Согласие на обработку биометрических данных должно быть
Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Согласие на обработку биометрических данных должно быть». Если у Вас нет времени на чтение или статья не полностью решает Вашу проблему, можете получить онлайн консультацию квалифицированного юриста в форме ниже.
Не относятся к биометрическим данным фото в личном деле сотрудника, подпись и почерк. Происходит это по тому, что их анализ направлен на подтверждение принадлежности человеку, который уже идентифицирован в информационной системе.
Как действовать, если нужно согласие на обработку персональных и биометрических данных
Озаботиться вопросом легализации процессов, связанных с использованием ПДн, на практике приходится всем ИП и предприятиям. Но не все понимают, что нужно подготовить целый пакет документов и осуществить ряд организационных действий, чтобы защитить личную информацию работников и клиентов. Сократить время и избежать ошибок удастся, доверившись специалистам нашего центра, которые досконально разбираются в законодательстве и могут оказать профессиональную помощь на любом этапе формирования и оптимизации СЗПДн.
Основные действия, которые необходимо выполнить для того, чтобы деятельность была организована в соответствии со статьями ФЗ-152 и подзаконными актами:
- составление текста политики обработки и защиты информации, а также согласия на обработку персональных биометрических данных;
- разработка внутренних распоряжений относительно заполнения и хранения документов (приказ об утверждении), назначения ответственных за защиту ПДн лиц;
- публикация на официальном сайте и/или в мобильном приложении, распечатка для предоставления по запросу проверяющих служб;
- включение в каждую онлайн-форму, где нужно вводить сведения о себе, ссылки на пользовательское соглашение и графу с подтверждением согласия на использование ПДн.
Общедоступные данные по-новому
С 1 марта 2021 года вместо общедоступных данных появилось понятие «персональные данные, разрешенные субъектом персональных данных для распространения» – сведения о субъекте, доступ к которым субъект предоставил неограниченному кругу лиц путем дачи согласия на обработку этих ПД, разрешенных им для распространения в порядке, предусмотренном Законом № 152-ФЗ (ст. 3 Закона № 152-ФЗ).
При этом под распространением персональных данных в новой редакции понимаются действия, направленные на их раскрытие неопределенному кругу лиц.
К сведению: в прежней редакции закона распространением назывались действия, направленные на передачу ПД определенному кругу лиц или на ознакомление с ПД неограниченным кругом лиц, в том числе обнародование в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к ПД каким-либо иным способом.
Таким образом, прежде чем разместить для неограниченного круга лиц (на сайте организации, в печатных изданиях, в рекламе и т. д.) персональные данные работника, нужно получить его согласие.
Защита биометрических данных и закон
ЕБС необходимо защищать в соответствии с 321 Приказом Минкомсвязи (далее – 321 Приказ). В нем содержатся правила обработки биометрии, размещения и обновления, а также требования к информационным технологиям и техническим средствам, которые собирают и обрабатывают данные. Биометрические образцы нельзя снимать подручными средствами, данный Приказ определяет характеристики для изображения лица и голоса субъекта ПДн.
Обязательным условием сдачи биометрии является регистрация физического лица, которое сдает свою биометрию, в ЕСИА. Если лицо там не зарегистрировано, то организация предлагает это сделать, при наличии заявления, прямо на месте.
Произвести обновление биологической персональной информации можно по предложению самого физического лица, а также по истечению 3-х лет с момента предоставления свидетельств.
Кто и зачем собирает биометрию
Собирать биометрию начали не ради чипирования людей, как опасаются многие граждане, которые не знают, что собой представляет эта технология. Да, эти данные будут использоваться для идентификации человека, но только в цифровом формате. Это невероятно удобно, в первую очередь, для человека.
Теперь не придется стоять долгие очереди и собирать сотни бумажек, чтобы получить какой-то банковскую или любую другую услугу. Все можно сделать удаленно, а чтобы подтвердить свою личность, достаточно биометрическихданных, обработка которых может заменить недельную бумажную волокиту. Они только ваши, поэтому получить доступ к сведениям не сможет никто кроме вас. И не нужны никакие дополнительные защитные функции и т.п.
Рассмотрим для примера один из самых распространенных случаев – когда гражданин берет кредит. Раньше, чтобы одолжить в банке деньги, нужно было прийти в банк, принести не одну сотню бумажек. Это стоило времени и усилий. Благодаря биометрии процедура стала доступной удаленно.
Ещё одно очень важное преимущество биометрии – упрощенная процедура поездок в другие страны. Например, с биометрическими документами не нужно стоять на паспортном контроле. Биометрический документ – персональный. Его невозможно подделать. В некоторых странах уже можно не проходить контроль, если у вас есть биометрический паспорт.
