Фотография относится к биометрическим данным. Идентификации личности

В свете скорого вступления в действие закона о биометрической идентификации клиентов банков хотелось бы вернуться немного назад и вспомнить, а чем собственно являются биометрические персональные данные. Что по этому поводу нам говорит Роскомнадзор и как нам быть, если придется с ними работать.

Согласно Федеральному закону от 27.07.2006 N 152-ФЗ «О персональных данных», ст. 11:

«Сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные) и которые используются оператором для установления личности субъекта персональных данных, могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.»

Для детей у Роскомнадзора есть упрощенное объяснение:

Биометрические персональные данные представляют собой сведения о наших биологических особенностях. Эти данные уникальны, принадлежат только одному человеку и никогда не повторяются.

Биометрические данные заложены в нас от рождения самой природой, они никем не присваиваются, это просто закодированная информация о человеке, которую люди научились считывать. К таким данным относятся:

отпечаток пальца, рисунок радужной оболочки глаза, код ДНК, слепок голоса и пр.

О стандартах

В соответствии с приказом Федерального агентства по техническому регулированию и метрологии от 6 марта 2017 года №448 была организована деятельность технического комитета по стандартизации ТК 098 «Биометрия и биомониторинг».

Согласно Приложению N 3 к приказу Федерального агентства по техническому регулированию и метрологии от 6 марта 2017 г. N 448 (Положение о техническом комитете по стандартизации «Биометрия и биомониторинг») ТК призван решать следующие задачи:

• формирование программы национальной стандартизации по закрепленной за ТК 098 областью деятельностью и контроль за реализацией этой программы;
• рассмотрение предложений по применению международных и региональных стандартов на национальном и межгосударственном уровнях в закрепленной за ТК 098 области деятельности;
• проведение экспертизы проектов национальных и межгосударственных стандартов и проектов изменений к действующим стандартам, а также представление их на утверждение (принятие) в Росстандарт;
• участие в работе межгосударственного технического комитета по стандартизации (МТК) и международных технических комитетах (ИСО/ТК), которые имеют общую с ним область деятельности;
• регулярная проверка действующих в Российской Федерации и закрепленных за ТК 098 национальных и межгосударственных стандартов с целью выявления необходимости их обновления или отмены;
• оценка целесообразности утверждения закрепленных за ТК 098 предварительных национальных стандартов в качестве национальных стандартов Российской Федерации по результатам мониторинга их применения;
• рассмотрение проектов международных стандартов в закрепленной за ТК 098 области деятельности и подготовка позиции Российской Федерации при голосовании по данным проектам;
• рассмотрение предложений по разработке международных стандартов, в том числе на основе национальных и межгосударственных стандартов, закрепленных за ТК 098;
• проведение экспертизы официальных переводов на русский язык международных и региональных стандартов, национальных стандартов и сводов правил иностранных государств в закрепленной за ТК 098 области деятельности и пр.

В данном ТК, по состоянию на 31.10.2017 г., отражен перечень действующих национальных стандартов в области биометрических технологий. Данный перечень сведен в таблицу, представленную ниже.

