К биометрическим персональным данным относят сведения, которые характеризуют физиологические и биологические особенности человека и по которых можно установить его личность. По общему правилу собирать биометрию и обрабатывать ее другими способами можно только с письменного согласия на обработку биометрических персональных данных от их субъекта (ч. 1 – 3 ст. 12 Федерального закона от 27.07.2006 № 152-ФЗ, далее – Закон № 152-ФЗ).
Федеральный закон от 14.07.2022 № 266-ФЗ (далее – Закон № 266-ФЗ) внес изменения в правила работы с персональными данными (персданными, ПД), в том числе – и с биометрическими. Узнаем, какие требования к работе с биометрией нужно выполнять уже с 1 сентября 2022 года.
Оптимально организовать работу с биометрией по новым требованиям закона поможет наш обучающий курс.
|
Содержание
|
Скачайте образцы документов для работы: |
|
Обязательные условия согласия на обработку персданных |
|
Правила использования изображения гражданина при обработке персданных |
Биометрические персональные данные: что к ним относится
Что такое биометрия на практике? Это физические сведения человека (дактилоскопические данные, радужная оболочка глаз, анализы ДНК, рост, вес и др.) и иные его физиологические и биологические характеристики (в том числе изображение – фотография и видеозапись). Такие сведения классифицируют как биометрические, когда их обработка направлена на установление личности конкретного лица и производится с этой целью (абз. 2 «Разъяснений по вопросам отнесения фото-, видеоизображений, дактилоскопических данных и иной информации к биометрическим персональным данным и особенностей их обработки» от 30.08.2013 (Роспотребнадзор), далее – Разъяснения).
Только тогда мы имеем дело с данными, для обработки и распространения которых нужно получать согласия, уведомлять Роскомнадзор о работе с ними и исполнять иные требования закона (абз. 4 Разъяснений).
Обратите внимание! Закон по общему правилу запрещает обрабатывать ПД, включая биометрические данные, из общедоступных источников получения информации без согласия их субъекта (Федеральный закон от 30.12.2020 № 519-ФЗ). Исключения – в части 2 статьи 11 Закона № 152-ФЗ. Правила использования изображения человека – в статье 152.1 ГК РФ. |
Правила использования изображения гражданина скачайте по ссылке
Обработка биометрии без согласия на биометрические персональные данные
Такая обработка разрешена в случаях (ч. 2 ст. 11 Закона № 152-ФЗ):
|
Персональные данные – любая информация, которая прямо или косвенно относится к определенному или определяемому физическому лицу (субъекту ПД) (п. 1 ч. 1 ст. 3 Закона № 152-ФЗ). Следовательно, субъект персональных данных — физическое лицо, которого можно прямо или косвенно определить с помощью персональных данных.
Оператор персональных данных – это государственный или муниципальный орган, юридическое либо физическое лицо, которые самостоятельно или совместно с другими лицами организуют и (или) осуществляют обработку персональных данных, а также определяют ее цели; состав персданных, подлежащих обработке; а также действия (операции), совершаемые с ними (п. 2 ч. 1 ст. 3 Закона № 152-ФЗ).
Обработка биометрических персональных данных – любое действие (операция) или совокупность действий (операций), которые совершают с биометрическими персональными данными с использованием средств автоматизации или без них, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (ст. ст. 3 и 11 Закона № 152-ФЗ). |
Важно! Правила размещения и обновления биометрических персональных данных в Единой биометрической системе (ЕБС) и в других информсистемах, которые обеспечивают идентификацию (аутентификацию) с использованием биометрии физлиц, устанавливает Приказ Минцифры России от 10.09.2021 № 930. Порядок сбора параметров биометрии уполномоченными сотрудниками в целях идентификации гражданина определен в Приказе Минцифры России от 25.06.2018 № 321. |
Биометрические данные: изменения с 1 сентября 2022 года
Закон № 266-ФЗ установил новые правила работы с биометрией, а также – общие изменения в обработку ПД:
-
возможность ее поручении обработки другому лицу (включая иностранное);
-
сокращенные сроки предоставления информации;
-
обновленный порядок прекращения обработки ПД;
-
признаки согласий для работы с ними.
Каждое из этих изменения оказывает влияние на правила обработки биометрических данных. Рассмотрим их подробно.
Изменение 1: нельзя обрабатывать биометрию без согласия субъекта ПД, а также – понуждать к его даче. По общему правилу сдать биометрию работник (соискатель, контрагент) может только по своему желанию. Работодатель (наниматель, контрагент) в свою очередь не вправе обязать его это сделать. Кроме того, оператор по общему правилу не может обрабатывать биометрические персональные данные без согласия их субъекта (ч. 3 ст. 11 Закона № 152-ФЗ).
Изменение 2: нужно уведомлять Роскомнадзор об обработке биометрических данных. Даже при их обработке во исполнение закона нужно вовремя извещать ведомство, чтобы попасть в реестр операторов ПД (Письмо Роскомнадзора от 19.08.2022 № 08-75348).
