Бесплатная горячая линия

8 800 700-88-16
Главная - Другое - Обработка персональных биометрических данных

Обработка персональных биометрических данных

Персональные данные в 13 вопросах и ответах

от 01.02.2020, 13:53 На этой неделе в мире отметили день защиты персональных данных. “Ъ” собрал ответы на очевидные и не самые очевидные вопросы. Ст. 3 Федерального закона от 27 июля 2006 года 152-ФЗ «О персональных данных» определяет персональные данные как любую информацию, относящуюся к определенному или определяемому на основе такой информации физическому лицу (субъекту персональных данных). Конкретного перечня в законе нет, что оставляет некоторый простор для толкования.

Персональные данные включают такую информацию, как ФИО, пол, дата и место рождения, место жительства, образование, семейное положение, занимаемая должность. Ст. 10 закона вводит понятие специальных категорий персональных данных, к которым относятся сведения о расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни.

Ст. 11 определяет биометрические персональные данные как физиологические и биологические особенности человека, на основе которых можно установить его личность (физиологические параметры, фото- и видеоизображения). Нет. Только те, которые позволяют установить личность и используются для установления личности. Как пояснил Роскомнадзор (уполномоченный орган по защите прав субъектов персональных данных), не является персональными данными, в частности, ксерокопия паспорта, предоставляемая при заключении договора с банком, фотография в личном деле или рентгеновские и флюорографические снимки (во всех этих случаях личность человека уже известна и эти данные не используются для ее установления).

Аналогичная ситуация и с видеосъемкой в общественных местах или на охраняемой территории. До передачи материалов в компетентные органы для установления личности снятого человека она не считается биометрией. При этом фотоизображения на пропусках суды признают биометрическими данными, и для их использования необходимо письменное согласие гражданина (см.

Определение Верховного суда РФ от 05.03.2018 №307-КГ18–101 по делу №А42–342/2017). Да, сведения о заработной плате работника являются его персональными данными и не подлежат публичному разглашению работодателем или третьими лицами, получившими доступ к этой информации.

Данное положение подтверждено судебной практикой.

В частности, в одном из дел системный администратор частной компании, получивший доступ к персональным данным коллег через программу 1С, стал распространять информацию о повышении зарплаты одного из менеджеров. Раскрытие размера зарплаты было признано грубым нарушением трудовых обязательств и послужило основанием для его увольнения (см.
Раскрытие размера зарплаты было признано грубым нарушением трудовых обязательств и послужило основанием для его увольнения (см.

апелляционное определение Московского городского суда от 14.06.2016 по делу №33-22906/2016).

Следует учитывать, что персональными данными считается не только зарплата, но и другие данные сотрудников, а также клиентов компании. Последние, являясь ценным активом для бизнеса, также подпадают под действие режима коммерческой тайны, пояснила “Ъ” руководитель практики интеллектуального и информационного права юридической группы «Яковлев и Партнеры» Анна Никитова. При этом сам по себе неправомерный доступ к просмотру карточек клиентов или сотрудников не может являться основанием для увольнения.

Такие последствия влечет только установление факта их разглашения.

Судебная практика знает случаи, когда разглашением была признана отправка информации на электронную почту, в мессенджеры или копирование на съемный носитель.

Данная позиция подтверждена и Конституционным судом (см. определение КС РФ от 28.02.2019 №457-О). По общему правилу обработка персональных данных должна осуществляться с согласия субъекта.

Перечень исключений, при которых согласие не требуется, содержится в ч. 1 ст. 6 закона: — обработка персональных данных необходима для достижения целей, предусмотренных международным договором или законом; — обработка осуществляется в связи с участием лица в судопроизводстве, необходима для исполнения судебного акта; — необходима для исполнения полномочий госорганов; — необходима для заключения или исполнения договора, стороной, выгодоприобретателем или поручителем по которому является субъект персональных данных; — необходима для защиты жизни, здоровья, иных жизненно важных интересов лица, если получение его согласия невозможно; — для осуществления прав и законных интересов оператора (организация или лицо, занимающееся обработкой данных) или третьих лиц, либо для достижения общественно значимых целей; — для осуществления профессиональной деятельности журналиста и (или) СМИ, научной, литературной или иной творческой деятельности; — осуществляется в статистических или исследовательских целях при условии обязательного обезличивания персональных данных; — данные являются общедоступными (например, справочники, адресные книги); — данные подлежат опубликованию или обязательному раскрытию в соответствии с федеральным законом. В ст. 10, 11 перечисляются основания, при которых можно без получения согласия обрабатывать специальные категории персональных данных и биометрические данные.

Нет, не являются. Закон действительно не требует получать согласие на обработку общедоступных данных. Однако российские суды пришли к выводу, что размещение персональных данных в открытых онлайн-ресурсах не делает их автоматически общедоступными. Примером может послужить Национального бюро кредитных историй против регионального управления Роскомнадзора.