	Обозначение национального стандарта	Наименование национального стандарта
	ГОСТ ISO/IEC 2382-37-2016*	Информационные технологии. Словарь. Часть 37. Биометрия (принят протоколом МГС №93-П от 22 ноября 2016 г.)
	ГОСТ ISO/IEC 19794-1-2015*	Информационные технологии. Биометрия. Форматы обмена биометри­ческими данными. Часть 1. Структура
	ГОСТ Р ИСО/МЭК 19794-2-2013	Информационные технологии. Биометрия. Форматы обмена биометри­ческими данными. Часть 2. Данные изображения отпечатка пальца - контрольные точки
	ГОСТ Р ИСО/МЭК 19794-3-2009	Автоматическая идентификация. Идентификация биометрическая. Форматы обмена биометрическими данными. Часть 3. Спектральные данные изображения отпечатка пальца
	ГОСТ Р ИСО/МЭК 19794-4-2014	Информационные технологии. Биометрия. Форматы обмена биометри­ческими данными. Часть 4. Данные изображения отпечатка пальца
	ГОСТ Р ИСО/МЭК 19794-5-2013	Информационные технологии. Биометрия. Форматы обмена биометри­ческими данными. Часть 5. Данные изображения лица
	ГОСТ Р ИСО/МЭК 19794-6-2014	Информационные технологии. Биометрия. Форматы обмена биометри­ческими данными. Часть 6. Данные изображения радужной оболочки глаза
	ГОСТ Р ИСО/МЭК 19794-7-2009	Автоматическая идентификация. Идентификация биометрическая. Форматы обмена биометрическими данными. Часть 7. Данные дина­мики подписи
	ГОСТ Р ИСО/МЭК 19794-8-2015	Информационные технологии. Биометрия. Форматы обмена биометри­ческими данными. Часть 8. Данные изображения отпечатка пальца - остов
	ГОСТ Р ИСО/МЭК 19794-9-2015	Информационные технологии. Биометрия. Форматы обмена биометри­ческими данными. Часть 9. Данные изображения сосудистого русла
	ГОСТ Р ИСО/МЭК 19794-10-2010	Автоматическая идентификация. Идентификация биометрическая. Форматы обмена биометрическими данными. Часть 10. Данные гео­метрии контура кисти руки
	ГОСТ Р ИСО/МЭК 19794-11-2015	Информационные технологии. Биометрия. Форматы обмена биометри­ческими данными. Часть 11. Обрабатываемые данные динамики под­писи
	ГОСТ Р ИСО/МЭК 19794-14-2017	Информационные технологии. Биометрия. Форматы обмена биометри­ческими данными. Часть 14. Данные ДНК
	ГОСТ Р ИСО/МЭК 19795-1-2007	Автоматическая идентификация. Идентификация биометрическая. Эксплуатационные испытания и протоколы испытаний в биометрии. Часть 1. Принципы и структура
	ГОСТ Р ИСО/МЭК 19795-2-2008	Автоматическая идентификация. Идентификация биометрическая. Эксплуатационные испытания и протоколы испытаний в биометрии. Часть 2. Методы проведения технологического и сценарного испыта­ний
	ГОСТ Р ИСО/МЭК ТО 19795-3-2009	Автоматическая идентификация. Идентификация биометрическая. Эксплуатационные испытания и протоколы испытаний в биометрии. Часть 3. Особенности проведения испытаний при различных биомет­рических модальностях
	ГОСТ Р ИСО/МЭК 19795-4-2011	Информационные технологии. Биометрия. Эксплуатационные испыта­ния и протоколы испытаний в биометрии. Часть 4. Испытания на сов­местимость
	ГОСТ Р ИСО/МЭК 19795-6-2015	Информационные технологии. Биометрия. Эксплуатационные испыта­ния и протоколы испытаний в биометрии. Часть 6. Методология про­ведения оперативных испытаний
	ГОСТ Р ИСО/МЭК 19784-1-2007	Автоматическая идентификация. Идентификация биометрическая. Биометрический программный интерфейс. Часть 1. Спецификация биометрического программного интерфейса
	ГОСТ Р ИСО/МЭК 19784-2-2010	Автоматическая идентификация. Идентификация биометрическая. Биометрический программный интерфейс. Часть 2. Интерфейс постав­щика биометрической функции архива
	ГОСТ Р ИСО/МЭК 19784-4-2014	Информационные технологии. Биометрия. Биометрический программ­ный интерфейс. Часть 4. Интерфейс поставщика функции биометриче­ского датчика
	ГОСТ Р ИСО/МЭК 19785-1-2008	Автоматическая идентификация. Идентификация биометрическая. Единая структура форматов обмена биометрическими данными. Часть 1. Спецификация элементов данных
	ГОСТ Р ИСО/МЭК 19785-2-2008	Автоматическая идентификация. Идентификация биометрическая. Единая структура форматов обмена биометрическими данными. Часть 2. Процедуры действий регистрационного органа в области биометрии
	ГОСТ Р ИСО/МЭК 19785-4-2012	Информационные технологии. Биометрия. Единая структура форматов обмена биометрическими данными. Часть 4. Спецификация формата блока защиты информации
	ГОСТ Р ИСО/МЭК 24708-2013	Информационные технологии. Биометрия. Протокол межсетевого об­мена БиоАПИ
	ГОСТ Р ИСО/МЭК 24709-1-2009	Автоматическая идентификация. Идентификация биометрическая. Ис­пытания на соответствие биометрическому программному интерфейсу (БиоАПИ). Часть 1. Методы и процедуры
	ГОСТ Р ИСО/МЭК 24709-2-2011	Информационные технологии. Биометрия. Испытания на соответствие биометрическому программному интерфейсу (БиоАПИ). Часть 2. Те­стовые утверждения для поставщиков биометрических услуг
	ГОСТ Р ИСО/МЭК 24709-3-2013	Информационные технологии. Биометрия. Испытания на соответствие биометрическому программному интерфейсу (БиоАПИ). Часть 3. Те­стовые утверждения для инфраструктур БиоАПИ
	ГОСТ ISO/IEC 24713-1-2013*	Информационные технологии. Биометрические профили для взаимо­действия и обмена данными. Часть 1. Общая архитектура биометриче­ской системы и биометрические профили
	ГОСТ Р ИСО/МЭК 24713-2-2011	Информационные технологии. Биометрия. Биометрические профили для взаимодействия и обмена данными. Часть 2. Физический контроль доступа сотрудников аэропорта
	ГОСТ Р ИСО/МЭК 24713-3-2016	Информационные технологии. Биометрия. Биометрические профили для взаимодействия и обмена данными. Часть 3. Биометрическая вери­фикация и идентификация моряков
	ГОСТ Р ИСО/МЭК 29109-1-2012	Информационные технологии. Биометрия. Методология испытаний на соответствие форматам обмена биометрическими данными, опреде­ленным в комплексе стандартов ИСО/МЭК 19794. Часть 1. Обобщен­ная методология испытаний на соответствие
	ГОСТ Р ИСО/МЭК 29109-4-2015	Информационные технологии. Биометрия. Методология испытаний на соответствие форматам обмена биометрическими данными, опреде­ленным в комплексе стандартов ИСО/МЭК 19794. Часть 4. Данные изображения отпечатка пальца
	ГОСТ Р ИСО/МЭК 29109-5-2013	Информационные технологии. Биометрия. Методология испытаний на соответствие форматам обмена биометрическими данными, опреде­ленным в комплексе стандартов ИСО/МЭК 19794. Часть 5. Данные изображения лица
	ГОСТ Р ИСО/МЭК 29109-6-2016	Информационные технологии. Биометрия. Методология испытаний на соответствие форматам обмена биометрическими данными, опреде­ленным в комплексе стандартов ИСО/МЭК 19794. Часть 6. Данные изображения радужной оболочки глаза
	ГОСТ Р ИСО/МЭК 29109-7-2016	Информационные технологии. Биометрия. Методология испытаний на соответствие форматам обмена биометрическими данными, опреде­ленным в комплексе стандартов ИСО/МЭК 19794. Часть 7. Данные ди­намики подписи
	ГОСТ Р ИСО/МЭК 29109-8-2016	Информационные технологии. Биометрия. Методология испытаний на соответствие форматам обмена биометрическими данными, опреде­ленным в комплексе стандартов ИСО/МЭК 19794. Часть 8. Данные изображения отпечатка пальца - остов
	ГОСТ Р ИСО/МЭК 29109-9-2017	Информационные технологии. Биометрия. Методология испытаний на соответствие форматам обмена биометрическими данными, опреде­ленным в комплексе стандартов ИСО/МЭК 19794. Часть 9. Данные изображения сосудистого русла
	ГОСТ Р ИСО/МЭК 29109-10-2017	Информационные технологии. Биометрия. Методология испытаний на соответствие форматам обмена биометрическими данными, опреде­ленным в комплексе стандартов ИСО/МЭК 19794. Часть 10. Данные геометрии контура кисти руки
	ГОСТ Р ИСО/МЭК 29794-1-2012	Информационные технологии. Биометрия. Качество биометрических образцов. Часть 1. Структура
	ГОСТ Р ИСО/МЭК 29141-2012	Информационные технологии. Биометрия. Одновременное получение изображений отпечатков десяти пальцев с помощью БиоАПИ
	ГОСТ Р 54412-2011/ISO/IEC TR 24741:2007	Информационные технологии. Биометрия. Обучающая программа по биометрии

