Раньше такое можно было увидеть только в шпионских фильмах: герой прикладывает палец к специальному сенсору - и дверь открывается. Сегодня такие технологии стали реальностью, ведь появилась возможность собирать, хранить и использовать биометрические персональные данные. Что это такое?

Биометрия

Смотря фантастические фильмы, где герои общаются с "умным домом" или отдают приказы искусственному интеллекту космического корабля, зрители редко задумываются об обратной стороне этого вопроса, например, слушается ли эта программа всех подряд. Очень вряд ли, наверняка, она реагирует только на голос хозяина. И это достигается с помощью биометрии, которая реально существует. Итак, что же это за кусочек из фантастики, уже ставший действительностью?

Биометрия - это Она основывается на присущих им уникальных характеристиках, так что зайти, так сказать, "под чужим логином" не удастся, ведь подделать пароль невозможно, и сейчас станет ясно, почему.

Что относится?

К данным этого типа относятся любые сведения, которые могут быть измерены, как поведенческого или психологического, так и физиологического характера. Иными словами, любой параметр человека, который может быть выражен в абсолютных значениях, может считаться биометрическими данными.

Они обладают рядом определенных свойств, что и делает их такими ценными.

• Они уникальны. ДНК каждого человека индивидуальна, так же как отпечаток пальца или рисунок радужки. Это значит, что никто другой не сможет воспользоваться "паролем" без позволения и ведома хозяина.
• Они универсальны. Биометрические персональные данные - это различные характеристики, присущие абсолютно всем людям.
• Они неизменны. Как невозможно "отредактировать" отпечатки пальцев, так и нельзя поменять тембр голоса или ДНК.

Все эти характеристики в комплексе делают сведения данного типа очень полезными, если подумать о всеобщем сборе и хранении данных в различных целях. Например, преступники не смогут избежать правосудия. Впрочем, до создания глобальных баз данных еще очень и очень далеко.

Виды данных

На сегодняшний день успешно используется несколько типов биометрических данных: отпечатки пальцев, голос, сетчатка или радужка глаза, а также распознавание лица и ДНК. Этим, однако, список возможных параметров не ограничивается. В перспективе технологии смогут работать также с запахом или, например, походкой, характерными особенностями поведения, процессом подписания документов и т. д. Таким образом, характеристики могут быть не только статичными, но и динамическими.

Кстати, в процессе изучения некоторых физиологических характеристик человека стало ясно, что, например, сетчатка в данном качестве не подходит, поскольку рисунок сосудов может меняться, а также дает информацию о состоянии здоровья, чего быть не должно. Это косвенно дает толчок к развитию еще и медицине.

История

Самым распространенным параметром, используемым уже довольно давно, являются отпечатки пальцев. Дактилоскопические данные уже стали совсем привычными, а процедура их сдачи уже давно обязательна не только для тех, кто подозревается в преступлениях, но и для обычных граждан, например, при получении некоторых документов.

Идея о том, что папиллярный рисунок, то есть линии на кончиках пальцев, уникальны для каждого человека, была выдвинута еще в XIX веке Уильямом Гершелем. Несмотря на то, что выдвинутая им гипотеза о неповторимости отпечатков так и не получила достаточного основания, дактилоскопия широко используется в криминалистике. Пожалуй, именно она и положила начало идеям об идентификации, основой которой являлись бы биометрические данные.

Сбор

Сейчас самой распространенной является процедура снятия отпечатков пальцев в электронном или традиционном виде. В первом случае используются специальные сенсоры, делающие высококачественный цифровой снимок, который в дальнейшем преобразуется, а во втором - особая краска. Для распознавания лиц также используются специальным образом сделанные фотографии - например, в России сейчас такие делают, чтобы поместить биометрические данные в для поездок за рубеж.

Хранение и обработка

Если сбор биометрических данных не является такой уж проблемой, то создание и постоянное обновление и обслуживание единой базы данных, пожалуй, относится к актуальным задачам. Кроме того, существует необходимость в правовом регулировании доступа к информации подобного рода и возможности работы с ней, в том числе передачи третьим лицам.

