Поговорим сегодня про биометрические персональные данные, а также о том, что нужно о них знать.
Что это такое? Интуитивно можно предположить, что это данные, связанные с биометрией и относится к конкретной личности. Да, это действительно так, но с одной оговоркой.
Определение биометрических персональных данных содержится в законе о персональных данных №152-ФЗ, который гласит ,что это «сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные) и которые используются оператором для установления личности субъекта персональных данных». Под оператором понимается любое юридическое или физическое лицо, организующие обработку персональных данных.
Факт №1 заключается в том, что в повседневной жизни мы взаимодействуем или сталкиваемся с такими данными чаще, чем кажется на первый взгляд. Что может быть примером таких данных? Фотография (например, в пропуске или паспорте), видеоматериал, отпечаток пальца, рисунок сетчатки глаза, геометрия лица, голос. Паспорт есть у каждого, кто старше 14 лет, пропуск нам иногда выдают на работе, а современные смартфоны поддерживают разблокировку экрана посредством отпечатка пальца или посредством face id.
Факт №2 заключается в том, что обработка (т. е. хранение, использование, и т.п.) передача таких данных возможна только при оформления согласия на обработку персональных данных в письменной форме. Обязанность соблюдения этого требования ложится на оператора, который обрабатывает персональные данные. Без письменной формы собирать данные нельзя, за невыполнение этого требования — штраф.
Мы плавно подошли к проблеме таких данных. Из определения биометрических персональных явно следует, что биометрические данные признаются ими только в том случае, когда используется оператором в целях установления личности субъекта таких данных. Парадокс в том, что если кто-то собирает, например, запись голоса или отпечатки пальца, но не использует их для установления личности, то в этом конкретном случае запись голоса и отпечаток пальца не являются биометрическими данными. Из этого выходит, что одни и те же данные в зависимости от того, как они используются операторами могут быть биометрическими или же нет. Биометрическими (с точки зрения законодательства) эти данные станут тогда, когда они будут использоваться для установления личности.
А какие последствия могут произойти в случае утечки этих данных, можно только догадываться, тем более, что такая угроза, к сожалению, реальна (стоит хотя бы вспомнить инциденты у известных российских банков).
Причины такого подхода к этому достаточно серьезному вопросу лично для меня остаются загадкой, но это очередной повод обратить внимание на конфиденциальность личных данных и осторожно передавать свои данные иному лицу.