Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Согласие на обработку биометрических персональных данных». Если у Вас нет времени на чтение или статья не полностью решает Вашу проблему, можете получить онлайн консультацию квалифицированного юриста в форме ниже.
Не так давно такое понятие, как биометрические данные было известно только небольшой группе людей. Сегодня оно пребывает на общем слуху. Всем интересно, что это такое, и как персональные данные могут быть использованы. Биометрические данные – это перечень характеристик биологического и физиологического характера. Эти данные отличаются у каждого человека. Они индивидуальны и не повторяются даже у очень похожих внешне людей. Именно потому биометрический материал используется для установления личности человека.
Кто и зачем собирает биометрию
Собирать биометрию начали не ради чипирования людей, как опасаются многие граждане, которые не знают, что собой представляет эта технология. Да, эти данные будут использоваться для идентификации человека, но только в цифровом формате. Это невероятно удобно, в первую очередь, для человека.
Теперь не придется стоять долгие очереди и собирать сотни бумажек, чтобы получить какой-то банковскую или любую другую услугу. Все можно сделать удаленно, а чтобы подтвердить свою личность, достаточно биометрическихданных, обработка которых может заменить недельную бумажную волокиту. Они только ваши, поэтому получить доступ к сведениям не сможет никто кроме вас. И не нужны никакие дополнительные защитные функции и т.п.
Рассмотрим для примера один из самых распространенных случаев – когда гражданин берет кредит. Раньше, чтобы одолжить в банке деньги, нужно было прийти в банк, принести не одну сотню бумажек. Это стоило времени и усилий. Благодаря биометрии процедура стала доступной удаленно.
Ещё одно очень важное преимущество биометрии – упрощенная процедура поездок в другие страны. Например, с биометрическими документами не нужно стоять на паспортном контроле. Биометрический документ – персональный. Его невозможно подделать. В некоторых странах уже можно не проходить контроль, если у вас есть биометрический паспорт.
Чтобы пройти процедуру и легально передвигаться по стране, потребуется подойти к датчику (это специальный прибор). Приложите к нему персональный биометрический паспорт. Теперь нужно отсканировать сетчатку глаза. Если система считала ваши данные, и человек попал в страну легально, он может свободно идти куда захочет.
Биометрия – это способ получать услуги быстрее и безопаснее, используя персональный набор физиологических качеств. Пока технология только набирает популярность, но происходит это стремительно. Придется в скором темпе адаптироваться.
Закон и право по биометрии в России и мире
Согласно текущему закону, по отношению к биометрическимданным, использовать сведения о физиологических особенностях человека разрешено, только если есть письменное разрешение человека, которому рассматриваемые биометрические данные принадлежат. В других случаях обработка невозможна.
Но есть ситуации, когда персональные биометрические данные могут обрабатываться и без согласия человека. Например, в случаях, когда действует договор о реадмиссии, когда исполняются судебные акты или правосудие осуществляет другие действия, где биометрия необходима.
Также биометрическиеперсональные сведения могут быть использованы в задачах, связанных с безопасностью, противодействием терроризму/коррупции. Иногда персональные материалы применяются в оперативно-розыскной работе и других задачах предусмотренных законодательством России.
Получить юридическую помощь по вопросам биометрических данных граждан можно на нашем сайте.
Что представляют собой биометрические данные
В соответствии со ст. 11 Закона от 27.07.2006 г. № 152-ФЗ биометрические персональные данные представляют собой сведения, которые характеризуют биологические и физиологические особенности отдельного человека. К примеру, к ним относятся анализы ДНК, дактилоскопические данные, радужная оболочка глаз, рост и вес человека.
Обработка биометрических персональных данных производится только по письменному согласию человека, однако имеются исключения, которые указаны в ч. 2 ст. 11 Закона № 152-ФЗ. К примеру, это ситуации с осуществлением правосудия и исполнением судебных актов в связи с обороной, безопасностью, противодействием терроризму и др.
Биометрические данные используются для идентификации личности субъекта персональных сведений. Зачастую появляется вопрос, фотографии и видеозаписи — это тоже биометрические данные? На него Роскомнадзор ответил на своем официальном сайте еще в 2013 году.
