Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Защита биометрических персональных данных». Если у Вас нет времени на чтение или статья не полностью решает Вашу проблему, можете получить онлайн консультацию квалифицированного юриста в форме ниже.
Не относятся к биометрическим данным фото в личном деле сотрудника, подпись и почерк. Происходит это по тому, что их анализ направлен на подтверждение принадлежности человеку, который уже идентифицирован в информационной системе.
Образец согласия на обработку биометрических данных: основные пункты документа
Пример установленной законодательством формы можно найти на официальных сайтах государственных органов, также в Сети есть множество заполненных примеров. Чтобы документ имел юридическую силу, подавать на подпись его необходимо до факта передачи ПДн, при этом в его структуре обязательно должны присутствовать следующие пункты:
- полное Ф.И.О. и собственноручная подпись заявителя;
- год, месяц и число подписания;
- нормативно-правовая база;
- серия, номер, орган и дата выдачи гражданского паспорта (для детей предоставляются сведения из свидетельства о рождении);
- место проживания (не обязательно то, где зарегистрирован гражданин);
- представитель (при наличии) и реквизиты документа, подтверждающего его права действовать от имени субъекта ПДн;
- информация об операторах, которым на обработку передаются личные данные;
- цели обработки ПДн и биометрии;
- список сообщаемой информации;
- описание действий с передаваемыми сведениями;
- срок действия согласия и механизм отзыва документа;
- подтверждение об ознакомлении с ФЗ-152 и разъяснение способов защиты биометрических данных.
Сколько согласий запрашивать?
В статье 9 Закона № 152-ФЗ уже установлена обязанность работодателей запрашивать у работника согласие на обработку персональных данных. Эта статья содержит и требования к оформлению такого согласия. В частности, оно должно быть конкретным, информированным и сознательным. Работник может дать его в любой позволяющей подтвердить факт получения такого согласия форме (письменно или в виде электронного документа, подписанного электронной подписью), если иное не предусмотрено федеральным законом.
Это согласие работодатели уже давно должны были запросить у работников.
К сведению: отдельное письменное согласие оформляется на обработку специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни (ст. 10 Закона № 152-ФЗ).
В новой ст. 10.1 Закона № 152-ФЗ прямо указано, что согласие на обработку персональных данных, разрешенных их субъектом для распространения, оформляется отдельно от иных согласий субъекта ПД на обработку его данных.
Таким образом, ранее составленные согласия на обработку персональных данных в соответствии со ст. 9 Закона № 152-ФЗ продолжают свое действие, в отношении них никаких изменений нет. А для размещения ПД работников в общем доступе работодатели должны запросить у работников отдельное согласие.
Хранение и защита биометрических данных
Согласно 152-ФЗ персональные сведенья могут храниться не дольше, чем этого требуют цели их обработки, после чего они должны быть удалены или обезличены. Храниться биометрия может в информационных системах (далее – ИС), либо же вне ИС на материальных носителях информации (далее – МНИ). К МНИ могут относиться флешки, диски и т. д. Важно указать, что бумажные носители не являются МНИ.
В случаи использования МНИ, к ним и к технологиям хранения должны применяться требования защиты. Данные требования приведены в Постановлении от 6 июля 2008 г. №512 (далее – П 512).
МНИ должны обеспечивать:
- невозможность НСД;
- идентификацию ИС, в которую была записана данная биометрия;
- доступ к данным для уполномоченных лиц;
- защиту от несанкционированного изменения, записи или дополнения.
Технологии хранения биометрии вне ИС должны обеспечивать:
- доступ к данным для уполномоченных лиц;
- применение электронной цифровой подписи или других технологий для обеспечения целостности и неизменности данных на МНИ;
- проверку наличия согласия субъекта на обработку биометрии.
Основной сферой, в которой актуально использование биометрических ПДн, является банковская сфера. В банке может быть развернута так называемая Единая биометрическая система (далее – ЕБС). Это совсем небольшой выделенный сегмент в организации, в котором происходит сбор, обработка и хранение биометрии. Все данные из ЕБС передаются в Единую систему идентификации и аутентификации (далее – ЕСИА).
Надежность системы биометрии данных
Обработка биометрических персональных данных проходит достаточно быстро, но после этого, до тех пор, пока вы остаетесь собой, о рисках можно не беспокоиться. Биометрия – это надежный ключ от сейфа, который вы носите с собой. Система сложная, но чтобы защититься от мошенников её сделали ещё сложнее. В результате, подделка в принципе невозможна.
