Биометрические данные: понятие и правила обработки

Любые персональные данные позволяют идентифицировать определенного человека, например, его год рождения, адрес, номер паспорта. Но есть специальный вид ПД, который позволяет установить личность с помощью его физиологии и биологических характеристик. В статье рассмотрим понятие «биометрические персональные данные»: что к ним относится, какие категории выделяют, как обрабатывать и брать согласие на обработку таких персданных.

Бланк согласия на обработку биометрических персданных Обязательные условия согласия на обработку персданных Правила использования изображения гражданина при обработке персданных Разъяснения РКН по биометрическим персданным

Биометрические персональные данные: что к ним относится

Биометрические персональные данные – это, по определению Закона № 152-ФЗ (статья 11), любые сведения об особенностях физиологии или биологии людей. Главное, чтобы эти данные использовались именно с целью идентификации человека – тогда их считают биометрией. То есть, при конкретных обстоятельствах, даже видео- или фотосъемку сотрудника можно отнести к биометрическим персданным.

Обратите внимание! С июня 2023 года коммерческим организациям запрещено собирать биометрию для оказания услуг.

К биометрическим персональным данным относят:

• Параметры физиологического характера – внешние характерные черты человека. Это его вес, рост, снимок глаз (рисунок радужки), ДНК, отпечатки пальцев, голос и т.д.
• Иные характеристики, которые могут передавать особенности субъекта, в том числе видео и фото (письмо Минкомсвязи от 28.08.2020 года № ЛБ-С-074-24059)
• Запись голоса на диктофон или иную аппаратуру для записи звуков (п. 4 ст. 3 Закона 572-ФЗ).
• Цифровые фото в цвете на загранпаспорте (письмо Роскомнадзора от 29.08.2022 № 08-78032).

Для категории биометрических персональных данных характерна необязательность ее сбора у работодателя, в отличие от прочей информации (например, ФИО, адрес и паспортные данные для приема на работу). Но в некоторых компаниях, например, с пропускной системой биометрию обрабатывают.

В каких случаях фотографию и видео относят к биометрии. Биометрические данные могут быть в форме фото или видео, но только если их используют для установления личности. По сути, фотография, как и запись с камеры является ПД, но их отношение именно к биометрии нужно определять из целей фото-, видеосъемки:

• В личном деле сотрудника может находиться скан паспорта с фотографией, но для идентификации его не используют, поэтому к биометрическим ПД такое фото не относится.
• Фотография же на пропуске помогает охраннику убедиться, что перед ним сотрудник предприятия. То есть в этом случае фото выступает как биометрия.

Варианты, когда фото- и видеосъемку не будут считать биометрическими данными (ст. 152.1 ГК РФ):

• камеры в общественных местах и охраняемых территориях (магазины, заводы стадионы, ТРЦ;
• общая съемка мероприятий без фокусировки на отдельном человеке;
• субъект сам позирует на камеру за вознаграждение;
• съемка велась в целях безопасности, а оператор не планирует ее обнародовать или использовать.

Разъяснения Роскомнадзора по биометрии в формате фото/видео скачайте здесь

Обратите внимание! На размещение сведений о человеке в Единой биометрической системе (ЕБС) положение статьи 11 Закона 152-ФЗ не распространяются (п. 5 ст. 3 Закона № 572-ФЗ). Но на получение данных из ЕБС для установления личности действуют ограничения Закона 152-ФЗ.

Обработка биометрических персональных данных

Для обработки биометрических персональных данных с 2023 года существует целый ряд условий, которые прописаны в Законе № 572 ФЗ (ст. 16, 17). Организациям требуется выполнить следующие действия, чтобы пользоваться данными для идентификации:

• взять с сотрудников письменное согласие;
• выполнять требования к обработке ПД согласно закону;
• использовать рекомендованные меры безопасности и шифровальные средства при получении векторов из ЕБС.

Важно! К организациям, которые по специфике своей работы собирают биометрические данные с клиентов (например, банкам) предъявляются особые требования. Они обязаны пройти государственную аккредитацию и далее регистрировать все полученные биометрические ПД в Единой государственной системе, как поставщик таких данных (ст. 17 Закона № 572-ФЗ). Об этом компания также обязана предупредить всех субъектов.

Спорный вопрос об использовании в компании камер наблюдения. Если они просто установлены в целях безопасности и сотрудники предупреждены о съемке, биометрическими персональными данными их записи формально не считаются. Но, если придется использовать это видео для подтверждения дисциплинарного проступка, то такую запись уже относят к биометрии. Поэтому лучше взять заранее согласие на обработку данных с сотрудников.

