Персональные биометрические данные: что это такое и что к ним относится, особенности обработки

29 декабря 2022 года был принят закон № 572, который регулирует вопросы идентификации граждан с использованием данных биометрии и эксплуатации единой биометрической системы. Ранее правительство уже анонсировало свою готовность внедрять новые автоматизированные решения в области сбора и хранения персональных данных, а новый законопроект помог закрыть пробелы в этой сфере.

Что такое биометрия человека, что относится к персональным данным

У каждого человека есть уникальные признаки, которые не меняются спустя годы и не могут быть одинаковыми у двух разных людей. К таким физическим признакам относятся отпечатки пальцев, рисунки вен, радужная оболочка глаз и некоторые иные персональные характеристики. По ним легко можно идентифицировать личность гражданина, нужен лишь определенный алгоритм. Эти сведения и являются биометрией.

В правовом поле РФ под биометрическими персональными данными (ПД) подразумеваются физиологические особенности человека, которые можно использовать, чтобы установить личность субъекта гражданских отношений.

То есть не вся информация о человеке, перечисленная выше, будет считаться биометрическими ПД. Она становится таковой, только, если хранится с целью установить личность. Например, в офис работник проходит по личной карточке с фотографией, которую другой сотрудник сверяет с базой данных. В этом случае фото, которое используется, является биометрическими данными – по ним определяется личность. А вот если гражданин пришел в поликлинику, где сотрудник ресепшена сканирует его паспорт, чтобы заключить договор с медицинским учреждением, это не будет считаться обработкой биометрических ПД. Потому что цель сбора данных – регистрация договора на оказание медицинских услуг, а не идентификация личности.

Особенности обработки

Обработка информации осуществляется на основании принципов законности (ФЗ № 152 ст. 5):

• не могут быть нарушены права и свободы граждан;
• сбор данных должен иметь причины – цели, ради которых это все затевается;
• субъект персональных данных самостоятельно принимает решение, предоставлять ли оператору личные данные, и дает на это согласие.

Это общие положения, которые относятся к сфере сбора и хранения всех персональных данных (общих, специальных и биометрических). Что касается именно биометрической идентифицирующей информации, человек должен подтвердить свое согласие на ее сбор в письменном виде. Однако у этого правила есть ряд исключений (когда согласие не понадобится):

• если данные нужны для осуществления договора о реадмиссии (согласие государства принять обратно на свою территорию своих же граждан);
• для исполнения решений, вынесенных судом;
• для исполнения правосудия;
• если речь идет о государственной дактилоскопической регистрации (снятии отпечатков пальцев);
• если биометрические данные в формате изображения человека (фото и видео) будут использоваться в общественных, государственных или других публичных интересах.

Цель обработки

Сбор и обработка ПД должны осуществляться для конкретной цели, которая не будет противоречить законодательству РФ. Определяет эти цели ФЗ № 152 ст. 6. Перечислим некоторые из них:

• обработка персональных данных нужна для исполнения судебного решения;
• для осуществления решений органов исполнительной власти (федеральных или региональных), органов внебюджетных фондов, и других ведомств;
• для регистрации договора, одной из сторон которого является обладатель этих ПД;
• для защиты здоровья, охраны жизни или других жизненно важных интересов субъекта данных;
• для реализации прав и законных интересов оператора или третьих лиц.

Если речь идет о биометрических идентификационных данных, целью их сбора и обработки является определение личности.

Типы

Статистические

К статическим принято относить признаки человека, которые не меняются на протяжении всей жизни. В этот перечень могут входить:

• отпечатки пальцев;
• радужная оболочка глаз;
• геометрия кистей рук;
• рисунок вен;
• геометрия лица;
• сердечный ритм;
• термограмма;
• ДНК.

Динамические

Динамические данные анализируют черты, характерные определенному человеку, его особенности поведения, которые он демонстрирует повседневно. К таким показателям относят:

• голос;
• подпись;
• клавиатурный подчерк;
• жесты;
• походка.

Как осуществляется обработка фото и видео

Закон № 152 ГК РФ говорит о том, что использование изображения человека возможно только при его согласии. К изображению относят фото, видеозапись или картину (рисунок) с изображением человека. При этом согласие не потребуется, если:

• изображение используется в интересах общества, государства или других публичных институтах;
• изображение получено при съемке, которая проходила в общественном месте (на публичном мероприятии);
• человек позировал за денежное вознаграждение с собственного согласия.

Когда фотография прямо относится к биометрическим персональным данным

Фотография является частью биометрических ПД, если она будет использована или используется в данный момент для определения личности человека.

Не считается обработкой биометрических персональных данных следующие ситуации:

• паспорт гражданина был отсканирован для подтверждения каких-то действий (например, заключение договора);
• была сделана копия документа, удостоверяющего личность;
• фото размещено в личном деле работника;
• речь идет о рентгеновском снимке, находящемся в медицинской карте пациента.

Видеосъемка

При проведении видеосъемки необходимо руководствоваться некоторыми правилами:

1. Если видеосъемка ведется на рабочем месте гражданина, например, с целью фиксирования противоправных действий, он должен быть об этом осведомлен.
2. В публичных местах посетители должны быть также осведомлены о видеосъемке (с помощью графических или текстовых сообщений).
3. Видеосъемка должна быть осуществлена только с четкими заранее определенными целями. И эти цели не должны противоречить закону.
4. Законодательство запрещает вести скрытое видеонаблюдение (кроме случаев, когда это нужно для оперативных мероприятий, которые проводятся специальными службами).