Принцип работы механизма достаточно продуктивный:
- Гражданин проходит удаленную идентификацию по видео, передавай свой биометрический материал.
- Алгоритм занимается обработкой выражения лица и голоса отдельно друг от друга, чтобы определить % процент схожести рассматриваемого видео с контрольным шаблоном, полученным ранее.
- Работа «модуля аномалий» включается, если алгоритм дает сбой и не обрабатывает данные. Работа этого модуля – найти причины сбоя обработки. Если есть риск мошенничества, информация об этом стремительно поступает в банк. Через несколько секунд мошенник уже заблокирован.
Что относится к персональным данным работника
Персональные данные работника — это любая информация прямо или косвенно относящаяся к сотруднику, имеющаяся у работодателя.
К персональным данным относятся:
- фамилия, имя, отчество;
- пол, возраст;
- паспортные данные, СНИЛС, ИНН;
- образование, квалификация, профессиональная подготовка и сведения о повышении квалификации;
- место жительства;
- семейное положение, наличие детей, родственные связи;
- факты биографии и предыдущая трудовая деятельность (место работы, судимость, служба в армии, работа на выборных должностях, на государственной службе и др.);
- финансовое положение. Сведения о заработной плате также являются персональными данными (Письмо Роскомнадзора от 07.02.2014 N 08КМ-3681);
- деловые и иные личные качества, которые носят оценочный характер;
- номер телефона или электронная почта;
- прочие сведения, которые могут идентифицировать человека.
Хранение и использование персональных данных
В соответствии со ст. 87 ТК РФ порядок хранения и использования персональных данных работников устанавливается работодателем. Работодатель должен издать соответствующий локальный нормативный акт, регулирующий вопросы хранения и использования персональных данных, а также обеспечивающий защиту последних от неправомерного их использования или утраты. С соответствующим актом, а также со своими правами в сфере защиты персональных данных работники должны быть ознакомлены под подпись.
Работодатель утверждает перечень сотрудников, которые будут обрабатывать персональные данные и которые имеют к ним доступ. Чаще всего это входит в обязанности бухгалтера и кадрового специалиста. Таким сотрудникам будут доступны только те данные, которые необходимы для выполнения конкретных функций, то есть по конкретным направлениям их деятельности (ст. 88 ТК РФ).
Порядок допуска к персональным данным сотрудников закон не устанавливает. Поэтому работодатель вправе определить его самостоятельно и прописать в локальном акте организации, например, в Регламенте допуска работников к обработке персональных данных. В этом документе также необходимо указать конкретный перечень сотрудников, которые имеют доступ к персональным данным других сотрудников.
Также издайте приказ, в котором пропишите должности и фамилии сотрудников, а также закрепленные за ними объекты обработки персональных данных.
- Законы в сфере сбора и обработки ПД ужесточились, контроль усилился, а штрафы выросли;
- Почти все юридические лица и ИП, которые собирают информацию о пользователе на сайте, считаются операторами персональных данных и попадают под действие 152-ФЗ.
- Закон чётко не определяет, что такое персональные данные. К ним относится любая информация о пользователе: имя, фамилия, телефон, ссылка на профиль в социальных сетях и другое.
Чтобы соблюдать 152-ФЗ, как минимум, надо:
- зарегистрироваться как оператор ПД,
- составить политику обработки ПД и согласие на обработку персональных данных,
- повесить на сайт уведомление о сборе метаданных;
Проблема защищенности персональных данных от несанкционированного доступа неограниченного круга лиц очень актуальна в России. Анализ инцидентов последних лет – когда персональные данные граждан массово попадали в открытый доступ – говорит о недостаточности существующих законодательных механизмов.
Кроме того, широкое распространение получили сервисы в Интернете, занимающиеся противоправным оборотом персональных данных, где можно приобрести информацию в отношении большинства российских граждан из различных баз данных. Это адреса, недвижимость, паспорта, авиа и железнодорожные перелеты и т. п. Всё это не только нарушает право человека на неприкосновенность частной жизни, гарантированное Конституцией РФ, но и создает реальную угрозу для преступлений и правонарушений. В том числе мошенничества с использованием методов социальной инженерии, заочное оформление кредитов, кибербуллинг и т. п.
Вдобавок законодательство никак не ограничивало выдачу сведений третьим лицам о принадлежащих гражданам объектах недвижимости, включая адреса их мест проживания. В то же время такие сведения – тоже персональные данные, нуждающиеся в соответствующей защищенности.