Очевидно, что настолько личная информация нуждается в серьезной защите. Это значит, что базы данных, если в них будут централизованно стекаться все сведения, должны быть максимально безопасными, а человеческий фактор необходимо снизить до минимума. То есть обработка биометрических персональных данных должна происходить в общем случае в автоматическом режиме.

Тем не менее в России пока эта проблема не решена, несмотря на принятие в 2006 году закона 152-ФЗ, в котором говорится в том числе о подобных сведениях, никаких четких инструкций о правилах их хранения и передачи пока нет. Кроме того, нет контроля за процессом работы с информацией такого типа, хотя некоторые государственные органы уже давно занимаются ее сбором. Таким образом, обычные граждане вряд ли могут быть совершенно уверены в том, что информация о них находится в надежных руках, и они даже не могут это проверить.

Где используются?

Поскольку биометрические данные уникальны для каждого человека, на их основе очень удобно идентифицировать личность для тех или иных нужд.

В современном мире на практике это реализуется в различных системах доступа и личных документах. На сегодняшний день сбор тех или иных сведений, относящихся к таким данным, осуществляется, например, в некоторых странах для получения паспорта или виз для заграничных поездок. Кроме того, большое количество современных телефонов, планшетов, компьютеров и других приборов также имеют функции разблокирования в ответ на, например, считывание отпечатков пальцев или распознание лица. Так что биометрическая защита данных уже давно - не только высокие технологии в фантастическом фильме. Современные методы позволяют даже различать близнецов по одному или нескольким автоматически оцениваемым параметрам с достаточно высокой степенью точности.

Иными словами, биометрические данные человека - это очень надежный пароль, который нельзя поменять, а при дальнейшем совершенствовании технологий распознания получить к чему-либо будет абсолютно невозможно. Правда, проблема состоит в том, что если случится утечка из базы данных, то это станет серьезной проблемой, ведь, как уже было сказано, этот "пароль" поменять невозможно.

Механизм работы при этом довольно прост: при существовании в базе данных прибора эталонного образца он сравнивается с полученными с помощью сенсора данными, и если есть критические несоответствия, то запрос на доступ отклоняется, а если нет - принимается. Естественно, существует вероятность ложного срабатывания или отказа, но это зависит от качества эталона и правильности настройки и достаточной чувствительности сенсора. Разумеется, комбинирование нескольких методов распознавания значительно повышает общую точность идентификации.

За и против

Как и в любом другом вопросе, когда дело касается персональной информации, а особенно биометрических данных, люди делятся на два лагеря: сторонников и противников.

Те, кто выступают за скорейшее внедрение всеобщей идентификации по биометрическим параметрам, аргументируют свою позицию тем, что это сделает общество более безопасным, снизит преступность. Найти пропавшего человека не составит никакого труда, ведь любая система безопасности определит его присутствие.

С другой стороны, критики считают, что, во-первых, даже небольшая утечка данных такого типа может быть критичной, а во-вторых, пока не существует предпосылок к созданию законодательных рамок, которые могли бы разрешить многие вопросы в этой сфере. Наконец, некоторым кажется, что это создаст возможность для правительств вмешиваться в частную жизнь своих граждан, что неприемлемо.

Перспективы

Так или иначе, технологии, основанные на информации данного типа, продолжают развиваться, и этот процесс сдерживает лишь их достаточно высокая стоимость. Вероятно, в обозримом будущем сдача биометрических данных будет обязательной для всех людей без исключения, и будут созданы обширные базы данных. К личности каждого человека будет привязана информация о нескольких его параметрах. Это даст возможность навсегда отказаться от бумажных документов, удостоверяющих личность, а еще позволит забыть о таком понятии, как ключи и замки в привычном понимании.

Кстати, обычно вместе с биометрией упоминают и чипирование. Однако у этой меры гораздо больше противников, ведь с помощью микросхем, вшитых под кожу человека, можно не только определять, но и контролировать и изменять его состояние. Эта перспектива настолько пугает современных людей, что в большей части антиутопий говорится об этой мере как совершенно обыденной. Но это уже совсем другая история.

