Вчера был День персональных данных, а сегодня в канале день лонгридов 💙 Много букв, зато по действительно сложным и важным вопросам.
То, о чем многие просили сделать развернутый материал:
БИОМЕТРИЯ В СКУД
Безопасность доступа и регуляторные риски 🔄
Компании все активнее переходят на биометрические СКУД: лицо вместо карты, отпечаток вместо PIN-кода. Удобно, быстро, технологично.
Но биометрия — самый чувствительный тип персональных данных, и последствия ее утечки, как правило, существенно серьезнее, чем потеря карты доступа. Ошибки при внедрении превращают такую систему в потенциальный источник претензий и штрафов.
▶️ Почему биометрия — зона особого внимания
Биометрия — отдельная категория данных
По ст. 11 ФЗ-152 для обработки биометрических персональных данных установлены специальные требования. Согласие субъекта ПДн обязательно, за редкими исключениями, прямо предусмотренными законодательством.
Ее нельзя «заменить»
Пароль можно обновить. Лицо — нет. Отсюда и повышенные требования к хранению, защите и контролю доступа к биометрическим шаблонам.
СКУД не относится к изолированной системе
Она почти всегда связана с учетом рабочего времени, кадровыми системами и пропускным контуром здания. Поверхность атаки растет, а контроль за цепочкой обработки усложняется.
▶️ Где чаще всего возникают проблемы
Некорректные документы
Согласия написаны как для обычных ПДн, нет отдельного согласия на передачу подрядчику, не прописаны цели и способы обработки.
Практика проверок Роскомнадзора показывает, что такие нюансы выявляются в первую очередь.
Хранение данных вне контроля компании
Биометрические шаблоны хранятся у подрядчика, в облаке без подтвержденных мер шифрования и защиты, либо вообще не задокументировано, где именно и в каком виде находятся данные.
Человеческий фактор
Сотрудники не понимают, зачем компания собирает их биометрию, что приводит к массовым запросам, обращениям и жалобам.
Компании, которые не готовы объяснить процесс, получают проверки и требования об устранении нарушений.
ЕБС и требования по подключению
Многие организации даже не знают, что в ряде случаев обязаны использовать Единую биометрическую систему либо учитывать требования, связанные с ее применением.
▶️ Как сделать биометрию действительно безопасной
Использовать двухфакторные схемы
Карточка + лицо, код + отпечаток. Это снижает риск компрометации одного фактора и повышает общую устойчивость системы контроля доступа.
Хранить шаблоны локально
В защищенной базе, под контролем оператора. Если используется ЕБС, соблюдать ее технические требования и правила взаимодействия.
Разнести согласия
Отдельно на обработку биометрии.
Отдельно на передачу подрядчику (если он обслуживает СКУД).
Юридическая корректность этих документов — первый фильтр от претензий и предписаний регулятора.
Прописать процесс и обучение
Сотрудники должны понимать, зачем собирается биометрия, как она защищена и какие права у них есть. Это резко снижает уровень конфликтов и обращений в РКН.
Если вы только внедряете биометрию или уже используете СКУД с биометрией, мы можем помочь выстроить процессы так, чтобы система была одновременно удобной, безопасной и юридически корректной, как для бизнеса, так и для сотрудников.
