Биометрические данные: правовое регулирование и требования к защите
Что относится к биометрическим данным по российскому законодательству, как их правильно собирать, хранить и защищать. Требования 152-ФЗ и 572-ФЗ, ЕБС, штрафы за нарушения.
Биометрические данные: правовое регулирование и требования к защите
Отпечатки пальцев на СКУД, распознавание лиц на проходной, голосовая идентификация клиентов в банке -- всё это работа с биометрическими данными. Российское законодательство предъявляет к ним повышенные требования, а штрафы за нарушения растут с каждым годом. Разбираемся, что именно считается биометрией, какие законы регулируют эту сферу и как бизнесу не попасть под санкции.
Что такое биометрические данные
Согласно статье 11 152-ФЗ, биометрические персональные данные -- это сведения, характеризующие физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности.
Физиологические характеристики
- Отпечатки пальцев и рисунок ладони
- Изображение лица (фотография для идентификации)
- Рисунок радужной оболочки глаза
- Образец голоса
- Рисунок вен ладони
Поведенческие характеристики
- Особенности походки
- Динамика рукописной подписи
- Характер набора текста на клавиатуре
Важно: Фотография в личном деле сотрудника не является биометрическими данными, если она не используется для автоматической идентификации. Ключевой критерий -- цель обработки, а не сам факт наличия данных.
Что является и что не является биометрией
| Ситуация | Биометрия? | Пояснение |
|---|---|---|
| Сканер отпечатков пальцев на СКУД | Да | Используется для идентификации |
| Фото в личном деле сотрудника | Нет | Не используется для идентификации |
| Распознавание лица при входе в офис | Да | Автоматическая идентификация |
| Фото на пропуске (визуальная проверка охранником) | Нет | Идентификацию выполняет человек, не система |
| Голосовая идентификация в банке | Да | Установление личности по голосу |
| Запись разговора в колл-центре | Нет | Цель -- контроль качества, не идентификация |
| Видеонаблюдение в торговом зале | Нет | Общая безопасность без идентификации |
| Видеонаблюдение с распознаванием лиц | Да | Автоматическое установление личности |
Законодательная база
152-ФЗ «О персональных данных»
Статья 11 устанавливает базовые правила: биометрические данные обрабатываются только при наличии письменного согласия субъекта, за исключением случаев, предусмотренных законом (правосудие, оборона, безопасность).
572-ФЗ «О биометрии»
Федеральный закон от 29.12.2022 N 572-ФЗ ввёл принципиально новую модель регулирования. Основные нововведения:
- Создание Единой биометрической системы (ЕБС) -- государственной информационной системы для хранения и обработки биометрических данных
- Коммерческие организации обязаны передавать собранную биометрию в ГИС ЕБС
- Запрет на принуждение к сдаче биометрических данных
- Право гражданина отказаться от биометрической идентификации
Когда бизнес использует биометрию
СКУД (системы контроля и управления доступом)
Самый распространённый сценарий. Сканеры отпечатков пальцев и системы распознавания лиц на проходных. Требуется письменное согласие каждого сотрудника, а также уведомление Роскомнадзора.
Банковский сектор
Идентификация клиентов по голосу и лицу, подтверждение операций через биометрию. Банки обязаны работать через ЕБС.
Учёт рабочего времени
Терминалы учёта времени с биометрической идентификацией. Важно: нельзя обязать сотрудника сдать биометрию -- должна быть альтернатива (карта, PIN-код).
Требования к защите биометрических данных
- Письменное согласие -- только в бумажной форме или с усиленной квалифицированной электронной подписью
- Уровень защищённости -- для биометрии устанавливается повышенный уровень защищённости информационных систем
- Специальные условия хранения -- шифрование, ограниченный доступ, журналирование операций
- Передача в ЕБС -- для организаций, собирающих биометрию для идентификации
- Уведомление Роскомнадзора -- подача уведомления об обработке биометрических данных
Штрафы за нарушения
- Обработка биометрии без письменного согласия: штраф до 700 000 рублей для юридических лиц
- Повторное нарушение: до 1 500 000 рублей
- Нарушение требований к защите биометрических данных: штрафы по статье 13.11 КоАП РФ
- Принуждение к сдаче биометрии: отдельный состав правонарушения по 572-ФЗ
Практические рекомендации
- Проведите аудит -- определите, обрабатываете ли вы биометрические данные. Воспользуйтесь нашим экспресс-аудитом
- Подготовьте документы -- формы согласия, политика обработки, модель угроз
- Обеспечьте альтернативу -- сотрудник должен иметь право отказаться от биометрической идентификации
- Настройте техническую защиту -- шифрование, разграничение доступа, журналирование. Наши специалисты помогут с технической защитой
- Уведомите Роскомнадзор -- используйте шаблоны документов для правильного оформления
Важно: Если вы уже используете СКУД с биометрией или планируете внедрение -- начните с правовой оценки. Неправильно оформленная обработка биометрии грозит крупными штрафами и предписаниями регулятора.
Не уверены, правильно ли вы обрабатываете биометрические данные? Запишитесь на консультацию или пройдите экспресс-аудит, чтобы выявить риски и получить пошаговый план приведения в соответствие.