Технологии помогают людям следить друг за другом. За вами следит государство, частные компании и госорганы используют данные, пока вы и ваши друзья их открываете. Российские законодатели уже не раз принимались за регулирование обращения с персональными данными, но про биометрические данные упоминали вскользь, а вот теперь добрались до них подробнее. Рассказываем, что говорят российские законы о биометрических персональных данных, что изменят новые приказы Минкомсвязи и как вам защитить свои данные.

Что случилось?

В Минкомсвязи готовят два проекта нормативных документов по регулированию биометрических персональных данных:

приказ «Об утверждении методики проверки соответствия предоставленных биометрических персональных данных физического лица…»;

приказ «Об утверждении порядка обработки, включая сбор и хранение, параметров биометрических персональных данных в целях идентификации…».

Ведомство завершает разработку проектов нормативных актов, окончен этап проведения общественных обсуждений и независимой антикоррупционной экспертизы.

Были ли в России законы о том, что такое биометрические данные и как с ними обращаться?

Какие нормы защищают мои биометрические персональные данные?

Конвенция Совета Европы № 108 «О защите физических лиц в отношении автоматизированной обработки персональных данных» , которую ратифицировала Россия. Предусматривает охрану персональных данных при их автоматизированной обработке, говорит о праве субъекта на персональные данные.

Статья 23 Конституции РФ гарантирует каждому право на неприкосновенность частной жизни, личную и семейную тайну. Эта норма определяет границы, которые оператор персональных данных не вправе переступать при получении и при обработке информации о человеке.

Статьи 137 и 272 УК РФ говорят об уголовной ответственности за незаконный сбор или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, и неправомерный доступ к охраняемой законом компьютерной информации. По этим же статьям вас могут и осудить, как историка Михаила Супруна , если кому-то покажется, что вы разглашаете личную информацию. Об этом мы рассказывали в .

Закон «О персональных данных» устанавливает перечень данных, обработка которых запрещена, кроме особых случаев: о расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья и интимной жизни. Исключительные случаи , при которых такие данные могут обрабатывать: если реализуется международный договор Российской Федерации, осуществляется правосудие, исполняются судебные акты, и в других случаях, предусмотренных законодательством РФ об обороне, безопасности и противодействии терроризму.

Биометрические данные по тому же закону , могут обрабатываться только при наличии согласия в письменной форме от субъекта персональных данных. Согласие должно быть осознанным и без принуждения, быть конкретным и определенным: какие данные и кому передаются. Например, участники гражданского и уголовного процессов могут возражать против приобщения видеозаписи к гражданскому или уголовному делу, если запись велась с нарушением закона. Работодатель должен получить письменное согласие работника на обработку персональных данных, чтобы разместить фото на пропуске. Об этом говорит определение ВС от 05.03.2018 № 307-КГ18-101 .

Организации при обработке информации о физических лицах обязаны принимать организационные и технические меры для её защиты от неправомерного или случайного доступа. Закон о персональных данных обязывает все компании–операторы персональных данных назначить лицо, ответственное за организацию их обработки.

По общему правилу, оператор не может передавать персональные данные третьим лицам без согласия субъекта персональных данных. Без согласия позволяется передавать информацию правоохранительными органам.

Из разъяснений Роскомнадзора следует, что согласие на обработку персональных данных нельзя получить по телефону или через смс-сообщения.

Персональные данные россиян, по 242-ФЗ , можно обрабатывать только с использованием размещенных в России баз данных. Сведения о месте нахождения таких баз оператор персональных данных должен направлять в Роскомнадзор. За нарушение порядка обработки информации по решению суда доступ к сайту блокируют.

Кодекс административных правонарушений (КоАП) предусматривает штраф за нарушение порядка обработки персональных данных (ст. 13.11). Юридические лица могут заплатить от 30 тысяч до 50 тысяч рублей за обработку персональных данных в непредусмотренных законом случаях и от 15 до 75 тысяч рублей за обработку персональных данных без письменного согласия.