Как видим, перечень довольно обширный, но и это еще не все. Кроме непосредственно биометрических технологий, так же касаются биометрии и стандарты на машиносчитываемые паспортно-визовые документы, а так же на идентификационные карты с биометрическими данными. Приводить в рамках данной статьи их не будем, при желании ознакомиться с ними, все это можно найти на сайте ТК 098.

О разъяснениях Роскомнадзора

Выпущенные в свет разъяснения Роскомнадзора, которые как раз поднимали «…вопросы отнесения фото- и видео- изображения, дактилоскопических данных и иной информации к биометрическим персональным данным и особенности их обработки.», многими были проигнорированы и зря. До сих пор возникает много вопросов, ответы на которые можно было найти в разъяснениях, не закапываясь в ГОСТы. Поэтому предлагаю еще раз пройти по основным тезисам, а для кого-то ознакомиться с ними впервые.

Исходя из определения, приведенного выше, в контексте Федерального закона «О персональных данных» отнесение сведений персонального характера к биометрическим персональным данным и их последующая обработка должны рассматриваться в рамках проводимых оператором мероприятий, направленных на установление личности конкретного лица, если иное не предусмотрено федеральными законами и принятыми на их основе нормативными правовыми актами.

Т.е., если пользователь, допустим, ставит свою фотографию на какую-нибудь аватарку, то мы не считаем это биометрическими данными, т.к. по аватарке мы не определяем личность пользователя. Тем не менее, есть случаи, когда фотографию прямо относят к биометрическим персональным данным.

«Согласно пункту 6 Перечня персональных данных, записываемых на электронные носители информации, содержащиеся в основных документах, удостоверяющих личность гражданина Российской Федерации, по которым граждане Российской Федерации осуществляют выезд из Российской Федерации и въезд в Российскую Федерацию, утвержденного постановлением Правительства Российской Федерации 4 марта 2010 г. № 125, цветное цифровое фотографическое изображение лица владельца документа является биометрическими персональными данными владельца документа.»

В случаях, когда сканирование паспорта осуществляется оператором для подтверждения осуществления определенных действий конкретным лицом, например, заключение договора на оказание услуг, в том числе банковских, медицинских и т.п.) без проведения процедур идентификации (установления личности), данные действия не могут считаться обработкой биометрических персональных данных и ст. 11 Федерального закона «О персональных данных» не регулируются. Соответственно, обработка сведений, в данных случаях, осуществляется в соответствии с общими требованиями, установленными Федеральным законом «О персональных данных».

Не являются биометрическим персональными данными рентгеновские или флюорографические снимки, характеризующие физиологические и биологические особенности человека, и находящиеся в истории болезни (медицинской карте) пациента (не имеет значения, бумажной или электронной), поскольку они не используются оператором (медицинским учреждением) для установления личности пациента. Но в случае их передачи по запросу субъектов оперативно-розыскной деятельности, органов следствия и дознания в рамках проводимых ими мероприятий указанные сведения становятся биометрическими персональными данными, поскольку используются операторами - органами следствия и дознания в целях установления личности конкретного лица. Т.е. в органы следствия передаются сведения медицинского характера, а там они уже становятся биометрическими персональными данными.

Аналогичным подходом нужно руководствоваться и при получении иных сведений, которые можно отнести к биометрическим персональным данным. Таким образом, если мы используем полученные сведения характеризующие физиологические и биологические особенности человека для установления личности, то у нас биометрия, если нет – иное.

Главное, что в случае обработки биометрических персональных данных необходимо помнить:

«В соответствии с ч. 1 ст. 11 Федерального закона «О персональных данных» обработка биометрических персональных данных может осуществляться только при наличии согласия в письменной форме субъекта персональных данных. »

P.S. По ссылке вы можете скачать наш White Paper о Федеральном Законе №152 .
Это книга, которая была опубликована с целью помочь устранить путаницу в вопросах обработки персональных данных и ясно описать процесс приведения ИС персональных данных в соответствии с законодательством России. Тема раскрывается «с нуля». Это помогает удовлетворить потребности широкого круга читателей.

Теги: Добавить метки

Хотите знать, что относится к биометрическим персональным данным, а также что это за система? Сегодня мы поговорим о внедрении биометрических технологий в повседневную жизнь человека и объясним, что же такое биометрия, зачем она нужна и в чём её преимущества.

Биометрия

Для начала стоит разобраться в том, что такое биометрия. Это научная дисциплина, целью которой является изучение разнообразных параметров человека, при помощи которых его можно идентифицировать среди всего населения Земли. Эти технологии очень распространены на Западе, так как это позволяет значительно улучшить эффективность работы множества государственных служб. В России биометрические технологии уже начинают постепенно внедряться, а анализ отпечатков пальцев используется активно.

Что такое биометрические данные?