Организация собирала данные о потенциальных заемщиках из соцсетей и других открытых интернет-источников («ВКонтакте», «Одноклассники», «Мой Мир», Twitter, Instagram, Avito, Avto.ru) без получения согласия пользователей, что ведомство посчитало нарушением. Суд встал на сторону Роскомнадзора, эту позицию все вышестоящие инстанции вплоть до Верховного суда (см. постановление Арбитражного суда Московского округа от 9 ноября 2017 года по делу №А40–5250/2017, определение ВС РФ от 29 января 2018 года по делу №305-КГ17–21291) Ст.

9 ФЗ «О персональных данных» допускает возможность вместо письменного согласия дать его в форме электронного документа и подписать электронной подписью. Получение согласия по телефону или с помощью СМС-сообщений законом не предусмотрено. Как следует из Роскомнадзора в отношении интернет-магазинов, при заполнении формы заявки на покупку товара на сайте критерием, свидетельствующим о получении оператором согласия на обработку персональных данных, является файл электронной цифровой подписи.

Как следует из Роскомнадзора в отношении интернет-магазинов, при заполнении формы заявки на покупку товара на сайте критерием, свидетельствующим о получении оператором согласия на обработку персональных данных, является файл электронной цифровой подписи.

Да, но на это также нужно получить согласие лица, чьи данные обрабатываются.

В частности, интересным представляется случай привлечения к административной ответственности крупной медийной компании, передававшей на обработку третьему лицу персональные данные соискателей на вакантные должности без получения у них соответствующего согласия.

Арбитражные суды встали на сторону Роскомнадзора, посчитавшего такую практику нарушением закона ( постановление Арбитражного суда Московского округа от 15.01.2018 №Ф05–18981/2017 по делу №А40–81171/17–149–793).

Да, закон дает лицу такую возможность без каких-либо дополнительных условий.

Данные подлежат уничтожению в срок до 30 дней. В настоящее время уже завершена разработка в ст.

21 закона, призванных унифицировать правила уничтожения персональных данных после завершения обработки либо отзыва согласия на их обработку.

В случае их одобрения Госдумой конкретные требования будут разработаны Роскомнадзором.

Ст. 14 закона «О персональных данных» дает лицу право получать подтверждение самого факта обработки его данных, информацию об источнике данных, целях и способах обработки, сроках, операторе (наименование и место нахождения), работающем с данными.

Эти права могут быть ограничены при обстоятельствах, перечисленных в п.

8 ст. 14. В частности, если персональные данные получены в результате оперативно-разыскной, разведывательной или контрразведывательной деятельности, используются для противодействия легализации доходов или противодействия финансированию терроризма, субъект подозревается или обвиняется в совершении уголовного преступления и прочее. Как пояснил партнер юридической фирмы Law & Commerce Offer Антон Алексеев, в качестве наиболее частых можно выделить следующие правонарушения: 1.

Неполучение у гражданина согласия на обработку его персональных данных; 2. Неполучение согласия на передачу его персональных данных для обработки третьим лицам; 3.

Неполучение согласия на трансграничную (за пределы РФ) передачу персональных данных; 4. Неполучение согласия на обработку биометрических персональных данных; 5.

Нарушение правил и требований к обработке (хранение, передача, защита, уничтожение и т. д.) персональных данных. Российское законодательство предусматривает разные виды ответственности — дисциплинарную, административную, уголовную.

Cт. 81 Трудового кодекса допускает дисциплинарное наказание вплоть до увольнения работника за разглашение персональных данных другого работника. Как работник, так и работодатель могут также понести материальную ответственность за ненадлежащее обращение с персональными данными. Ст. 13.11. КоАП РФ

«Нарушение законодательства Российской Федерации в области персональных данных»

предусматривает административные штрафы за различные нарушения при их обработке.

В частности, в не предусмотренных законом случаях (до 50 тыс. руб. для организаций); в целях, не совместимых с целями сбора (до 50 тыс.); без согласия (до 75 тыс.

руб.); без использования баз данных, находящихся в России (до 6 млн руб., за повторное нарушение до 18 млн руб.). Также предусматривается административная ответственность за неисполнение оператором обязанностей при взаимодействии с Роскомнадзором. Ст. 137 УК РФ предусматривает наказание за нарушение неприкосновенности частной жизни, ст.

272 УК РФ — за неправомерный доступ к охраняемой законом компьютерной информации, повлекшей ее уничтожение, блокирование, модификацию либо копирование. Нарушителям могут грозить различные санкции вплоть до двух лет лишения свободы. Большая часть нарушений квалифицируется по административным статьям.