Защита биометрических данных и закон
ЕБС необходимо защищать в соответствии с 321 Приказом Минкомсвязи (далее – 321 Приказ). В нем содержатся правила обработки биометрии, размещения и обновления, а также требования к информационным технологиям и техническим средствам, которые собирают и обрабатывают данные. Биометрические образцы нельзя снимать подручными средствами, данный Приказ определяет характеристики для изображения лица и голоса субъекта ПДн.
Обязательным условием сдачи биометрии является регистрация физического лица, которое сдает свою биометрию, в ЕСИА. Если лицо там не зарегистрировано, то организация предлагает это сделать, при наличии заявления, прямо на месте.
Произвести обновление биологической персональной информации можно по предложению самого физического лица, а также по истечению 3-х лет с момента предоставления свидетельств.
Для чего банкам биометрия?
Как известно, биометрические данные самые надежные, и гарантируют 100% идентификацию граждан. Идея о внедрении подобной идентификации в банковской сфере появилась уже давно. Однако внесения соответствующих законов тормозилось несогласными депутатами, скандировавшими о правах населения. Так, среди широких масс, подобная инициатива вызывала бурю отрицательных эмоций, объясняя их тем, что народ попросту хотят держать под всеобщим контролем.
Однако есть и другая точка зрения. Ведь внедрение биометрической идентификации сделает банковские операции более надежными. Это реальный шанс сократить количество совершенных финансовых махинаций, в том числе незаконно полученных кредитов по чужим паспортам. Ведь идентификация предполагается с использованием фотографии и слепка голоса клиента, которые подделать не удастся.
А также банки заявили о намерении увеличить список предложенных к использованию операций удаленным способом при соответствующе биометрической идентификации. По их словам, это поможет уменьшить количество людей в отделениях банка и позволит получить более сжатые сроки по предоставлению необходимых банковских услуг.
Обратите внимание! При этом никто не упомянул о том, что вероятность увеличения преступных схем по принудительному открытию кредитов и осуществлению сделок с использованием крупных сумм удаленно, без присутствия в банке, может только возрасти. Ведь где гарантия, что к вам не придут злоумышленники и не заставят пройти биометрическую идентификацию в своих корыстных целях.
Спрос на услугу населения и первые прогнозы банков
Хотя банки и хотели получить право на более качественную идентификацию своих клиентов посредством биометрии, однако, многие понимают, что помимо их желания есть нежелание граждан. Современная молодежь, которая только приветствует различные новации и адекватно воспринимает цифровизацию нашего мира, практически в большинстве поддерживают подобную инициативу. Особенно это касается тех, кто активно использует в своей деятельности интернет и удаленное обслуживание.
Проблемой же, по мнению сотрудников Сбербанка, станут люди среднего и более старшего поколения. Они негативно воспринимают все что непонятно. А особенно это касается пенсионеров, которые и так видят во всем подвох, а тут еще и хотят получить их биометрические данные. По предварительным предположениям, в первое время (1-2 года) люди будут неохотно предоставлять свои данные, но со временем это процесс станет необходимым.
А вот ВТБ отметил, что это реальный способ повысить число клиентов, выбирающих удаленное обслуживание. На сегодняшний день доля цифровых продаж в объеме оборота банка составляет около 40%. А по оптимистичным прогнозам она может достигнуть 60% уже к концу 2019 года.
Альфа-банк, присоединившись к глобальной программе, на первых парах начал принимать биометрические данные только в 2 центральных отделения. После того как персонал пройдет обучение, постепенно будет внедряться эта система и в других отделения. Уже к концу года получится охватить 87 отделений банка. Банк видит в этой системе реальную возможность для развития своей деятельности и упрощения процесс получения услуг для клиентов. А, помимо этого, таким образом получиться освободить часть сотрудников для развития других приоритетных направлений деятельности банка.
Специалисты по развитию в «Открытии» отмечают, что за столь короткий срок времени им уже удалось собрать более 40 тыс. фотографий. Использовать ее запланировано при большинстве проводимых операций, в том числе при переводах с карты банка. Отмечено, что такой способ идентификации упростит процесс оформления документов, ведь основная информация будет подтягиваться автоматически.
