«Хао! Я все сказал!» - про биометрические персональные данные. Все, что думал. Все что хотел. Но на этой неделе пост про биометрию неожиданно стал самым читаемым из моих постов за все время существования блога. И самым обсуждаемым. В копилку аргументов, что считать, а что не считать этими самыми биометрическими персональными данными, добавляю несколько относительно свежих примеров.
На сайте Управления Роскомнадзора по Республике Татарстан на простой вопрос «Является ли снимок веб-камерой биометрическими данными?» дается сложный ответ. Привожу его почти полностью, он того стоит: «Описанный Вами пример - это не автоматическая идентификация. Для того, чтобы она таковой стала, на рабочем месте сотрудника банка нужно поставить систему распознавания лиц, в которую, нужно загрузить данные биометрии (фотографию), соответствующую ГОСТу. Тогда система автоматически будет считывать лица клиентов банка, распознавать и идентифицировать их. Сотрудником банка веб-камерой делается снимок, изображение сверяется с владельцем документа (удостоверяющего личность – паспорта, водительского удостоверения и т.п.), с целью аутентификации (подтверждения), т.е. всё, что касается собственно личности. Идентификации в Вашем случае не происходит. В данном случае снимок веб-камерой биометрическими данными не является (снимок не соответствует ГОСТу)».
Я, если честно, не знаю, где в законе написано про автоматическую идентификацию. Про использование данных для установления личности субъекта, которое подробно и описывается в ответе – читал и понял. И про ГОСТ ничего в законе я тоже не нашел.
Практика же правоприменения идет своим путем. К позиции краснодарских коллег: «ОАО «ОТП Банк» не было представлено письменное согласие гр. А. на обработку его биометрических персональных данных, обработка которых осуществляется ОАО «ОТП Банк» путем предоставления копии паспорта гр. А. при заполнении заявления на получение потребительского кредита», невзирая на мнение центрального аппарата и коллег из Татарстана, примкнули инспекторы из Марий Эл: «При снятии ксерокопии паспорта гражданина они [сотрудники «МПБ Идельбанк»], не получив его согласия, изготовили с паспорта копию его фотографического изображения. Обработка этих персональных данных без согласия гражданина запрещена законом».
И они не одиноки. Считают фотографию биометрическим персональными данными в Управлении Роскомнадзора по Приморскому краю, Владимирской области , похоже (точно утверждать не могу), - в области Ивановской.
И про ГОСТ ни в одном из актов-предписаний – ни гу-гу.
Ничего не буду комментировать. Думайте и решайте сами.
И считайте это еще одной иллюстрацией к проблеме выработки единого подхода к применению законодательства в странах с непрецедентной правовой системой.
Не понимаю беззубость банков, вроде у всех юрслужба наличиствует. Волшебный 115ФЗ позволяет снять большинство вопросов с согласием клиентов и не только.
ОтветитьУдалитьСергей, если честно, не понимаю, как 115-ФЗ снимает вопросы с отнесением к биометрии и согласием на ее обработку. А вот насчет беззубости - согласен. Вообще, во многих материалах приходится читать очень странные претензии, из закона никак не вытекающие. И проверяемые почему-то с этим соглашаются.
ОтветитьУдалитьПотому, что быть аморфной правовой амебой куда проще, чем защищать свои интересы. Вот и получается, что регулятор является инстанцией, определяющей вину, и чувствует в себе силушку богатырскую. И так будет до тех пор, пока народ не поймет, что наличие и степень тяжести вины должен устанавливать суд, но никак не контролер.
ОтветитьУдалитьОбработка биометрических персональных данных может осуществляться без согласия субъекта персональных данных в связи с реализацией международных договоров Российской Федерации о реадмиссии, в связи с осуществлением правосудия и исполнением судебных актов, а также в случаях, предусмотренных законодательством Российской Федерации об обороне, о безопасности, [b]о противодействии терроризму[/b], о транспортной безопасности, о противодействии коррупции, об оперативно-разыскной деятельности, о государственной службе, уголовно-исполнительным законодательством Российской Федерации, законодательством Российской Федерации о порядке выезда из Российской Федерации и въезда в Российскую Федерацию.
ОтветитьУдалить2Сергей. Мне такое обоснование кажется очень искусственным. В ФЗ-115 ничего про сканирование паспорта нет, привязывать его к определению "идентификация - совокупность мероприятий по установлению определенных настоящим Федеральным законом сведений о клиентах, их представителях, выгодоприобретателях, по подтверждению достоверности этих сведений с использованием оригиналов документов и (или) надлежащим образом заверенных копий" можно, но спорно. Кроме того, 115-ФЗ в 152-ФЗ выделяется в отдельную категорию законов. Так, в ст.14 часть 8: "Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе если...обработка персональных данных осуществляется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма", при этом этот закон не отождествляется с другими о безопасности (п.п 1 и 5 тоже части статьи)
ОтветитьУдалитьКонечно спорно, но спорить нужно. В конце концов регуляторы продавят значительное повышение штрафов, и нужно "тренироваться" уже сейчас, пока проигрыш не влечет больших издержек, а выигрыш позволит избежать их в будущем, причем весьма обозримом.
ОтветитьУдалитьДа, надо готовить аргументы и доказывать свою правоту, но, ИМХО, лучше бы это делали профобъединения, а не каждый отдельно. А у нас все борются фактически в одиночку, причем ходят при этом строго по одним и тем же граблям.
ОтветитьУдалитьЧитая недавно один документ, регламентирующий обработку биометрии задал себе вопрос: что делать с клиентской зоной компании, в которой ведется видеозапись? На входе брать согласие?
ОтветитьУдалитьА с банкоматами что делать?
2Michael. Обратите внимание на ч.1 ст.11 152-ФЗ. Важнейшим признаком биометрических данных, обработка которых регламентируется 152-ФЗ, является их использование оператором для установления личности субъекта. Отсюда и танцуйте.
ОтветитьУдалить