Чтобы ответить на этот вопрос правильно, следует понять, что польза обществу от применения биометрических показателей будет огромна. Современное общество постоянно развивается, и ничто не может остановить этот процесс. Качественные технологические реформы происходят на каждом уровне, а инновации внедряются во все сферы жизни человека.

Биометрические персональные данные – это измеримые поведенческие или физиологические данные любого человека. Говоря более простым языком, это может быть как официальный документ, удостоверяющий личность, так и фотография или видеозапись, на которой присутствует человек. Огромное преимущество таких данных в том, что они полностью уникальны. Именно поэтому их можно эффективно использовать для идентификации личности. Если бумажные документы можно очень мастерски подделать, то биометрические данные невозможно как-либо сфальсифицировать.

Характеристика

Существует два показателя, по которым можно сгруппировать такие данные. Обе группы очень важны и значительны по качеству носимой информации.

Первая группа – это физиологические биометрические данные, которые непосредственно касаются каких-либо характеристик тела (отпечатки пальцев, ДНК-анализ, скан руки, сетчатки глаза, запах человека, голос, распознавание лица).

Вторая группа – поведенческие данные, которые напрямую связаны с тем, как человек ведёт себя в различных ситуациях (например, походка, речь, возбудимость).

Состав

Описать полный состав биометрических данных невозможно, так как он может быть очень обширен. Если обобщить и привести суть проблемы, то можно сказать, что биометрические данные – это сведения, которые могут каким-либо образом описать физиологические и биологические особенности человека, на их основе можно установить личность человека, и они могут быть использованы оператором для анализа субъекта. Стоит отметить, что все вышеперечисленные составляющие должны присутствовать одновременно. Биометрия невозможна без идентификации, можно сказать, что это – её базовый принцип.

Из этого следует, что врачебные снимки или кардиограмма сердца не могут служить идентифицирующими данными, хотя теоретически они принадлежат к физиологической группе данных. Попадая в руки специальных органов, эти данные в совокупности с другой персональной информацией могут служить базой для проведения идентификации личности.

Обработка

Обработка биометрических данных согласно закону может проводиться только на справедливой правовой основе. Должна быть определена конкретная цель сбора и обработки данных, и только для этих целей можно использовать полученную информацию. Государством запрещено объединение данных, цели сбора которых противоречат друг другу или просто несовместимы. Нельзя проводить анализ данных для получения избыточных сведений, которые не были указаны в начале задания как необходимые.

Допускается анализ только проверенных и точных данных, а любые неточности и ошибки подлежат перепроверке или исключению из базы. Биометрические персональные данные – это та информация, которую можно хранить только определённый срок, необходимый для достижения целей сбора. В случае достижения поставленного результата, все данные должны быть уничтожены или обезличены. Важным моментом любой обработки персональной информации является согласие самого субъекта. Личная информация может быть обнародована, если субъект решил предоставить к ней неограниченный доступ.

Использование данных

Что такое биометрические данные человека? Это набор отличительных характеристик по разным пунктам. Совокупность или комплекс этих данных позволяют очень точно идентифицировать человека. Ценность такой информации в том, что она может быть использована в благих целях. Применение персональных данных четко регулируется законом, и несоблюдение правил карается в строгом порядке. Сбор и анализ личной информации возможен только после личного согласия человека на это. Доступ к закрытой информации имеет только государство, любые частные структуры не имеют права получать личные данные субъекта.

Использование биометрических технологий – это очень перспективное направление, которое позволит моментально находить преступников, спасать больных людей, оказывать незамедлительную помощь при трагедиях, находить людей гораздо быстрее и т. д. Подобные технологии очень активно применяются в других странах, и уровень преступности, внезапной смертности и т. д. у них гораздо ниже, что явно свидетельствует об эффективности метода.

Мнение общественности

Сейчас очень активно внедряется биометрия идентификации личности по паспорту. Цифровое изображение, вшитое в чип любого документа, будет не только сообщать о человеке стандартные данные, но также предоставлять целый пакет информации, которая была собрана. Некоторые опасаются внедрения биометрических паспортов, так как это напоминает тотальный контроль.

Обычному человеку практические невозможно проконтролировать использование биометрических данных – всё, что остаётся, – это поверить на слово, что они надежно защищены. Следует помнить, что инновационные чипы предполагают даже то, что человека можно отследить по его месту нахождения, в дистанционном режиме узнать о его физическом состоянии, а также получить полную информацию о том, чем субъект занят в определённый период времени.

Несмотря на то что внедрение биометрии в повседневную жизнь – это огромный прогресс в науке и технике, большинство людей всё же опасается такого вида контроля. При этом стоит понимать, что сеть Интернет переполняет фантазийная информация о том, что за всеми этими процессами стоит Тайное Мировое Правительство. Такую панику сеют в массах нарочно, чтобы накалить обстановку. Стоит реально оценивать ситуацию и понимать, что прогресс наступает во всех областях жизни и поэтому глупо сдерживать его в конкретном направлении.

Конечно, злоупотребление полученными технологиями действительно может быть, но мы живём в правовом государстве, где интересы человека играют важнейшую роль. Кроме того, будет внедрена специальная система защиты персональных данных человека, пренебрежение которой будет нести за собой ответственность по закону.

Все больше компаний в мире используют в своей деятельности биометрию: отпечатки пальцев, радужную оболочку глаз, индивидуальные особенности голоса и даже более экзотические идентификаторы. Как это изменит банкинг в ближайшем будущем?

В банковской сфере применение биометрических данных возможно в разных областях:

Организация доступа клиентов в депозитарий;

Идентификация плательщика при совершении безналичных платежей и других финансовых операций, например, через смартфон, АТС банка;

Беспарольный доступ к информационным системам банка;

Контроль доступа сотрудников в помещения банка, регистрация прибытия сотрудника в офис банка и убытия с целью контроля трудовой дисциплины, учета фактически отработанного времени.