Чтобы пройти процедуру и легально передвигаться по стране, потребуется подойти к датчику (это специальный прибор). Приложите к нему персональный биометрический паспорт. Теперь нужно отсканировать сетчатку глаза. Если система считала ваши данные, и человек попал в страну легально, он может свободно идти куда захочет.
Биометрия – это способ получать услуги быстрее и безопаснее, используя персональный набор физиологических качеств. Пока технология только набирает популярность, но происходит это стремительно. Придется в скором темпе адаптироваться.
Что относится к персональным данным работника
Персональные данные работника — это любая информация прямо или косвенно относящаяся к сотруднику, имеющаяся у работодателя.
К персональным данным относятся:
- фамилия, имя, отчество;
- пол, возраст;
- паспортные данные, СНИЛС, ИНН;
- образование, квалификация, профессиональная подготовка и сведения о повышении квалификации;
- место жительства;
- семейное положение, наличие детей, родственные связи;
- факты биографии и предыдущая трудовая деятельность (место работы, судимость, служба в армии, работа на выборных должностях, на государственной службе и др.);
- финансовое положение. Сведения о заработной плате также являются персональными данными (Письмо Роскомнадзора от 07.02.2014 N 08КМ-3681);
- деловые и иные личные качества, которые носят оценочный характер;
- номер телефона или электронная почта;
- прочие сведения, которые могут идентифицировать человека.
Согласие работника на обработку персональных данных
Нужно ли получать согласие работника на обработку персональных данных? Да, обработка персональных данных в общих случаях осуществляется исключительно с согласия работника.
Исключения, когда не требуется брать согласие работника, прямо регламентированы законом, а также описаны в Разъяснениях Роскомнадзора. Например, не нужно получать такое согласие, если вы сообщаете персональные данные работника третьей стороне, когда это необходимо в целях предупреждения угрозы его жизни и здоровью (ст. 88 ТК РФ, п. 4 Разъяснений Роскомнадзора).
Согласие на обработку персональных данных предусматривается в трудовом договоре, заключаемом по типовой форме (утв. Постановлением Правительства РФ от 27.08.2016 N 858). В ней прямо предусмотрено соответствующее положение. Трудовой договор по этой форме заключается в рамках ст. 309.2 ТК РФ.
В остальных случаях согласие работника на обработку персональных данных рекомендуем оформлять отдельным документом. Согласие на обработку персональных данных должно быть конкретным, предметным, информированным, сознательным и однозначным (п. 1 ч. 1 ст. 6, ч. 1 ст. 9 Закона о персональных данных).
Если персональные данные работника возможно получить только у третьих лиц, сообщите об этом работнику и заручитесь его письменным согласием (п. 3 ст. 86 ТК РФ).
Настоятельно рекомендуем включить в него следующую информацию:
- цели получения персональных данных работника у третьих лиц;
- предполагаемые источники информации (лица, у которых будете запрашивать данные);
- способы получения данных, их характер;
- возможные последствия отказа работника дать согласие на получение его персональных данных у третьих лиц.
Риски при нарушении требований к обработке персональных данных работников организации
В соответствии со ст. 13.14 КоАП РФ разглашение подобной информации (за исключением случаев, если такое разглашение влечет уголовную ответственность) лицом, получившим доступ к ней в связи с исполнением служебных или профессиональных обязанностей, влечет наложение административного штрафа:
- — на граждан — от 500 до 1 000 руб.;
- — на должностных лиц — от 4 000 до 5 000 руб.
Следовательно, если будет установлено, что разглашение персональных данных произошло по вине работника, ответственного за хранение, обработку и использование персональных данных
За нарушение законодательства в области персональных данных работодатель может быть привлечен к административной ответственности по ст. 13.11 КоАП РФ.
В частности, обработка персональных данных без письменного согласия работника (когда оно необходимо), если эти действия не содержат уголовно наказуемых деяний, влечет наложение штрафа (ч. 2 ст. 13.11 КоАП РФ):
- — на граждан — от 6 до 10 тыс. руб., повторное нарушение — от 10 до 20 тыс. руб.;
- — должностных лиц — от 20 до 40 тыс. руб., повторное нарушение — от 40 до 100 тыс. руб.;
- — юридических лиц — от 30 до 150 тыс. руб., повторное нарушение — от 300 до 500 тыс. руб.
Новая обязанность операторов персданных
Они должны:
- незамедлительно информировать об инцидентах с принадлежащими им базами персональных данных уполномоченные органы власти (Роскомнадзор и др.);
- обеспечивать непрерывное взаимодействие с госсистемой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ (в частности, сообщать о причинах утечки персданных).
