В соответствии с ч. 1 ст. 11 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» к биометрическим персональным данным относятся сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных.

Соответственно, в контексте Федерального закона «О персональных данных» отнесение сведений персонального характера к биометрическим персональным данным и их последующая обработка должны рассматриваться в рамках проводимых оператором мероприятий, направленных на установление личности конкретного лица, если иное не предусмотрено федеральными законами и принятыми на их основе нормативными правовыми актами.

Обработка биометрических персональных данных может осуществляться только при наличии согласия в письменной форме субъекта персональных данных, за исключением случаев, предусмотренных ч. 2 ст. 11 Федерального закона «О персональных данных, предусматривающей исключения, связанные с реализацией международных договоров Российской Федерации о реадмиссии, в связи с осуществлением правосудия и исполнением судебных актов, а также в случаях, предусмотренных законодательством Российской Федерации об обороне, о безопасности, о противодействии терроризму, о транспортной безопасности, о противодействии коррупции, об оперативно-розыскной деятельности, о государственной службе, уголовно-исполнительным законодательством Российской Федерации, законодательством Российской Федерации о порядке выезда из Российской Федерации и въезда в Российскую Федерацию.

Исходя из определения, установленного Федеральным законом «О персональных данных» к биометрическим персональным данным относятся физиологические данные (дактилоскопические данные, радужная оболочка глаз, анализы ДНК, рост, вес и другие), а также иные физиологические или биологические характеристики человека, в том числе изображение человека (фотография и видеозапись), которые позволяют установить его личность и используются оператором для установления личности субъекта.

По существу обработки фото- или видеоизображения субъекта персональных данных и распространения на указанную деятельность положений ст. 11 Федерального закона «О персональных данных» необходимо отметить следующее.

В соответствии со ст. 152.1 Гражданского кодекса Российской Федерации обнародование и дальнейшее использование изображения гражданина (в том числе его фотографии, а также видеозаписи или произведения изобразительного искусства, в которых он изображен) допускаются только с согласия этого гражданина. После смерти гражданина его изображение может использоваться только с согласия его законных представителей (супруги, дети, родители). Такое согласие не требуется в случаях, когда:

1) использование изображения осуществляется в государственных, общественных или иных публичных интересах.

(Согласно п. 25 постановления Пленума Верховного Суда Российской Федерации от 15 июня 2010 г. №16 к общественным интересам следует относить не любой интерес, проявляемый аудиторией, а, например, потребность общества в обнаружении и раскрытии угрозы демократическому правовому государству и гражданскому обществу, общественной безопасности, окружающей среде.

К таким интересам, к примеру, относится информация, связанная с исполнением своих функций должностными лицами и общественными деятелями. Соответственно, сообщение подробностей частной жизни лица, не занимающегося какой-либо публичной деятельностью, под данное исключение не подпадает).

2) изображение гражданина получено при съемке, которая проводится в местах, открытых для свободного посещения, или на публичных мероприятиях (собраниях, съездах, конференциях, концертах, представлениях, спортивных соревнованиях и подобных мероприятиях), за исключением случаев, когда такое изображение является основным объектом использования;

3) гражданин позировал за плату.

Исходя из смысла указанной статьи, опубликование, в том числе редакцией СМИ, фотографического изображения в случаях, предусмотренных ст. 152.1 Гражданского кодекса Российской Федерации, а также полученного из общедоступных источников не требует соблюдения условий, связанных с получением письменного согласия субъекта персональных данных.

Существуют положения нормативных правовых актов, прямо относящих фотографическое изображение к биометрическим персональным данным.

Согласно пункту 6 Перечня персональных данных, записываемых на электронные носители информации, содержащиеся в основных документах, удостоверяющих личность гражданина Российской Федерации, по которым граждане Российской Федерации осуществляют выезд из Российской Федерации и въезд в Российскую Федерацию, утвержденного постановлением Правительства Российской Федерации 4 марта 2010 г. № 125, цветное цифровое фотографическое изображение лица владельца документа является биометрическими персональными данными владельца документа.

В тоже время, необходимо принимать во внимание цель, которую преследует оператор при осуществлении действий, связанных с обработкой персональных данных, в том числе фотографического изображения, содержащихся в паспорте.

В случае, если они используются оператором для установления личности субъекта персональных данных (в том числе в случае проведения такой процедуры представителями операторов, имеющими полномочия на установление личности владельца паспорта), то данная обработка должна осуществляться в строгом соответствии со ст. 11 Федерального закона «О персональных данных».

