Найти в Дзене

Как предпринимателю работать с биометрическими персональными данными

Оглавление

До 30 сентября 2023 года все бизнесмены, у которых есть биометрические персональные данные (БПД), должны передать их в Единую биометрическую систему — ЕБС. Что это такое, кого касается, и как работать с такими данными — объясняем в статье.

Что относится к биометрическим персональным данным

Если формально, то биометрия — это личная информация, которая характеризует физиологические, биологические особенности человека и позволяет отличить его от других людей.

А теперь по-простому. Это может быть запись голоса, фотография человека, видео, отпечатки пальцев. Так или иначе с такими данными имеют дело многие бизнесмены.

Например:

  • видеозаписи в пропускной системе или при дистанционных медосмотрах водителей;
  • отпечатки пальцев для доступа клиента к каким-то услугам — например, для входа в гостиничный номер;
  • фотографии, но не все. Фото считаются БПД, если это установлено каким-то нормативным актом — так говорит Роскомнадзор в письме от 29.08.2022 № 08-78032. Например,в п. 6 перечня, утверждённого постановлением от 04.03.2010 № 125, написано, что цифровое фото на загранпаспорт — это биометрия.

Как видите, требования по работе с биометрическими персональными данными могут касаться не только банков, как многие думают, но и малого бизнеса.

Что такое Единая биометрическая система

ЕБС — это государственный информационный ресурс для хранения БПД, созданный при участии Минцифры, Ростелекома и Центробанка. Её оператором назначен АО «Центр Биометрических Технологий» (ЦБТ).

Вся биометрия будет храниться в этой системе. До сентября 2023 года банки и другие операторы БПД передавали её в ЕБС добровольно, а теперь это становится обязательным.

Вот для чего всё это нужно:

  1. Биометрические данные могут использовать мошенники, если они попадут им в руки. Например, по отпечаткам пальцев или записи голоса человека получить доступ к его банковским счетам. Или создавать дипфейки — сгенерированные видео, где на изображение актёра накладывают голос и лицо другого человека.

Минцифры считает, что в ЕБС биометрические персональные данные защищены лучше, чем у частников. Они хранятся отдельно от баз с Ф.И.О. и другой личной информацией. Злоумышленникам не будет смысла красть данные, которые они не смогут «привязать» к конкретному человеку. Поэтому систему применяют как хранилище для всех БПД.

2. Органы власти, компании, ИП и нотариусы могут использовать сведения из
ЕБС для работы со своими клиентами или сотрудниками. Например, для
подтверждения личности при дистанционном подписании договора. При
этом им не нужно тратить деньги на создание своих информационных систем
со средствами шифрования и защиты БПД. Предприниматель заключает
договор с оператором, а тот предоставляет за плату ПО, которое отвечает
всем требованиям закона. Предполагается, что это для бизнеса выгоднее,
чем создавать свою систему с нуля.

3. Если раньше граждане оставляли свою биометрию в разных системах, то
теперь она будет храниться в одном месте, и он сможет управлять ею в
режиме одного окна.

Порядок хранения данных в ЕБС — в приказе Минцифры от 12.05.2023 № 453.

Предприниматель будет получать из ЕБС не сами персональные данные, а их векторы — математические шаблоны. Без специального ПО расшифровать их будет нельзя. Это значит, что при утечках баз данных злоумышленники не смогут ими воспользоваться.

В ЕБС хранятся не все БПД, а только указанные в п. 2 Порядка обработки биометрических персональных данных в ЕБС и в аккредитованных коммерческих системах, утверждённого приказом минцифры от 12.05.2023 № 453:

  • изображение лица, полученное с помощью фото- и видеотехники;
  • запись голоса со звукозаписывающих устройств.

В этом же Порядке в п. 11-14 прописаны требования к единому формату биометрических данных для размещения в ЕБС. Если вы будете передавать в систему биометрию своих работников или клиентов, нужно будет их соблюдать.

Информация в ЕБС из нескольких коммерческих систем не «смешивается». Например, гражданин оставлял свою биометрию в разных банках, и все они передали их в систему. В ЕБС будут храниться самые актуальные данные, а остальные будут уничтожены.

Требования к обработке биометрии

В конце 2022 года был принят закон для защиты биометрии — от 29.12.2022 № 572-ФЗ. Его требования начинают действовать поэтапно, до 1 января 2027 года.

Вот что вы должны делать по закону, если у вас есть БПД клиентов или сотрудников.

Получать обязательное письменное согласие гражданина на сбор и обработку биометрии — ст. 11 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных». Есть исключения, но их немного. Например, без письменного согласия снимают отпечатки пальцев в правоохранительных органах.

Собирать биометрию без ведома граждан нельзя, но тут нужно пояснить, что именно будет нарушением, ведь камеры видеонаблюдения есть в магазинах, в аэропортах, в школах и других местах.

Не нужно получать согласие граждан на видеосъёмку, если она ведётся в местах, открытых для посещения, например, на стадионах или в торговых центрах. Если только вы не снимаете конкретного человека, а он об этом не знает — тогда это уже нарушение.

Также не нужно получать согласие, если гражданин позирует за деньги. Или вы не планируете как-то использовать или обнародовать изображение, а съёмку вели в целях общественной безопасности — ст. 152.1 ГК РФ.

Передать до 30 сентября 2023 года биометрию в виде фото- или видеоизображения лица и записи голоса граждан в ЕБС — ст. 26 Федерального закона от 29.12.2022 № 572-ФЗ. Это должны сделать все коммерческие организации, ИП, нотариусы, если у них есть биометрия.

«Передать биометрию» —это не просто записать на диск все данные и отправить его с курьером, или загрузить информацию в облачное хранилище. Для этого нужно:

  • заключить договор с ЦБТ, чтобы подключиться к ЕБС;
  • приобрести необходимое оборудование и ПО;
  • перевести все биометрические данные в формат по приказу минцифры от 12.05.2023 № 453;
  • уничтожить все изображения лица и записи голоса, которые не выгружены в ЕБС.

Есть и простой вариант — ничего в Единую систему не передавать, а просто прекратить использовать БПД для подтверждения личности граждан. И приглашать людей для очной идентификации и аутентификации в тех случаях, когда это нужно. Например, банкам — выдавать карты только в офисе.

Если вы выбрали такой вариант, не забудьте уничтожить или передать в архив всю хранившуюся ранее биометрию. Не используйте её даже для внутренних целей, например, для пропуска на территорию. Иначе можно получить штраф, если кто-то из работников или потребителей пожалуется в Роскомнадзор.

Пройти государственную аккредитацию. Это нужно только тем ИП и компаниям, которые всё-таки продолжить собирать БПД клиентов и работников, а не только получать данные из ЕБС.

В Единой системе есть две роли для бизнеса:

  • поставщик данных — тот, кто собирает изображения и записи голоса граждан с помощью своих информационных систем, например, банки;
  • пользователь данных — тот, кто просто получает из ЕБС векторы.

Государственная аккредитация нужна только первой группе — поставщикам биометрических данных. Её проходят по правилам из постановления от 22.05.2023 № 810.

Не отказывать в услуге гражданам, если они не дают согласия на обработку биометрии. Сдача БПД — это право, а не обязанность граждан. По закону нельзя отказать человеку в предоставлении услуг, если он не хочет подтверждать свою личность по биометрическим данным. В таких случаях используйте другие способы аутентификации гражданина, например, проверку паспорта при личном посещении офиса.

Как работать с ЕБС

Вы можете подключиться к Единой биометрической системе на её официальном сайте ebs.ru, через вкладку «Бизнесу».

-2

Перейдите в раздел «Мои задачи» через соответствующую кнопку на сайте и выберите роль. Например, роль «Поставщик биометрических данных» нужна компаниям, которые регистрируют изображения лица и запись голоса граждан в ЕБС. Если вы собираетесь использовать систему только для получения векторов БПД при оказании услуг, то выбирайте «Потребитель биометрических данных».

-3

На сайте ЕБС есть пошаговые инструкции по подключению и рекомендации по выбору оборудования, программного обеспечения с учётом требований приказа Минцифры от 12.05.2023 № 453.

Например, для получения изображения лица потребуется видеокамера с разрешением не ниже 1280х720, которая поддерживает режим автоматической корректировки баланса белого цвета и режим автофокусировки.

За использование возможностей ЕБС предпринимателям придётся платить в соответствии со ст. 12 Федерального закона от 29.12.2022 № 572-ФЗ. Размер платы устанавливают в договоре с ЦБТ.

Поставщики данных в ЕБС обязаны уведомить гражданина о том, что собираются разместить его биометрические данные в Единой системе, не менее чем за 30 дней — ч. 15 ст. 4 Федерального закона от 29.12.2022 № 572-ФЗ. Это можно сделать в любой форме, которая позволяет подтвердить, что человека предупредили вовремя — например, направить письмо по E-mail или смс-сообщение, бумажное письмо «Почтой России».

Если в течение 30 дней гражданин не сообщит, что он против размещения своей биометрии в Единой системе, то сведения можно передавать.

Как узнать, передавали ли ваши данные в ЕБС

Если вы вообще не работаете с БПД и не собираются это делать, вам может быть интересно, а попали ли ваши данные в ЕБС, и что с этим делать.

Вы могли оставить свою биометрию в банке, чтобы оформить банковскую карту. В этом случае вы должны были получить уведомление о том, что до 30 сентября 2023 года ваши данные будут переданы в ЕБС.

Например, в августе 2023 года клиенты банков стали получать сообщения примерно такого содержания: «По закону № 572-ФЗ от 29.12.2022 года банк Х, как и другие банки, передаст Ваши биометрические данные в Единую биометрическую систему (ЕБС). Это произойдет через 30 дней и не повлияет на обслуживание в банке…».

Если вы пропустили такое уведомление или по каким-то причинам не получили его, посмотреть размещение БПД можно в личном профиле на Портале госуслуг, в разделе «Биометрия».

-4

Надёжнее всего проверять биометрию после 30 сентября 2023 года, когда истечёт срок получения сведений от всех коммерческих систем. С этой даты вы сможете точно увидеть, какие ваши данные есть в ЕБС.

Если данные в системе есть, вы можете отозвать своё согласие на обработку БПД в любой момент. Для этого отправьте письменное обращение в ЦБТ через Госуслуги или в личном кабинете физлица на сайте ЕБС. После этого ваши данные удалят из ЕБС, и больше никто не сможет использовать их или их векторы. Но имейте в виду, что тогда вы не сможете получать дистанционно государственные и коммерческие услуги.

Аналогично вы можете отозвать в любой момент своё согласие на обработку БПД у банков, ИП и компаний, которым вы оставляли свою биометрию. Если, конечно, помните, где их давали.

С 1 января 2024 года всеми согласиями на обработку БПД в режиме одного окна можно будет управлять разделе «Биометрия» на Госуслугах.

В будущем можно будет заранее отказаться от сбора своих биометрических данных через МФЦ. Тогда ни одна государственная или коммерческая структура не сможет обрабатывать ваши БПД. Отказ можно будет отозвать в любой момент через МФЦ.

Штрафы за нарушения

На сентябрь 2023 года отдельных санкций за несоблюдение порядка обработки БДН нет. Предпринимателя могут привлечь к административной ответственности по ст. 13.11 КоАП как за нарушения при работе с персональными данными.

На рассмотрении в Госдуме находится законопроект № 353266-8 с отдельными штрафами. Несоблюдение порядка обработки БПД может стоить ИП от 100 000 до 300 000 рублей, компании — от 300 000 до 700 000 рублей. Законопроект прошёл первое чтение в июне 2023 года.