С 25 мая все операторы данных, которые работают с персональной информацией о гражданах ЕС, должны выполнять новые правила GDPR (General Data Protection Regulation) , мы уже . Они затронут многие российские компании, обрабатывающие персональные данные граждан ЕС - тех, кто не ведёт бизнес в ЕС, не затронут. Новые правила объединяют и ужесточают все ранее существовавшие в европейских странах нормы защиты персональных данных. Компании, управляющие персональными данными, получат огромные штрафы, если не смогут обеспечить безопасность данных. Санкции нарушителям нового европейского регламента строже, чем в КоАП: до 20 млн евро или 4 % от мирового годового оборота за финансовый год.

Что изменят новые приказы Минкомсвязи?

Вводятся нормы, которых раньше не было

Приказ об утверждении порядка обработки параметров биометрических персональных данных для идентификации описывает технические моменты, которые раньше не были прописаны в нормативных документах.

Приказ Минкомсвязи определяет:

Как будут обрабатывать параметры биометрических персональных данных для идентификации. В проекте приказа прописаны требования к качеству изображений, чтобы по ним можно было идентифицировать человека: ракурс, выражение лица, размеры, яркость, размер файла - и такие же требования к записи голоса: частота дискретизации, код сжатия, длительность, эмоционально-психологическое состояние.

Как будут размещать и обновлять биометрические персональные данные в новой единой биометрической системе.Биометрические персональные данные будут хранить в новой системе три года, затем образцы придется обновлять.

Какими должны быть технологии и технические средства, чтобы обрабатывать биометрические персональные данные для идентификации Например, они должны защищать от подбора.

Проект приказа «Об утверждении методики проверки соответствия предоставленных биометрических персональных данных физического лица» описывает возможность идентификации человека через сравнение его биометрических данных с теми, которые содержатся в единой системе (ЕБС). Человек предоставляет свою биометрию в госорган, банк или другую организацию, а организация через оператора ЕБС проверяет, можно ли по этим данным его идентифицировать. Методика описывает алгоритм определения степени соответствия данных, которые предоставил человек при обращении, тем, которые уже содержатся в ЕБС. Степень взаимного соответствия данных для применения удаленной идентификации должна составлять 0,99996.

За ошибки при установлении личности по биометрическим данным будет предусмотрена ответственность

Её понесёт уполномоченное лицо органа или организации, которое допустит ошибку.

Новые нормы по биометрии пилотно реализуют в оказании банковских услуг

Хотя они носят абстрактный характер и применимы и в других сферах. ЦБ уже заявил , что банки будут регистрировать клиентов, передавших свои изображение лица и голос в единой биометрической системе (ЕБС) и в единой системе идентификации и аутентификации (ЕСИА). Клиент сможет пользоваться удалённой идентификацией и получать банковские услуги, не заходя в банк. Удалённая идентификация должна заработать уже с 30 июня 2018 года по всей России, когда вступят в силу положения нового федерального закона .

После банков подобные базы могут создать и в других сферах

Идентифицировать личность по биометрическим особенностям возможно, только если есть система учёта данных с достоверными результатами первичной идентификации. Именно такую систему и собираются создать. Есть мнение , что создание таких систем настолько глубоко затрагивает права граждан, включая право на семейную тайну, тайну усыновления, медицинскую тайну, неприкосновенность личности, что лучше такие базы вообще не создавать и запретить.

Правоохранители получат доступ к новым базам

У них и так есть доступ не только в государственные, но и коммерческие базы данных.

Что я сам могу сделать для защиты своих биометрических персональных данных?

Очевидно, вы не сможете остановить создание баз данных, которое запланировало государство, и не сможете помешать правоохранителям знать про вас практически всё. Но если вы хотите защитить свои биометрические данные, насколько это вообще возможно, вам помогут те же , что и с другими видами персональных данных.

Не рассказывайте о себе слишком много

Помните, что вы сами решаете, что и кому о себе рассказывать. Будьте внимательны, когда называете своё имя, фамилию, отчество, паспортные данные, телефон, адрес, возраст, дату рождения, отдаёте фотографию, образец голоса, логинитесь с помощью отпечатка пальца или Face ID. Такие данные позволяют установить местонахождение человека, его маршруты, распорядок дня, любимые места.