Один из свежих привлечения к административной ответственности — 29 января 2020 года суд оштрафовал университет «Синергия» на 150 тыс. руб. за неправомерный сбор биометрических персональных данных несовершеннолетних в образовательном учреждении Красногорска. По закону пострадавшее лицо может добиваться возмещения не только материального ущерба, но и морального вреда.
По закону пострадавшее лицо может добиваться возмещения не только материального ущерба, но и морального вреда. В частности, Верховный суд подтвердил возможность гражданина требовать взыскания с коллекторского агентства, неоднократно звонившего и отправлявшего СМС на его мобильный номер с требованием «в грубой форме» погасить задолженность по кредиту, не получив согласия на обработку его персональных данных (см.

определение №5-КГ17–256 от 27.02.2018). Как отметил старший юрист группы технологий и инвестиций юридической фирмы Vegas Lex Дмитрий Бородин, существующая судебная практика не позволяет гражданам рассчитывать на значительные суммы.

Обычный размер возмещения составляет 3–5 тыс. руб. К примеру, в одном подобном деле гражданин пожаловался в суд на администратора группы «ВКонтакте» в связи незаконным опубликованием его персональных данных в соцсети. Суд присудил истцу 5 тыс. руб.

вместо требуемых 100 тыс., даже несмотря на то, что персональные данные были опубликованными в порочащем честь гражданина ключе (Определение Кемеровского областного суда от 19.07.2018 по делу №33-7157/2018). Поправки в закон, предусматривающие, что хранение и обработка персональных данных россиян в интернете может производиться только с использованием баз данных, находящихся на территории России, вступили в силу 1 сентября 2015 года.

До сих пор самым серьезным последствием их принятия стала блокировка на территории России соцсети LinkedIn, отказавшейся выполнять требование о локализации. По данным на 2016 год в ней было зарегистрировано около 5 млн россиян.

(см. Определение Мосгорсуда от 10.11.2016 по делу №33–38783/2016). Претензии в части локализации данных Роскомнадзор предъявлял и другим крупным соцсетям — Twitter и Facebook.

Однако в их отношении надзорный орган ограничился штрафами в размере 3 тыс. руб. Положение о миллионных штрафах за несоблюдение требований о локализации баз данных было внесено в КоАП РФ позже, лишь в декабре 2020 года.

31 января 2020 года Роскомнадзор возбудил в отношении обеих компаний новое административное производство за непредоставление информации о локализации. Ольга Шкуренко Самое важное на странице Коммерсантъ во

Обзор документа

Биометрические персональные данные граждан обрабатываются с их согласия (за исключением некоторых случаев, связанных, в частности, с реадмиссией, осуществлением правосудия, госслужбой, транспортной безопасностью, ОРД). К таким данным относятся физиологические и биологические характеристики человека, которые используются оператором, чтобы установить его личность.

В частности, это могут быть отпечатки пальцев, радужная оболочка глаз, анализы ДНК, рост, вес, изображение человека (фотография и видеозапись). Изображение гражданина может использоваться без его согласия в государственных, общественных или иных публичных интересах. Причем это не любой интерес, проявляемый аудиторией, а, например, потребность общества в обнаружении и раскрытии угрозы демократическому правовому государству и гражданскому обществу, общественной безопасности, окружающей среде.

В частности, речь может идти об информации, связанной с исполнением должностными лицами и общественными деятелями своих функций. Соответственно, сообщать подробности частной жизни лица, не занимающегося какой-либо публичной деятельностью, запрещено без его согласия.

Последнее не требуется, если изображение гражданина получено при съемке, которая проводится в местах, открытых для свободного посещения, или на публичных мероприятиях.

Исключение — такое изображение является основным объектом использования. Согласия также не спросят, если лицо позировало за плату. Таким образом, для опубликования, в т.

ч. редакцией СМИ, фотографии гражданина в вышеуказанных случаях, а также если изображение получено из общедоступных источников, согласие лица не нужно.

Если опубликование фотографий (видеозаписи) реально угрожает жизни и здоровью гражданина либо наносит ему моральные страдания, то на основании его мотивированного обращения распространение (демонстрация) данной информации должно быть прекращено. К биометрическим персональным данным относятся фотоизображение и иные сведения, используемые для обеспечения прохода на охраняемую территорию и установления личности гражданина.

В то же время ими не являются фотография из личного дела работника, а также подпись лица, наличие которой в различных договорных отношениях является обязательным, и почерк, в т. ч. анализируемый в рамках почерковедческой экспертизы.

Не могут считаться обработкой биометрических персональных данных ксерокопирование и сканирование паспорта для подтверждения совершения определенных действий конкретным лицом (например, заключение договора на оказание услуг) без проведения процедур идентификации (установления личности). О видеонаблюдении в рабочих помещениях сотрудники должны предупреждаться под роспись.

