Биометрические персональные данные: что к ним относится, где они хранятся и за что накажут по УК РФ

Биометрические персональные данные: что к ним относится

Биометрические персональные данные – это информация, обращение с которой регулируют:

• Федеральный закон от 27.07.2006 № 152-ФЗ;
• Федеральный закон от 29.12.2022 № 572-ФЗ;
• распоряжение Правительства от 09.04.2024 № 856-р (утвердили формы получения согласия на обработку биометрии);
• постановление Правительства от 13.02.2024 № 144 (об оформлении организациями и ИП электронных подписей по биометрии через Госуслуги) и др.

Кроме того, в письмах Минкомсвязи и Роскомнадзора есть уточнения о биометрических персональных данных и что к ним относится.

Как работать с персональными данными контрагентов, клиентов и пользователей сайтов

В заключении – какие требования важно соблюдать на каждом этапе обработки персональных данных клиентов, контрагентов и пользователей сайтов.

Перейти в заключение

Что такое биометрические персональные данные человека

Определение биометрических персональных данных присутствует в статье 11 закона № 152-ФЗ. Это:

«… сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность».

К биометрическим персональным данным относятся:

1. Физиологические параметры человека – рост, вес, радужка глаз, данные о ДНК, дактилоскопические данные (отпечаток пальца), голос, радужная, рисунок вен ладони и пр.
2. Иные физиологические или биологические характеристики. В частности, фото- и видеоизображения человека – подобные изображения передают физиологические и биологические индивидуальные особенности (методические рекомендации из письма Минкомсвязи от 28.08.2020 № ЛБ-С-074-24059).
3. Цветные цифровые фотографии лица обладателя документа (письмо Роскомнадзора от 29.08.2022 № 08-78032).
4. Запись голоса, которую получили при помощи звукозаписывающей аппаратуры (п. 2 ч. 4 ст. 3 закона № 572-ФЗ).

Кроме того, существует понятие вектора единой биометрической системы. Понятие ввели в связи с запуском Единой биометрической системы (ЕБС). Вектор ЕБС – это:

«… персональные данные, полученные в результате математического преобразования биометрических персональных данных физического лица, содержащихся в единой биометрической системе, которое произведено с использованием информационных технологий и технических средств, соответствующих требованиям, определенным в соответствии с подп. «е» п. 1 ч. 2 ст. 6 настоящего Федерального закона» (п. 3 ст. 2 закона № 572).

К биометрическим персональным данным применяются общие требования закона № 152-ФЗ. В том числе ст. 11 и ст. 19. А вот на векторы Единой биометрической системы требования этих статей не распространяются (ч. 5 ст. 3 закона № 572).

Что не относится к биометрическим персональным данным

Когда работодатель получает и хранит фото сотрудников в личных делах или вводит систему видеофиксации, нужно понимать, входят ли собираемые данные в перечень биометрических. В Минкомсвязи уточнили, что к биометрическим персональным данным не относятся:

1. Данные, которые оператор персданных получает, когда сканирует паспорт для подтверждения определенных действий – если при этом не осуществляется идентификация личности владельца паспорта.
2. Данные, получаемые при ксерокопировании документа, удостоверяющего личность.
3. Фотоизображения из личного дела работника.
4. Образцы подписи и почерка человека, в том числе в рамках почерковедческой экспертизе.
5. Рентгеновские и флюорографические снимки. Такие снимки не используют в медучреждении для установления личности пациента.
6. Материалы видеосъемки в публичных местах и на охраняемой территории.

Исходя из пояснений чиновников Минкомсвязи, работодатель не обрабатывает биометрические персональные данные, когда хранит фото сотрудников в личных делах или осуществляет видеосъемку на территории и объектах компании.

Ответы на вопросы по биометрии в Системе Юрист

• Относится ли фото к биометрическим персональным данным
• Как составить согласие на обработку биометрических персональных данных
• Как ввести учет рабочего времени на основе биометрических персональных данных (отпечаток пальца)
• Какой порядок хранения биометрических данных сотрудников, например изображения лица

Что такое Единая биометрическая система

Биометрические персональные данные, за исключением геномной информации и данных дактилоскопии, хранятся в Единой биометрической системе (ч. 4, 8 ст. 3 закона № 572-ФЗ). Операторы, которые ранее собирали и обрабатывали ту или иную биометрию самостоятельно, в 2023 году передали данные в ЕБС. Работу системы регулирует закон № 572-ФЗ. Оператор – АО «Центр биометрических технологий».

Единая биометрическая система – это цифровая платформа, с помощью которой можно идентифицировать человека по его биометрии. В законе используют название:

«Единая система идентификации и аутентификации физических лиц с использованием биометрических персональных данных» (п. 4 ст. 2 закона № 572-ФЗ).

Единая биометрическая система используется для дистанционного и очного распознавания человека. Если у владельца данных есть аккаунт на Госуслугах, вместе с логином и паролем этого аккаунта ЕБС позволяет ему оформлять государственные и коммерческие услуги – личность устанавливается по биометрии. В том числе услуги становятся доступнее малоподвижным гражданам или жителям отдаленных областей.

Система содержит биометрические персональные данные физических лиц, векторы ЕБС, а также прочие сведения, которые нужны для идентификации и аутентификации пользователей по биометрии, а также когда наличие сведений предусматривает закон (ч. 16 ст. 4 закона № 572-ФЗ). Из биометрических персональных данных в ЕБС содержится два вида – фото владельца данных и запись его голоса (ч. 4 ст. 3 закона № 572-ФЗ). Оператор ЕБС поясняет, что выбор таких видов данных обусловлен соображениями безопасности (совокупно по этим двум параметрам можно идентифицировать человека) и доступности – получить данные для обработки можно с помощью любого смартфона. Специального оборудования не требуется.

