Биометрические персональные данные – что это
Биометрические персональные данные (далее в тексте БПД) – это индивидуальные особенности, биологические или физиологические, которые позволяют идентифицировать конкретного человека и применяются оператором данных именно в этих целях.
Информация о человеке, например, фотография, относится к БПД, только если она применяется для идентификации личности. Таким образом, пропуск с фотографией, который сверяется на вахте, несет в себе БПД. А фотография работника в личном деле – нет.
Сейчас в мировой практике биометрические данные используются широко, особенно в сфере противодействия криминалу и банковском деле. В России пока это не развито так, как за рубежом, даже загранпаспорт можно получить старого образца. Однако банки ведут с согласия клиентов сбор биометрии.
МВД сообщало, что в 2021-2023 гг. планируется создать Федеральную информационную систему биометрических учетов. Это позволит достаточно точно определять личность человека по его лицу и отпечаткам пальцев, причем как обладателей российского гражданства, так и иностранцев, и лиц без гражданства. Также действует Единая биометрическая система, созданная Банком России совместно с Ростелекомом. Она «привязана» к Госуслугам и ЕСИА. К ней до конца 2020 года должны подключиться все без исключения банки страны. Крупнейшие из них уже внедрили собственные учетные системы.
Биометрические данные – закон
Понятие БПД установлено в Федеральном законе от 27 июля 2006 г. 152-ФЗ. Пока это основной нормативно-правовой акт, регулирующий работу с биометрией. Однако границы ее применения планируется значительно расширить.
Так, планируется внести в Федеральный закон от 7 июля 2001 г. 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма» требование использовать биометрические персональные данные для всех финансовых операций. Это означает, что в будущем, возможно, любое взаимодействие с кредитными организациями будет проходить только после предоставления гражданином своих БПД.
Перечень биометрических персональных данных
Роскомнадзор как контролирующий орган, разъяснял в публикации от 30 августа 2013 г., что к БПД относится целый ряд признаков: дактилоскопия (отпечатки подушечек пальцев), снимок радужки глаз, анализы ДНК, рост, вес, а также фотографии и видеозаписи человека. Приведенный перечень не является окончательным. В разъяснениях ведомства указано: «и другое». Например, индивидуален и позволяет точно идентифицировать человека рисунок вен ладони и пальца.
Обратите внимание: не все личные медицинские данные можно считать биометрическими. Например, рентгеновский снимок не относится к БПД, как и результат анализа крови. Для кадрового специалиста полезно знать, что подпись и почерк тоже не считаются БПД.
Обработка биометрических персональных данных
Главное отличие «биометрики» от других видов персданных – то, что их обработка возможна только с письменного согласия владельца данных. Оператор данных обязан соблюдать это требование и руководствоваться в остальном общими требованиями 152-ФЗ.
Исключения, когда обработка биометрических персональных данных возможна без письменного согласия, приведены в том же законе. Это ситуации, предусмотренные законодательством в сфере безопасности (в том числе транспортной), противодействия коррупции и терроризму, оперативно-розыскной деятельности, госслужбы, требований к въезду и выезду из страны, получения гражданства, а также уголовно-исполнительным законодательством и т.п.
Отдельного внимания заслуживает обработка биометрических персданных в виде фотографий. Это очень популярный и массово используемый вид информации. Можно не запрашивать согласие, если обработка проводится в общественных, государственных и иных публичных целях.
Например, если общественный деятель исполняет свои должностные обязанности и выступает на каком-то мероприятии – его можно фотографировать (п. 25 Постановления Пленума ВС РФ № 16 от 15 июня 2010 г.). Или если фото получено на открытых мероприятиях – например, спортивных соревнованиях, но только если изображение человека не становится объектом использования. Нет необходимости оформлять согласие на обработку БПД и при коммерческих фотосессиях (ст. 152.1 ГК).
Кто имеет право обрабатывать биометрические персональные данные
Организация, ведущая сбор и обработку БПН, считается оператором данных. Закон не ставит ограничений по тому, кто может обрабатывать данные. Это может быть государственный или муниципальный орган, юридическое или физическое лицо. Неважно, относится ли он к реестру операторов, который ведет Роскомнадзор. Главное, чтобы было письменное согласие человека.
Приведем пример биометрических персональных данных. Если в организации используется система контроля управления доступа (СКУД) – например, в фитнес-центре на пропусках клиентов есть фотографии, то необходимо получить письменное согласие именно на обработку БПД. Иначе это противозаконно.
Общего согласия на обработку персональных данных недостаточно. В аналогичной ситуации суд признал компанию правонарушителем (определение Верховного Суда РФ от 05.03.2018 № 307-КГ18-101). Еще из свежих примеров – вуз оштрафовали на 150 000 рублей за неправомерный сбор биометрии обучающихся. Также важно, что передача обработки биометрических персональных данных третьим лицам может быть воспринята судом как нарушение (постановление Арбитражного суда Московского округа от 15.01.2018 №Ф05–18981/2017 по делу №А40–81171/17–149–793).
Источник: https://www.pro-personal.ru/article/1099411-20-m12-biometricheskie-personalnye-dannye
