Однако бесконтрольное использование биометрии недопустимо, в связи с чем законодательство в данной сфере стремительно меняется в сторону усложнения, а ответственность операторов ужесточается.
Ещё до декабря 2022 года работа с биометрией регулировалась законом о персональных данных. Теперь необходимо учитывать её соответствие требованиям 572-ФЗ «Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных». Кратко вспомним его ключевые положения, вступившие в силу с 01.06.2023:
Единая биометрическая система (ЕБС). Биометрические данные граждан должны храниться в ГИС ЕБС для их эффективной защиты. Все обработчики биометрии, подпадающие под действие 572-ФЗ, должны передавать биометрические данные своих клиентов и сотрудников в единую систему.
Следует отметить, что ЕБС применима только в гражданской сфере и не касается оперативно-разыскной деятельности, обороны страны, миграционного учёта и санитарно-эпидемиологического контроля.
Согласие. Для обработки биометрии необходимо согласие и уведомление субъекта о передаче данных в ЕБС. С 01.01.2024 физическое лицо может управлять таким согласием на ПГУ. Компания не вправе отказать в предоставлении услуг при отказе дать согласие на обработку биометрических ПДн.
Цели. Использование биометрии должно соответствовать поставленным целям и ограничено сроком их достижения. Нельзя использовать биометрию по своему усмотрению и передавать сторонним лицам.
Вектор ЕБС. Необходимость работы с единым вектором биометрических ПДн. Для возможности использования биометрии субъект ПДн должен сдать свои биометрические данные в одном из отделений МФЦ или отделений аккредитованных банков.
Аккредитация. Доступ к ЕБС получат уполномоченные и аккредитованные компании, соответствующие требованиям 572-ФЗ.
Необходимость изменения работы с биометрией в русле требований 572-ФЗ и связанных с ним НПА вызывает множество вопросов у лиц, на деятельность которых он распространяется. Одни из наиболее часто встречающихся вопросов в данной сфере связаны с возможностью дальнейшего использования СКУД после нововведений.
Прежде всего обратим внимание, что исходя из положений ч. 2 ст. 1 572-ФЗ, действие данного закона не распространяется на отношения, возникающие при осуществлении идентификации и (или) аутентификации в случае, если проверка соответствия предоставленных биометрических ПДн физического лица его биометрическим ПДн, содержащимся в ИС, не осуществляется автоматизированным способом (с помощью средств вычислительной техники), а осуществляется с участием уполномоченного должностного лица. Например, когда при входе на территорию завода сотрудник предъявляет свой пропуск у турникета, а охранник самостоятельно сверяет изображение с лицом сотрудника перед принятием решения о разрешении доступа.
В СКУД зачастую применяется «смешанная» обработка ПДн: фото сотрудника занесено в систему и отражено в пропуске, прикладываемом к считывателю СКУД, но параллельно этому уполномоченным лицом проводится сверка отражённого в СКУД изображения и принимается итоговое решение о пропуске.
Исходя из буквального толкования 152-ФЗ и № 572-ФЗ, такой случай с большей долей вероятности также не будет подпадать под регулирование и новые требования о взаимодействии с ЕБС.
Однако если предприятие использует систему автоматической идентификации сотрудников по лицу при проходе через турникет, то биометрические данные обрабатываются автоматически – организация должна следовать требованиям № 572-ФЗ.
По требованиям № 572-ФЗ при организации работы СКУД на режимных объектах распознавание личности сотрудников может проводиться только через ЕБС. Остальные организации могут применять любые схемы использования биометрии, в том числе и услуги по аутентификации от организаций, получивших аккредитацию.
Юридическая квалификация некоторых сценариев обработки фотографического изображения и иных персональных данных (ПД) посетителей организации для обеспечения их однократного и/или многократного прохода на охраняемую территорию
Документ подготовил Алексей Мунтян
Несколько советов, как организовать обработку биометрии с учётом новых требований
Оцените деятельность на предмет распространения на неё положений 572-ФЗ.
Новые требования относятся к компаниям, планирующим или уже использующим в работе технические решения, посредством которых проводится полностью автоматизированная идентификация и аутентификация субъектов. Если удастся доказать, что вы не обрабатываете биометрические данные, математическая модель которых указана в законе, или не обрабатываете и не храните данные указанными в законе способами, то требования 572-ФЗ на вашу организацию не распространяются.
Если ваша компания подпадает под действие 572-ФЗ:
Определите порядок взаимодействия с ГИС ЕБС и обеспечьте информационную безопасность и защиту устройств, работающих с биометрией, подходящие для взаимодействия с ЕБС.
Организуйте защищённые каналы связи для взаимодействия с ГИС ЕБС, обеспечьте работу с криптографией по утверждённым требованиям, устанавливайте на оборудование сертифицированные программные продукты и т.д. При работе с криптографией не забывайте вести журналы учёта СКЗИ, если вы пользователь сервиса 152DOC, то можете сформировать журналы в мастере «Комплект документов по применению СКЗИ».
Не забывайте про согласие на обработку персональных данных. Предусмотрите альтернативные способы получения услуг для субъектов, выступающих против обработки их биометрических ПДн (право на отказ предусмотрено законодательно и не может являться основанием для отказа в предоставлении услуг).
Проведите внутренний контроль соответствия систем и обработки биометрических данных требованиям 152-ФЗ, 572-ФЗ и принятых в соответствии с ними НПА (можно оценить такие аспекты, как соблюдение порядка получения согласий на обработку биометрических данных, контроль направления уведомлений при передаче данных в ЕБС и т.д.).
К сожалению, на данный момент мы имеем больше вопросов, чем ответов. Конкретизация требований к используемому оборудованию на законодательном уровне находится в стадии проработки. Поэтому при переходе на новый формат работы организациям необходимо взвешенно подойти к перестраиванию действующих или внедрению новых систем и внимательно отслеживать изменения и нововведения законодательства, дополняющие положения № 572-ФЗ.
Реклама: ООО «АСТРАЛ-СОФТ», ИНН: 4027145240, erid: LjN8KCnQv
Начать дискуссию