Новые разъяснения Роскомнадзора – теперь про биометрические персональные данные

Аватар пользователя mezp11@gmail.com
Автор: Емельянников Михаил, Консалтинговое агентство «Емельянников, Попова и партнеры»
(16)
()
Опубликовано в:
В обстановке «строгой конспирации и секретности», конечно же, поздним вечером пятницы, на сайте Роскомнадзора опубликован второй документ, подготовленный уполномоченным органом с участием экспертной группы, куда вхожу и я. На этот раз разъяснения касаются вопросов отнесения фото- и видео- изображений, дактилоскопических данных и иной информации к биометрическим персональным данным и особенностей их обработки.

Судя по количеству прочтений, тема биометрии – самая популярная среди читателей моего блога. На персональной страничке прямых заходов на пост «Биометрические персональные данные: что это?» – более 7200, на портале Security Lab, где есть зеркало блога, – без малого 3000 прочтений. Если к ним добавить те посты, где я так или иначе писал про проблемы обработки биометрических персональных данных (здесь и здесь, например), общее число посещений страниц только с этой тематикой уже превысило 20 тысяч.

Поскольку в написании текста разъяснений я принимал самое непосредственное участие, позволю себе выделить главное, что в них отражено.

С самого начала я настаивал на формулировке «биометрические персональные данные, обработка которых регламентируется 152-ФЗ», но поддержки у коллег не нашел. Тем не менее, крайне важным представляется, что в разъяснении четко указаны три признака, при которых на работу с этой категорий сведений распространяются ограничения, определенные ст.11 152-ФЗ. Это сведения, которые:

·         характеризуют физиологические и биологические особенности человека;

·         на основании которых можно установить его личность;

·         которые используются оператором для установления личности субъекта персональных данных.

Все три признака должны присутствовать одновременно! Из чего следует логичный вывод, что «отнесение сведений персонального характера к биометрическим персональным данным и их последующая обработка должны рассматриваться в рамках проводимых оператором мероприятий, направленных на установление личности конкретного лица». Нет идентификации – нет биометрии в понимании Федерального закона «О персональных данных».

Поэтому рентгеновские снимки или результаты биохимического анализа крови в поликлинике – не биометрические персональные данные. Как и результаты видеосъемки в офисе или фотография в личном деле работника. Все они не используются для идентификации субъекта медицинским учреждением, кадровым органом или службой безопасности. Но как только они попадут в органы следствия, дознания или исполнения судебных актов для розыска или установления личности, они становятся именно биометрическими персональными данными. А оператором в отношении этих биометрических данных будут как раз следственные и исполнительные органы.

Исходя их этих же соображений, цифровое фото, зашитое в чип загранпаспорта или пропуска, используемого в СКУД, – биометрия, поскольку используется оно как раз при установлении личности владельца пропуска, предъявившего его на входе, паче чаяния у охранника возникнут сомнения, что молодой человек, проходящий через трипод, похож на пожилую даму, чей портрет в этот момент появился на экране монитора.

К чему это я? А к тому, что в соответствии с законом, организации, поставившие у себя СКУД, использующие фотографии и уж тем более дактилоскопическую систему идентификации, должны получить у владельцев пропусков или лиц, прислоняющих свои пальчики к считывателю, согласие на обработку персональных данных в письменной форме, предусмотренной частью 4 ст.9 Федерального закона. И никак по-другому. А вот ФМС, выдающей биометрические загранпаспорта, никаких согласий получать не надо. Часть 2 ст.11: «Обработка биометрических персональных данных может осуществляться без согласия субъекта персональных данных… в случаях, предусмотренных законодательством Российской Федерации о порядке выезда из Российской Федерации и въезда в Российскую Федерацию».

Можно, наконец, вздохнуть с облегчением банкам, которых Управление Роскомнадзора по Краснодарскому краю и республике Адыгея и некоторые его коллеги-единомышленники постоянно штрафуют за ксерокопирование паспортов без письменного согласия клиентов. Теперь всем будет ясно, что «В иных случаях, когда сканирование паспорта осуществляется оператором для подтверждения осуществления определенных действий конкретным лицом (например, заключение договора на оказание услуг, в том числе банковских, медицинских и т.п.) без проведения процедур идентификации (установления личности), данные действия не могут считаться обработкой биометрических персональных данных и ст. 11 Федерального закона «О персональных данных» не регулируются. Соответственно, обработка сведений, в данных случаях, осуществляется в соответствии с общими требованиями, установленными Федеральным законом «О персональных данных». Аналогичный подход следует применять при осуществлении ксерокопирования документа, удостоверяющего личность».