Будьте внимательны к тому, какую информацию о вас собирают соцсети

Недавно Конгресс США поделился письмом от Facebook, в котором соцсеть признаётся, какие данные собирает от пользователей . Недавний скандал с Facebook из-за утечки персональных данных 50 млн американцев заставляет задуматься, какие данные вы отдаёте соцсетям и где они могут оказаться потом (да где угодно).

Пользуйтесь надёжными паролями и

Пароль - базовый способ защиты ваших данных. К его выбору стоит подходить аккуратно. Примитивные наборы цифр, слова, в том числе изменённые, какие-либо из ваших личных данных, заключённые в вашем пароле, заинтересованными во взломе лицами подбираются достаточно быстро с помощью специального софта. Более подробно о выборе пароля и защите устройств можно прочитать в нашем спецпроекте об информационной безопасности.

Интересуйтесь, кто и какую информацию собирает о вас

Российское законодательство даёт возможность субъекту персональных данных получать информацию, касающуюся обработки его персональных данных: оператор персональных данных обязан предоставить эту информацию по запросу.

Каждый имеет право знать, какие государственные органы или частные лица контролируют информацию о нём. Если хранится неправильная информация либо её сбор и обработка противоречат закону, человек может потребовать изъятия такой информации.

Используйте право на забвение

Это право даёт любому, про кого собирали, хранили или обрабатывали данные или который сам опубликовал личную информацию, право требовать прекращения выдачи этих данных. В некоторых случаях можно подать в Google , Mail.ru , Яндекс, запрос на удаление определенных URL, указав причины: распространение информации с нарушением законодательства РФ, недостоверность либо неактуальность представленных данных.

13 мая 2014 суд Европейского союза постановил, что граждане Евросоюза имеют право обратиться к поисковым системам с запросом об удалении ссылок на информацию, которая, по их мнению, более не является актуальной либо недостоверна. Таким было решение по делу «Марио Костеха Гонсалеса против Google». Марио обратился с просьбой удалить ссылки на статью о продаже его дома с торгов в счет уплаты долгов и добился своего.

Текст: Артём Кутловский, Ольга Дмитриевская

Все больше компаний в мире используют в своей деятельности биометрию: отпечатки пальцев, радужную оболочку глаз, индивидуальные особенности голоса и даже более экзотические идентификаторы. Как это изменит банкинг в ближайшем будущем?

В банковской сфере применение биометрических данных возможно в разных областях:

Организация доступа клиентов в депозитарий;

Идентификация плательщика при совершении безналичных платежей и других финансовых операций, например, через смартфон, АТС банка;

Беспарольный доступ к информационным системам банка;

Контроль доступа сотрудников в помещения банка, регистрация прибытия сотрудника в офис банка и убытия с целью контроля трудовой дисциплины, учета фактически отработанного времени.

31 декабря 2017 года был принят Федеральный закон № 482-ФЗ об удаленной идентификации клиентов, дающий банкам право открывать и вести счета, вклады, выдавать кредиты, осуществлять переводы денежных средств по поручению клиентов без их личного присутствия. Идентификация клиента будет осуществляться с использованием Единой системы идентификации и аутентификации (ЕСИА) и Единой биометрической системы (ЕБС). Человеку будет достаточно один раз прийти в банк, уполномоченный на регистрацию лиц в ЕСИА и ЕБС, и предоставить для размещения в этих системах свои биометрические данные - изображение лица и голос. После регистрации в ЕСИА и ЕБС человек сможет дистанционно получать финансовые услуги в любом банке, работающем в ЕБС.

Как же использовать биометрические данные и защитить себя и компанию от претензий контролирующих органов? Давайте разберемся с общими требованиями.

Сначала определим, что же такое биометрические персональные данные. Согласно действующему законодательству, это сведения, характеризующие физиологические и биологические особенности человека, на основании которых можно установить его личность: например, отпечатки пальцев, радужная оболочка глаз, голос. В определенных случаях даже простая фотография человека будет считаться его биометрическими персональными данными.