Порядок обработки биометрических ПД можно добавить в общее Положение о персональных данных. 

Согласие на обработку биометрических персональных данных

На сбор и обработку биометрии обязательно должно быть письменное согласие владельца ПД (ч. 1 ст. 11 Закона № 152-ФЗ). Исключения – только использование такой информации в целях госбезопасности и для обеспечения правосудия (ч. 2 ст. 11 Закона 152-ФЗ). Причем ввести обязанность предоставлять такие данные невозможно, за исключением случаев, указанных в части второй 11 статьи.

К форме согласия на обработку биометрических персональных данных применяются те же требования, что и при обработке любых ПД:

• документ должен быть предельно конкретным и однозначным,
• не допускаются общие формулировки,
• положения документа не могут расходиться с законодательством.

Действующей унифицированной формы согласия на обработку биометрии пока нет, но в содержании документа должны быть определенные условия, чтобы его признали законным (Приказ Роскомнадзора от 24.02.2021 года № 18). 

Что должно содержать согласие на биометрические персональные данные:

• ФИО владельца ПД, его контакты и подпись.
• Наименование оператора (организации) и реквизиты.
• С какой целью будет обрабатываться биометрические данные.
• Категория и конкретный перечень ПД, которые субъект разрешает обрабатывать. Например, с помощью каких информационных ресурсов будет происходить обработка (адрес сайта, сервер и т.д.).
• Какой период будет действовать согласие и как можно его будет отозвать при необходимости.

Также в документ нужно добавить пункты, из которых станет ясно, что сотруднику разъяснили все его положения, а также предупредили о возможной ответственности при искажении ПД и о последствиях отказа от их предоставления.

Бланк согласия сотрудника на обработку биометрических персональных данных скачать здесь

Для разрешения на передачу биометрии в Единую систему и векторов ЕБС разработаны отдельные формы согласия: для передачи в бумажном и электронном формате. Формы утверждены Распоряжением Правительства России от т 09.04.2024 года № 856-р.

Что сделать, чтобы обезопасить хранение ПД в компании – читайте в статье

Чем грозит незаконная обработка биометрических персональных данных

До недавнего времени только размещение биометрических данных с нарушениями в ЕБС каралось по административному кодексу (ст. 13.11.3 КоАП). Организации за это могли получить штраф до одного миллиона рублей. В остальном наказание соответствовало общему по нарушениям связанным с любыми категориями ПД (ст. 13.11 КоАП).

Как уведомлять РКН об обработке, утечке и трансграничной передаче ПД – читайте в статье

С декабря 2024 года вступила в действие новая статья 272.1 УК РФ – в ней указаны санкции за незаконную обработку, сбор и утечку ПД.  В том числе за незаконно использованные специальные и биометрические персональные данные сотрудник получит штраф до 700 000 рублей, ему могут запретить занимать конкретные должности и даже лишить свободы на 5 лет (ч. 2 ст. 272.1 УК РФ). При наличии отягчающих обстоятельств максимальное уголовное наказание может составить тюремный срок до 10 лет и штраф до 3 миллионов рублей.

С 30 мая 2025 года суммы штрафов в статье 13.11.3 КоАП значительно увеличатся и добавятся новые критерии правонарушения (Федеральный закон от 30.11.2024 № 420-ФЗ):

• вводятся оборотные штрафы за повторные нарушения, также добавят наказание за неуведомление РКН;
• увеличиваются штрафы за незаконную обработку и распространение любых ПД;
• для компаний отказ в обслуживании потребителя из-за неполучения согласия по биометрии грозит штраф до 500 000 рублей;
• нарушение порядка обработки биометрии – 100 000–300 000 рублей должностному лицу и до 1 млн для ИП и юрлиц;
• при непринятии мер для защиты биометрических персданных штрафы увеличиваются уже до 500 000 и 1,5 млн рублей для должностных и юрлиц соответственно;
• за утечку биометрии организации оштрафуют на 15–20 млн рублей.

Читайте на сайте статьи по теме Ответственный за персональные данные: кого и как назначить Трансграничная передача персональных данных по новым требованиям Согласие на обработку персональных данных: последние требования закона Аудит персональных данных: как провести по новым правилам Ответственность за разглашение персональных данных Уничтожение персональных данных: как соблюсти новые требования