Конечно, всех сложных проблем, связанных с биометрией, данное разъяснение решить не может. Остается, например, просто неприличное несоответствие оснований для обработки биометрических данных без согласия субъектов в федеральных законах «О персональных данных» и «О геномной регистрации». Но все равно такие разъяснения представляются крайне важными для создания единой практики правоприменения. И не надо в очередной раз писать, что толкование законов – вне компетенции Роскомнадзора. Оно уж тем более не в компетенции авторов таких высказываний.

Считаю, что надо радикально менять определение биометрии в 152-ФЗ. В рамках рабочей группы, созданной при Совете Федерации, я предложил следующее: «Биометрические персональные данные – это зафиксированные по определенным правилам параметры, характеризующие биологические особенности человека и используемые в системах автоматической идентификации (распознавания), такие, как изображения папиллярных узоров пальцев, сетчатки глаза и т.п. Само по себе фотографическое изображение человека, в том числе и в цифровой форме, к биометрическим данным не относится, если не используется для его автоматической идентификации».
С обратной связью пока трудно, но можно обсудить и усовершенствовать это определение прямо на блоге. При случае передам заинтересованным и компетентным.

Оцените материал:
Total votes: 269
 
Комментарии в Facebook
 

Комментарии на сайте

Аватар пользователя paulmg

Михаил Юрьевич.
Насчет "можно спокойно вздохнуть банкам" - это под сильным сомнением.
Скорее - наоборот.
Банки-то, как-раз, осуществляют копирование паспортов именно при проведении процедур идентификации.
Воистину, в очередной раз смешали святое с праведным и получилось как всегда.

up
12 users have voted.
Аватар пользователя mezp11@gmail.com

Павел, не знаю, как там всегда, но в даном случае уж не знаю, как и пояснить. Святое с праведным путаете Вы. Банк идентифицирует клиента не по скану паспорта, а по паспорту. Скан (ксерокопия) лишб подтверждает факт, что идентифкация была честно произведена, документ, удоствтоверяющий личность, предъявлен. В разъяснениях написано, что в этом случае скан - не биометрия и письменного согласия на сканирование и хранение копии пасторта не нужно. Где тут путаница?  

up
8 users have voted.
Аватар пользователя paulmg

Михаил Юрьевич.
Я Вашу позицию разделяю целиком и полностью, но лишь цитирую то, что сразу же выдали мне те люди люди, которым это исполнять и проверять.
Они прочитали фразу следующим образом: "......когда сканирование паспорта осуществляется оператором ....... без проведения процедур идентификации (установления личности)" и сразу же сказали: "Мы сканируем паспорт ПРИ ПРОВЕДЕНИИ процедур идентификации"
К сожалению, у нас очень любят использовать в документах синонимы и омонимы, создавая неоднозначность трактовок.
Про "сотрудников" и "работников" чуть ранее написал Алексей Лукацкий.
Здесь же произошло смешение терминов из областей управления доступом и противодействия отмыванию.
И мы вынуждены опять возвращаться к проблеме толкования, только теперь уже толкования разъяснения.....
 

up
14 users have voted.
Аватар пользователя mezp11@gmail.com

Павел, а что это за люди, которым предстоит исполнять и проверять и которые сканируют паспорт при проведении процедур идентификации? Если РКН по ЦФО, то они не сканируют, если банки - только бог им в помощь при таком походе. И, наконец, " ПРИ ПРОВЕДЕНИИ процедур идентификации" не равно "с целью идентификации". В ходе процедуры ее многочего случиться может ;-)
 

up
17 users have voted.
Аватар пользователя paulmg

Михаил Юрьевич.
Это мы с Вами понимаем.
А вот "простым смертным", которым этим приходится по долгу должностных обязанностей заниматься, сия "музыка сфер" представляется полнейшей какофонией.
Поэтому в данном случае, я поддерживаю позицию Артема Аветяна.
ТщательнЕе надо было готовить документ. При общей положительной динамике, появилось несколько дополнительных подводных камней.
Но это никоим образом не Вам упрек.
Как известно, "любое решение плодит новые проблемы" :-)

up
11 users have voted.
Аватар пользователя mezp11@gmail.com

Ну, так учиться надо и разбираться, если уж взялись за это дело. Ничего простого нет и не предвидится, а тщательнее - это не к нам, мы и так несколько месяцев копья ломали и собак ели. Это в Думу и к авторам постановлений. Если бы было тщательнее, разъяснения были бы не нужны. И на мой вопрос про автором комментария Вы не ответили. Лукавите? ;-)
 

up
16 users have voted.
Аватар пользователя paulmg

Внутренний контроль, в данном случае.

