С 2022 г. по общему правилу организации не вправе собирать биометрические данные (к ним относятся фото) в своих внутренних системах. Такие данные нужно собирать только с помощью Единой биометрической системы и Единой системы идентификации и аутентификации. Но для прохода посетителей предусмотрено исключение — в этом случае можно использовать собственную систему. Правда, тогда потребуется получить государственную аккредитацию.
Биометрические персональные данные — это сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность. Оператор может их использовать для установления личности субъекта персональных данных. В таком случае нужно получать согласие такого субъекта в письменной форме (ст. 11 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»).
Роскомнадзор в разъяснениях «О вопросах отнесения фото- и видеоизображения, дактилоскопических данных и иной информации к биометрическим персональным данным и особенности их обработки» указывал, что к биометрическим персональным данным относятся физиологические данные (дактилоскопические данные, радужная оболочка глаз, анализы ДНК, рост, вес и другие), а также иные физиологические или биологические характеристики человека, в том числе изображение человека (фотография и видеозапись), которые позволяют установить его личность и используются оператором для установления личности субъекта. Также он отмечал, что фотографическое изображение и иные сведения, используемые для обеспечения однократного или многократного прохода на охраняемую территорию и установления личности гражданина, также относятся к биометрическим персональным данным.
С 2022 г. вступили в силу поправки, касающиеся обработки биометрических персональных данных граждан (Федеральный закон от 29.12.2020 № 479-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации», далее — Закон № 479-ФЗ). Кроме того, начал действовать порядок аккредитации организаций, оказывающих услуги по идентификации и (или) аутентификации с использованием биометрических персональных данных физических лиц (постановление Правительства РФ от 20.10.2021 № 1799 «Об аккредитации организаций, владеющих информационными системами, обеспечивающими идентификацию и (или) аутентификацию с использованием биометрических персональных данных физических лиц, и (или) оказывающих услуги по идентификации и (или) аутентификации с использованием биометрических персональных данных физических лиц», далее — Постановление № 1799).
В пунктах 22, 23 ст. 2 Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» указано, что идентификация — это совокупность мероприятий по установлению сведений о лице и их проверке и сопоставлению данных сведений с уникальным обозначением сведений о лице, необходимым для определения такого лица (идентификатором).
Аутентификация — совокупность мероприятий по проверке лица на принадлежность ему идентификатора посредством сопоставления его со сведениями о лице, которыми располагает лицо, проводящее аутентификацию, и установлению правомерности владения лицом идентификатором посредством использования аутентифицирующего признака в рамках процедуры аутентификации, в результате чего лицо считается установленным.
Таким образом, появилось правило о том, что аккредитацию должны пройти:
-
организации, которые осуществляют аутентификацию;
-
организации, которые осуществляют одновременно идентификацию либо идентификацию и аутентификацию.
-
В постановлении Правительства РФ от 23.10.2021 № 1815 (применяется с 01.03.2022) предусмотрен перечень случаев осуществления сбора и обработки, используемых для идентификации либо идентификации и аутентификации биометрических персональных данных в информационных системах организаций:
-
водителей легкового такси;
-
водителей каршерингов;
-
при проходе на территорию организаций посредством системы контроля и управления доступом на территории данных организаций. Исключения — организации оборонно-промышленного, атомного энергопромышленного, ядерного оружейного, химического, топливно-энергетического комплексов, организации, относящиеся к объектам транспортной инфраструктуры, субъекты критической информационной инфраструктуры, объектов, совершение террористического акта на территории которых может привести к возникновению чрезвычайных ситуаций с опасными социально-экономическими последствиями согласно категорированию, проводимому в соответствии с Правилами разработки требований к антитеррористической защищенности объектов (территорий) и паспорта безопасности объектов (территорий), утвержденными постановлением Правительства РФ от 25.12.2013 № 1244 «Об антитеррористической защищенности объектов (территорий)», режимные объекты в соответствии с Указом Президента РФ от 30.11.95 № 1203 «Об утверждении перечня сведений, отнесенных к государственной тайне», дошкольные образовательные организации и общеобразовательные организации;
-
при участии в собрании участников гражданско-правового сообщества, за некоторым исключением.
Таким образом, чтобы на проходной собирать биометрические персональные данные с помощью своей внутренней системы, организация должна пройти аккредитацию. В противном случае ей придется собирать биометрические персональные данные через единую систему.
При этом получить аккредитацию смогут только крупные компании. Так, для аккредитации по аутентификации организация должна иметь:
-
собственные средства (капитал) не менее 50 млн руб.;
-
не менее 50 млн руб. обеспечения ответственности за убытки третьим лицам;
-
право собственности на шифровальные (криптографические) средства;
-
не менее двух работников в штате, имеющих высшее образование в области информационных технологий или информационной безопасности, и т.д. (п. 7 Постановления № 1799).
Для получения аккредитации по идентификации или идентификации и аутентификации нужно иметь:
-
собственные средства (капитал) не менее 500 млн руб.;
-
не менее 100 млн руб. обеспечения ответственности за убытки третьим лицам;
-
право собственности на шифровальные (криптографические) средства;
-
не менее двух работников в штате, имеющих высшее образование в области информационных технологий или информационной безопасности, и т.д. (п. 8 Постановления № 1799).
Эти требования для получения аккредитации также содержатся в ч. 18.29 ст. 14.1 Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» (в редакции Федерального закона от 29.12.2020 № 479-ФЗ).