Подобные нелегальные сервисы преимущественно размещаются в иностранном сегменте Интернета, на который не распространялись требования российского законодательства о персональных данных. При этом законодательство практически не регулировало трансграничную передачу персональных данных, что также создавало существенную угрозу.
Как законно отказаться от биометрии?
Закон не вменяет в обязанности человека сдавать биометрические данные, поскольку это право.
Следовательно, лицо может просто сказать, что не хочет предоставлять информацию о своих биометрических данных и отказывается от этого.
Если тот или иной сотрудник, например, банка, будет настаивать, то можно попросить его назвать конкретную норму права, которая говорит об обязанности лица предоставлять банку свою биометрию. Сотрудник назвать такую норму не сможет и, скорее всего, прекратит всякие действия по настаиванию на предоставлении биометрии.
На форумах в интернете еще встречаются такие рассказы, когда на просьбу сдать свою биометрию, люди отвечают, скорее всего, в шутку, что им вера не позволяет сдавать биометрию и все просьбы и уговоры якобы прекращаются.
Защита биометрических персональных данных
Операторы, которые получили информацию о биометрии человека, обязаны обеспечить ее защиту и использовать только в установленных законом случаях. Поскольку информация о лице, как правило, хранится в базах данных, соответственно, оператор обязан обеспечить защиту таких баз данных.
Однако, какие бы меры по защите биометрических персональных данных, как и иных данных, не принимали, всегда найдутся люди, которые могут продать информацию о рассматриваемых персональных данных, могут взломать базу данных и т.п.
Каждый человек, может сам попытаться защитить свои персональные данные, в том числе, биометрические. Для защиты не следует лишний раз соглашаться предоставлять свои данные, не следует указывать их везде, где просят. С биометрическими персональными данными проще, т.е. не согласился их предоставлять и все. С обычными же персональными данными все не так просто. Например, часто при заполнении любых анкет, например, потенциальные работодатели просят указать в ней все, а именно, ФИО, дату и место рождения, место проживания и что самое интересное паспортные данные. Очень интересно, зачем в анкете указывать паспортные данные? Не стоит указывать информацию, которая не может понадобиться оператору.
А что делать в случае нарушения прав, разглашения данных? В этом случае, необходимо обратиться к руководителю организации, сотрудник которой разгласил данные, или откуда произошла «утечка информации», и попросить провести проверку с принятием мер к сотруднику, которого можно уволить и/или привлечь к ответственности. Однако, установить иногда лицо, которое разгласило данные, является затруднительно.
Если нарушаются права лица, чьи персональные данные используются, тогда можно обратиться в правоохранительные органы. Например, встречаются случаи, когда на лицо оформляется кредит, при этом человек не брал такой кредит, а оформило кредит какое-то неизвестное третье лицо. В таком случае подлежит возбуждению уголовное дело, а с банком, скорее всего, нужно будет судиться и признавать кредитный договор недействительным.
Как законно отказаться от биометрии?
Закон не вменяет в обязанности человека сдавать биометрические данные, поскольку это право.
Следовательно, лицо может просто сказать, что не хочет предоставлять информацию о своих биометрических данных и отказывается от этого.
Если тот или иной сотрудник, например, банка, будет настаивать, то можно попросить его назвать конкретную норму права, которая говорит об обязанности лица предоставлять банку свою биометрию. Сотрудник назвать такую норму не сможет и, скорее всего, прекратит всякие действия по настаиванию на предоставлении биометрии.
На форумах в интернете еще встречаются такие рассказы, когда на просьбу сдать свою биометрию, люди отвечают, скорее всего, в шутку, что им вера не позволяет сдавать биометрию и все просьбы и уговоры якобы прекращаются.
Что такое биометрия и для чего используются биометрические данные?
Биометрия — это способ измерения физических характеристик человека для проверки его личности. Они могут включать физиологические признаки, такие как отпечатки пальцев и глаза, или поведенческие характеристики, которые оценивают уникальное поведение и подсознательные движения человека. Для того, чтобы биометрические данные были полезными, они должны быть уникальными, постоянными и собираемыми. После измерения, информация сравнивается и сопоставляется в базе данных.
Каждый раз, когда вы разблокируете экран смартфона с помощью функции распознавания лиц, запрашиваете у голосового помощника прогноз погоды или прикладываете отпечаток пальца на на какое-либо устройство, вы используете биометрические данные. Вы можете использовать эту технологию каждый день для идентификации личности или для взаимодействия с личным устройством, но существует множество других способов использования биометрических данных.