Известны случаи, когда работодатели размещали на личном пропуске работника фотографию без его согласия и получали штрафы. Так, Учебно-спортивный центр в Мурманске дошел до Верховного Суда РФ в попытке признать недействительным предписание Роскомнадзора устранить нарушение (учреждение помещало фотографии посетителей на пропуска, без их письменного согласия), но потерпел неудачу. Суды не усомнились в том, что фотография может быть отнесена к биометрическим персональным данным, ведь она характеризует физиологические и биологические особенности человека, по ней можно установить личность, сравнив фото с лицом предъявителя пропуска.

При внедрении в компании биометрической системы первым делом нужно определиться, в каких целях с ее помощью будут обрабатываться данные: только ли для обеспечения безопасности или, скажем, также для учета времени, фактически отработанного сотрудниками. По Закону собранные данные можно обрабатывать только в изначально установленных целях, зафиксированных, в частности, в Политике (Положении) компании в отношении обработки персональных данных, Правилах внутреннего трудового распорядка (применительно к работникам компании) и согласиях лиц на обработку их персональных данных, если их получение требуется по Закону (посетителей, клиентов, сотрудников). Если компания собирала данные только для контроля доступа сотрудников в свои помещения, то она не может потом использовать эти данные, например, для расчета заработной платы или для сбора какой-то статистики.

Цели обработки будут различаться для разных категорий лиц, которым принадлежат персональные данные: например, в отношении клиентов - идентификация для оказания им финансовых услуг, для работников - контроль трудовой дисциплины. При определении целей обработки персональных данных сотрудников важно учитывать, что перечень целей ограничен Законом. Он включает в себя обеспечение соблюдения законов и иных нормативных правовых актов; содействие работникам в трудоустройстве, получении образования и продвижении по службе; обеспечение личной безопасности работников; контроль количества и качества выполняемой работы и обеспечения сохранности имущества. Обработка персональных данных, не совместимая с этими целями, не допускается.

Во вторую очередь, нужно определить, какие персональные данные будут обрабатываться, и учесть это при формулировании целей обработки. Перечень данных не должен быть избыточным по отношению к целям обработки: если система внедряется для контроля доступа в помещения определенного круга лиц, то обработка, например, отпечатков пальцев и ФИО этих лиц будет соответствовать заявленной цели, а вот обработка их контактных данных может быть признана избыточной и противозаконной. Составленный список должен быть максимально полным и учитывать технологию работы системы, в которой используется биометрия.

По Закону, компания имеет возможность не получать согласия лиц на обработку их персональных данных, когда она необходима для исполнения договора, стороной которого является такое лицо, или для выполнения возложенных на компанию функций, полномочий и обязанностей. Проще говоря, если данные нужны для выполнения обязанностей сотрудников, условий договора, то согласие сотрудников или сторон договора не требуется. Так, обработка работодателем персональных данных своих работников в целях контроля исполнения ими своих трудовых обязанностей, соблюдения правил внутреннего трудового распорядка, учета рабочего времени и оплаты труда или обработка банком персональных данных клиента, необходимых для заключения договора с ним и оказания финансовых услуг, по общему правилу, не требует получения согласий сотрудников или клиентов соответственно на такую обработку.

Однако в отношении обработки биометрических персональных данных это правило не действует: всегда нужно получать от лица его письменное согласие. В согласии нужно указать фамилию, имя, отчество, адрес субъекта персональных данных и реквизиты удостоверяющего его личность документа, наименование и адрес компании-оператора и (если применимо) лица, осуществляющего обработку по ее поручению, цели обработки, перечень персональных данных и действий с ними, общее описание способов обработки и срок действия согласия. Согласие подписывает субъект персональных данных.

При решении вопроса о том, какие биометрические данные будут использоваться компанией, важно учитывать мнение контролирующих органов о допустимости использования тех или иных видов биометрии. Примечательно, что некоторые контролирующие органы считают недопустимой обработку обычными компаниями отпечатков пальцев своих работников.

По мнению Роструда, работодатель или нанятая им организация не вправе производить снятие отпечатков пальцев работников для организации пропускного режима в рабочие помещения по отпечаткам, так как Федеральный закон «О государственной дактилоскопической регистрации в Российской Федерации» определяет, в каких случаях, какими органами и для каких целей может проводиться добровольная или обязательная дактилоскопическая регистрация граждан, и не предоставляет такое право ни работодателю, ни нанятой им организации. По моему мнению, данный Федеральный закон регулирует сбор и обработку дактилоскопической информации уполномоченными государственными органами и не исключает обработку биометрических персональных данных (в том числе отпечатков пальцев) иными лицами и/или в иных целях.