К законным целям видеосъемки можно отнести:

• контроль качества обслуживания клиентов;
• обеспечение сохранности имущества;
• обеспечение безопасности граждан;
• съемка общественного мероприятия и другие.

Нужно ли разрешение на видеосъемку? Если она велась в публичных местах или на охраняемой территории, она не является биометрическими персональными данными и не требует согласия того, кто попал на пленку. Такая съемка регулируется общими положениями закона «О персональных данных», потому что не используется для установления личности.

Однако, даже если видеосъемка не подходит под параметры биометрических ПД и не требует разрешения, не стоит забывать о гражданском кодексе.

Кодекс трактует как нарушение, обнародование и дальнейшее использование изображение человека (в том числе на видео) без его согласия. Исключение из этого правила – видеосъемка в местах общего доступа (на концертах, собраниях, выставках и т.д.).

Дактилоскопическая информация

Дактилоскопическая информация – это разновидность биометрических параметров человека, которые собираются на основе строения уникальных узоров пальцев и (или) ладоней. Такие сведения о человеке относятся к его физиологическим признакам, а значит, могут являться биометрическими ПД, если будут использоваться в качестве идентификатора личности.

Обработка

Обработка данных, это процесс переноса информации в базу данных, и она происходит в несколько этапов:

• непосредственный сбор информации;
• преобразование рисунка отпечатков в цифровую форму;
• размещение полученной информации в базе данных в виде биометрического кода.

Обработка дактилоскопической информации осуществляется в соответствии с законом № 152 «О персональных данных», а также в соответствии с нормами отдельного закона «О дактилоскопической информации» (ФЗ № 128 от 25.07.1998 ).

Изменения в законе в 2022 и 2023 году

Принятие закона

Сейчас происходит внедрение единой биометрической системы в качестве национальной платформы для удобного, быстрого и безопасного доступа граждан к государственным, социальным и коммерческим услугам. Поэтому в декабре 2022 года Государственной думой был принят законопроект «Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных (биометрии)…» (ФЗ № 572). Правовой акт работает в сфере регулирования взаимодействий, возникающих при идентификации граждан с использованием единой биометрической системы (ЕБС).

Законопроект сделал упор на следующих принципах работы с биометрией:

1. Гражданин имеет право сдать биометрию, но не обязан это делать.
2. Гражданин должен дать согласие на сбор биометрии.
3. Человек, отказавшийся от права сдать биометрию, не должен подвергаться дискриминации.
4. Биометрические данные должны загружаться из коммерческой системы в ЕБС.
5. Нельзя смешивать сведения из разных коммерческих систем.
6. Нельзя собирать геномную информацию о гражданах.
7. Нельзя передавать собранную биометрию за границу.
8. Единая система биометрических данных должна обеспечить надежное хранение.
9. В качестве биометрических данных используются два физиологических идентификатора – изображение лица человека и запись его голоса.

Обязанность передачи в ЕБС

Законопроект контролирует взаимодействие гражданина с единой биометрической системой – платформой, которая позволяет идентифицировать человека по биометрическим характеристикам удаленно. С помощью ЕБС можно осуществлять различные финансовые манипуляции, не выходя из дома (брать кредиты, открывать счета, переводить средства).

Согласно этому закону, организации, которые имеют право на сбор биометрии и делают это для оказания услуг населению, обязаны передать все эти сведения в единую биометрическую систему.

При этом в единую систему включаются только сведения, которые относятся к персональным биометрическим данным, какие были собраны с согласия человека. Поэтому банк должен оповестить клиентов о том, что информация перейдет в ЕБС. Также оператор должен донести информацию о том, как отозвать согласие.

Процесс передачи данных в ЕБС находится в стадии реализации и еще не закончен.

Сбор в банковских организациях

Финансовые организации обеспечивают в своих офисах сбор биометрической информации для ЕБС. Это дает возможность:

• достигнуть высокого уровня безопасности;
• упростить определение личности клиентов;
• сократить время на оказание услуги, упростив саму процедуру.

Чтобы зарегистрироваться в Единой биометрической системе, человеку нужно прийти в офис банка, дать согласие на обработку данных и подтвердить свою личность. Дальше, человек пройдет идентификацию – сдаст биометрические данные (образец голоса и изображение лица). Затем банк направит собранные сведения в Единую биометрическую систему.

Право гражданина

В законе особое внимание уделяется тому, что сдача биометрии – это полностью добровольный процесс, а ее сбор у несовершеннолетних можно осуществлять только с разрешения родителей.

Закон устанавливает, что гражданин вправе:

• дать согласие на обработку биометрических данных;
• передумать и отозвать ранее данное согласие на обработку персональных данных;
• направить требование об уничтожении своих биометрических персональных данных из базы;
• ознакомиться со сведениями о согласиях, которые он когда-либо давал;
• ознакомиться со сведениями об отказе от сбора и размещения биометрических данных.

Отказ гражданина от прохождения идентификации с использованием его биометрических ПД не может как-то дискредитировать его. Все услуги он также сможет получить и без использования биометрии.

Вопросы и ответы

Какие данные хранятся в биометрической системе?

В 2023 году для идентификации личности используют два вида биометрических показателей – голос и изображение лица. Однако хранятся они не в исходном варианте, а в виде математического зашифрованного кода.

Какие персональные данные относятся к биометрическим?

К биометрическим ПД относится информация о человека, которая характеризует его физиологические особенности и может использоваться для идентификации его личности.

Юридический экперт в правовых вопросах. Подпишитесь на наш телеграм канал