Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Что такое биометрические данные, правила их сбора и обработки». Если у Вас нет времени на чтение или статья не полностью решает Вашу проблему, можете получить онлайн консультацию квалифицированного юриста в форме ниже.
Не относятся к биометрическим данным фото в личном деле сотрудника, подпись и почерк. Происходит это по тому, что их анализ направлен на подтверждение принадлежности человеку, который уже идентифицирован в информационной системе.
Общедоступные персональные данные
Персональными данными по Закону № 152-ФЗ считается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПД).
На передачу или распространение данных о ком-либо требуется согласие их субъекта, за исключением случаев, установленных законодательством (согласие не требуется при передаче ПД определенным органам и в определенных случаях).
К сведению: не требуется согласие работника на передачу персональных данных третьим лицам в целях предупреждения угрозы жизни и здоровью работника, в ФСС, ПФ РФ, налоговые органы, военные комиссариаты, прокуратуру, правоохранительные органы, ГИТ, суд (Разъяснения Роскомнадзора «Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве»).
Ранее в Законе № 152-ФЗ было такое определение: общедоступные персональные данные – это ПД, доступ неограниченному кругу лиц к которым предоставлен с согласия субъекта ПД или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности. То есть эти данные размещались их субъектом или с его согласия в общедоступных источниках. Статья 8 Закона № 152-ФЗ относит к таким источникам справочники, адресные книги. Это также могут быть социальные сети и другие интернет-ресурсы.
К общедоступным сведениям относились фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии, фото и др. Общедоступные сведения в любое время могли быть исключены из общедоступного источника по требованию субъекта ПД либо по решению суда или иных уполномоченных государственных органов.
Обработка персональных данных
В соответствии с п. 3 ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» обработка персональных данных — это любое действие (операция) или совокупность действий (операций), совершаемых с использованием или без использования средств автоматизации, с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
До начала обработки персональных данных вы обязаны уведомить Роскомнадзор о намерении их обрабатывать (ч. 1 ст. 22 Закона о персональных данных)
Что не является биометрическими ПДн?
Также не причисляют к биометрическим ПДн флюорографические и рентгеновские снимки, которые находятся в историях болезней, потому что их используют для установления болезни, а не личности. Исключением являются случаи, когда снимки используются в рамках следствия.
Тот же принцип действует для видеоматериалов, снятых на охраняемой территории и в публичных местах. Пока они не служат для установления личности, биометрическими они не являются.
Хранение и защита биометрических данных
Согласно 152-ФЗ персональные сведенья могут храниться не дольше, чем этого требуют цели их обработки, после чего они должны быть удалены или обезличены. Храниться биометрия может в информационных системах (далее – ИС), либо же вне ИС на материальных носителях информации (далее – МНИ). К МНИ могут относиться флешки, диски и т. д. Важно указать, что бумажные носители не являются МНИ.
В случаи использования МНИ, к ним и к технологиям хранения должны применяться требования защиты. Данные требования приведены в Постановлении от 6 июля 2008 г. №512 (далее – П 512).
МНИ должны обеспечивать:
- невозможность НСД;
- идентификацию ИС, в которую была записана данная биометрия;
- доступ к данным для уполномоченных лиц;
- защиту от несанкционированного изменения, записи или дополнения.
Технологии хранения биометрии вне ИС должны обеспечивать:
- доступ к данным для уполномоченных лиц;
- применение электронной цифровой подписи или других технологий для обеспечения целостности и неизменности данных на МНИ;
- проверку наличия согласия субъекта на обработку биометрии.
Основной сферой, в которой актуально использование биометрических ПДн, является банковская сфера. В банке может быть развернута так называемая Единая биометрическая система (далее – ЕБС). Это совсем небольшой выделенный сегмент в организации, в котором происходит сбор, обработка и хранение биометрии. Все данные из ЕБС передаются в Единую систему идентификации и аутентификации (далее – ЕСИА).