31 декабря 2017 года был принят Федеральный закон № 482-ФЗ об удаленной идентификации клиентов, дающий банкам право открывать и вести счета, вклады, выдавать кредиты, осуществлять переводы денежных средств по поручению клиентов без их личного присутствия. Идентификация клиента будет осуществляться с использованием Единой системы идентификации и аутентификации (ЕСИА) и Единой биометрической системы (ЕБС). Человеку будет достаточно один раз прийти в банк, уполномоченный на регистрацию лиц в ЕСИА и ЕБС, и предоставить для размещения в этих системах свои биометрические данные - изображение лица и голос. После регистрации в ЕСИА и ЕБС человек сможет дистанционно получать финансовые услуги в любом банке, работающем в ЕБС.

Как же использовать биометрические данные и защитить себя и компанию от претензий контролирующих органов? Давайте разберемся с общими требованиями.

Сначала определим, что же такое биометрические персональные данные. Согласно действующему законодательству, это сведения, характеризующие физиологические и биологические особенности человека, на основании которых можно установить его личность: например, отпечатки пальцев, радужная оболочка глаз, голос. В определенных случаях даже простая фотография человека будет считаться его биометрическими персональными данными.

Известны случаи, когда работодатели размещали на личном пропуске работника фотографию без его согласия и получали штрафы. Так, Учебно-спортивный центр в Мурманске дошел до Верховного Суда РФ в попытке признать недействительным предписание Роскомнадзора устранить нарушение (учреждение помещало фотографии посетителей на пропуска, без их письменного согласия), но потерпел неудачу. Суды не усомнились в том, что фотография может быть отнесена к биометрическим персональным данным, ведь она характеризует физиологические и биологические особенности человека, по ней можно установить личность, сравнив фото с лицом предъявителя пропуска.

При внедрении в компании биометрической системы первым делом нужно определиться, в каких целях с ее помощью будут обрабатываться данные: только ли для обеспечения безопасности или, скажем, также для учета времени, фактически отработанного сотрудниками. По Закону собранные данные можно обрабатывать только в изначально установленных целях, зафиксированных, в частности, в Политике (Положении) компании в отношении обработки персональных данных, Правилах внутреннего трудового распорядка (применительно к работникам компании) и согласиях лиц на обработку их персональных данных, если их получение требуется по Закону (посетителей, клиентов, сотрудников). Если компания собирала данные только для контроля доступа сотрудников в свои помещения, то она не может потом использовать эти данные, например, для расчета заработной платы или для сбора какой-то статистики.

Цели обработки будут различаться для разных категорий лиц, которым принадлежат персональные данные: например, в отношении клиентов - идентификация для оказания им финансовых услуг, для работников - контроль трудовой дисциплины. При определении целей обработки персональных данных сотрудников важно учитывать, что перечень целей ограничен Законом. Он включает в себя обеспечение соблюдения законов и иных нормативных правовых актов; содействие работникам в трудоустройстве, получении образования и продвижении по службе; обеспечение личной безопасности работников; контроль количества и качества выполняемой работы и обеспечения сохранности имущества. Обработка персональных данных, не совместимая с этими целями, не допускается.

Во вторую очередь, нужно определить, какие персональные данные будут обрабатываться, и учесть это при формулировании целей обработки. Перечень данных не должен быть избыточным по отношению к целям обработки: если система внедряется для контроля доступа в помещения определенного круга лиц, то обработка, например, отпечатков пальцев и ФИО этих лиц будет соответствовать заявленной цели, а вот обработка их контактных данных может быть признана избыточной и противозаконной. Составленный список должен быть максимально полным и учитывать технологию работы системы, в которой используется биометрия.

По Закону, компания имеет возможность не получать согласия лиц на обработку их персональных данных, когда она необходима для исполнения договора, стороной которого является такое лицо, или для выполнения возложенных на компанию функций, полномочий и обязанностей. Проще говоря, если данные нужны для выполнения обязанностей сотрудников, условий договора, то согласие сотрудников или сторон договора не требуется. Так, обработка работодателем персональных данных своих работников в целях контроля исполнения ими своих трудовых обязанностей, соблюдения правил внутреннего трудового распорядка, учета рабочего времени и оплаты труда или обработка банком персональных данных клиента, необходимых для заключения договора с ним и оказания финансовых услуг, по общему правилу, не требует получения согласий сотрудников или клиентов соответственно на такую обработку.

Однако в отношении обработки биометрических персональных данных это правило не действует: всегда нужно получать от лица его письменное согласие. В согласии нужно указать фамилию, имя, отчество, адрес субъекта персональных данных и реквизиты удостоверяющего его личность документа, наименование и адрес компании-оператора и (если применимо) лица, осуществляющего обработку по ее поручению, цели обработки, перечень персональных данных и действий с ними, общее описание способов обработки и срок действия согласия. Согласие подписывает субъект персональных данных.

При решении вопроса о том, какие биометрические данные будут использоваться компанией, важно учитывать мнение контролирующих органов о допустимости использования тех или иных видов биометрии. Примечательно, что некоторые контролирующие органы считают недопустимой обработку обычными компаниями отпечатков пальцев своих работников.

По мнению Роструда, работодатель или нанятая им организация не вправе производить снятие отпечатков пальцев работников для организации пропускного режима в рабочие помещения по отпечаткам, так как Федеральный закон «О государственной дактилоскопической регистрации в Российской Федерации» определяет, в каких случаях, какими органами и для каких целей может проводиться добровольная или обязательная дактилоскопическая регистрация граждан, и не предоставляет такое право ни работодателю, ни нанятой им организации. По моему мнению, данный Федеральный закон регулирует сбор и обработку дактилоскопической информации уполномоченными государственными органами и не исключает обработку биометрических персональных данных (в том числе отпечатков пальцев) иными лицами и/или в иных целях.