Возможность использования биометрических систем контроля доступа на основе отпечатков пальцев или иной дактилоскопической информации подтверждается в том числе судебной практикой. Так, Московский городской суд отказал истцу в восстановлении на работе: в целях обеспечения учета рабочего времени сотрудников компанией была введена обязательная регистрация прихода/ухода в офис с помощью системы сбора биометрических данных (отпечатка пальца). Согласно выписке из системы сбора биометрических данных, работник систематически нарушал дисциплину труда, что и явилось одной из причин его увольнения.

При использовании компанией биометрических систем должное внимание нужно уделить и защите персональных данных. Требования к защите для каждой системы устанавливаются исходя из уровня защищенности персональных данных, который должен быть обеспечен компанией как оператором системы. Уровни защищенности зависят от категорий обрабатываемых персональных данных, количества субъектов, чьи данные обрабатываются в системе, и актуальных угроз безопасности персональных данных. Выявить угрозы помогут технические специалисты в области информационных технологий и информационной безопасности. Если компания хочет внедрить систему, использующую именно биометрические данные, то нужно учитывать, что требования к защите персональных данных в такой системе будут более жесткими.

Для применения в банковской сфере Центральным банком установлен Стандарт Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения» СТО БР ИББС-1.0-2014» (утвержден Распоряжением Банка России от 17.05.2014 № Р-399) и утверждено Указание от 10.12.2015 № 3889-У «Об определении угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных». Применительно к ЕБС перечень актуальных угроз безопасности установлен Указанием Банка России № 4859-У, ПАО «Ростелеком» № 01/01/782-18 от 09.07.2018.

В свете изменений в законодательстве РФ о персональных данных, произошедших в последние годы, компания также должна обеспечить локализацию баз персональных данных. При сборе персональных данных необходимо обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации. Таким образом, серверы, на которых размещены базы данных системы, если в ней обрабатываются данные российских граждан, должны находиться на территории России. Как быть, если компания использует «зеркальные», дублирующие базы данных, синхронизирует данные биометрической системы с другими системами, используемыми компанией, (например, 1С, SAP) или передает персональные данные в информационные системы или базы данных третьих лиц, в том числе зарубежные? Достаточные официальные разъяснения на этот счет отсутствуют, и можно лишь рекомендовать обеспечивать по меньшей мере первоначальный сбор, уточнение и иные указанные выше виды обработки персональных данных с использованием системы, базы данных которой размещены на серверах в РФ.

Часто персональные данные сотрудников, в том числе биометрические, передаются вовне: например, фотографии отсылают материнской компании для размещения на корпоративном сайте, отпечатки пальцев передают в головной офис или подрядчику по обеспечению безопасности для программирования компьютеров или электронных замков и т.д. Для такой передачи, в том числе лицам, входящим в одну группу компаний с работодателем, необходимо не только получить письменные согласия сотрудников на это, но и заключить договор-поручение между работодателем и каждым лицом, получающим от него персональные данные.

В согласии работника важно зафиксировать все цели обработки персональных данных с учетом целей, изначально установленных работодателем при сборе персональных данных своих работников. При этом, как было отмечено ранее, необходимо учитывать, что перечень целей ограничен Законом.

В договоре-поручении необходимо определить перечень действий с персональными данными и цели обработки, установить обязанность «обработчика» соблюдать конфиденциальность персональных данных и обеспечивать их безопасность при обработке, а также указать требования к защите обрабатываемых персональных данных.

Указанный порядок действует и при передаче третьим лицам персональных данных других категорий субъектов персональных данных.

Это только основные условия и требования, которые нужно иметь в виду при обработке биометрических персональных данных. В целом, при внедрении в компании любой системы, предполагающей обработку персональных данных, нужно учесть массу нюансов, чтобы соблюсти требования законодательства РФ о персональных данных, подходы контролирующих органов к применению которого постоянно меняются.