Кроме того, уведомлять Роскомнадзор о планах обрабатывать личную информацию нужно теперь и в случаях, когда эти сведения:
- относятся к работникам;
- принадлежат контрагентам оператора, а он использует персданные, чтобы исполнять договоры или заключать новые соглашения с теми же гражданами (при этом сведения не распространяют и не передают третьим лицам без согласия);
- нужны для однократного пропуска гражданина на территорию оператора или для аналогичных целей.
До 01.09.2022 в этих и некоторых других случаях извещать ведомство не нужно было.
Вдобавок оператор должен до начала обработки личных сведений, которые он получил от другого источника, перечислить такие данные их субъекту.
Изменения в Законе о персданных
По новым правилам нормы Федерального закона от 27.07.2006 № 152‑ФЗ «О персональных данных» (далее – Закон № 125‑ФЗ) следует применять в том числе и к обработке персданных граждан РФ, осуществляемой иностранными юридическими и физическими лицами как по договору, так и на основании согласия гражданина на эту обработку. Другими словами – независимо от конкретного вида обработки данных. Если обработку данных им будет поручать российский оператор, то он будет нести ответственность за их действия наравне с ними (ч. 1.1 и 6 ст. 1 Закона № 152‑ФЗ).
Теперь с Роскомнадзором должны быть согласованы все нормативные правовые акты РФ, затрагивающие вопросы:
- трансграничной передачи персональных данных;
- обработки специальных категорий данных (например, состояние здоровья человека);
- биометрических данных;
- персональных данных несовершеннолетних лиц;
- а также вопросы предоставления и распространения персональных данных, полученных в результате обезличивания.
У ведомства по закону будет 30 дней на согласование проекта документа.
Адвокат по биометрическим данным в Екатеринбурге
Если у Вас возникли какие-то вопросы, связанные с биометрическими данными, либо Вам отказывают в оказании каких-либо услуг, потому что Вы не предоставляете биометрические персональные данные, тогда обратитесь к адвокатам нашего бюро, которые могут оказать следующие услуги в этой сфере:
- консультация по вопросам предоставления и использования биометрических данных
- подготовка заявление об отзыве своего согласия на использование биометрических данных
- подготовка претензии в адрес оператора на незаконное использование Вашей биометрии
- подготовка жалобы на нарушение Ваших прав, в связи с использованием Ваших биометрических персональных данных
- представление интересов доверителя по вопросам незаконного использования Ваших данных, по вопросам обжалования действий операторов и т.п.
Как законно отказаться от биометрии?
Закон не вменяет в обязанности человека сдавать биометрические данные, поскольку это право.
Следовательно, лицо может просто сказать, что не хочет предоставлять информацию о своих биометрических данных и отказывается от этого.
Если тот или иной сотрудник, например, банка, будет настаивать, то можно попросить его назвать конкретную норму права, которая говорит об обязанности лица предоставлять банку свою биометрию. Сотрудник назвать такую норму не сможет и, скорее всего, прекратит всякие действия по настаиванию на предоставлении биометрии.
На форумах в интернете еще встречаются такие рассказы, когда на просьбу сдать свою биометрию, люди отвечают, скорее всего, в шутку, что им вера не позволяет сдавать биометрию и все просьбы и уговоры якобы прекращаются.
Что такое анализ сведений?
Обработка — это сравнительный анализ индивидуальных физиологических и биологических особенностей того или иного субъекта оператором, и использование этих данных в различных следственных операциях.
А также с целью выявления причастности рассматриваемого лица к какому-либо событию (преступлению, случаю).
Или для внесения биометрических параметров в общую базу данных, к примеру, для пропуска человека на какую-то охраняемую территорию.
БПД могут обрабатываться, в большинстве случаев, только по согласию субъекта, которое должно быть оформлено в письменном виде (или в электронном).
Согласие лица не требуется в исключительных случаях.
Случаи, в которых не требуется письменного согласия человека (на основании Федерального Закона от 04.06.2014 № 142-ФЗ):
- при осуществлении правосудия и исполнении судебных актов;
- в случае обороны и сохранения всеобщей безопасности;
- в случае, когда требуется предотвратить террористическую операцию;
- в оперативно-розыскной деятельности;
- в борьбе с коррупцией и др.
Процедура внесения сведений о лице требует соблюдения следующих параметров:
- информация должна в полной мере отображать личность человека;
- использование БАД позволяет идентифицировать гражданина.