Уведомление не направляют только в таких случаях (п. 8 ч. 2 ст. 22 Закона № 152-ФЗ):
-
оператор обрабатывает данные без автоматизации (например, компания с численностью до 25 человек);
-
ПД содержатся в информационных системах по защите безопасности государства и общественного порядка;
-
ПД используют по закону о транспортной безопасности.
Изменение 3: можно поручать обработку другому лицу (включая иностранное), но с условиями. Оператор может поручать обработку ПД (в том числе – и биометрию) другому лицу. Для этого нужно:
-
согласие субъекта;
-
договор с лицом, которому передается обработка;
-
перечень ПД в поручении;
-
документы и иная информация, которые предоставляются по запросу (в том числе до обработки) и подтверждают принятие мер и соблюдение требований закона в целях исполнения поручения оператора.
При этом на поручителя перекладывают все обязанности по защите ПД как на оператора (ч. 3–5 ст. 6 Закона № 152-ФЗ).
Иностранные лица могут обрабатывать персональные данные с 1 сентября 2022 на основании согласия гражданина России (ч. 1.1 ст. 1 Закона № 152-ФЗ).
При передаче ПД иностранному лицу ответственность перед их субъектом – солидарная. Поэтому за нарушения при обработке переданных иностранным юридическим и физическим лицом можно привлечь к ответственности и оператора (работодателя) (ч. 6 ст. 6 Закона № 152-ФЗ).
Изменение 4: сокращены сроки на предоставлении информации о работе с ПД. Закон 266-ФЗ сократил сроки, в течение которых оператор должен предоставить субъекту ПД информацию об их обработке (запрос и предоставление): 10 рабочих дней вместо 30. Все сведения предоставляют, ориентируясь на форму запроса (ч. 3 и 7 ст. 14, ст. 20 Закона № 152-ФЗ).
Изменение 5: установлены новые правила прекращения обработки ПД по обращению их субъекта. Оператор должен исполнить требование субъекта ПД о прекращении их обработки в срок 10 рабочих дней с даты получения обращения. Такой срок можно продлить, но не более чем на пять рабочих дней. Для этого нужно направить в адрес субъекта ПД мотивированное уведомление с указанием причин продления срока (ч. 5.1 ст. 21 Закона № 152-ФЗ, пп. «б», п. 13 ст. 1 Закона 266-ФЗ).
Изменение 6: введены новые условия обработки биометрических персональных данных. Как мы выяснили, биометрию, как правило, обрабатывают с согласия субъекта ПД (работника, соискателя и др.). Биометрические персональные данные (образец) – общий с согласиями на обработку и распространение ПД, но с указанием категорий биометрических персональных данных (ст. ст. 9 и 10.1 Закона № 152-ФЗ).
Согласия на обработку и распространения биометрии, как и общие согласия для работы с ПД, должны быть предметными и однозначными, а не только сознательными, конкретными и информированными (ст. 9 Закона № 152-ФЗ). Эти требования относятся к условиям согласия (ч. 1 ст. 9 Закона № 152-ФЗ):
-
цель обработки персональных данных;
-
перечень ПД, на обработку которых дается согласие их субъекта;
-
наименование или фамилия, имя, отчество и адрес лица, которое осуществляет обработку ПД по поручению оператора (если она поручена такому лицу);
-
перечень действий с ПД, на совершение которых дается согласие, а также – общее описание способов обработки ПД, которые использует оператор;
-
срок, в течение которого действует согласие субъекта ПД и способу его отзыва.
В тексте согласий избегайте неопределенных и общих формулировок. Их положения должны соответствовать требованиям закона. Сведения о субъекте и операторе нужно указывать точно. Цель, категории, перечень ПД, условия их обработки (распространения) определяют конкретно. Срок согласия должен совпадает с требованиями закона об архивном деле. При этом период действия согласия на распространение может быть определен наступлением какого-либо события, а не датой или периодом времени (ч. 13 ст. 10.1 Закона № 152-ФЗ).
Все положения согласий нужно разъяснить субъекту ПД до их подписания, чтобы он действовал осознанно и информировано (ст. ст. 9, 10.1, 18 и 22 Закона № 152-ФЗ). Когда субъект ПД отказывается предоставить обязательные персданные, нужно разъяснить последствия отказа от предоставления ПД и (или) согласия на их обработку (ч. 2 ст. 18 Закона № 152-ФЗ).
Обязательные условия согласия на обработку и распространение ПД скачайте здесь
Как отозвать согласия на обработку и распространение биометрии, объяснит консультант по трудовому праву.
|
Топ-5 документов по персональным данным, которые скачивают ваши коллеги: |
|
Бланк приказа о назначении ответственного за обработку персданных |
|
Пример нового согласия на обработку персданных
|
|
Примерная форма политики по персданным |
|
Таблица изменений в работе с персданными на 2022-2023 гг. |
|
Чек-лист для аудита документов по персданным
|