Русский
Русский
English
Статистика
Реклама

Биометрические персональные данные, нюансы и тонкости обработки

image

Применение биометрии как способа идентификации появилось еще в далеком 19-м веке. Английские колонизаторы ввели практику идентификации своих контрагентов из числа индийцев по отпечаткам пальцев и ладоней. Метод дорабатывался в дальнейшем, но применяется и по сей день. В этой статье мы попытаемся разобраться, что же относится к биометрическим данным и какие особенности обработки возникают у оператора при работе с данной категорией персональных данных.

Биометрические персональные данные, что это?

Для начала обратимся к определению, которое приводится в ст. 11 ФЗ-152 О персональных данных. Биометрические персональные данные это сведения, которые характеризуют физиологические и биологические особенности человека, и которые используются для установления личности субъекта ПД.

Исходя из разъяснений Роскомнадзора, к физиологическим данным относятся: дактилоскопические данные, радужная оболочка глаз, анализы ДНК, рост, вес, а также иные физиологические или биологические характеристики человека, в том числе изображение человека (фотография и видеозапись), которые позволяют установить его личность.

Например, цветное цифровое фотографическое изображение лица владельца паспорта является биометрическими персональными данными владельца документа. Эта норма закреплена в ПП РФ 125 от 4 марта 2010г. Т.е. если Вы используете скан-копию паспорта, то работаете с биометрическими персональными данными. В тоже время, необходимо принимать во внимание цель, которую преследует оператор при обработке персональных данных, но об этом чуть позже.


Особенности обработки биометрических персональных данных.

Первое, что мы видим открыв ст. 11 ФЗ-152: Обработка биометрических персональных данных может осуществляться только с письменного согласия субъекта ПД, в случае если данные используются для установления личности субъекта. Это основное отличие обработки данной категории ПД. В остальном оператор должен руководствоваться общими требования 152-ФЗ, к организации обработки персональных данных.

Из этого правила есть и ряд исключений, когда согласие на биометрию не требуется, они приведены в ч.2 ст.11. Письменное согласие не требуется в случаях, когда обработка данных производится в связи:

  • с реализацией международных договоров о реадмиссии;
  • с осуществлением правосудия и исполнение судебных актов;
  • с проведением обязательной государственной дактилоскопической регистрацией;
  • в случаях, предусмотренных законодательством РФ об обороне, противодействии терроризму, о транспортной безопасности, о противодействии коррупции, оперативно-розыскной деятельности и т.д.

Помимо ч.2 ст.11 есть еще ряд исключений, регламентируемых другими нормативно-правовыми актами:

  1. Использование изображения в государственных, общественных или иных публичных интересах. Например, к таким случаем можно отнести информацию (фото или видеозапись), связанную с исполнением своих функций должностными лицами и общественными деятелями.Данное исключение зафиксировано в п.25 Постановления Пленума Верховного Суда РФ 16 от 15 июня 2010г.
  2. Использование изображения полученного при съемке, проводимой в местах свободного посещения или на публичных мероприятиях: собраниях, концертах, спортивных соревнованиях и т.д. При этом изображение субъекта не должно быть основным объектом использования.
  3. Использование фотографий и видеозаписей, за которые гражданин получил оплату. Этот и предыдущий пункт регламентированы Статьей 152.1 ГК РФ. Охрана изображения гражданина

Если изображение гражданина, получено или используется без его согласия и распространено в сети Интернет, гражданин вправе требовать удаления этого изображения, а также пресечения или запрещения дальнейшего его распространения.

Цели обработки биометрических персональных данных

В начале статьи мы выдвинули утверждение, что важно принимать во внимание цель обработки биометрических персональных данных. Давайте попробуем разобраться, почему же это имеет такое большое значение. Для этого вернемся к разъяснениям РКН и самому определению биометрических ПД:
Биометрические персональные данные это сведения, которые характеризуют физиологические и биологические особенности человека,, и которые используются для установления личности субъекта ПД.

Ключевой момент здесь: используются для установления личности субъекта ПД. Другими словами, если оператор использует паспорт для определения личности владельца документа, то такая обработка должна строго соответствовать требованиям ст.11 Федерального закона О персональных данных. Давайте разберем это на примерах:

В Вашей организации используется система контроля управления доступа (СКУД) это может быть таймформер или аналоговый вариант в виде сотрудника, который сверяет фотографию из базы данных и присутствующую на Вашем пропуске или паспорте. В данном случае используются фотографии, которые являются биометрическими данными, характеризующие физиологические особенности, и целью обработки является определение личности, предъявляющей пропуск. Согласно разъяснениям Роскомнадзора, фотографии и другие биометрические сведения(отпечатки пальцев и т.д.), используемые для обеспечения однократного и/или многократного прохода на охраняемую территорию относятся к обработке биометрических персональных данных.Такая процедура должна осуществляться только с письменного согласия.

Пример неправильной обработки биометрических персональных данных

image

Обратимся к Определению Верховного Суда РФ от 05.03.2018 307-КГ18-101
По итогам проверки Роскомнадзор выписал предписание организации(бассейну) с требованием прекратить использование фотографий клиентов на пропусках. Нарушение заключалось в отсутствии отдельного письменного согласия посетителей на обработку их биометрических данных, а именно фотографий.
Доводы приводимые оператором персональных данных, о том что:

  • Посетители давали общее согласие на обработку ПД,
  • Посетители добровольно прикрепляли фото к пропускам
  • ПП РФ 125 не упоминает фото на бумажном носителе, а говорит только о цветном цифровом фотографическом изображении

не нашли понимание у судей и требования предписания остались в силе.

Правильные цели обработки биометрических персональных данных

Вернемся к разъяснениям Роскомнадзора, в которых приведены случаи, когда биометрические данные могут обрабатываться в соответствии с общими требованиями ФЗ О персональных данных. Например, Вы приходите в банк или поликлинику, там у Вас также могут спросить паспорт и отсканировать его или снять копию. Но в этом случае целью будет являться подтверждение осуществления действий конкретным лицом (заключение договора на оказание услуг, банковских, услуг связи и т.д.) без проведения процедур установления личности. Такие действия уже не будут классифицироваться как обработка биометрических персональных данных. Соответственно, обработка данных должна осуществляться в соответствии с общими требованиями, установленными ФЗ-152.
Достаточно тонкая грань, но при этом являющаяся очень значимым моментом, который может привести к штрафным санкциям.

Личное дело сотрудника

Также биометрическими персональными данными не является фотография сотрудника, хранящаяся в личном деле и подпись работника. Т.к. все действия, которые совершает работодатель, используя данные из личного дела, направлены на подтверждение их принадлежности конкретному физическому лицу. При этом личность работника уже определена и его персональные данные уже имеются у работодателя.

При этом хранить копию паспорта считается правонарушением, т.к. согласно Статье 65 Трудового кодекса Российской Федерации перечень персональных данных хранимый работодателем не определен, а данная статья определяет перечень данных, которые работник предъявляет при заключении трудового договора. К ним, в частности, относится и паспорт, как документ определяющий личность. Хранение же копии паспорта может классифицироваться как избыточные действие по отношению к заявленным целям их обработки. Здесь в качестве примера приведу пример из кассационной инстанции Северо-Кавказкого округа.

Видеосъемка в общественных местах

image

В том случае, если на охраняемой территории или в публичных местах ведется видеосъемка, эти данные также не могут считаться биометрическими ПД, поскольку владелец видеокамеры не использует их для идентификации конкретного человека. Биометрическими эти данные могут стать, в случае передачи их в правоохранительные органы и если переданные видеоматериалы будут использоваться для определения личности конкретного физического лица.

На что стоит обратить внимание оператору организующему такую видеосъемку?

Оператор в таком случае должен проинформировать посетителей о том, что в данном месте ведется фото-, видеосъемка. Это может быть текстовая табличка или специализированная наклейка, специальных требований к оформлению не предъявляется. В том случае, если Вы выполнили это простое требование, то согласие посетителей на проведение таких мероприятий не требуется.
Если же Вы установили видеонаблюдение в рабочих помещениях, то не забудьте проинформировать работников об этом. Уведомлять нужно обязательно под роспись. Данное требования закреплено в Трудовом кодексе РФ ст. 74 и заключается в изменении условий трудового договора.

Цели организации видеонаблюдения

Повторю это еще раз, определение целей обработки одна из ключевых задач оператора. И организация видеонаблюдения не является исключением. Цели должны быть определены заранее и иметь правовое обоснование.

Например, если видеонаблюдение ведется в офисе, то это может быть: Фиксация возможных действий противоправного характера. В медицинских учреждениях или на производстве продуктов питания целью может быть: Обеспечение прав пациентов, клиентов или потребителей. Наверняка, заказывая пиццу, Вы сталкивались с возможностью наблюдать за ее приготовлением по средствам вебкамер, направленных на рабочие места.
При этом данный процесс должен быть отражен во внутренней документации оператора. Должен быть определен ответственный, имеющий доступ к системе видеонаблюдения. Обычно это закрепляется приказом. Помимо этого необходимо предусмотреть порядок и сроки хранения видеозаписей, а также порядок их удаления. Само собой не забываем про информационные таблички.

Самое важное в одном абзаце

Подводя итог, еще раз хочется остановиться на самых важных моментах. Внимательно прочитайте ч.2 ст. 11 ФЗ-152 О персональных данных и во всех случаях, не попадающих под них, собирайте согласие на обработку биометрических персональных данных в письменном виде. Заранее определяйте цели обработки и строго придерживайтесь их. Не собирайте избыточную информацию. В случае, если Вы не знаете как трактовать то или иное требование закона, обратитесь к разъяснениям РКН или напишите им обращение с Вашим вопросом.

Видео про самые распространенные ошибки, оформлению Согласия на обработку персональных данных можно посмотреть на ютуб канале ПДМастер, также как и другие полезные материалы по тематике Персональные данные
Источник: habr.com
К списку статей
Опубликовано: 29.06.2020 14:12:48
0

Сейчас читают

Комментариев (0)
Имя
Электронная почта

Информационная безопасность

Биометрия

Биометрические данные

Биометрические персональные данные

Фз-152

Обработка биометрических данных

Категория персональных данных

152-фз требования

Обработка персональных данных

Согласие на биометрию

Письменное согласие

Категории

Последние комментарии

© 2006-2020, personeltest.ru