23 марта 2012 г.

Биометрические персональные данные. Я все сказал. Но это не точка

«Хао! Я все сказал!» - про биометрические персональные данные. Все, что думал. Все что хотел. Но на этой неделе пост про биометрию неожиданно стал самым читаемым из моих постов за все время существования блога. И самым обсуждаемым. В копилку аргументов, что считать, а что не считать этими самыми биометрическими персональными данными, добавляю несколько относительно свежих примеров.
На сайте Управления Роскомнадзора по Республике Татарстан на простой вопрос «Является ли снимок веб-камерой биометрическими данными?» дается сложный ответ. Привожу его почти полностью, он того стоит: «Описанный Вами пример - это не автоматическая идентификация. Для того, чтобы она таковой стала, на рабочем месте сотрудника банка нужно поставить систему распознавания лиц, в которую, нужно загрузить данные биометрии (фотографию), соответствующую ГОСТу. Тогда система автоматически будет считывать лица клиентов банка, распознавать и идентифицировать их. Сотрудником банка веб-камерой делается снимок, изображение сверяется с владельцем документа (удостоверяющего личность – паспорта, водительского удостоверения и т.п.), с целью аутентификации (подтверждения), т.е. всё, что касается собственно личности. Идентификации в Вашем случае не происходит. В данном случае снимок веб-камерой биометрическими данными не является (снимок не соответствует ГОСТу)».
Я, если честно, не знаю, где в законе написано про автоматическую идентификацию. Про использование данных для установления личности субъекта, которое подробно и описывается в ответе – читал и понял. И про ГОСТ ничего в законе я тоже не нашел.
Практика же правоприменения идет своим путем. К позиции краснодарских коллег: «ОАО «ОТП Банк» не было представлено письменное согласие гр. А. на обработку его биометрических персональных данных, обработка которых осуществляется ОАО «ОТП Банк» путем предоставления копии паспорта гр. А. при заполнении заявления на получение потребительского кредита», невзирая на мнение центрального аппарата и коллег из Татарстана, примкнули инспекторы из Марий Эл: «При снятии ксерокопии паспорта гражданина они [сотрудники «МПБ Идельбанк»], не получив его согласия, изготовили с паспорта копию его фотографического изображения. Обработка этих персональных данных без согласия гражданина запрещена законом».
И они не одиноки. Считают фотографию биометрическим персональными данными в Управлении Роскомнадзора по Приморскому краю, Владимирской области , похоже (точно утверждать не могу), - в области Ивановской.
И про ГОСТ ни в одном из актов-предписаний – ни гу-гу.
Ничего не буду комментировать. Думайте и решайте сами.
И считайте это еще одной иллюстрацией к проблеме выработки единого подхода к применению законодательства в странах с непрецедентной правовой системой.

9 комментариев:

  1. Не понимаю беззубость банков, вроде у всех юрслужба наличиствует. Волшебный 115ФЗ позволяет снять большинство вопросов с согласием клиентов и не только.

    ОтветитьУдалить
  2. Сергей, если честно, не понимаю, как 115-ФЗ снимает вопросы с отнесением к биометрии и согласием на ее обработку. А вот насчет беззубости - согласен. Вообще, во многих материалах приходится читать очень странные претензии, из закона никак не вытекающие. И проверяемые почему-то с этим соглашаются.

    ОтветитьУдалить
  3. Потому, что быть аморфной правовой амебой куда проще, чем защищать свои интересы. Вот и получается, что регулятор является инстанцией, определяющей вину, и чувствует в себе силушку богатырскую. И так будет до тех пор, пока народ не поймет, что наличие и степень тяжести вины должен устанавливать суд, но никак не контролер.

    ОтветитьУдалить
  4. Обработка биометрических персональных данных может осуществляться без согласия субъекта персональных данных в связи с реализацией международных договоров Российской Федерации о реадмиссии, в связи с осуществлением правосудия и исполнением судебных актов, а также в случаях, предусмотренных законодательством Российской Федерации об обороне, о безопасности, [b]о противодействии терроризму[/b], о транспортной безопасности, о противодействии коррупции, об оперативно-разыскной деятельности, о государственной службе, уголовно-исполнительным законодательством Российской Федерации, законодательством Российской Федерации о порядке выезда из Российской Федерации и въезда в Российскую Федерацию.

    ОтветитьУдалить
  5. 2Сергей. Мне такое обоснование кажется очень искусственным. В ФЗ-115 ничего про сканирование паспорта нет, привязывать его к определению "идентификация - совокупность мероприятий по установлению определенных настоящим Федеральным законом сведений о клиентах, их представителях, выгодоприобретателях, по подтверждению достоверности этих сведений с использованием оригиналов документов и (или) надлежащим образом заверенных копий" можно, но спорно. Кроме того, 115-ФЗ в 152-ФЗ выделяется в отдельную категорию законов. Так, в ст.14 часть 8: "Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе если...обработка персональных данных осуществляется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма", при этом этот закон не отождествляется с другими о безопасности (п.п 1 и 5 тоже части статьи)

    ОтветитьУдалить
  6. Конечно спорно, но спорить нужно. В конце концов регуляторы продавят значительное повышение штрафов, и нужно "тренироваться" уже сейчас, пока проигрыш не влечет больших издержек, а выигрыш позволит избежать их в будущем, причем весьма обозримом.

    ОтветитьУдалить
  7. Да, надо готовить аргументы и доказывать свою правоту, но, ИМХО, лучше бы это делали профобъединения, а не каждый отдельно. А у нас все борются фактически в одиночку, причем ходят при этом строго по одним и тем же граблям.

    ОтветитьУдалить
  8. Читая недавно один документ, регламентирующий обработку биометрии задал себе вопрос: что делать с клиентской зоной компании, в которой ведется видеозапись? На входе брать согласие?

    А с банкоматами что делать?

    ОтветитьУдалить
  9. 2Michael. Обратите внимание на ч.1 ст.11 152-ФЗ. Важнейшим признаком биометрических данных, обработка которых регламентируется 152-ФЗ, является их использование оператором для установления личности субъекта. Отсюда и танцуйте.

    ОтветитьУдалить