимание, что после отзыва биометрических данных, при дальнейшем использовании персональных данных не возникает проблем. Можно получать справки и делать запросы в ПФР, налоговую или органы медстрахования.

Принципы работы с биометрическими данными

Защита биометрических персональных данных заключается прежде всего в том, что их обработка производится только при наличии письменного согласия лица, которому они принадлежат (п. 1 ст. 11 закона № 152-ФЗ).

Без такого согласия они могут обрабатываться:

• в связи с реализацией международных договоров РФ о реадмиссии (от англ. to readmit — «принимать назад», т. е. о приеме на свою территорию своих граждан, подлежащих депортации из другой страны);
• осуществлением обязательной дактилоскопической регистрации;
• осуществлением правосудия и выполнением судебных решений;
• в других случаях, установленных законом.

Разбираясь в вопросе: фотография это персональные данные или нет, нужно помнить, что под персданными понимается любая информация, прямо или косвенно относящаяся к конкретному физическому лицу, говоря языком закона – субъекту персональных данных (п. 1 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ).

Понятно, что по фотоизображению можно идентифицировать человека, так как фотография является способом подачи информации путем визуального восприятия. Получается, что фотография является персональными данными по закону. Следовательно, работая с фото сотрудников, нужно придерживаться обязательных правил работы с данной информацией.

На практике компания должна получить разрешение на манипуляции с фотографией работника. Например, размещая информацию о нем на официальном сайте организации в интернете, на доске почета или бейджике. Ведь фотография – это биометрические данные (определение Верховного суда от 05.03.2018 № 307-КГ18-101). Таким образом, мы разобрались с вопросом: фотография персональные данные или нет.

Конфиденциальны ли биометрические данные?

Когда речь заходит о биометрических данных, существует серьезная озабоченность по поводу конфиденциальности. Некоторые из основных проблем, выявленных с помощью биометрических данных, включают в себя следующие:

• Любой сбор данных в конечном итоге может быть взломан. Некоторые данные могут быть особенно привлекательной мишенью для хакеров.
• Биометрия может стать настолько обычным делом, что люди могут потерять бдительность. Многие перестанут использовать те меры безопасности, которые они используют сегодня, потому что будут думать, что биометрия решит все их проблемы безопасности.
• Данные, хранящиеся в биометрической базе данных, могут быть более уязвимыми, чем любые другие виды данных. Вы можете изменить пароли, но не сможете изменить свой отпечаток пальца или радужную оболочку. Это означает, что после взлома биометрических данных они могут находиться под контролем других людей.
• Некоторые фрагменты вашей физической личности могут быть продублированы. Например, преступник может сделать снимок вашего уха с высоким разрешением издалека или скопировать ваши отпечатки пальцев со стакана, который вы оставли в кафе. Эта информация может быть использована для взлома ваших устройств или учетных записей.

Указания и Положения Банка России

• Указание Банка России от 16.12.2021 №6018-У «О перечне угроз безопасности, актуальных при обработке биометрических персональных данных, их проверке и передаче информации о степени их соответствия предоставленным биометрическим персональным данным физического лица в информационных системах организаций финансового рынка, осуществляющих идентификацию и (или) аутентификацию с использованием биометрических персональных данных физических лиц, за исключением единой биометрической системы, а также актуальных при взаимодействии организаций финансового рынка, иных организаций, индивидуальных предпринимателей с указанными информационными системами».
• Указание Банка России от 17.10.2018 №4933-У «О порядке осуществления Банком России надзора за соблюдением банками порядка размещения и обновления в электронной форме в единой системе идентификации и аутентификации сведений, необходимых для регистрации в ней клиента – физического лица, и сведений, предусмотренных абзацем вторым подпункта 1 пункта 1 статьи 7 Федерального закона от 7 августа 2001 года № 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма», а также в единой информационной системе персональных данных, обеспечивающей сбор, обработку, хранение биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным физического лица, биометрических персональных данных».
• Указание Банка России и ПАО «Ростелеком» от 09.07.2018 №4859-У/01/01/782-18 «О перечне угроз безопасности, актуальных при обработке, включая сбор и хранение, биометрических персональных данных, их проверке и передаче информации о степени их соответствия предоставленным биометрическим персональным данным гражданина Российской Федерации в государственных органах, банках и иных организациях, указанных в абзаце первом части 1 статьи 14.1 Федерального закона от 27 июля 2006 года №149-ФЗ «Об информации, информационных технологиях и о защите информации», в единой биометрической системе».
• Информационное письмо Банка России от 28 июня 2018 г. №ИН-03-13/40 «Об особенностях применения мер к банкам при совершении ими действий, предусмотренных пунктом 5.6 статьи 7 Федерального закона от 7 августа 2001 года N 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма”.
• Методические рекомендации Банка России от 14 февраля 2019 г. №4-МР по нейтрализации банками угроз безопасности, актуальных при обработке, включая сбор и хранение, биометрических персональных данных, их проверке и передаче информации о степени их соответствия предоставленным биометрическим персональным данным гражданина Российской Федерации.

Мнение общественности

Сейчас очень активно внедряется биометрия идентификации личности по паспорту. Цифровое изображение, вшитое в чип любого документа, будет не только сообщать о человеке стандартные данные, но также предоставлять целый пакет информации, которая была собрана. Некоторые опасаются внедрения биометрических паспортов, так как это напоминает тотальный контроль.

Обычному человеку практические невозможно проконтролировать использование биометрических данных – всё, что остаётся, – это поверить на слово, что они надежно защищены. Следует помнить, что инновационные чипы предполагают даже то, что человека можно отследить по его месту нахождения, в дистанционном режиме узнать о его физическом состоянии, а также получить полную информацию о том, чем субъект занят в определённый период времени.

Похожие записи:

• Налоги с иностранных работников в 2023 году
• Проект брачного договора в 2023 году
• Какие выплаты положены при рождении третьего ребенка в 2023 году в Чернобыльской зоне