Возможность использования биометрических систем контроля доступа на основе отпечатков пальцев или иной дактилоскопической информации подтверждается в том числе судебной практикой. Так, Московский городской суд отказал истцу в восстановлении на работе: в целях обеспечения учета рабочего времени сотрудников компанией была введена обязательная регистрация прихода/ухода в офис с помощью системы сбора биометрических данных (отпечатка пальца). Согласно выписке из системы сбора биометрических данных, работник систематически нарушал дисциплину труда, что и явилось одной из причин его увольнения.

При использовании компанией биометрических систем должное внимание нужно уделить и защите персональных данных. Требования к защите для каждой системы устанавливаются исходя из уровня защищенности персональных данных, который должен быть обеспечен компанией как оператором системы. Уровни защищенности зависят от категорий обрабатываемых персональных данных, количества субъектов, чьи данные обрабатываются в системе, и актуальных угроз безопасности персональных данных. Выявить угрозы помогут технические специалисты в области информационных технологий и информационной безопасности. Если компания хочет внедрить систему, использующую именно биометрические данные, то нужно учитывать, что требования к защите персональных данных в такой системе будут более жесткими.

Для применения в банковской сфере Центральным банком установлен Стандарт Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения» СТО БР ИББС-1.0-2014» (утвержден Распоряжением Банка России от 17.05.2014 № Р-399) и утверждено Указание от 10.12.2015 № 3889-У «Об определении угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных». Применительно к ЕБС перечень актуальных угроз безопасности установлен Указанием Банка России № 4859-У, ПАО «Ростелеком» № 01/01/782-18 от 09.07.2018.

В свете изменений в законодательстве РФ о персональных данных, произошедших в последние годы, компания также должна обеспечить локализацию баз персональных данных. При сборе персональных данных необходимо обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации. Таким образом, серверы, на которых размещены базы данных системы, если в ней обрабатываются данные российских граждан, должны находиться на территории России. Как быть, если компания использует «зеркальные», дублирующие базы данных, синхронизирует данные биометрической системы с другими системами, используемыми компанией, (например, 1С, SAP) или передает персональные данные в информационные системы или базы данных третьих лиц, в том числе зарубежные? Достаточные официальные разъяснения на этот счет отсутствуют, и можно лишь рекомендовать обеспечивать по меньшей мере первоначальный сбор, уточнение и иные указанные выше виды обработки персональных данных с использованием системы, базы данных которой размещены на серверах в РФ.

Часто персональные данные сотрудников, в том числе биометрические, передаются вовне: например, фотографии отсылают материнской компании для размещения на корпоративном сайте, отпечатки пальцев передают в головной офис или подрядчику по обеспечению безопасности для программирования компьютеров или электронных замков и т.д. Для такой передачи, в том числе лицам, входящим в одну группу компаний с работодателем, необходимо не только получить письменные согласия сотрудников на это, но и заключить договор-поручение между работодателем и каждым лицом, получающим от него персональные данные.

В согласии работника важно зафиксировать все цели обработки персональных данных с учетом целей, изначально установленных работодателем при сборе персональных данных своих работников. При этом, как было отмечено ранее, необходимо учитывать, что перечень целей ограничен Законом.

В договоре-поручении необходимо определить перечень действий с персональными данными и цели обработки, установить обязанность «обработчика» соблюдать конфиденциальность персональных данных и обеспечивать их безопасность при обработке, а также указать требования к защите обрабатываемых персональных данных.

Указанный порядок действует и при передаче третьим лицам персональных данных других категорий субъектов персональных данных.

Это только основные условия и требования, которые нужно иметь в виду при обработке биометрических персональных данных. В целом, при внедрении в компании любой системы, предполагающей обработку персональных данных, нужно учесть массу нюансов, чтобы соблюсти требования законодательства РФ о персональных данных, подходы контролирующих органов к применению которого постоянно меняются.

В обстановке «строгой конспирации и секретности», конечно же, поздним вечером пятницы, на сайте Роскомнадзора опубликован второй документ, подготовленный уполномоченным органом с участием экспертной группы, куда вхожу и я. На этот раз разъяснения касаются вопросов отнесения фото- и видео- изображений, дактилоскопических данных и иной информации к биометрическим персональным данным и особенностей их обработки.

Судя по количеству прочтений, тема биометрии – самая популярная среди читателей моего блога. На персональной страничке прямых заходов на пост «Биометрические персональные данные: что это?» – более 7200, на портале Security Lab, где есть зеркало блога, – без малого 3000 прочтений. Если к ним добавить те посты, где я так или иначе писал про проблемы обработки биометрических персональных данных (здесь и здесь, например), общее число посещений страниц только с этой тематикой уже превысило 20 тысяч.

Поскольку в написании текста разъяснений я принимал самое непосредственное участие, позволю себе выделить главное, что в них отражено.

С самого начала я настаивал на формулировке «биометрические персональные данные, обработка которых регламентируется 152-ФЗ», но поддержки у коллег не нашел. Тем не менее, крайне важным представляется, что в разъяснении четко указаны три признака, при которых на работу с этой категорий сведений распространяются ограничения, определенные ст.11 152-ФЗ. Это сведения, которые:

· характеризуют физиологические и биологические особенности человека;

· на основании которых можно установить его личность;

· которые используются оператором для установления личности субъекта персональных данных.

Все три признака должны присутствовать одновременно! Из чего следует логичный вывод, что «отнесение сведений персонального характера к биометрическим персональным данным и их последующая обработка должны рассматриваться в рамках проводимых оператором мероприятий, направленных на установление личности конкретного лица». Нет идентификации – нет биометрии в понимании Федерального закона «О персональных данных».