Биофизические свойства индивида:
- отпечатки пальцев, в т. ч. ладоней;
- радужная сетчатка глаза;
- генетические анализы (ДНК);
- овал лица;
- нюансы строения тела;
- рост и вес;
- психический уровень здоровья.
Чтобы распознать конкретное лицо оператору необходимо получить больше одной поведенческих особенностей или индивидуальных физиологических черт.
В ПП № 722 от 30 июня 2018 г. приведен список информации об индивидуальных сведениях, которые допускается размещать в электронной базе:
- фотографии или видео с лицом человека;
- звук голоса, полученные через специальное устройство.
Для чего банкам биометрия?
Как известно, биометрические данные самые надежные, и гарантируют 100% идентификацию граждан. Идея о внедрении подобной идентификации в банковской сфере появилась уже давно. Однако внесения соответствующих законов тормозилось несогласными депутатами, скандировавшими о правах населения. Так, среди широких масс, подобная инициатива вызывала бурю отрицательных эмоций, объясняя их тем, что народ попросту хотят держать под всеобщим контролем.
Однако есть и другая точка зрения. Ведь внедрение биометрической идентификации сделает банковские операции более надежными. Это реальный шанс сократить количество совершенных финансовых махинаций, в том числе незаконно полученных кредитов по чужим паспортам. Ведь идентификация предполагается с использованием фотографии и слепка голоса клиента, которые подделать не удастся.
А также банки заявили о намерении увеличить список предложенных к использованию операций удаленным способом при соответствующе биометрической идентификации. По их словам, это поможет уменьшить количество людей в отделениях банка и позволит получить более сжатые сроки по предоставлению необходимых банковских услуг.
Обратите внимание! При этом никто не упомянул о том, что вероятность увеличения преступных схем по принудительному открытию кредитов и осуществлению сделок с использованием крупных сумм удаленно, без присутствия в банке, может только возрасти. Ведь где гарантия, что к вам не придут злоумышленники и не заставят пройти биометрическую идентификацию в своих корыстных целях.
Организации и индивидуальные предприниматели, взаимодействуя с сотрудниками, получают доступ к их персональных данным. Полученные сведения хранятся в личных карточках, которые заводят на работников. Также подобные сведения содержатся в личных делах сотрудников, при условии их ведения работодателем.
Под персональными данными понимается любая информация, касающаяся конкретного работника и необходимая работодателю в рамках трудовых отношений с ним (п. 1 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ).
По закону организация, получившая доступ к персданным, должна обеспечить их хранение и конфиденциальность. Обычно источником информации о себе является сам работник. Однако в некоторых случаях сведения о конкретном сотруднике могут быть запрошены у третьих лиц. В такой ситуации нужно получить письменное согласие сотрудника. Для этого компания должна проинформировать сотрудника (п. 3 ч. 1 ст. 86 ТК РФ):
- о целях получения данных и характере информации;
- источнике данных и способе получения;
- последствиях отказа от предоставления согласия на их получение.
Основные правила работы с персданными фиксируются в специальном внутреннем локальном акте – Положении о работе с персональными данными. Фотография работника к ним относится?
Законодательная база, регулирующая сбор и использование биометрических данных
Основным законом, регулирующим право отдельных государственных структур на сбор и использование биометрических персональных данных является №152 ФЗ «О персональных данных». В нем прописано терминология для обозначения биометрических данных, способы их законного использования и правила получения личных данных гражданина.
Так, согласно закону к биометрическим данным относят сведенья, способные охарактеризовать биологические или физиологические особенности гражданина, с помощью которых устанавливается его личность. Стоит отметить, что сбор таких данных является законным только в случае предоставления человеком письменного согласия на осуществление подобных процедур.
Исключение — мероприятия, проводимые для осуществления правосудия, идентификации личности преступника, противодействие терроризму и проведение действий для обеспечения безопасности граждан.
Согласно федеральному приказу от 2021 года №448 организована деятельность ТК 098 по «Биометрии и биомониторингу». Этот технический комитет установил национальные стандарты для биометрических технологий, соответствующих ГОСТу ИСО. На данный момент их количество составляет 42 стандарта для различных сфер применения.
Обработка персональных данных
Обработка персональных данных — это любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без них с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение данных (п. 3 ч. 1 ст. 3 Закона о персональных данных).
Оператор персональных данных — это государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку таких данных, определяющие цели их обработки, состав данных, подлежащих обработке, действия (операции), совершаемые с ними (ст. 3 Закона о персональных данных).
Из приведенных норм следует, что любое (даже разовое действие) кадровика с персональными данными, например их сбор, уже признается их обработкой. Тогда учреждение является оператором соответствующих данных.