Как собирают и хранят биометрическую информацию
Независимо от вида используемых идентификаторов (3D-фото лица, отпечаток пальца, образец голоса или другой вид БПД), все системы биометрии работают по общему принципу. Прежде всего специальный сенсор сканирует участок лица или тела, получая нужные биометрические данные. Далее выполняется предварительная обработка: очищение полученной информации от фонового шума для повышения точности распознавания. Затем извлекаются данные, необходимые для идентификации личности. При этом создается соответствующий вектор значений или особое изображение для генерации характеристик, идентифицирующих данного человека. По сути, их совокупность представляет собой цифровой образ (шаблон) конкретного человека. Шаблон каждой личности создается при первом использовании биометрической системы, при регистрации. Элементы биометрического измерения, которые не используются при сравнении текущих БПД с шаблоном, не сохраняются в нем, чтобы уменьшить размер файла и повысить степень защиты. Таким образом невозможно восстановить исходные данные по информации из шаблона [2].
При рабочем использовании биометрической системы реальные БПД сравниваются с шаблоном, оценивая разницу между ними с помощью определённого алгоритма. Наиболее распространенным является определение расстояния Хемминга (Hamming distance), когда вычисляется количество разных цифр в векторах одинаковой длины [2]. Таким образом достигается гибкость системы, допускающая некоторые отличия текущих БПД от эталона в связи, например, с разным освещением, наличием косметики на лице, сменой прически, кратковременным изменением голоса в связи с простудой и другими подобными факторами. В крупных системах удаленной аутентификации биометрические шаблоны хранятся в защищенном облаке или на локальном сервере. Более простые устройства, такие как смартфоны, хранят подобные шаблоны (отпечатки пальца, голосовые образцы и пр.) в своем локальном хранилище. На рисунке 1 показана типовая схема работы биометрических систем.
В последние годы, биометрические данные все чаще используются для установления личности человека в различных сферах деятельности. Самые распространенные среди них:
- установление персонального фота на биометрические паспорта;
- получение визы по упрощенной системе с использованием биометрической идентификации по современной электронной базе, способной распознавать граждан желающих пересечь границу без законного на то права;
- использование отпечатков пальца для работы с гаджетами (современные сенсорные смартфоны и планшеты). Хотя в этом случае работает не глобальная система идентификации, а персональное приложение, на котором можно сбросить настройки;
- как уже выше упомянуто отпечатки используют в дактилоскопии;
- использование голоса, радужки глаза и отпечатка в охранных системах на охраняемых объектах для идентификации личности и предоставления права доступа к определенным помещениям;
- начиная с июля внедряется программа сбора биометрических данных для улучшения работы банковской сферы. Для идентификации клиентов будут отобраны их фото и слепок голоса;
- использование экспертизы почерка и динамики подписи для идентификации личности заключившего договор или составившего, к примеру, доверенность, завещание и другое.
Однако, это далеко не полный список уже развитой сферы применения биометрических данных человека. Важно понимать, что эта технология активно развивается и может быть использована даже в ограниченных кругах, к примеру, для идентификации сотрудниках определенного предприятия, что упрощает процесс отслеживания их присутствия на рабочем месте и осуществляемой работы.
Приказы Минцифры и их проекты
- Приказ Минкомсвязи России приказы Минцифры от 25.06.2018 №321 (утратит силу с 01.03.2022) «Об утверждении порядка обработки, включая сбор и хранение, параметров биометрических персональных данных в целях идентификации, порядка размещения и обновления биометрических персональных данных в единой биометрической системе, а также требований к информационным технологиям и техническим средствам, предназначенным для обработки биометрических персональных данных в целях проведения идентификации».
- Приказ Минцифры России №930 (придет на смену 321-го приказа) «Об утверждении порядка обработки, включая сбор и хранение, параметров биометрических персональных данных, порядка размещения и обновления биометрических персональных данных в единой биометрической системе и в иных информационных системах, обеспечивающих идентификацию и (или) аутентификацию с использованием биометрических персональных данных физических лиц, а также требований к информационным технологиям и техническим средствам, предназначенным для обработки биометрических персональных данных в целях проведения идентификации».
- Приказ Минцифры России от 07.07.2021 №685 «Об определении форм подтверждения соответствия информационных технологий и технических средств, предназначенных для обработки биометрических персональных данных, требованиям, определенным в соответствии с пунктом 1 части 13 статьи 14.1 Федерального закона от 27 июля 2006 г. N 149-ФЗ «Об информации, информационных технологиях и о защите информации».