Поэтому рентгеновские снимки или результаты биохимического анализа крови в поликлинике – не биометрические персональные данные. Как и результаты видеосъемки в офисе или фотография в личном деле работника. Все они не используются для идентификации субъекта медицинским учреждением, кадровым органом или службой безопасности. Но как только они попадут в органы следствия, дознания или исполнения судебных актов для розыска или установления личности, они становятся именно биометрическими персональными данными. А оператором в отношении этих биометрических данных будут как раз следственные и исполнительные органы.

Исходя их этих же соображений, цифровое фото, зашитое в чип загранпаспорта или пропуска, используемого в СКУД, – биометрия, поскольку используется оно как раз при установлении личности владельца пропуска, предъявившего его на входе, паче чаяния у охранника возникнут сомнения, что молодой человек, проходящий через трипод, похож на пожилую даму, чей портрет в этот момент появился на экране монитора.

К чему это я? А к тому, что в соответствии с законом, организации, поставившие у себя СКУД, использующие фотографии и уж тем более дактилоскопическую систему идентификации, должны получить у владельцев пропусков или лиц, прислоняющих свои пальчики к считывателю, согласие на обработку персональных данных в письменной форме, предусмотренной частью 4 ст.9 Федерального закона. И никак по-другому. А вот ФМС, выдающей биометрические загранпаспорта, никаких согласий получать не надо. Часть 2 ст.11: «Обработка биометрических персональных данных может осуществляться без согласия субъекта персональных данных… в случаях, предусмотренных законодательством Российской Федерации о порядке выезда из Российской Федерации и въезда в Российскую Федерацию».

Можно, наконец, вздохнуть с облегчением банкам, которых Управление Роскомнадзора по Краснодарскому краю и республике Адыгея и некоторые его коллеги-единомышленники постоянно штрафуют за ксерокопирование паспортов без письменного согласия клиентов. Теперь всем будет ясно, что «В иных случаях, когда сканирование паспорта осуществляется оператором для подтверждения осуществления определенных действий конкретным лицом (например, заключение договора на оказание услуг, в том числе банковских, медицинских и т.п.) без проведения процедур идентификации (установления личности), данные действия не могут считаться обработкой биометрических персональных данных и ст. 11 Федерального закона «О персональных данных» не регулируются. Соответственно, обработка сведений, в данных случаях, осуществляется в соответствии с общими требованиями, установленными Федеральным законом «О персональных данных». Аналогичный подход следует применять при осуществлении ксерокопирования документа, удостоверяющего личность».

Конечно, всех сложных проблем, связанных с биометрией, данное разъяснение решить не может. Остается, например, просто неприличное несоответствие оснований для обработки биометрических данных без согласия субъектов в федеральных законах «О персональных данных» и «О геномной регистрации». Но все равно такие разъяснения представляются крайне важными для создания единой практики правоприменения. И не надо в очередной раз писать, что толкование законов – вне компетенции Роскомнадзора. Оно уж тем более не в компетенции авторов таких высказываний.

Считаю, что надо радикально менять определение биометрии в 152-ФЗ. В рамках рабочей группы, созданной при Совете Федерации, я предложил следующее: «Биометрические персональные данные – это зафиксированные по определенным правилам параметры, характеризующие биологические особенности человека и используемые в системах автоматической идентификации (распознавания), такие, как изображения папиллярных узоров пальцев, сетчатки глаза и т.п. Само по себе фотографическое изображение человека, в том числе и в цифровой форме, к биометрическим данным не относится, если не используется для его автоматической идентификации».

С обратной связью пока трудно, но можно обсудить и усовершенствовать это определение прямо на блоге. При случае передам заинтересованным и компетентным.

Раньше такое можно было увидеть только в шпионских фильмах: герой прикладывает палец к специальному сенсору - и дверь открывается. Сегодня такие технологии стали реальностью, ведь появилась возможность собирать, хранить и использовать биометрические персональные данные. Что это такое?

Биометрия

Смотря фантастические фильмы, где герои общаются с "умным домом" или отдают приказы искусственному интеллекту космического корабля, зрители редко задумываются об обратной стороне этого вопроса, например, слушается ли эта программа всех подряд. Очень вряд ли, наверняка, она реагирует только на голос хозяина. И это достигается с помощью биометрии, которая реально существует. Итак, что же это за кусочек из фантастики, уже ставший действительностью?

Биометрия - это Она основывается на присущих им уникальных характеристиках, так что зайти, так сказать, "под чужим логином" не удастся, ведь подделать пароль невозможно, и сейчас станет ясно, почему.

Что относится?

К данным этого типа относятся любые сведения, которые могут быть измерены, как поведенческого или психологического, так и физиологического характера. Иными словами, любой параметр человека, который может быть выражен в абсолютных значениях, может считаться биометрическими данными.

Они обладают рядом определенных свойств, что и делает их такими ценными.

• Они уникальны. ДНК каждого человека индивидуальна, так же как отпечаток пальца или рисунок радужки. Это значит, что никто другой не сможет воспользоваться "паролем" без позволения и ведома хозяина.
• Они универсальны. Биометрические персональные данные - это различные характеристики, присущие абсолютно всем людям.
• Они неизменны. Как невозможно "отредактировать" отпечатки пальцев, так и нельзя поменять тембр голоса или ДНК.

Все эти характеристики в комплексе делают сведения данного типа очень полезными, если подумать о всеобщем сборе и хранении данных в различных целях. Например, преступники не смогут избежать правосудия. Впрочем, до создания глобальных баз данных еще очень и очень далеко.

Виды данных

На сегодняшний день успешно используется несколько типов биометрических данных: отпечатки пальцев, голос, сетчатка или радужка глаза, а также распознавание лица и ДНК. Этим, однако, список возможных параметров не ограничивается. В перспективе технологии смогут работать также с запахом или, например, походкой, характерными особенностями поведения, процессом подписания документов и т. д. Таким образом, характеристики могут быть не только статичными, но и динамическими.

