1. Главная
  2. Консультации

Когда нужно получить аккредитацию для обработки биометрических персональных данных?

| консультации | печать
отвечает:
опубликовано:«ЭЖ-Юрист» №11 (1212) 2022
Организация выдает посетителям электронные пропуска для входа в здание. При этом охранник делает фото посетителя. Считается ли это обработкой биометрических персональных данных и нужно ли получать аккредитацию?

С 2022 г. по общему правилу организации не вправе собирать биометрические данные (к ним относятся фото) в своих внутренних системах. Такие данные нужно собирать только с помощью Единой биометрической системы и Единой системы идентификации и аутентификации. Но для прохода посетителей предусмотрено исключение — в этом случае можно использовать собственную систему. Правда, тогда потребуется получить государственную аккредитацию.

Биометрические персональные данные — это сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность. Оператор может их использовать для установления личности субъекта персональных данных. В таком случае нужно получать согласие такого субъекта в письменной форме (ст. 11 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»).

Роскомнадзор в разъяснениях «О вопросах отнесения фото- и видеоизображения, дактилоскопических данных и иной информации к биометрическим персональным данным и особенности их обработки» указывал, что к биометрическим персональным данным относятся физиологические данные (дактилоскопические данные, радужная оболочка глаз, анализы ДНК, рост, вес и другие), а также иные физиологические или биологические характеристики человека, в том числе изображение человека (фотография и видеозапись), которые позволяют установить его личность и используются оператором для установления личности субъекта. Также он отмечал, что фотографическое изображение и иные сведения, используемые для обеспечения однократного или многократного прохода на охраняемую территорию и установления личности гражданина, также относятся к биометрическим персональным данным.

С 2022 г. вступили в силу поправки, касающиеся обработки биометрических персональных данных граждан (Федеральный закон от 29.12.2020 № 479-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации», далее — Закон № 479-ФЗ). Кроме того, начал действовать порядок аккредитации организаций, оказывающих услуги по идентификации и (или) аутентификации с использованием биометрических персональных данных физических лиц (постановление Правительства РФ от 20.10.2021 № 1799 «Об аккредитации организаций, владеющих информационными системами, обеспечивающими идентификацию и (или) аутентификацию с использованием биометрических персональных данных физических лиц, и (или) оказывающих услуги по идентификации и (или) аутентификации с использованием биометрических персональных данных физических лиц», далее — Постановление № 1799).

В пунктах 22, 23 ст. 2 Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» указано, что идентификация — это совокупность мероприятий по установлению сведений о лице и их проверке и сопоставлению данных сведений с уникальным обозначением сведений о лице, необходимым для определения такого лица (идентификатором).

Аутентификация — совокупность мероприятий по проверке лица на принадлежность ему идентификатора посредством сопоставления его со сведениями о лице, которыми располагает лицо, проводящее аутентификацию, и установлению правомерности владения лицом идентификатором посредством использования аутентифицирующего признака в рамках процедуры аутентификации, в результате чего лицо считается установленным.

Таким образом, появилось правило о том, что аккредитацию должны пройти:

  • организации, которые осуществляют аутентификацию;

  • организации, которые осуществляют одновременно идентификацию либо идентификацию и аутентификацию.

  • В постановлении Правительства РФ от 23.10.2021 № 1815 (применяется с 01.03.2022) предусмотрен перечень случаев осуществления сбора и обработки, используемых для идентификации либо идентификации и аутентификации биометрических персональных данных в информационных системах организаций:

  • водителей легкового такси;

  • водителей каршерингов;

  • при проходе на территорию организаций посредством системы контроля и управления доступом на территории данных организаций. Исключения — организации оборонно-промышленного, атомного энергопромышленного, ядерного оружейного, химического, топливно-энергетического комплексов, организации, относящиеся к объектам транспортной инфраструктуры, субъекты критической информационной инфраструктуры, объектов, совершение террористического акта на территории которых может привести к возникновению чрезвычайных ситуаций с опасными социально-экономическими последствиями согласно категорированию, проводимому в соответствии с Правилами разработки требований к антитеррористической защищенности объектов (территорий) и паспорта безопасности объектов (территорий), утвержденными постановлением Правительства РФ от 25.12.2013 № 1244 «Об антитеррористической защищенности объектов (территорий)», режимные объекты в соответствии с Указом Президента РФ от 30.11.95 № 1203 «Об утверждении перечня сведений, отнесенных к государственной тайне», дошкольные образовательные организации и общеобразовательные организации;

  • при участии в собрании участников гражданско-правового сообщества, за некоторым исключением.

Таким образом, чтобы на проходной собирать биометрические персональные данные с помощью своей внутренней системы, организация должна пройти аккредитацию. В противном случае ей придется собирать биометрические персональные данные через единую систему.

При этом получить аккредитацию смогут только крупные компании. Так, для аккредитации по аутентификации организация должна иметь:

  • собственные средства (капитал) не менее 50 млн руб.;

  • не менее 50 млн руб. обеспечения ответственности за убытки третьим лицам;

  • право собственности на шифровальные (криптографические) средства;

  • не менее двух работников в штате, имеющих высшее образование в области информационных технологий или информационной безопасности, и т.д. (п. 7 Постановления № 1799).

Для получения аккредитации по идентификации или идентификации и аутентификации нужно иметь:

  • собственные средства (капитал) не менее 500 млн руб.;

  • не менее 100 млн руб. обеспечения ответственности за убытки третьим лицам;

  • право собственности на шифровальные (криптографические) средства;

  • не менее двух работников в штате, имеющих высшее образование в области информационных технологий или информа­ционной безопасности, и т.д. (п. 8 Постановления № 1799).

Эти требования для получения аккредитации также содержатся в ч. 18.29 ст. 14.1 Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» (в редакции Федерального закона от 29.12.2020 № 479-ФЗ).