Предоставление персональных данных пациенту или его законному представителю
Медицинская организация обязана сообщить пациенту или его законному представителю информацию о наличии персональных данных и предоставить возможность для ознакомления с ними в течение 30 дней с даты получения соответствующего запроса от пациента или его представителя (ст. 14, ст. 20 Закона № 152-ФЗ).
Согласно Закону № 323-ФЗ пациент или его законный представитель имеют право на основании письменного заявления получать отражающие состояние здоровья медицинские документы, их копии и выписки из медицинских документов (п. 5 ст. 22 Закона № 323-ФЗ) в порядке утвержденном приказом Минздравсоцразвития РФ от 02.05.2012 № 441н, а также непосредственно знакомиться с медицинской документацией, отражающей состояние здоровья в порядке, утвержденном приказом Министерства здравоохранения РФ от 29.06.2016 № 425н.
Проблема защищенности персональных данных от несанкционированного доступа неограниченного круга лиц очень актуальна в России. Анализ инцидентов последних лет – когда персональные данные граждан массово попадали в открытый доступ – говорит о недостаточности существующих законодательных механизмов.
Кроме того, широкое распространение получили сервисы в Интернете, занимающиеся противоправным оборотом персональных данных, где можно приобрести информацию в отношении большинства российских граждан из различных баз данных. Это адреса, недвижимость, паспорта, авиа и железнодорожные перелеты и т. п. Всё это не только нарушает право человека на неприкосновенность частной жизни, гарантированное Конституцией РФ, но и создает реальную угрозу для преступлений и правонарушений. В том числе мошенничества с использованием методов социальной инженерии, заочное оформление кредитов, кибербуллинг и т. п.
Вдобавок законодательство никак не ограничивало выдачу сведений третьим лицам о принадлежащих гражданам объектах недвижимости, включая адреса их мест проживания. В то же время такие сведения – тоже персональные данные, нуждающиеся в соответствующей защищенности.
Подобные нелегальные сервисы преимущественно размещаются в иностранном сегменте Интернета, на который не распространялись требования российского законодательства о персональных данных. При этом законодательство практически не регулировало трансграничную передачу персональных данных, что также создавало существенную угрозу.
Биометрические данные граждан при изменении внешности
Внешность человека имеет свойство меняться в силу возраста, травм или операций. Если хотите, чтобы система исправно работала даже после таких трансформаций, персональные данные в ней нужно менять. Стандартный срок – раз в три года.
Внеурочно зарегистрироваться придется, если внешность изменилась сильно и обработкаперсональных данных невозможна. Например, после пластической операции, травмы. Если просто отрастили бороду – сбоя не возникнет. Также придется вносить обновленные данные, если сильно охрипли – система не считает изменившийся голос. Конечно, можно подождать пока голос не вернет свой привычный тембр, но если этого не происходит, придется идти в банк, подтверждать свою личность и новый голос.
Закон и право по биометрии в России и мире
Согласно текущему закону, по отношению к биометрическимданным, использовать сведения о физиологических особенностях человека разрешено, только если есть письменное разрешение человека, которому рассматриваемые биометрические данные принадлежат. В других случаях обработка невозможна.
Но есть ситуации, когда персональные биометрические данные могут обрабатываться и без согласия человека. Например, в случаях, когда действует договор о реадмиссии, когда исполняются судебные акты или правосудие осуществляет другие действия, где биометрия необходима.
Также биометрическиеперсональные сведения могут быть использованы в задачах, связанных с безопасностью, противодействием терроризму/коррупции. Иногда персональные материалы применяются в оперативно-розыскной работе и других задачах предусмотренных законодательством России.
Получить юридическую помощь по вопросам биометрических данных граждан можно на нашем сайте.
Разбираясь в вопросе: фотография это персональные данные или нет, нужно помнить, что под персданными понимается любая информация, прямо или косвенно относящаяся к конкретному физическому лицу, говоря языком закона – субъекту персональных данных (п. 1 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ).
Понятно, что по фотоизображению можно идентифицировать человека, так как фотография является способом подачи информации путем визуального восприятия. Получается, что фотография является персональными данными по закону. Следовательно, работая с фото сотрудников, нужно придерживаться обязательных правил работы с данной информацией.