Кстати, в процессе изучения некоторых физиологических характеристик человека стало ясно, что, например, сетчатка в данном качестве не подходит, поскольку рисунок сосудов может меняться, а также дает информацию о состоянии здоровья, чего быть не должно. Это косвенно дает толчок к развитию еще и медицине.

История

Самым распространенным параметром, используемым уже довольно давно, являются отпечатки пальцев. Дактилоскопические данные уже стали совсем привычными, а процедура их сдачи уже давно обязательна не только для тех, кто подозревается в преступлениях, но и для обычных граждан, например, при получении некоторых документов.

Идея о том, что папиллярный рисунок, то есть линии на кончиках пальцев, уникальны для каждого человека, была выдвинута еще в XIX веке Уильямом Гершелем. Несмотря на то, что выдвинутая им гипотеза о неповторимости отпечатков так и не получила достаточного основания, дактилоскопия широко используется в криминалистике. Пожалуй, именно она и положила начало идеям об идентификации, основой которой являлись бы биометрические данные.

Сбор

Сейчас самой распространенной является процедура снятия отпечатков пальцев в электронном или традиционном виде. В первом случае используются специальные сенсоры, делающие высококачественный цифровой снимок, который в дальнейшем преобразуется, а во втором - особая краска. Для распознавания лиц также используются специальным образом сделанные фотографии - например, в России сейчас такие делают, чтобы поместить биометрические данные в для поездок за рубеж.

Хранение и обработка

Если сбор биометрических данных не является такой уж проблемой, то создание и постоянное обновление и обслуживание единой базы данных, пожалуй, относится к актуальным задачам. Кроме того, существует необходимость в правовом регулировании доступа к информации подобного рода и возможности работы с ней, в том числе передачи третьим лицам.

Очевидно, что настолько личная информация нуждается в серьезной защите. Это значит, что базы данных, если в них будут централизованно стекаться все сведения, должны быть максимально безопасными, а человеческий фактор необходимо снизить до минимума. То есть обработка биометрических персональных данных должна происходить в общем случае в автоматическом режиме.

Тем не менее в России пока эта проблема не решена, несмотря на принятие в 2006 году закона 152-ФЗ, в котором говорится в том числе о подобных сведениях, никаких четких инструкций о правилах их хранения и передачи пока нет. Кроме того, нет контроля за процессом работы с информацией такого типа, хотя некоторые государственные органы уже давно занимаются ее сбором. Таким образом, обычные граждане вряд ли могут быть совершенно уверены в том, что информация о них находится в надежных руках, и они даже не могут это проверить.

Где используются?

Поскольку биометрические данные уникальны для каждого человека, на их основе очень удобно идентифицировать личность для тех или иных нужд.

В современном мире на практике это реализуется в различных системах доступа и личных документах. На сегодняшний день сбор тех или иных сведений, относящихся к таким данным, осуществляется, например, в некоторых странах для получения паспорта или виз для заграничных поездок. Кроме того, большое количество современных телефонов, планшетов, компьютеров и других приборов также имеют функции разблокирования в ответ на, например, считывание отпечатков пальцев или распознание лица. Так что биометрическая защита данных уже давно - не только высокие технологии в фантастическом фильме. Современные методы позволяют даже различать близнецов по одному или нескольким автоматически оцениваемым параметрам с достаточно высокой степенью точности.

Иными словами, биометрические данные человека - это очень надежный пароль, который нельзя поменять, а при дальнейшем совершенствовании технологий распознания получить к чему-либо будет абсолютно невозможно. Правда, проблема состоит в том, что если случится утечка из базы данных, то это станет серьезной проблемой, ведь, как уже было сказано, этот "пароль" поменять невозможно.

Механизм работы при этом довольно прост: при существовании в базе данных прибора эталонного образца он сравнивается с полученными с помощью сенсора данными, и если есть критические несоответствия, то запрос на доступ отклоняется, а если нет - принимается. Естественно, существует вероятность ложного срабатывания или отказа, но это зависит от качества эталона и правильности настройки и достаточной чувствительности сенсора. Разумеется, комбинирование нескольких методов распознавания значительно повышает общую точность идентификации.

За и против

Как и в любом другом вопросе, когда дело касается персональной информации, а особенно биометрических данных, люди делятся на два лагеря: сторонников и противников.

Те, кто выступают за скорейшее внедрение всеобщей идентификации по биометрическим параметрам, аргументируют свою позицию тем, что это сделает общество более безопасным, снизит преступность. Найти пропавшего человека не составит никакого труда, ведь любая система безопасности определит его присутствие.

С другой стороны, критики считают, что, во-первых, даже небольшая утечка данных такого типа может быть критичной, а во-вторых, пока не существует предпосылок к созданию законодательных рамок, которые могли бы разрешить многие вопросы в этой сфере. Наконец, некоторым кажется, что это создаст возможность для правительств вмешиваться в частную жизнь своих граждан, что неприемлемо.

Перспективы

Так или иначе, технологии, основанные на информации данного типа, продолжают развиваться, и этот процесс сдерживает лишь их достаточно высокая стоимость. Вероятно, в обозримом будущем сдача биометрических данных будет обязательной для всех людей без исключения, и будут созданы обширные базы данных. К личности каждого человека будет привязана информация о нескольких его параметрах. Это даст возможность навсегда отказаться от бумажных документов, удостоверяющих личность, а еще позволит забыть о таком понятии, как ключи и замки в привычном понимании.

Кстати, обычно вместе с биометрией упоминают и чипирование. Однако у этой меры гораздо больше противников, ведь с помощью микросхем, вшитых под кожу человека, можно не только определять, но и контролировать и изменять его состояние. Эта перспектива настолько пугает современных людей, что в большей части антиутопий говорится об этой мере как совершенно обыденной. Но это уже совсем другая история.