Для просмотра актуального текста документа и получения полной информации о вступлении в силу, изменениях и порядке применения документа, воспользуйтесь поиском в Интернет-версии системы ГАРАНТ: © ООО «НПП «ГАРАНТ-СЕРВИС», 2020. Система ГАРАНТ выпускается с 1990 года.

Компания «Гарант» и ее партнеры являются участниками Российской ассоциации правовой информации ГАРАНТ.

Резка законов под цифровые эксперименты

В рамках отказа от обязательного письменного согласия гражданина на обработку его персональной биометрии предлагается внесение изменений в ст.

4 закона № 52-ФЗ «О персональных данных» от 27 июля 2006 г., где в положении ч. 1 ст. 11 («Биометрические персональные данные …могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных») вносится послабление по программе экспериментального правового режима. Абонент сможет заключить договор с оператором связи без договора на бумаге Еще ряд правок в закон «О персональных данных» предлагается для обеспечения «юридической возможности использования технологий «интернета вещей», виртуальной реальности, электронных платежей и удаленной идентификации» – например, для автоматизации процессов бронирования номера гостиницы, заселения, регистрации и обслуживания гостя при запуске роботизированных гостиниц без физического присутствия персонала.

Абонент сможет заключить договор с оператором связи без договора на бумаге Еще ряд правок в закон «О персональных данных» предлагается для обеспечения «юридической возможности использования технологий «интернета вещей», виртуальной реальности, электронных платежей и удаленной идентификации» – например, для автоматизации процессов бронирования номера гостиницы, заселения, регистрации и обслуживания гостя при запуске роботизированных гостиниц без физического присутствия персонала. В ст. 3 закона №126-ФЗ «О связи» от 7 июля 2003 г.

вносится дополнение о том, что для положений п. 1 ст. 44 (требования к помещениям и достоверности сведений об абоненте при заключении договора об оказании услуг) и пп. 3, 4 ст. 63 («Тайна связи») этого закона установлен иной порядок в рамках программы экспериментального правового режима.

Подлинность личности будет определяться

«посредством инструментов биометрической идентификации и иных современных методов удаленной идентификации»

, отмечено в пояснительной записке к законопроекту.

Изменения предлагаются в целях

«защиты абонентов сотовой связи и клиентов банков от мошеннических звонков, направленных на хищение денежных средств граждан с помощью методов социальной инженерии»

. В сфере телемедицины документ предлагает дополнить упоминание экспериментального правового режима в ст.

3, п. 22 ст. 2, ч. 7 ст. 20, ч. 2-4, 6 ст. 36.2 закона №323-ФЗ

«Об основах охраны здоровья граждан в Российской Федерации»

, для снятия ограничений, запрещающих «проведение медицинских осмотров, установление диагноза, назначение лечения и проведение дистанционного наблюдения за состоянием здоровья пациента, а также проведение идентификации с применением телемедицинских технологий».

Для реализации экспериментальных сервисов грузовых перевозок с использованием беспилотных летательных аппаратов с грузоподъемностью до 500 кг предлагается внесение изменений в ряд положений Воздушного кодекса России. Наконец, для коммерческого использования беспилотного наземного транспорта предлагается в рамках проведения экспериментов приостановить действие нормы законодательства о безопасности дорожного движения в части запрета на эксплуатацию автомобилей без водителя.

Дополнительные изменения по этим проектам также предлагается внести в законы

«Об обязательном страховании гражданской ответственности владельцев транспортных средств»

, «Устав автомобильного транспорта и городского наземного электрического транспорта», «О техническом осмотре транспортных средств и о внесении изменений в отдельные законодательные акты Российской Федерации» и другие.

О чем недоговаривают банки, собирающие биометрические данные россиян?

«А если честно!» продолжает следить за ситуацией неправомерного изъятия биометрических данных в отделении Сбербанка Горно-Алтайска.Краткая предыстория. Одна из о том, что сотрудник отделения банка без ее согласия взял у нее биометрические данные «для ее же безопасности».

Мы описали ситуацию на своем сайте. В c подтвержденного аккаунта Сбербанка был опубликован комментарий с инструкцией, .

Мы передали ее читательнице. И теперь она сообщает, как ситуация развивается дальше.В апреле она отправила письмо в «Сбербанк», в котором задала шесть вопросов: 1) Для каких целей ОАО «Сбербанк» проводит сбор биометрических данных клиентов;2) На основании каких документов действует ОАО «Сбербанк» в вопросе сбора биометрических данных, их хранения, изменения и прочее;3) Куда поступают биометрические данные клиентов ОАО «Сбербанк» и как организована защита этих данных;4) Какие обязательства берет на себя ОАО «Сбербанк» в случае утечки персональных данных своих клиентов, в том числе биометрических;5) Возможен ли отзыв биометрических данных клиентов ОАО «Сбербанка»;6) До какого времени возможно обслуживание в банке без сдачи биометрических данных.Думается, что большинство россиян так или иначе перечисленные выше вопросы волнуют.

