Биометрические персональные данные: российское и международное регулирование

 

3 декабря 2023 г.

 

В связи с развитием цифровых технологий использование биометрических данных (отличительных физических характеристик человека) для его идентификации получает все более и более широкое распространение.

С распознаванием по лицу или отпечаткам пальцев знакомы многие пользователи смартфонов и ноутбуков. Фотоизображение и голосовые данные активно применяют различные компании (в законодательстве России они именуются «Операторы персональных данных»): банки – при выдаче кредитов и банковских карт; фитнес-клубы – для оформления абонементов; образовательные учреждения – для оформления пропусков и т.п.

В статье рассмотрим, что понимается под биометрическими персональными данными в контексте российского и европейского регулирования, и на каких условиях их можно обрабатывать.

Что такое «биометрические персональные данные»?

Согласно статье 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее по тексту – «Закон о персональных данных», «Закон», «ФЗ № 152-ФЗ») под персональными данными понимается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (далее по тексту – «субъект персональных данных»).

Закон о персональных данных выделяет несколько категорий персональных данных:

  • общие;
  • специальные;
  • биометрические.

Биометрические персональные данные – это сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (часть 1 статьи 11 ФЗ № 152-ФЗ). Исходя из приведенного определения, биометрическими будут являться персональные данные, если они:

  • характеризуют физиологические и биологические особенности человека;
  • используются оператором для установления личности субъекта персональных данных.

Данные признаки должны присутствовать в совокупности. Таким образом, для определения то, являются ли персональные данные биометрическими и каковы условия их обработки, оператору следует оценить, характеризуют ли они физиологические и биологические особенности человека, а также используются ли они для идентификации человека.

Виды биометрических персональных данных

Конкретных видов биометрических данных ФЗ № 152-ФЗ не приводит. На практике к ним относят фото- и видеоизображение человека, дактилоскопические данные, информацию о радужной оболочке глаза, результаты анализов ДНК, данные о голосе. Однако не во всех случаях такая информация признается персональными данными. Рассмотрим их подробнее через призму законодательства и позиций органов-регуляторов.

1. Фото- и видеоизображение человека.

По мнению Роскомнадзора[1] фотографические изображения, используемые для обеспечения однократного и/или многократного прохода на охраняемую территорию и установления личности гражданина, относятся к биометрическим персональным данным. В свою очередь, фото, хранящееся в личном деле работника, или видеосъемка на охраняемой территории или в общественных местах не являются биометрическими данными, поскольку не используются в целях идентификации.

Проиллюстрируем на примере из судебной практики. Санкт-Петербургский городской суд посчитал, что изображение истца, размещенное на косметической продукции, не является биометрическими персональными данными, поскольку не может идентифицировать его личность[2].

Также, согласно разъяснениям Роскомнадзора, не являются биометрическими персональными данными рентгеновские или флюорографические снимки, находящиеся в медицинской карте пациента, поскольку они используются медицинским учреждением для лечения пациента, а не установления личности. Несмотря на то, что указанные разъяснения в настоящее время отменены, с ним вполне можно согласиться[3].

2. Дактилоскопическая информация (данные об особенностях строения папиллярных узоров пальцев и (или) ладоней рук человека).

Федеральным законом от 25.07.1998 №128-ФЗ «О государственной дактилоскопической регистрации в Российской Федерации» (далее по тексту – «ФЗ № 128-ФЗ») отпечатки пальцев и ладоней человека прямо отнесены к биометрическим персональным данным. Их обработка осуществляется уполномоченными органами исполнительной власти и федеральными государственными учреждениями и используется в следующих случаях:

  • розыска пропавших без вести;
  • установления неопознанного трупа;
  • установления личности лиц, не способных по состоянию здоровья или возрасту сообщить данные о своей личности либо не имеющих документов, удостоверяющих личность;
  • подтверждения личности граждан Российской Федерации, иностранных граждан и лиц без гражданства;
  • предупреждения, раскрытия и расследования преступлений, а также предупреждения и выявления административных правонарушений.

Использование дактилоскопической информации иными операторам персональных данных, в том числе, для осуществления однократного/многократного пропуска на территорию, по мнению органа-регулятора, носит признаки административного правонарушения, предусмотренного частью 1 статьи 13.11 КоАП РФ «Обработка персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных».

3. Геномная информация.