Персональные биометрические данные - это уникальные и универсальные характеристики человеческой личности , которые не изменяются на протяжении всей жизни (например, ДНК, отпечатки пальцев или рисунок радужной оболочки глаза). Эти данные необходимы, прежде всего, для распознавания личности и обеспечения всеобщей безопасности.

Идентификации личности

Как поясняет Роскомнадзор, для того, чтобы личные данные человека считались биометрическими, должны соблюдаться следующие условия :

1. В данных должны отображаться физиологические и биологические особенности субъекта.
2. Используя эту информацию, можно с лёгкостью распознать личность человека.
3. Для установления личности, обработкой данных должен заниматься оператор.

Эти три фактора должны осуществляться одновременно.

ВАЖНО! Биометрическими данными могут быть только такие данные, которые используются именно для идентификации личности.

Например, результаты анализов или рентгеновские снимки - не биометрические данные.
А вот когда они будут переданы следствию, тогда они будут таковыми являться.
В лице оператора выступают только государственные структуры.

Что такое анализ сведений?

Обработка - это сравнительный анализ индивидуальных физиологических и биологических особенностей того или иного субъекта оператором, и использование этих данных в различных следственных операциях.

А также с целью выявления причастности рассматриваемого лица к какому-либо событию (преступлению, случаю).

Или для внесения биометрических параметров в общую базу данных, к примеру, для пропуска человека на какую-то охраняемую территорию.

БПД могут обрабатываться, в большинстве случаев, только по согласию субъекта , которое должно быть оформлено в письменном виде (или в электронном).

Согласие лица не требуется в исключительных случаях.

Случаи, в которых не требуется письменного согласия человека (на основании Федерального Закона от 04.06.2014 № 142-ФЗ):

• при осуществлении правосудия и исполнении судебных актов;
• в случае обороны и сохранения всеобщей безопасности;
• в случае, когда требуется предотвратить террористическую операцию;
• в оперативно-розыскной деятельности;
• в борьбе с коррупцией и др.

Что может быть БПД?

К БПД относятся:

• дактилоскопические данные (отпечатки пальцев);
• радужка глаза;
• ДНК-анализы;
• фотография человека (в том числе, на электронном носителе), используемая для прохода на какую-либо территорию;
• параметры роста и веса.

Что не относится?

К БПД не относятся:

1. Анализы крови, ДНК и другие медицинские исследования, если они не используются оператором для установления личности субъекта.
2. Фотография в личном деле работника.
3. Почерк, (в т.ч. используемый для проведения почерковедческой экспертизы).
4. Копии разворота паспорта (2 и 3 страницы) в случае, если они необходимы для заключения какого-либо коммерческого договора.
5. Видеоматериалы (например, снятые в публичном месте).

ВАЖНО! Получается так, что те же самые фотографии, видео, результаты биологических исследований и пр., могут быть одновременно как БПД, так и не являться таковыми.

Суть в том, что одни используются операторами (следственными органами и др.) для идентификации личности, а другие нет.

Как они классифицируются?

Биометрические данные условно подразделяются на две основные группы:

1. Данные физиологического характера , которые касаются каких-то особенностей тела (отпечатки пальцев, скан руки, ДНК-анализ, рисунок радужки глаза, голос, запах человека, распознавание лица).
2. Поведенческие факторы , характеризующие поведение человека в тех или иных ситуациях (условиях). Например: речь, походка, эмоциональная реакция и др.

Где используются?

Биометрические данные используются в следующих случаях:

• для распознавания черт преступника и поиска его местонахождения;
• для предотвращения террористических операций;
• для розыска пропавших лиц;
• для помощи следственным органам в раскрытии какого-либо дела;
• для идентификации сотрудников организации и пропуска их на рабочее место.

Согласие - кем, когда и как составляется?

Биометрические данные могут использоваться для самых разнообразных целей, поэтому на их обработку обязательно берется согласие.

По мере технологического развития общества, принципы биометрии будут всё больше внедряться в различные сферы жизни . Так, уже сейчас в странах Европы (и частично в России) используются биометрические паспорта. По мнению учёных, использование подобных технологий позволит нам подняться на более качественный уровень существования.