Новые правила обработки биометрических персональных данных — разбираемся, что за ЕБС
29 декабря 2022 года был принят закон № 572-ФЗ «Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, о внесении изменений в отдельные законодательные акты Российской Федерации и признании утратившими силу отдельных положений законодательных актов Российской Федерации.
Изменения кардинальные, и они совершенно не радостные для операторов информационных систем и разработчиков, которые используют в своей деятельности метод преобразования биометрических персональных данных физического лица с использованием информационных технологий и технических средств.
К примеру, ваша компания разработала мобильное приложение, которое проводит идентификацию пользователей по селфи с привязкой к их геоданным, или по голосу, или ваша автоматизированная система хранит и автоматически обрабатывает (проверяет/устанавливает соответствия) фотографии различных физических лиц и идентифицирует физическое лицо по фотографии. Или может во внутренней локальной системе у вас используются биометрические данные сотрудников (хранятся фотографии лица) ? Именно вас и касаются изменения, установленные 572-ФЗ.
Поздравляем, теперь единственным источником биометрических данных для ваших информационных систем может являться только ГИС ЕБС (Единая биометрическая система) ! Во-первых, все фотографии и записи голосов теперь нужно передавать в ЕБС. Во-вторых, чтобы получить для дальнейшего использования доступ к таким данным в ГИС ЕБС вам необходимо получить аккредитацию в Минцифры и соответствовать всем требованиям, указанным в Законе. Обязательным из которых является наличие собственных средств в уставном капитале не менее 500 миллионов рублей. Но обо всем по порядку.
Самые важные положения № 572-ФЗ:
- Обязательная передача данных в ГИС ЕБС. Все организации, которые на своем предприятии занимаются автоматизированной обработкой биометрических ПДн должны были с 1.06.2023 г. передавать данные своих клиентов и сотрудников в систему ГИС ЕБС (Единая биометрическая система) .
- ЕБС — создана в рамках нацпрограммы «Цифровая экономика РФ» для того, чтобы повысить доступность услуг и сервисов, в том числе для маломобильных или проживающих в отдалённых регионах граждан. Функции оператора возложены на АО «Центр биометрических технологий».
- ЕБС обрабатывает два типа биометрии: голос и лицо.
- Вводится новое понятие «Вектор единой биометрической системы» — персональные данные, полученные в результате математического преобразования биометрических персональных данных физического лица, содержащихся в единой биометрической системе, которое произведено с использованием информационных технологий и технических средств, соответствующих требованиям, определенным в соответствии с подпунктом "е" пункта 1 части 2 статьи 6 Закона;
- Биометрические параметры физического лица могут обрабатываться только с использованием вектора единой биометрической системы. Для возможности использования биометрических данных, физическое лицо должно сдать свои биометрические данные в одном из отделений аккредитованных банков или отделений МФЦ.
- Предоставление физическими лицами своих биометрических ПДн не может быть обязательным. Физическое лицо может управлять своим согласием на обработку своих биометрических персональных данных на портале госуслуг.
- Запрещена обработка биометрических ПДн вне единой биометрической системы.
- Коммерческая организация не вправе отказать физ. лицу в оказании услуг, при отказе физ. лица предоставить согласие на обработку его биометрических персональных данных.
- Доступ к ЕБС получают только те организации, которые соответствуют всем требованиям, указанным в 572-ФЗ и аккредитованы Минцифры:
1) доля участия иностранных юр. лиц не должна превышать 49%;
2) уставной капитала не менее 500 миллионов рублей;
3) наличие финансового обеспечения ответственности за убытки в сумме не менее чем 100 миллионов рублей;
4) использование баз данных, находящихся на территории РФ;
6) наличие лицензии ФСБ на деятельность по разработке;
7) наличие права собственности на аппаратные шифровальные (криптографические) средства, используемые для оказания услуг по аутентификации на основе биометрических ПДн;
8) в штате не менее 2 работников, имеющих высшее образование в области ИТ или ИБ;
10) отсутствует в ЕГРЮЛ запись о недостоверности сведений о юридическом лице;
11) особые требования к ГД: гражданство РФ, отсутствие непогашенной судимости, соответствие требованиям деловой репутации и тд
Большинство положений 572-ФЗ уже вступили в силу с 1 июня 2023.
Т. е. организации, которые осуществляют обработку биометрических ПДн должны были с 1.06.2023 до 30.09.2023 передать данные субъектов биометрических ПДн в ЕБС. Фактически в течение 180 дней с 01.06.2023 обработка биометрических ПДн может осуществляться без применения ЕБС.
Как видите, много всего нового. Если не соблюсти введенные 572-ФЗ условия, то с 1 декабря 2023 г. начинают действовать штрафные санкции — от 60 000 рублей, за каждый выявленный случай. При этом в настоящее время в Госдуме РФ рассматривается законопроект № 53266–8, — предлагается увеличить ответственность за каждый выявленный случай для должностных лиц — от ста тысяч до трехсот тысяч рублей; на юридических лиц — от 300 000 до 700 000 рублей. Законопроект принят в I чтении.
Потенциально высокая ответственность для разработчиков и операторов информационных систем, использующих биометрию, говорит о том, что лучше заранее подстраховаться и проверить свой сервис или используемую систему, в том числе СКУД или мобильное автоматизированное рабочее место сотрудника, на соответствие требованиям закона, а также прочекать свою организацию на возможность получения аккредитации для использования данных ЕБС.
Для вашего удобства мы подготовили подробный гайд “Актуальные требования законодательства при работе с биометрией”. В нем собрали все законодательные требования, предъявляемые к такого рода разработке и операторам, добавили разъяснения, что именно является биометрией, указали, какие бывают исключения, подробно описываем потенциальную ответственность.