Операторы персональных данных получают ограниченный доступ к векторам Единой биометрической системы. По требованию оператора они должны блокировать, удалять или уничтожать биометрические персональные данные и векторы ЕБС (п. 7 ч. 2 ст. 8 закона № 572-ФЗ).

Как фотосессия в целях развития HR-бренда привела компанию в суд

Девушка работала в крупной организации. После ухода оттуда она обнаружила, что бывший работодатель разместил ее фото на работном сайте для привлечения внимания соискателей к своим вакансиям. Девушка не давала согласия на распространение ее изображения. Об этом она заявила в претензии, отправленной бывшему работодателю. Однако он не увидел в своих действиях нарушения прав бывшей сотрудницы. Девушка обратилась в суд.

Прочесть полностью

Согласие на обработку биометрических персональных данных

Принудительно собрать биометрию нельзя. На ее обработку необходимо согласие владельца данных (ч. 1 ст. 11 закона № 152-ФЗ). Сейчас официальной формы согласия на обработку биометрических персональных данных нет. Согласие получается в свободной форме в бумажном или электронном виде. Действуют общие правила, что должно быть в документе:

1. ФИО, адрес субъекта персданных, номер основного документа, удостоверяющего его личность, информация о дате выдачи документа и выдавшем органе.
2. Аналогичные сведения о представителе, если согласие дается через представителя, а также реквизиты доверенности.
3. Наименование оператора, которому предоставляют согласие на обработку биометрических персональных данных.
4. Цель обработки биометрических персональных данных.
5. Перечень данных, на обработку которых соглашается субъект.
6. Наименование лица, который будет обрабатывать биометрические персональные данные.
7. Перечень действий с биометрией, на выполнение которых субъект дает согласие.
8. Общее описание способов обработки биометрии, которые применяет оператор.
9. Срок действия согласия на обработку биометрии и способ его отзыва.
10. Подпись субъекта персданных (ч. 4 ст. 9 закона № 152).

С 01.01.2025 нужно использовать две унифицированные формы согласия на обработку биометрических персональных данных – для оформления в бумажном или электронном виде (распоряжение № 856-р).

Согласие на обработку биометрических персональных данных не запрашивают:

1. В связи с реализацией международных договоров РФ о реадмиссии.
2. При осуществлении правосудия и исполнении судебных актов.
3. В связи с проведением обязательной государственной дактилоскопической или геномной регистрации.
4. В случаях, предусмотренных отдельными законодательными актами РФ. Например, законодательством об обороне, безопасности, противодействии терроризму.
5. В случаях, предусмотренных уголовно-исполнительным законодательством РФ.
6. В случаях, указанных в законодательных актах РФ о гражданстве, порядке въезда и выезда, нотариате.

Уголовно-правовая защита биометрических персональных данных с 11 декабря 2024 года

С 11 декабря 2024 года уголовно-правовая защита биометрических персональных данных обеспечивается  статьей 272.1 УК РФ. В отношении состава преступления о незаконном доступе к данным, сборе, обработке или передаче биометрии ввели повышенную уголовную ответственность (ч. 2 ст. 272.1 УК РФ). То есть если незаконные операции совершают с биометрическим персональными данными, это является отягчающим обстоятельством. За это грозит:

1. Штраф до 700 000 руб. или в размере заработной платы/иного дохода за период до 2 лет с лишением права занимать определенные должности или вести определенную деятельность на срок до 2 лет или без такового.
2. Принудительные работы на срок до 5 лет.
3. Лишение свободы сроком до 5 лет.

• в силу корыстного интереса;
• с причинением крупного ущерба;
• группой лиц по предварительному сговору;
• с использованием своего служебного положения (ч. 3 ст. 272.1 УК РФ).

При наличии таких обстоятельств уголовная ответственность за биометрические персональные данные составляет:

1. Штраф до 1 млн руб. или в размере зарплаты/иного дохода осужденного за период до 3 лет с лишением права занимать определенные должности или вести определенную деятельность на срок до 3 лет или без такового.
2. Принудительные работы на срок до 5 лет со штрафом до 1 млн руб. или иного дохода за период до 3 лет и с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 3 лет или без такового.
3. Лишение свободы сроком до 6 лет со штрафом до 1 млн руб. или иного дохода за период до 3 лет с лишением права занимать определенные должности или вести определенную деятельность на срок до 3 лет или без такового.

Незаконная передача биометрии за границу также усиливает уголовную ответственность (4. 3 ст. 272.1 УК РФ). Виновного лишат свободы на срок до 8 лет со штрафом до 2 млн руб. или в размере заработной платы/иного дохода за период до 3 лет и с лишением права занимать определенные должности или вести определенную деятельность на срок до 4 лет или без такового.

Уголовно-правовая защита биометрических персональных учитывает, что незаконный доступ к ним, сбор, распространение и передача могут повлечь тяжкие последствия. А также что кражу биометрии или иное преступление с этим типом данных может совершить организованная группа. В обоих случаях виновных ждет  лишение свободы на срок до 10 лет со штрафом до 3 млн руб. или в размере зарплаты/иного дохода за период до 4 лет и с лишением права занимать определенные должности или вести определенную деятельность на срок до 5 лет или без такового.