На обращение был получен довольно «сухой» и, на наш взгляд, не вполне правдивый ответ. На первый вопрос представитель банка Ярослав Колупаев ответил, что биометрия является последним достижением в области идентификации.

По второму вопросу Колупаев пояснил, что банк действует исходя из 152-го федерального закона «О персональных данных». Неужели там есть что-то про банки?

Любопытным оказался ответ на вопрос о защите данных.

Исходя из ответа, банк якобы создает свои биометрические шаблоны, которые используются для дополнительной безопасности, а данные в другие системы не передаются.

Кроме того, действительно можно отозвать разрешение на свои биометрические данные, написав заявление в отделение Сбербанка. Ну, а проверять вас по биометрии могут только с вашего письменного согласия.

Ответы Колупаева, однако, не вызвали доверия, и мы решили проверить — так ли это на самом деле (спойлер: как оказалось, нет).Но, обо всем по порядку.Оказывается, еще в канун празднования Нового 2018 года, а если быть точным, то 31 декабря 2017 года, был подписан Федеральный закон N 482-ФЗ

«О внесении изменений в отдельные законодательные акты Российской Федерации»

.

И законодательным актом, который после внесения изменений как раз и стал юридическим основанием для сбора персональных биометрических данных, стал, как бы неожиданно это не звучало, Федеральный закон от 07.08.2001 N 115-ФЗ (ред.

от 18.03.2019)

«О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма»

:»5.6. Банк, соответствующий критериям, установленным абзацами вторым — четвертым пункта 5.7 настоящей статьи, обязан после проведения идентификации при личном присутствии клиента — физического лица, являющегося гражданином Российской Федерации, с его согласия и на безвозмездной основе размещать или обновлять в электронной форме в единой системе идентификации и аутентификации сведения, необходимые для регистрации в ней клиента — физического лица, и сведения, предусмотренные абзацем вторым подпункта 1 пункта 1 настоящей статьи, а также в единой информационной системе персональных данных, обеспечивающей сбор, обработку, хранение биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным физического лица (далее — единая биометрическая система), его биометрические персональные данные».Именно Федеральный закон от 07.08.2001 N 115-ФЗ (ред. от 18.03.2019)

«О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма»

является тем юридическим основанием, которое дает право банкам собирать наши биометрические данные!

И то, что сотрудник ПАО «Сбербанк» назвал юридическим основанием в работе с персональными биометрическими данными только Федеральный закон «О персональных данных» от 27.07.2006 N 152-ФЗ, говорит о его некомпетентности или о сознательном умалчивании о Федеральном законе от 07.08.2001 N 115-ФЗ (ред.

от 18.03.2019)

«О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма»

?Следующим важным моментом является суть второй части выше процитированной статьи ФЗ-115 от 07.08.2001:«Порядок размещения и обновления указанных в настоящем пункте сведений, а также состав сведений, необходимых для регистрации клиента — физического лица в единой системе идентификации и аутентификации, и состав сведений, размещаемых в единой биометрической системе, устанавливаются в соответствии с Федеральным законом от 27 июля 2006 года N 149-ФЗ «Об информации, информационных технологиях и о защите информации». Надзор за соблюдением банками порядка размещения и обновления таких сведений осуществляется Центральным банком Российской Федерации в установленном им порядке».То есть, создана некая Единая биометрическая система, которая, как мы поняли из упомянутого Федерального закона от 27 июля 2006 года N 149-ФЗ «Об информации, информационных технологиях и о защите информации» и , является базой не только для банков, но и для «государственных органов и иных организаций».

Получается, что и в вопросе хранения биометрических данных, указанная Сбербанком в ответе на запрос информация:

«Биометрические шаблоны, собранные Сбербанком, используются для дополнительной безопасности и не передаются в другие системы»

, так же является недостоверной?Более того, работу с Единой биометрической системой осуществляет оператор биометрической системы, функцией которого является осуществление «передачиинформации о результатах проверки соответствия предоставленных биометрических персональных данных гражданина Российской Федерации его биометрическим персональным данным, содержащимся в Единой биометрической системе, в государственные органы, банки и иные организации». И к нему – главному инструменту связи между единой биометрической базой и другими участниками биометрической системы — законом предъявляется одно единственное требование согласно статье 14 п.

16: он должен занимать

«существенное положение в сети связи общего пользования на территориях не менее чем двух третей субъектов Российской Федерации»

. Требования к сохранности информации, безопасности, защите, гарантиях и ответственности в случае утери данных в законе отсутствуют.По всей видимости, Оператором может стать любая частная фирма.