- Приказ Минцифры России от 25.05.2021 №494 «Об утверждении перечня угроз безопасности, актуальных при обработке биометрических персональных данных, их проверке и передаче информации о степени их соответствия представленным биометрическим персональным данным физического лица в единой информационной системе персональных данных, обеспечивающей обработку, включая сбор и хранение биометрических персональных данных, их проверку и передачу информации о степени их соответствия представленным биометрическим персональным данным физического лица, а также актуальных при взаимодействии государственных органов, органов местного самоуправления, индивидуальных предпринимателей, нотариусов и организаций, за исключением организаций финансового рынка, с указанной системой, с учетом оценки возможного вреда, проведенной в соответствии с законодательством Российской Федерации о персональных данных».
- Приказ Минцифры России от 01.09.2021 №902 «Об утверждении перечня угроз безопасности, актуальных при обработке биометрических персональных данных, их проверке и передаче информации о степени их соответствия предоставленным биометрическим персональным данным физического лица в информационных системах организаций, осуществляющих идентификацию и (или) аутентификацию с использованием биометрических персональных данных физических лиц, за исключением единой информационной системы персональных данных, обеспечивающей обработку, включая сбор и хранение биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным физического лица, а также актуальных при взаимодействии государственных органов, органов местного самоуправления, индивидуальных предпринимателей, нотариусов и организаций, за исключением организаций финансового рынка, с указанными информационными системами, с учетом оценки возможного вреда, проведенной в соответствии с законодательством Российской Федерации о персональных данных, и учетом вида аккредитации организации из числа организаций, указанных в частях 18.28 и 18.31 статьи 14.1 Федерального закона от 27 июля 2006 года N 149-ФЗ «Об информации, информационных технологиях и о защите информации».
- Проект приказа «Об утверждении перечня индикаторов риска нарушения обязательных требований по федеральному государственному контролю (надзору) в сфере идентификации и (или) аутентификации».
- Проект приказа «Об утверждении типового порядка действий уполномоченного работника многофункционального центра предоставления государственных и муниципальных услуг при размещении или обновлении в единой системе идентификации и аутентификации сведений, необходимых для регистрации физических лиц в данной системе, размещении биометрических персональных данных в единой информационной системе персональных данных, обеспечивающей обработку, включая сбор и хранение биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным физического лица, с использованием программно-технических комплексов».
- Проект приказа “Об утверждении формы проверочного листа (списка контрольных вопросов), используемого Министерством цифрового развития, связи и массовых коммуникаций Российской Федерации при осуществлении федерального государственного контроля (надзора) в сфере идентификации и (или) аутентификации”.
На детей также распространяется требование получения согласия на использование их изображений — его надо получить у законных представителей ребёнка (родителей, опекунов или органа опеки и попечительства). Описанные в предыдущем разделе исключения также распространяются на детей, но все же рекомендуется в каждом случае получать согласие на использование изображения ребёнка.
Однако, существует судебная практика, подтверждающая законность свободного использования изображения ребенка, если фотосъемка проводится в местах, открытых для свободного посещения или на публичных мероприятиях. Если проводится открытая съемка мероприятия и никто, в том числе законные представители несовершеннолетних, не препятствуют съемке и осознают публичность мероприятия, то согласие на дальнейшую публикацию фото не требуется.
При этом следует понимать, что, например, детские сады не являются местами, открытыми для свободного посещения, и проводимые в них мероприятия не являются публичными (в качестве примеров публичных мероприятий, при съёмке которых не требуется согласие, Пленум ВС РФ привёл собрания, съезды, конференции, концерты, представления, спортивные соревнования и аналогичные мероприятия). Поэтому, если организаторы детского праздника в саду, администрация самого детского сада либо родители ребёнка планируют выложить фото и видео детского мероприятия на своём сайте или в социальных сетях, необходимо получить согласие родителей детей, участвующих в таком мероприятии (организаторам праздников и администрации сада рекомендуется сделать это в письменной форме).
Часто благотворительные фонды используют изображения детей для привлечения средств на лечение и иную помощь. Для такого рода использования изображения ребёнка согласие его законных представителей также необходимо получить в письменной форме.
Хранение и защита идентификационных сведений
Защита биометрических персональных данных предполагает соблюдение оператором данных следующих правил (п.8 приказа № 321):
- сбор сведений должны осуществлять уполномоченные сотрудники, обеспеченные ключами простой электронной подписи;
- ключи электронных подписей хранятся таким образом, чтобы исключить несанкционированный доступ к ним и избежать незаконного изменения, добавления, удаления информации;
- за передачу ключей электронной подписи третьим лицам либо необеспечение их конфиденциальности предусмотрена ответственность.