Например, полиция может собирать ДНК и отпечатки пальцев на месте преступления или использовать видеонаблюдение для анализа походки или голоса подозреваемого. В медицине применяется сканирование сетчатки глаза или проводятся генетические тесты. И даже ваша подпись относится к биометрическим данным.
Как отозвать согласие на обработку биометрических данных?
Чаще всего согласие на обработку биометрических данных дается в письменной форме. Однако, такое согласие может быть получено и через совершение лицом действий, направленных на фиксацию биометрических данных. Например, в банках предлагают сфотографироваться на камеру и назвать цифры для аудиозаписи голоса, после чего биометрия получена и согласие тоже.
Как же отозвать согласие на обработку биометрических данных? Отозвать согласие путем совершения каких-то действий наверное не удастся, да и доказать в случае чего такой отзыв будет затруднительно. Поэтому действуем по старинке и оформляем в письменной форме заявление на отзыв соответствующего согласия.
В заявлении на отзыв согласия следует указать адресата, от кого подается заявление и в тексте указать, что Вы отзываете свое согласие на обработку Ваших биометрических данных. Поставить дату и подпись. Затем заявление можно вручить лично под отметку на Вашем экземпляре или направить по почте заказным письмом.
ПОЛЕЗНО:
Примеры распространения персональных данных
Распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц. По сути — это их публикация:
- размещение профилей в соцсетях;
- публикация данных о сотрудниках на корпоративных сайтах, форумы;
- сайты с объявлениями, отзывами, вакансиями.
- публикации в газетах, журналах;
- печатные рекламные буклеты с контактами, ФИО и фото сотрудников;
- публикация результатов спортивных мероприятий на интерактивных мониторах;
- визитки, возможно.
Спрос на услугу населения и первые прогнозы банков
Хотя банки и хотели получить право на более качественную идентификацию своих клиентов посредством биометрии, однако, многие понимают, что помимо их желания есть нежелание граждан. Современная молодежь, которая только приветствует различные новации и адекватно воспринимает цифровизацию нашего мира, практически в большинстве поддерживают подобную инициативу. Особенно это касается тех, кто активно использует в своей деятельности интернет и удаленное обслуживание.
Проблемой же, по мнению сотрудников Сбербанка, станут люди среднего и более старшего поколения. Они негативно воспринимают все что непонятно. А особенно это касается пенсионеров, которые и так видят во всем подвох, а тут еще и хотят получить их биометрические данные. По предварительным предположениям, в первое время (1-2 года) люди будут неохотно предоставлять свои данные, но со временем это процесс станет необходимым.
А вот ВТБ отметил, что это реальный способ повысить число клиентов, выбирающих удаленное обслуживание. На сегодняшний день доля цифровых продаж в объеме оборота банка составляет около 40%. А по оптимистичным прогнозам она может достигнуть 60% уже к концу 2019 года.
Альфа-банк, присоединившись к глобальной программе, на первых парах начал принимать биометрические данные только в 2 центральных отделения. После того как персонал пройдет обучение, постепенно будет внедряться эта система и в других отделения. Уже к концу года получится охватить 87 отделений банка. Банк видит в этой системе реальную возможность для развития своей деятельности и упрощения процесс получения услуг для клиентов. А, помимо этого, таким образом получиться освободить часть сотрудников для развития других приоритетных направлений деятельности банка.
Специалисты по развитию в «Открытии» отмечают, что за столь короткий срок времени им уже удалось собрать более 40 тыс. фотографий. Использовать ее запланировано при большинстве проводимых операций, в том числе при переводах с карты банка. Отмечено, что такой способ идентификации упростит процесс оформления документов, ведь основная информация будет подтягиваться автоматически.
Что относится к биометрическим персональным данным
К персональным биометрическим данным относятся уникальные и универсальные характеристики личности человека. Это все то, что не изменяется в человеке на протяжении всей его жизни. В данный перечень можно отнести следующее:
- ДНК;
- отпечатки пальцев;
- группа крови;
- рисунок радужной оболочки глаза.
Как сообщили представители Роскомнадзора, персональные данные могут считаться биометрическими в том случае, если:
- данные содержат физиологические и биологические особенности человека;
- по предоставленным данным человек легко идентифицируется;
- установкой личности должен заниматься эксперт.
Важно понимать, что к категории биометрических данных относятся только данные, которые необходимы для идентификации личности человека. К примеру, результаты анализов, рентгеновские и прочие виды исследований не относятся к этой категории.