На практике компания должна получить разрешение на манипуляции с фотографией работника. Например, размещая информацию о нем на официальном сайте организации в интернете, на доске почета или бейджике. Ведь фотография – это биометрические данные (определение Верховного суда от 05.03.2018 № 307-КГ18-101). Таким образом, мы разобрались с вопросом: фотография персональные данные или нет.
Законодательные документы не содержат строгого перечисления личных данных. Обычно работник предоставляет в распоряжение работодателя следующие сведения:
- об образовании;
- трудовом и общем стаже;
- составе семьи;
- воинском учете;
- заработной плате;
- социальных льготах;
- занимаемой должности;
- наличии судимостей;
- адресе по месту регистрации и проживания;
- контактных телефонах;
- местах работы или учебы членов семьи;
- условиях трудового договора;
- наличии декларируемых материальных ценностей;
- материалах по повышению квалификации, переподготовке, аттестации и служебных расследованиях и пр.
- Согласие на сбор и обработку биометрии ЕБС и аккредитованный бизнес смогут получать не только с физической подписью, но и несколькими видами электронной — в том числе простой электронной подписью. Ее ключи станут выдавать гражданам сам оператор Единой биометрической системы, его региональные отделения, госорганы, банки и коммерческие организации. Требования к проверке электронной подписи обязано установить правительство.
- Государственный оператор Единой биометрической системы сможет взимать плату с бизнеса за ее использование.
- Правительство назначит некий федеральный исполнительный орган, который, в свою очередь, определит требования к информационным технологиям и техническим средствам, предназначенным для обработки биометрических персональных данных и векторов.
- Коммерческим организация законом разрешено лишь собирать и передавать биометрию в Единую систему. Хранить у себя и как-либо обрабатывать биометрические данные нельзя (статья 15, п. 1). Исключение (п. 3 той же статьи) возможно лишь на 10 суток, когда (и если) гражданин обратился с заявлением о неправомерном использовании его персональных биометрических данных. После 10 суток хранения организации обязаны данные уничтожить.
- Надзирать за всей этой махиной поручат неким «уполномоченным федеральным органам исполнительной власти». Заниматься безопасностью процедур, технических и программных средств биометрии также будет Центральный банк РФ. Его же обяжут вести надзор и контроль над работой с Единой биометрической системой российских финансовых организаций.
Организации и индивидуальные предприниматели, взаимодействуя с сотрудниками, получают доступ к их персональных данным. Полученные сведения хранятся в личных карточках, которые заводят на работников. Также подобные сведения содержатся в личных делах сотрудников, при условии их ведения работодателем.
Под персональными данными понимается любая информация, касающаяся конкретного работника и необходимая работодателю в рамках трудовых отношений с ним (п. 1 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ).
По закону организация, получившая доступ к персданным, должна обеспечить их хранение и конфиденциальность. Обычно источником информации о себе является сам работник. Однако в некоторых случаях сведения о конкретном сотруднике могут быть запрошены у третьих лиц. В такой ситуации нужно получить письменное согласие сотрудника. Для этого компания должна проинформировать сотрудника (п. 3 ч. 1 ст. 86 ТК РФ):
- о целях получения данных и характере информации;
- источнике данных и способе получения;
- последствиях отказа от предоставления согласия на их получение.
Основные правила работы с персданными фиксируются в специальном внутреннем локальном акте – Положении о работе с персональными данными. Фотография работника к ним относится?
Адвокат по биометрическим данным в Екатеринбурге
Если у Вас возникли какие-то вопросы, связанные с биометрическими данными, либо Вам отказывают в оказании каких-либо услуг, потому что Вы не предоставляете биометрические персональные данные, тогда обратитесь к адвокатам нашего бюро, которые могут оказать следующие услуги в этой сфере:
- консультация по вопросам предоставления и использования биометрических данных
- подготовка заявление об отзыве своего согласия на использование биометрических данных
- подготовка претензии в адрес оператора на незаконное использование Вашей биометрии
- подготовка жалобы на нарушение Ваших прав, в связи с использованием Ваших биометрических персональных данных
- представление интересов доверителя по вопросам незаконного использования Ваших данных, по вопросам обжалования действий операторов и т.п.
Как отозвать согласие на обработку биометрических данных?
Чаще всего согласие на обработку биометрических данных дается в письменной форме. Однако, такое согласие может быть получено и через совершение лицом действий, направленных на фиксацию биометрических данных. Например, в банках предлагают сфотографироваться на камеру и назвать цифры для аудиозаписи голоса, после чего биометрия получена и согласие тоже.
Как же отозвать согласие на обработку биометрических данных? Отозвать согласие путем совершения каких-то действий наверное не удастся, да и доказать в случае чего такой отзыв будет затруднительно. Поэтому действуем по старинке и оформляем в письменной форме заявление на отзыв соответствующего согласия.
В заявлении на отзыв согласия следует указать адресата, от кого подается заявление и в тексте указать, что Вы отзываете свое согласие на обработку Ваших биометрических данных. Поставить дату и подпись. Затем заявление можно вручить лично под отметку на Вашем экземпляре или направить по почте заказным письмом.
ПОЛЕЗНО:
Спрос на услугу населения и первые прогнозы банков
Хотя банки и хотели получить право на более качественную идентификацию своих клиентов посредством биометрии, однако, многие понимают, что помимо их желания есть нежелание граждан. Современная молодежь, которая только приветствует различные новации и адекватно воспринимает цифровизацию нашего мира, практически в большинстве поддерживают подобную инициативу. Особенно это касается тех, кто активно использует в своей деятельности интернет и удаленное обслуживание.
Проблемой же, по мнению сотрудников Сбербанка, станут люди среднего и более старшего поколения. Они негативно воспринимают все что непонятно. А особенно это касается пенсионеров, которые и так видят во всем подвох, а тут еще и хотят получить их биометрические данные. По предварительным предположениям, в первое время (1-2 года) люди будут неохотно предоставлять свои данные, но со временем это процесс станет необходимым.
А вот ВТБ отметил, что это реальный способ повысить число клиентов, выбирающих удаленное обслуживание. На сегодняшний день доля цифровых продаж в объеме оборота банка составляет около 40%. А по оптимистичным прогнозам она может достигнуть 60% уже к концу 2019 года.
Альфа-банк, присоединившись к глобальной программе, на первых парах начал принимать биометрические данные только в 2 центральных отделения. После того как персонал пройдет обучение, постепенно будет внедряться эта система и в других отделения. Уже к концу года получится охватить 87 отделений банка. Банк видит в этой системе реальную возможность для развития своей деятельности и упрощения процесс получения услуг для клиентов. А, помимо этого, таким образом получиться освободить часть сотрудников для развития других приоритетных направлений деятельности банка.
Специалисты по развитию в «Открытии» отмечают, что за столь короткий срок времени им уже удалось собрать более 40 тыс. фотографий. Использовать ее запланировано при большинстве проводимых операций, в том числе при переводах с карты банка. Отмечено, что такой способ идентификации упростит процесс оформления документов, ведь основная информация будет подтягиваться автоматически.
Что относится к биометрическим персональным данным
К персональным биометрическим данным относятся уникальные и универсальные характеристики личности человека. Это все то, что не изменяется в человеке на протяжении всей его жизни. В данный перечень можно отнести следующее:
- ДНК;
- отпечатки пальцев;
- группа крови;
- рисунок радужной оболочки глаза.
Как сообщили представители Роскомнадзора, персональные данные могут считаться биометрическими в том случае, если:
- данные содержат физиологические и биологические особенности человека;
- по предоставленным данным человек легко идентифицируется;
- установкой личности должен заниматься эксперт.
Важно понимать, что к категории биометрических данных относятся только данные, которые необходимы для идентификации личности человека. К примеру, результаты анализов, рентгеновские и прочие виды исследований не относятся к этой категории.