Тем более, что государство готово платить за предоставление сведений: «24. Размер и порядок взимания оператором единой биометрической системы платы за предоставление государственным органам и организациям сведений… по согласованию с оператором единой биометрической системы и иными государственными органами и организациями в случаях, установленных федеральными законами». (ФЗ-149 от 27.07.2006 ст.16 п.24)На данный момент оператором Единой биометрической системы является ПАО «Ростелеком».

Кстати, ответ на вопрос об ответственности в случае утери данных ОАО «Сбербанк», в лице своего сотрудника, предпочел опустить.А теперь о возможности отзыва согласия на обработку биометрических данных. Как пишет Сбербанк, отзыв согласия на обработку персональных биометрических данных возможен.

Однако, в Федеральном законе от 07.08.2001 N 115-ФЗ (ред. от 18.03.2019)

«О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма»

, который, как мы поняли, является основным нормативным документом, регламентирующим деятельность банков («государственных учреждений и иных организаций») в сфере работы с биометрическими данными, информации о возможности отозвать свои данные нет.

И тут обратимся, наконец, к единственному упомянутому сотрудником Сбербанка Федеральному закону «О персональных данных» от 27.07.2006 N 152-ФЗ. Статья 9 пункт 2 гласит: «2. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных. В случае отзыва субъектом персональных данных согласия на обработку персональных данных оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в пунктах 2 — 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 настоящего Федерального закона».

А в этих статьях содержатся практически все возможные случаи взаимодействия человека с государственными органами и иными организациями. То есть получается, что наши биометрические данные будут использоваться в любом случае? Конечно, это не значит, что тем, кто по незнанию передал оператору свои биометрические данные и теперь хочет отозвать, бесполезно писать отзыв своего согласия – это акт доброй воли, который сам по себе уже имеет огромное значение!

Нужно к этому еще добавить требования пересмотра в принципе всего законодательства в этой области. И тогда возможны реальные положительные изменения.Ставьте лайки и подписывайте на , чтобы не пропускать наши материалы. Ждем ваших комментарием! Помогите нам стать лучше!Материалы по теме:

Можно ли обрабатывать биометрические персональные данные без разрешения субъекта данных?

На основании статьи 11 Федерального закона от 27.07.2006 года для обработки биометрических персональных данных нужно письменное согласие субъекта этих данных, кроме некоторых случаев, указанных в законодательстве.Без разрешения субъекта данных можно обрабатывать его биометрию в целях:

  1. реализации уголовно-исполнительной системы;
  2. необходимости осуществления процессов государственной службы;
  3. оперативно-розыскной деятельности;
  1. и других, установленных законодательством случаях.
  2. обеспечения системы обороны или безопасности государства;
  3. противодействия терроризму или коррупции;
  4. обеспечения транспортной безопасности;

Нельзя проводить идентификацию личности человека по биометрическим данным без его письменного согласия в частных и коммерческих интересах организаций и физических лиц.

Что такое обработка биометрических персональных данных?

Под обработкой персональных данных подразумевается любое действие с данными, которые могут быть использованы для установления личности субъекта персональных данных.Это означает, например, что фотографирование человека, то есть фиксирование его биометрических признаков внешности не является обработкой персональных данных субъекта, пока изображение не будет подвергнуто действиям по выявлению идентифицирующих биометрических признаков.Можно ли обрабатывать биометрические персональные данные без разрешения субъекта данных?На основании статьи 11 Федерального закона от 27.07.2006 года для обработки биометрических персональных данных нужно письменное согласие субъекта этих данных, кроме некоторых случаев, указанных в законодательстве.Без разрешения субъекта данных можно обрабатывать его биометрию в целях:- оперативно-розыскной деятельности;- необходимости осуществления процессов государственной службы;- реализации уголовно-исполнительной системы;- противодействия терроризму или коррупции;- обеспечения системы обороны или безопасности государства;- обеспечения транспортной безопасности;- и других, установленных законодательством случаях.Нельзя проводить идентификацию личности человека по биометрическим данным без его письменного согласия в частных и коммерческих интересах организаций и физических лиц.

Порядок размещения и обновления биометрических персональных данных в единой биометрической системе

1.

Порядок размещения и обновления биометрических персональных данных в единой информационной системе персональных данных, обеспечивающей обработку, включая сбор и хранение биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным гражданина Российской Федерации (далее — единая биометрическая система), устанавливает процедуру размещения и обновления биометрических персональных данных в единой биометрической системе в целях идентификации гражданина Российской Федерации, в том числе, с применением информационных технологий без его личного присутствия (далее — идентификация, Порядок). 2. Размещение и обновление в электронной форме в единой биометрической системе сведений, определенных частью 8 статьи 14.1 Федерального закона 149-ФЗ, осуществляются банками, соответствующими критериям, установленным абзацами вторым — четвертым пункта 5.7 статьи 7 Федерального закона от 7 августа 2001 года № 115-ФЗ

«О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма»

(Собрание законодательства Российской Федерации, 2001, № 33, ст.

3418; 2002, № 44, ст. 4296; 2004, № 31, ст.

3224; 2006, № 31, ст. 3446, 3452; 2007, № 16, ст. 1831; № 49, ст. 6036; 2009, № 23, ст. 2776; 2010, № 30, ст. 4007; № 31, ст.

4166; 2011, № 27, ст. 3873; № 46, ст. 6406; 2013, № 26, ст. 3207; № 44, ст. 5641; № 52, ст. 6968; 2014, № 19, ст.

2311, 2315; № 23, ст. 2934; № 30, ст.

4219; 2015, № 1, ст. 37; № 18, ст. 2614; № 24, ст. 3367; № 27, ст. 3945, 4001; 2016, № 1, ст. 27, 43, 44; № 26, ст.

3860; № 27, ст. 4196; № 28, ст. 4558; 2017, № 31, ст. 4830, 2018, № 1, ст. 66, № 17, ст. 2418, № 18, ст.

2582), государственными органами и иными организации в случаях, определенных федеральными законами, с согласия гражданина Российской Федерации и на безвозмездной основе. 3. Размещение и обновление в единой биометрической системе биометрических персональных данных осуществляются в соответствии с законодательством Российской Федерации в области персональных данных и настоящим Порядком. 4. Размещение и обновление биометрических персональных данных в единой биометрической системе осуществляется органами и организациями с использованием единой системы межведомственного электронного взаимодействия.

5. Обновление сведений в единой биометрической системе осуществляется в соответствии с порядком обработки, включая сбор и хранение, параметров биометрических персональных данных в целях идентификации в соответствии с приложением 1 к настоящему приказу (далее — Порядок обработки). 6. При размещении и обновлении сведений в единой биометрической системе банки должны осуществлять информирование Банка России о выявленных инцидентах безопасности в соответствии с подпунктом 1 пункта 9 Порядка обработки. 7. Размещение и обновление сведений в единой биометрической системе осуществляется в соответствии с требованиями к фиксированию действий в соответствии с пунктом 1 части 2 статьи 14.1 Федерального закона № 149-ФЗ.

8. Биометрические персональные данные, а также иная информация, указанная в пункте 15 Порядка обработки, размещаются и обновляются в единой биометрической системе уполномоченным сотрудником органов и организаций, (далее — уполномоченные сотрудники) и подписываются усиленной квалифицированной электронной подписью такого органа или организации, основанной на квалифицированном сертификате ключа проверки электронной подписи, выдаваемом такому органу или организации головным удостоверяющим центром, функции которого осуществляет федеральный орган исполнительной власти, уполномоченный в сфере использования электронной подписи. 9. Размещение биометрических персональных данных гражданина Российской Федерации в единой биометрической системе осуществляется, если гражданин Российской Федерации прошел процедуру регистрации в единой системе идентификации и аутентификации в соответствии с положением о федеральной государственной информационной системе

«Единая система идентификации и аутентификации в инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме»

, утвержденным приказом Министерства связи и массовых коммуникаций Российской Федерации от 13.04.2012 № 107 (далее — Положение)1.

Размещение биометрических персональных данных гражданина Российской Федерации в единой биометрической системе осуществляется при условии, что личность гражданина Российской Федерации удостоверена в соответствии с подпунктом «з» пункта 6.1 Положения. 10. В случае если гражданин Российской Федерации не зарегистрирован в единой системе идентификации и аутентификации, уполномоченный сотрудник после проведения идентификации гражданина Российской Федерации осуществляет с его согласия процедуру регистрации в единой системе идентификации и аутентификации, в соответствии с Положением.

11. Если сведения, необходимые для регистрации гражданина Российской Федерации в единой системе идентификации и аутентификации, внесены в указанную систему, но процесс регистрации в соответствии с пунктом 9 Порядка не завершен, уполномоченное лицо перед сбором параметров биометрических персональных данных с согласия гражданина Российской Федерации размещает или обновляет в электронной форме в единой системе идентификации и аутентификации сведения, необходимые для регистрации в ней, а также устанавливает личность соответствующего гражданина Российской Федерации и вносит в единую систему идентификации и аутентификации сведения о способе установления личности заявителя в соответствии с Положением.

12. При наличии у гражданина Российской Федерации учетной записи в единой системе идентификации и аутентификации, уполномоченный сотрудник осуществляет сбор биометрических персональных данных и размещение их в единой биометрической системе. 13. Размещенные в единой биометрической системе биометрические персональные данные гражданина Российской Федерации используются в целях идентификации гражданина Российской Федерации, в случае завершения регистрации соответствующего гражданина Российской Федерации в единой системе идентификации и аутентификации при условии, что личность гражданина Российской Федерации удостоверена в соответствии с подпунктом «з» пункта 6.1 Положения.

14. Обновление биометрических персональных данных в единой биометрической системе в целях идентификации осуществляется гражданином Российской Федерации добровольно в следующих случаях: 1) по истечении 3 лет с момента их размещения в указанной системе; 2) по инициативе гражданина Российской Федерации. —————————— 1 Зарегистрирован Министерством юстиции Российской Федерации 26 апреля 2012 г., регистрационный № 23952. —————————— Приложение № 3к приказуМинистерства цифрового развития,связи и массовых коммуникацийРоссийской Федерацииот 25.06.

2018 № 321

Какие нормы защищают мои биометрические персональные данные?

Конвенция Совета Европы № 108 «О защите физических лиц в отношении автоматизированной обработки персональных данных», которую ратифицировала Россия.

Предусматривает охрану персональных данных при их автоматизированной обработке, говорит о праве субъекта на персональные данные.

Статья 23 Конституции РФ гарантирует каждому право на неприкосновенность частной жизни, личную и семейную тайну.

Эта норма определяет границы, которые оператор персональных данных не вправе переступать при получении и при обработке информации о человеке. Статьи 137 и 272 УК РФ говорят об уголовной ответственности за незаконный сбор или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, и неправомерный доступ к охраняемой законом компьютерной информации.

По этим же статьям вас могут и осудить, как историка Михаила Супруна, если кому-то покажется, что вы разглашаете личную информацию.

Об этом мы рассказывали в докладе о доступе к информации в России. Закон «О персональных данных» устанавливает перечень данных, обработка которых запрещена, кроме особых случаев: о расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья и интимной жизни. Исключительные случаи, при которых такие данные могут обрабатывать: если реализуется международный договор Российской Федерации, осуществляется правосудие, исполняются судебные акты, и в других случаях, предусмотренных законодательством РФ об обороне, безопасности и противодействии терроризму.

Биометрические данные по тому же закону, могут обрабатываться только при наличии согласия в письменной форме от субъекта персональных данных. Согласие должно быть осознанным и без принуждения, быть конкретным и определенным: какие данные и кому передаются.

Например, участники гражданского и уголовного процессов могут возражать против приобщения видеозаписи к гражданскому или уголовному делу, если запись велась с нарушением закона. Работодатель должен получить письменное согласие работника на обработку персональных данных, чтобы разместить фото на пропуске. Об этом говорит определение ВС от 05.03.2018 № 307-КГ18-101.

Организации при обработке информации о физических лицах обязаны принимать организационные и технические меры для её защиты от неправомерного или случайного доступа. Закон о персональных данных обязывает все компании–операторы персональных данных назначить лицо, ответственное за организацию их обработки.

По общему правилу, оператор не может передавать персональные данные третьим лицам без согласия субъекта персональных данных. Без согласия позволяется передавать информацию правоохранительными органам.

Из разъяснений Роскомнадзора следует, что согласие на обработку персональных данных нельзя получить по телефону или через смс-сообщения.

Персональные данные россиян, по 242-ФЗ, можно обрабатывать только с использованием размещенных в России баз данных. Сведения о месте нахождения таких баз оператор персональных данных должен направлять в Роскомнадзор. За нарушение порядка обработки информации по решению суда доступ к сайту блокируют.

Кодекс административных правонарушений (КоАП) предусматривает штраф за нарушение порядка обработки персональных данных (ст.

13.11). Юридические лица могут заплатить от 30 тысяч до 50 тысяч рублей за обработку персональных данных в непредусмотренных законом случаях и от 15 до 75 тысяч рублей за обработку персональных данных без письменного согласия. С 25 мая все операторы данных, которые работают с персональной информацией о гражданах ЕС, должны выполнять новые правила GDPR (General Data Protection Regulation), мы уже писали о них. Они затронут многие российские компании, обрабатывающие персональные данные граждан ЕС — тех, кто не ведёт бизнес в ЕС, не затронут.

Новые правила объединяют и ужесточают все ранее существовавшие в европейских странах нормы защиты персональных данных.

Компании, управляющие персональными данными, получат огромные штрафы, если не смогут обеспечить безопасность данных.

Последние новости по теме статьи

Важно знать!
  • В связи с частыми изменениями в законодательстве информация порой устаревает быстрее, чем мы успеваем ее обновлять на сайте.
  • Все случаи очень индивидуальны и зависят от множества факторов.
  • Знание базовых основ желательно, но не гарантирует решение именно вашей проблемы.

Поэтому, для вас работают бесплатные эксперты-консультанты!

Расскажите о вашей проблеме, и мы поможем ее решить! Задайте вопрос прямо сейчас!

  • Анонимно
  • Профессионально

Задайте вопрос нашему юристу!

Расскажите о вашей проблеме и мы поможем ее решить!

+