up
35 users have voted.
Аватар пользователя mezp11@gmail.com

Ну, если им Роскомнадзор не авторитет и не указ - я уже писал, бог им в помощь. Быть святее римского папы - задача, наверное, почетная, но на мой взгляд - бессмысленная. Я бы в этой ситуации занял свосем другую позицию. Но я - не Ваш внутренний контроль. 

up
12 users have voted.
Аватар пользователя paulmg

Как показывает последняя практика - не все Папы Римские считают себя святыми ;-)
В данном случае, как раз, и авторитет и указ.
Но указ этот допускает двойное толкование.
Свою позицию я изложил здесь без малого два месяца назад (http://dlp-expert.ru/blog/5343/42612). И она на удивление совпадает с позицией Роскомнадзора :-)

up
16 users have voted.
Аватар пользователя mezp11@gmail.com

Ну, так это хорошо. Осталось убедить в этом внутрений контроль
 

up
9 users have voted.
Аватар пользователя paulmg

Ave, Caesar, morituri te salutant

up
11 users have voted.
Аватар пользователя mezp11@gmail.com

Что, кто-то помирать собрался? Не к нам ;-)
 

up
13 users have voted.
Аватар пользователя damir.nizamov@gmail.com

Михаил Юрьевич, а для чего в личное дело помещают фотографию, если не для идентификации сотрудника?

up
16 users have voted.
Аватар пользователя paulmg

Дамир.
Что есть "идентификация"?
Федеральный закон от 07.08.2001 N 115-ФЗ (ред. от 28.06.2013) "О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма":

Идентификация - совокупность мероприятий по установлению определенных настоящим Федеральным законом сведений о клиентах, их представителях, выгодоприобретателях, бенефициарных владельцах, по подтверждению достоверности этих сведений с использованием оригиналов документов и (или) надлежащим образом заверенных копий;

Руководящий документ. Защита от несанкционированного доступа к информации. Термины и определения (утв. Гостехкомиссией РФ 30.03.1992):

Идентификация — присвоение субъектам и объектам идентификатора и / или сравнение идентификатора с перечнем присвоенных идентификаторов.
Аутентификация -  проверка принадлежности субъекту доступа предъявленного им идентификатора; подтверждение подлинности

Ни то, ни другое определение в отношении работников не применяется.
Федеральный закон от 27.07.2006 N 152-ФЗ (ред. от 05.04.2013) "О персональных данных":

up
12 users have voted.
Аватар пользователя paulmg

Статья 1. Сфера действия настоящего Федерального закона

1. Настоящим Федеральным законом регулируются отношения, связанные с обработкой персональных данных, осуществляемой федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, иными государственными органами (далее - государственные органы), органами местного самоуправления, иными муниципальными органами (далее - муниципальные органы), юридическими лицами и физическими лицами с использованием средств автоматизации, в том числе в информационно-телекоммуникационных сетях, или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации, то есть позволяет осуществлять в соответствии с заданным алгоритмом поиск персональных данных, зафиксированных на материальном носителе и содержащихся в картотеках или иных систематизированных собраниях персональных данных, и (или) доступ к таким персональным данным.

У Вас используются технологии и алгоритмы определения того, что в камеру смотрит Иванов Иван Иванович, а не Иванов Петр Иванович?
Если есть - тогда да, биометрия.
Но обычно к карточкам Т-2 такие технологии не применяются.

up
11 users have voted.
Аватар пользователя mezp11@gmail.com

Дамир, если честно - не знаю. Я вообще не знаю, на основании чего ведутся личные дела работников и что должно в них входить - Трудовой кодекс их ведение не предусматривает. Но я точно знаю, что работника ежедневно не сличают с фотографичей в личном деле для устновления того, кто пришел на работу.

up
14 users have voted.
Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.