Конфиденциальность доступной информации должны хранить сотрудники, как собирающие биометрические данные, так и готовящие и выдающие ключи электронных подписей.
Дополнительно банковские учреждения должны (пп. 31, 33 Порядка, утв. приказом № 321):
- информировать Банк России об обнаружении случаев нарушения правил защиты информационных материалов при работе с ними в срок не позже следующего рабочего дня с момента выявления такого факта;
- ежегодно оценивать безопасность технической защиты информации, привлекая специализированные организации.
Важно помнить, что изображение, помимо охраны как нематериальное благо, охраняется также авторским правом. В такой плоскости изображение гражданина является фотографическим произведением (ст. 1259 ГК РФ), права на которое принадлежат фотографу-автору либо иному правообладателю. Поэтому, чтобы использовать фотографию, нужно получить согласие правообладателя фотографии.
В статьях 1273-1279 ГК РФ определены случаи, когда можно использовать произведение свободно без согласия автора/правообладателя и без выплаты вознаграждения, например, в личных, информационных, научных, учебных целях, в целях создания пародии либо карикатуры. Более того, допускается доведение до всеобщего сведения фотографического произведения, которое постоянно находится в месте, открытом для свободного посещения, за исключением случаев, если изображение произведения является основным объектом использования или изображение произведения используется в целях извлечения прибыли (ст. 1276 ГК РФ). При этом интернет не является местом, открытым для свободного посещения (данное обозначение относится к материальному миру).
Описать полный состав биометрических данных невозможно, так как он может быть очень обширен. Если обобщить и привести суть проблемы, то можно сказать, что биометрические данные – это сведения, которые могут каким-либо образом описать физиологические и биологические особенности человека, на их основе можно установить личность человека, и они могут быть использованы оператором для анализа субъекта. Стоит отметить, что все вышеперечисленные составляющие должны присутствовать одновременно. Биометрия невозможна без идентификации, можно сказать, что это – её базовый принцип.
Из этого следует, что врачебные снимки или кардиограмма сердца не могут служить идентифицирующими данными, хотя теоретически они принадлежат к физиологической группе данных. Попадая в руки специальных органов, эти данные в совокупности с другой персональной информацией могут служить базой для проведения идентификации личности.
Организации и индивидуальные предприниматели, взаимодействуя с сотрудниками, получают доступ к их персональных данным. Полученные сведения хранятся в личных карточках, которые заводят на работников. Также подобные сведения содержатся в личных делах сотрудников, при условии их ведения работодателем.
Под персональными данными понимается любая информация, касающаяся конкретного работника и необходимая работодателю в рамках трудовых отношений с ним (п. 1 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ).
По закону организация, получившая доступ к персданным, должна обеспечить их хранение и конфиденциальность. Обычно источником информации о себе является сам работник. Однако в некоторых случаях сведения о конкретном сотруднике могут быть запрошены у третьих лиц. В такой ситуации нужно получить письменное согласие сотрудника. Для этого компания должна проинформировать сотрудника (п. 3 ч. 1 ст. 86 ТК РФ):
- о целях получения данных и характере информации;
- источнике данных и способе получения;
- последствиях отказа от предоставления согласия на их получение.
Основные правила работы с персданными фиксируются в специальном внутреннем локальном акте – Положении о работе с персональными данными. Фотография работника к ним относится?
Как отозвать согласие на обработку биометрических данных?
Чаще всего согласие на обработку биометрических данных дается в письменной форме. Однако, такое согласие может быть получено и через совершение лицом действий, направленных на фиксацию биометрических данных. Например, в банках предлагают сфотографироваться на камеру и назвать цифры для аудиозаписи голоса, после чего биометрия получена и согласие тоже.
Как же отозвать согласие на обработку биометрических данных? Отозвать согласие путем совершения каких-то действий наверное не удастся, да и доказать в случае чего такой отзыв будет затруднительно. Поэтому действуем по старинке и оформляем в письменной форме заявление на отзыв соответствующего согласия.
В заявлении на отзыв согласия следует указать адресата, от кого подается заявление и в тексте указать, что Вы отзываете свое согласие на обработку Ваших биометрических данных. Поставить дату и подпись. Затем заявление можно вручить лично под отметку на Вашем экземпляре или направить по почте заказным письмом.
ПОЛЕЗНО: