Найти в Дзене
ЮА "Silver Knight"
2 подписчика

Биометрия для бизнеса: как не заплатить 20 миллионов и правильно поставить щит?

7
9 мин
Лицо. Голос. Вы ставите камеру наблюдения в своем помещении и записываете разговоры с клиентами. И тут же встает вопрос: это «биометрия» или обычные данные? Нужно ли отдельное согласие и особая система хранения? Грозит ли вам штраф до 20 млн рублей? Путать фото из ВК с распознаванием лиц не стоит. Чрезмерная паника еще ни к чему хорошему не привела доблестных рыцарей. Поэтому сегодня будем разбираться с темой обработки изображений и голоса ваших клиентов и сотрудников. Чтобы вы знали, когда нужно строить крепость, а когда достаточно крепкого щита. Биометрия - сведения о физических и биологических особенностях человека, на основании которых можно установить личность, и которые именно для этого используются. Источник: ст. 11 ФЗ № 152-ФЗ "О персональных данных" Ключевое тут — цель идентификации. Если вы по снимкам и записи голоса без другой информации не можете распознать «кто это», значит вы не обрабатываете биометрию. Поэтому здесь уже можно снизить уровень паники. Фото само по себе
Оглавление

Лицо. Голос. Вы ставите камеру наблюдения в своем помещении и записываете разговоры с клиентами. И тут же встает вопрос: это «биометрия» или обычные данные? Нужно ли отдельное согласие и особая система хранения? Грозит ли вам штраф до 20 млн рублей?

Путать фото из ВК с распознаванием лиц не стоит. Чрезмерная паника еще ни к чему хорошему не привела доблестных рыцарей. Поэтому сегодня будем разбираться с темой обработки изображений и голоса ваших клиентов и сотрудников. Чтобы вы знали, когда нужно строить крепость, а когда достаточно крепкого щита.

Что вообще такое «биометрия»

Биометрия - сведения о физических и биологических особенностях человека, на основании которых можно установить личность, и которые именно для этого используются.

Источник: ст. 11 ФЗ № 152-ФЗ "О персональных данных"

Ключевое тут — цель идентификации. Если вы по снимкам и записи голоса без другой информации не можете распознать «кто это», значит вы не обрабатываете биометрию.

Поэтому здесь уже можно снизить уровень паники. Фото само по себе не биометрия, если вы не используете его для идентификации личности. Повесили портрет автора рядом с текстом — это персональные данные, но не биометрия. Свитки Роскомнадзора все хорошо поясняют. Вот еще парочка писем для изучения:

Письмо РКН от 29.08.2022 № 08-78032

Письмо РКН от 01.08.2024 № 62450-02-11/77

Почему все боятся работы с фото?

Федеральный закон № 572-ФЗ ввел строгое правило. Вне Единой биометрической системы (ЕБС) хранить/использовать биометрию для идентификации нельзя в большинстве случаев. И многие боятся, что для обработки и хранения любых фото, видео, голоса придется налаживать сложные системы, чтобы не налететь на штраф.

Видео: где спокойно, а где ловушка

Камеры в зале для безопасности

Чаще всего обработка обычных персональных данных (если людей можно узнать), но не биометрия, пока вы не распознаёте лица.

Цель. Безопасность: охрана имущества, урегулирование конфликтов. Основание. «Законный интерес» оператора, если права людей не нарушаются (п. 7 ст. 6 ФЗ № 152-ФЗ). Отдельного согласия для такой записи не требуется.

Табличка «Ведётся видеонаблюдение» — часть честного информирования ваших клиентов. Всех сотрудников необходимо под подпись ознакомить с правилами обработки данных в вашей организации, в том числе с правилами видеонаблюдения.

Распознавание лиц (Face ID)

Как только вы включили распознавание лиц (технология Face ID, чтобы узнать конкретного сотрудника или клиента), вы перешли грань. Это биометрия. Здесь нужен специальный правовой режим: отдельное письменное согласие, соблюдение требований к хранению и информационной безопасности.

В городских проектах, вроде Face Pay в метро, так и устроено: человек сам подключает услугу, привязывает фото и карту, а дальше система сверяет лицо на турникете. Прогрессивно, но и юридически тяжело.

Голос: контроль качества и узнавание по тембру

Запись разговоров колл-центра, чтобы разбирать споры и обучать менеджеров, это обычные персональные данные. Это не биометрия, пока вы не пытаетесь узнавать человека по голосу.

Как только появляется система voice-ID или подобная — та же история, что и с лицом. Попадаете в зону действия 572-ФЗ: биометрия, согласие, особый порядок хранения.

Частые ошибки и как их не допустить

1. Любое фото — это биометрия

Нет. Только когда используете его для идентификации. Иначе это обычные ПД. Лишнее согласие на биометрию только добавит вам проблем и спровоцирует проверку РКН с усиленным вниманием к вашим процессам.

2. Камеры — это не обработка персональных данных.

Почти всегда обработка есть, если людей можно узнать. Просто это не биометрия, пока нет распознавания по лицку. Основание обработки п. 7 ч. 1 ст. 6 (законный интерес). Вы действуете по праву. Но информируйте тех, кого снимаете, и ставьте разумные сроки хранения.

3. Биометрия хранится непосредственно в системе у работодателя

Для идентификации или аутентификации по лицу допустимы только сценарии из 572-ФЗ: через ЕБС/аккредитованные системы. По закону действует прямой запрет на хранение вне контура 572-ФЗ.

4. Неправильно определили того, кто оператор и должен собирать согласия на биометрию

Вы не оператор

Если вашей организации не поступают и недоступны биометрические данные, например при оплате по лицу (терминал банка делает снимок, сверяет через ЕБС и возвращает лишь результат «успех/неуспех»), то оператором биометрических ПД будет ЕБС или аккредитованная организация (банк).

Ваша организация в таком сценарии не определяет состав и способы обработки биометрии и получает только результат. Следовательно, вы не оператор биометрических ПД.

Проверьте в договоре на подключение:

  • аутентификацию выполняет аккредитованная организация/через ЕБС; биометрия не передаётся и не делится с вашей организацией, а вы получаете только результат операции;
  • запрет локального хранения «сырых» изображений/голоса у вас; соблюдение состава данных и сроков, допускаемых 572-ФЗ; порядок уведомлений об инцидентах у банка.

Вы оператор. Или нет?

Если вы подключаете СКУД (систему контроля удаленного доступа) от стороннего провайдера, появляется развилка. Зависит от того, есть ли идентификация по лицу? Если да, то появляется биометрия.

Как только система или охранник сверяет лицо человека с фото, это уже идентификация, и фото в СКУД может рассматриваться как биометрические ПД.

РКН в разъяснениях по СКУД указывает: при использовании СКУД нужно опираться на 572-ФЗ и обрабатывать именно те данные, которые закон допускает (изображение лица и запись голоса).

Кто оператор биометрии в СКУД:

  • Сторонний провайдер: если аутентификацию делает аккредитованная организация/ЕБС, а заказчик получает только результат «пустить/не пустить».
  • Заказчик (ваша организация): если вы сами собираете или храните шаблоны лиц (локальная сеть, фотобаза) — вы становитесь оператором биометрии со всеми вытекающими. Такой сценарий вне ЕБС/аккредитованной ИС — проблемный и, как правило, незаконный. Вам необходимо либо подключиться к ЕБС, либо пересмотреть вашу систему.

5. Согласие решает всё. Нужно больше согласий!

Не всегда лишние согласия актуальны. А в последнее время они настораживают РКН, переводят организацию в критическую группу риска и провоцируют проверки. Вам нужен лишний бой без предупреждения? Не думаем.

Поэтому не стоит тащить согласие туда, где хватает договора (бронь, доставка, запись на курс) или законного интереса (видеонаблюдение для безопасности). И делать кучу галочек "на всякий случай". Уж тем более не собирайте согласие на биометрию там, где её нет!

Согласие держите для маркетинговых рассылок, публикации отзывов и реальной биометрии. Вам же проще, клиентам спокойнее. А РКН с большей вероятностью пройдет мимо вас с мыслью "наверное, показалось...".

Что по рискам?

За общие нарушения (неправильно оформили основания обработки, избыточно собираете данные, не ), штраф по ст. 13.11 КоАП. Так, для организации за обработку без наличия основания штраф 150–300 тыс. руб., при повторе — до 500 тыс. Для ИП и должностных лиц до 100 000 и 200 000 р. соответственно.

А вот по биометрии все гораздо серьёзнее:

  • обработка биометрии с нарушением правил - 500 000 - 1 000 000 рублей (ст. 13.11.3 КоАП);
  • утечка биометрии - 15-20 млн рублей (ч. 18 ст. 13.11 КоАП) для организации, 1,3-1,5 млн р для ИП или директора фирмы;
  • повторная утечка биометрии - оборотный штраф. 1-3% выручки за год или часть текущего года, но не менее 25 млн и не более 500 млн руб.
  • уголовная ответственность при использовании биометрии, полученной незаконным путём: штраф до 700 000 р или дохода в период до 2 лет, запрет на определенную деятельность, или лишение свободы до 5 лет.

Поэтому включать распознавание лиц «ради моды» не надо. Создадите себе больше головняков. Убедитесь, действительно ли вам так необходима эта система?

Как правильно определять биометрию и работать с ней?

Шаг 1. Определите цель.

Идентификация или аутентификация по лицу и голосу? Прямая дорога к 572-ФЗ.

Просто безопасность или контроль качества без распознавания личности? Это не биометрия, идём по 152-ФЗ как обычные ПД (или вовсе не персональные данные, если узнать человека нельзя).

Шаг 2. Проверьте систему.

Если не хотите стать случайным оператором, в софте и камерах выключите функции распознавания (детекция движения — ок; face recognition — off). Не включайте выгрузку лиц/шаблонов в свои базы. Ответственность несете за это вы, а не «поставщик, который так настроил». Практика РКН и обзоры судебной практики подтверждают строгий подход к распознаванию лиц — это всегда биометрия.

Шаг 3. Если нужна биометрия — готовим правовой контур.

  • Сценарий обработки данных должен вписываться в 572-ФЗ (ЕБС/аккредитованные информационные системы).
  • Отдельное письменное согласие на обработку
  • Не хранимс в своих базах фото и записи голоса; «сырые» данные уничтожаем по правилам.
  • Проверяем договор с провайдером и определяем, появляются ли обязанности оператора биометрии у вас.

Шаг 4. Если биометрия не нужна — оформляем обычные ПД.

  • Видео без распознавания: повесьте таблички "ведется видеонаблюдение" и примите локальный регламент; ограничьте доступ и сроки хранения информации.
  • Запись звонков: пропишите в ЛНА/договорах, уведомляйте сотрудников и клиентов о записи до начала разговора; не делайте идентификацию по «голосовому отпечатку» — и вы не в зоне действия 572-ФЗ.

Шаг 5. Договоры с подрядчиками.

Проверяйте, чтобы интеграторы и провайдеры не включали биометрию без вашего ведома, а в договоре было прямо написано: распознавание запрещено, если вам оно не нужно.

Что проверить и зафиксировать в договоре с провайдером СКУД

  • Статус провайдера: провайдер — аккредитованная организация (если применяется биометрия);
  • Роли и потоки данных: провайдет оператор биометрии; заказчик не получает доступ к биометрии и получает только результат аутентификации.
  • Данные и сроки: используются только данные из ч. 4 ст. 3 572-ФЗ (лицо/голос); «сырые» изображения и записи не хранятся у заказчика; прописаны доказуемые сроки хранения, уничтожение; логирование.
  • Информационная безопасность: шифрование, контроль доступа, порядок инцидентов и уведомлений; аудит настроек (отключение «распознавания» по умолчанию, если оно не требуется), иные необходимые меры безопасности.
  • Альтернатива: обработка биометрии всегда строго добровольна. Введите обязательную небиометрическую альтернативу (карта/брелок/код). Это снижает риски претензий РКН и трудовых споров. Практика по фото сотрудников показывает высокий риск без письменных форм согласий и при отсутствии альтернативы.

И главное, помните: все модели должны соответствовать 572-ФЗ, «самодельные» распознавалки под огромным риском.

Шаг 6. Инциденты и ответы на запросы.

Настройте процедуру реагирования: журнал обращений, сроки уничтожения/удаления, уведомления об утечке по КоАП 13.11 (ч. 11). С 30 мая весьма неприятные отдельные штрафы за несообщение в РКН об утечке.

Подписывайтесь на канал, чтобы не пропустить полезные материалы от нас. А если вам необходима помощь в сложных процессах обработки данных, отправляйте гонца в наш орден. Свяжемся и поможем распутать клубок информации и потенциальных рисков.