Сходное правовое регулирование имеет и геномная информация. В соответствии со статьей 1 Федерального закона от 03.12.2008 № 242-ФЗ «О государственной геномной регистрации в Российской Федерации» геномная информация – биометрические персональные данные, включающие кодированную информацию об определенных фрагментах ДНК физического лица или неопознанного трупа.

Обязательной государственной геномной регистрации подлежат:

  • лица, осужденные и отбывающие наказание в виде лишения свободы за совершение преступлений;
  • неустановленные лица, биологический материал которых изъят в ходе производства следственных действий;
  • лица, подозреваемые в совершении преступлений, обвиняемые в совершении преступлений;
  • неопознанные трупы.

Отметим, что, несмотря на большое количество разъяснений уполномоченных органов, единообразная позиция в отношении вопроса отнесения тех или иных сведений к биометрическим данным отсутствует, что в каждом конкретном случае вызывает споры и по-разному разрешается в суде.

Условия обработки биометрических персональных данных

Правовому регулированию обработки биометрических персональных данных посвящена всего лишь одна статья 11 Закона о персональных данных.

1. По общему правилу, обработка биометрических данных допускается с согласия субъекта персональных данных.

Согласие должно быть выражено в письменной форме и должно включать в себя следующие обязательные сведения:

  • фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
  • фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);
  • наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;
  • цель обработки персональных данных;
  • перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
  • наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;
  • перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
  • срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва;
  • подпись субъекта персональных данных.

Равнозначным согласию на бумажном носителе признается согласие в форме электронного документа, подписанного электронной подписью.

С 1-го марта 2021 года на распространение персональных данных, в том числе и биометрических, необходимо оформлять отдельное согласие. Требования к содержанию такого согласия на распространение утверждены приказом Роскомнадзора от 24.02.2021 № 18[4].

Отметим, что оператор персональных данных не вправе отказывать в обслуживании в случае отказа от предоставления биометрических данных или дачи согласия на обработку персональных данных, если в соответствии с законом получение такого согласия не является обязательным.

2. Без получения согласия субъекта персональных данных допускается обработка биометрических персональных данных в следующих случаях:

  • в связи с реализацией международных договоров о реадмиссии («реадмиссия – это согласие государства на обратный прием своих граждан, которые подлежат депортации из другого государства»);
  • в связи с осуществлением правосудия и исполнением судебных актов;
  • в связи с проведением обязательной государственной дактилоскопической регистрации и государственной геномной регистрации;
  • в случаях, предусмотренных законодательством РФ об обороне, безопасности, противодействии терроризму, транспортной безопасности, противодействии коррупции, оперативно-розыскной деятельности, государственной службе, нотариате, уголовно-исполнительным законодательством, законодательством о порядке выезда и въезда в Российскую Федерацию, о гражданстве Российской Федерации.

Таким образом, до начала работы с биометрическими персональными данными оператор должен оценить имеются ли у него правовые основания для их обработки.

Идентификация и аутентификация с использованием биометрических персональных данных

29 декабря 2022 года был принят Федеральный закон от 29.12.2022 г. № 572-ФЗ «Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных» (далее по тексту – «ФЗ № 572-ФЗ»). Данным Законом введено понятие «Единая биометрическая система» (далее по тексту также – «ЕБС»). Это государственная информационная система, которая позволяет производить аутентификацию и идентификацию человека по лицу и (или) голосу.

В Единой биометрической системе размещаются и обрабатываются:

  • биометрические персональные данные (изображение человека, полученное с помощью фотовидеоустройств, и запись голоса человека, полученная с помощью звукозаписывающего устройства);
  • векторы единой биометрической системы (персональные данные, полученные в результате математического преобразования биометрических персональных данных физического лица). Отметим, что к векторам не применяются положения ФЗ № 152-ФЗ о порядке обработки и защиты персональных данных.

Рассмотрим основные правила работы с биометрическими персональными данными, установленными ФЗ № 572-ФЗ.

1. С 1 июня 2023 года собирать биометрические персональные данные вне Единой биометрической системы запрещается. Оператор, который хочет обрабатывать биометрические персональные данные клиентов и сотрудников, должен пройти аккредитацию и подключиться к ЕБС. За использование данных, размещенных в ЕБС, будет взиматься плата.

Уточним, что в Законе о персональных данных идет речь только об обработке биометрических данных автоматизированными системами. Если биометрические персональные данные обрабатываются неавтоматическим способом, например, используются на пропуске для прохода на территорию, они в ЕБС не передаются.

2. До 30 сентября 2023 года операторы ПД, которые собирали биометрические данные, обязаны были передать их в Единую биометрическую систему и уведомить субъекта персональных данных.

Не позднее, чем за 30 дней до планируемого размещения данных в ЕБС оператор обязан уведомить субъекта персональных данных в любой позволяющей подтвердить факт получения уведомления форме о таком размещении. Если до истечения указанного срока поступили возражения, размещение не осуществляется. После размещения данных в ЕБС в течение 30 дней Оператор обязан уничтожить биометрические данные, хранящиеся в своих информационных системах в течение 30 дней.

3. Размещение биометрических персональных данных в ЕБС производится с согласия субъекта персональных данных.

Размесить свои биометрические персональные данные в ЕБС субъект персональных данных может:

  • в банках и МФЦ при личном присутствии после идентификации личности;
  • через специальное мобильное приложение «Госуслуги биометрия».

Передача биометрических персональных данных осуществляется после подписания согласия на размещение и обработку биометрических персональных данных.

Отказ физического лица от прохождения идентификации и (или) аутентификации с использованием его биометрических персональных данных не может служить основанием для отказа в оказании государственной, муниципальной или иной услуги, выполнении государственных, муниципальных функций, продаже товаров, выполнении работ или отказа в приеме на обслуживание (часть 13 статьи 3 ФЗ № 572-ФЗ).

Кроме того, в любое время субъект персональных данных вправе предоставить отказ от сбора и размещения его биометрических персональных данных в ЕБС, а также отозвать в письменной форме ранее представленный отказ. Отказ от сбора биометрических персональных данных и отзыв такого отказа представляются в многофункциональный центр лично субъектом персональных данных или законным представителем несовершеннолетнего или недееспособного гражданина. Отказ составляется в письменной форме на бумажном носителе и должен быть подписан физическим лицом собственноручно. МФЦ обязано выдать письменное подтверждение получения такого отказа. После его получения персональные данные удаляют.

В развитие норм ФЗ № 572-ФЗ уже принято значительное количество подзаконных актов, регулирующих правила обработки биометрических данных в ЕБС. В частности, органами исполнительной власти регламентированы:

  • требований к проведению идентификации физического лица банками, многофункциональными центрами, осуществляющими размещение данных в ЕБС[5];
  • случаи и сроки использования биометрических персональных данных, размещенных их владельцем через мобильное приложение[6];
  • правила представления отказа от сбора и размещения биометрических персональных данных, отзыва такого отказа, а также форм указанных отказа, отзыва отказа и письменного подтверждения их представления[7];
  • порядок обработки биометрических персональных данных в ЕБС[8] и многие другие.

К сожалению, формат данной статьи не позволяет их рассмотреть подробнее. Несомненно, биометрическая идентификация и аутентификация имеет очевидные плюсы. Это удобство и быстрота, с которой можно получить необходимые услуги или совершить какие-либо действия, а также осуществление централизованного хранения этих данных. Вместе с тем нельзя не отметить, что риски незаконного доступа и использования биометрических персональных данных также возрастают.

Международное правовое регулирование обработки биометрических персональных данных

Сравним, как регулируется институт биометрических персональных данных в странах ЕС.

25 мая 2018 года в Евросоюзе вступил в силу регламент защиты персональных данных General Data Protection Regulation (далее по тексту – «GDPR», «Регламент»). Данный Регламент является обязательным к применению для всех лиц, осуществляющих обработку персональных данных граждан Евросоюза, вне зависимости осуществляется она на территории ЕС или за его пределами.

Статья 4 GDPR дает следующее определение биометрическим персональным данным. Биометрическими признаются персональные данные, полученные в результате специальной технической обработки, которые касаются физических, физиологических или поведенческих черт физического лица, а также позволяют произвести или подтверждают однозначную идентификацию этого физического лица. Отметим, что Регламент не включает в данную категорию генетические данные. Однако они выделяются в особую категорию охраняемых персональных данных наряду с биометрическими данными.

Статья 9 (1) GDPR устанавливает запрет на обработку биометрических персональных данных. Исключения предусмотрены данной же нормой.

Во-первых, обработка разрешается с прямого согласия субъекта персональных данных. Под прямым согласием понимается «добровольное, конкретное, информированное и однозначное волеизъявление, в котором субъект данных с помощью заявления или четкого утвердительного действия дает согласие на обработку своих данных».

Согласимся с мнением исследователей данной темы[9], что если к согласию в письменной форме GDPR предъявляет определенные требования, то в отношении «четкого утвердительного действия» таких требований не установлено, что порождает ряд вопросов. Например, каким образом оператор ПД может продемонстрировать, что субъект данных дал согласие на обработку?

Во-вторых, GDPR разрешает обработку биометрических данных без согласия их владельца в следующих случаях:

  • если обработка необходима в целях исполнения обязательств и определенных прав оператора или субъекта персональных данных в сфере трудового права, права социального обеспечения и социальной защиты;
  • для защиты жизненных интересов субъекта данных, либо другого физического лица, когда субъект данных физически или юридически не способен дать согласие;
  • если обработка касается персональных данных, которые субъект данных явным образом сделал публичными;
  • обработка необходима из соображений важного публичного интереса, которые должны быть пропорциональны преследуемой цели, должны соответствовать сути права на защиту персональных данных и предусматривать подходящие и конкретные меры для защиты (при этом, что вкладывается в понятие «важного публичного интереса», GDPR не поясняет);
  • если обработка необходима в целях профилактической или профессиональной медицины, для оценки трудоспособности работника, для диагностики медицинского состояния, предоставления медицинской или социальной помощи;
  • обработка необходима для архивных, научных, исторических исследовательских целей, статистических целей.

Таким образом, европейское регулирование устанавливает основания для обработки биометрических данных, в которых в большой степени приоритет имеют публичные интересы.

Ответственность за нарушения при обработке биометрических персональных данных

За нарушение условий обработки биометрических персональных данных могут привлечь к административной ответственности:

  • По части 1 статьи 13.11 КоАП РФ «Обработка персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, либо обработка персональных данных, несовместимая с целями сбора персональных данных». Штраф на должностных лиц – штраф от 10 000 до 20 000 рублей, на юридических лиц – от 60 000 до 100 000 рублей.
  • По части 2 статьи 13.11 КоАП РФ «Обработка персональных данных без согласия в письменной форме субъекта персональных данных либо с нарушением требований к согласию». Штраф для должностных лиц – штраф от 20 000 до 40 000 рублей, для юридических лиц – от 30 000 до 150 000 рублей.

За повторные нарушения штрафы по двум указанным статьям повышаются.

Отметим отсутствие единых подходов при рассмотрении дел об административных правонарушениях. Так, в одном из дошедших до суда дел, Ф. произвела видеосъемку учеников в классе без разрешения их законных представителей. Ф. подтвердила факт съемки на личный телефон и передачи видео третьим лицам. Суд указал, что согласно статье 11 ФЗ № 152-ФЗ обработка биометрических персональных данных учащихся без согласия в письменной форме их законных представителей не допускается. Постановлением мирового судьи Ф. была признана виновной в совершении административного правонарушения, предусмотренного частью 1 статьи 13.11 КоАП РФ. При этом вопрос, с какой целью производилась видеозапись, судом не исследовался[10].

В другом деле прокуратурой была проведена проверка соблюдения законодательства в области обработки персональных данных несовершеннолетних в учреждениях образования. В ходе проверки было установлено, что в Гимназии реализована система сбора биометрических персональных данных несовершеннолетних «Ладошки», осуществляющая считывание особенностей ладоней учащихся. Система устанавливает личность учащегося для организации питания и безналичной его оплаты. Письменные согласия родителей на обработку биометрических данных учащихся получены. Прокуратурой в отношении директора Гимназии было возбуждено дело об административном правонарушении, предусмотренном частью 1 статьи 13.11 КоАП РФ. При рассмотрении дела прокурор настаивал, что система «Ладошки» не соответствует требованиям ФЗ № 572-ФЗ, а согласия на обработку биометрических данных учащиеся, достигшие возраста 14 лет, должны давать самостоятельно. Суд решил, что Закон о персональных данных не содержит запрета на использование биометрических систем идентификации в общеобразовательных учреждениях, а получение согласия законного представителя несовершеннолетнего является единственной возможностью обеспечить выполнение требований Закона о персональных данных. Постановлением мирового судьи производство по делу об административном правонарушении в отношении директора Гимназии было прекращено за отсутствием состава административного правонарушения[11].

На момент подготовки данной статьи в Госдуме был принят в третьем чтении законопроект №353266-8, устанавливающий административную ответственность за нарушения при размещении биометрических персональных данных в ЕБС. За такие нарушения предусматривается штраф на должностных лиц — от 100 000 до 300 000 рублей, на юридических лиц — от 500 000 до 1 000 000 рублей. Кроме того, законопроектом предлагается повысить уже существующую ответственность за обработку персональных данных без согласия субъекта персональных данных или с нарушением требований к его содержанию.

Что касается ответственности за несоблюдение требований GDPR при обработке биометрических персональных данных граждан ЕС, на оператора может быть наложен штраф в размере до 20 000 000 Евро или до 4 % от годового оборота (статья 83 GDPR). Его размер варьируется в зависимости от тяжести нарушения, его продолжительности и последствий.

Так, одна из нидерландских компаний была оштрафована органом-регулятором на 725 000 Евро за нарушение правил обработки биометрических данных сотрудников. Как было установлено, она требовала, чтобы ее сотрудники сканировали свои отпечатки пальцев для регистрации посещаемости. Однако согласий работников на такую обработку предоставить не смогла, а под исключения, допускающие обработку данных без согласия, данный случай не подпадает[12].

Подводя итого, скажем, что в условиях постоянного расширения сфер и объемов обработки биометрических персональных данных, существующего правового регулирования явно не достаточно. Кроме того, наблюдается тенденция к переносу регулирования на уровень подзаконных актов, что не соответствует ценности данной информации. Необходимо более подробная законодательная регламентация данного института, в том числе первостепенной задачей становится нивелирование рисков незаконного доступа, утраты или хищения биометрических персональных данных.

_______________________________

 

[1] Письмо Роскомнадзора от 10.02.2020 № 08АП-6782 «О направлении информации по протоколу совещания».

[2] Апелляционное определение Санкт-Петербургского городского суда от 15.11.2016 № 33-22976/2016 по делу № 2-2932/2015.

[3] Разъяснения Роскомнадзора от 02.09.2013 «О вопросах отнесения фото- и видеоизображения, дактилоскопических данных и иной информации к биометрическим персональным данным и особенности их обработки».

[4] Приказ Роскомнадзора от 24.02.2021 № 18 «Об утверждении требований к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения».

[5] Постановление Правительства РФ от 14.07.2018 № 820 «Об установлении требований к проведению идентификации физического лица банками, многофункциональными центрами предоставления государственных и муниципальных услуг и иными организациями в случаях, определенных федеральными законами, осуществляющими размещение в электронной форме в единой системе идентификации и аутентификации сведений, необходимых для регистрации физического лица в указанной системе, и иных сведений, предусмотренных федеральными законами, а также размещающими сведения в единой биометрической системе».

[6] Постановление Правительства РФ от 15.06.2022 № 1067 «О случаях и сроках использования биометрических персональных данных, размещенных физическими лицами в единой биометрической системе с использованием мобильного приложения единой биометрической системы».

[7] Постановление Правительства РФ от 27.03.2023 № 478 «Об утверждении Правил представления физическим лицом отказа от сбора и размещения биометрических персональных данных в целях проведения идентификации и (или) аутентификации, отзыва такого отказа и письменного подтверждения многофункциональным центром предоставления государственных и муниципальных услуг представления физическим лицом указанных отказа и отзыва отказа, а также форм указанных отказа, отзыва отказа и письменного подтверждения их представления».

[8] Приказ Минцифры России от 12.05.2023 № 453 «О порядке обработки биометрических персональных данных и векторов единой биометрической системы в единой биометрической системе и в информационных системах аккредитованных государственных органов, Центрального банка Российской Федерации в случае прохождения им аккредитации, организаций, осуществляющих аутентификацию на основе биометрических персональных данных физических лиц».

[9] Смирнова Я.В. Проблемы обеспечения права на охрану частной жизни при обработке биометрических данных в Европейском союзе // Актуальные проблемы российского права, 2022, № 10.

[10] Решение Вахитовского районного суда города Казани от 11.05.2023 № 12-1143/2023.

[11] Решение Стерлитамакского городского суда Республики Башкортостан от 26.04.2023 по делу N 12-390/2023.

[12] Сайт «Autoriteitpersoonsgegevens».

 

3 декабря 2023 г.

Наша почта
info@brace-lf.com

Вы можете направить нам запрос на e-mail с подробным описанием вопроса.

Наш телефон
+ 7 (499) 755-56-50

Связаться с нами по телефону.

Клиенты и партнеры

65.png
68.png
69.png
73.png
75.png
fitera.jpg
imko.png
logo.png
Logo_RED_RGB_Rus.png
logo_SK_2.png