Аналогичная ситуация с фотографическими изображениями сотрудников, посетителей государственных и муниципальных органов, предприятий (организации), содержащимися в системе контроля управления доступа (СКУД), которые являются биометрическими персональными данными, поскольку характеризуют физиологические и биологические особенности человека, позволяющие установить, принадлежит ли данному лицу предъявляемый СКУД пропуск, на основе которых можно установить его личность путем сравнения фото с лицом предъявителя пропуска и указываемых владельцем пропуска фамилии, имени и отчества с указанными в СКУД, и эти данные используются оператором для установления личности субъекта персональных данных в случае сомнения в том, что пропуск предъявляется его действительным владельцем.

Таким образом, фотографическое изображение и иные сведения, используемые для обеспечения однократного и/или многократного прохода на охраняемую территорию и установления личности гражданина, также относятся к биометрическим персональным данным.

В соответствии с ч. 1 ст. 11 Федерального закона «О персональных данных» обработка биометрических персональных данных в подобных случаях может осуществляться только при наличии согласия в письменной форме субъекта персональных данных.

В иных случаях, когда сканирование паспорта осуществляется оператором для подтверждения осуществления определенных действий конкретным лицом (например, заключение договора на оказание услуг, в том числе банковских, медицинских и т.п.) без проведения процедур идентификации (установления личности), данные действия не могут считаться обработкой биометрических персональных данных и ст. 11 Федерального закона «О персональных данных» не регулируются. Соответственно, обработка сведений, в данных случаях, осуществляется в соответствии с общими требованиями, установленными Федеральным законом «О персональных данных».

Аналогичный подход следует применять при осуществлении ксерокопирования документа, удостоверяющего личность.

Также не является биометрическими персональными данными фотографическое изображение, содержащиеся в личном деле работника, а также подпись лица, наличие которой в различных договорных отношениях является обязательным требованием, и почерк, в том числе анализируемый уполномоченными органами в рамках почерковедческой экспертизы. Все они не могут рассматриваться как биометрические персональные данные, поскольку действия с использованием указанных данных направлены на подтверждение их принадлежности конкретному физическому лицу, чья личность уже определена и чьи персональные данные уже имеются в распоряжении оператора.

Не являются биометрическим персональными данными рентгеновские или флюорографические снимки, характеризующие физиологические и биологические особенности человека, и находящиеся в истории болезни (медицинской карте) пациента (не имеет значения, бумажной или электронной), поскольку они не используются оператором (медицинским учреждением) для установления личности пациента. Но в случае их передачи по запросу субъектов оперативно-розыскной деятельности, органов следствия и дознания в рамках проводимых ими мероприятий указанные сведения становятся биометрическими персональными данными, поскольку используются операторами — органами следствия и дознания в целях установления личности конкретного лица.

Аналогичная позиция и с материалами видеосъемки в публичных местах и на охраняемой территории. До передачи их для установления личности снятого человека они не являются биометрическим персональными данными, обработка которых регулируется общими положениями Федерального закона «О персональных данных», поскольку не используются оператором (владельцем видеокамеры или лицом, организовавшим ее эксплуатацию) для установления личности. Однако, указанные материалы, используемые органами, осуществляющими оперативно-розыскную деятельность, дознание и следствие в рамках проводимых мероприятий, являются биометрическими персональными данными, в случае, если целью их обработки является установление личности конкретного физического лица.

Необходимо отметить, что при ведении видеонаблюдения в рабочих помещениях оператора с целью фиксации возможных действий противоправного характера согласно ст. 74 Трудового кодекса Российской Федерации работники должны быть уведомлены об изменении условий трудового договора по причинам, связанным с изменением организационных или технологических условий труда (введением видеонаблюдения), под роспись.

Вместе с тем, посетители указанных публичных мест должны заранее предупреждаться их администрацией о возможной фото-, видеосъемке, соответствующими текстовыми и/или графическими предупреждениями. При соблюдении указанных условий согласие субъектов на проведение указанных мероприятии не требуется.

Видеонаблюдение может осуществляться только для конкретных и заранее определенных целей. Эти цели должны быть обусловлены соответствующими нормативными правовыми актами, устанавливающими правовые основания видеонаблюдения (видеосъемки).

Кроме того, необходимо отдельно отметить случаи открытого наблюдения, которое ведется в целях обеспечения прав пациентов, клиентов, потребителей при осуществлении тех или иных услуг населению (например, медицинских или по производству продуктов питания), путем установления видеокамер направленных на рабочие места сотрудников с целью осуществления контроля качества предоставляемых услуг.

В целях установления дополнительных гарантий соблюдения прав как потребителей (пациентов, клиентов), а также самих работников и сотрудников должны быть приняты внутренние документы, которыми должны быть предусмотрены порядок и сроки хранения видеозаписей, а также ответственные лица, имеющие доступ к системе видеонаблюдения. Также необходимо предусмотреть возможность информирования о системе видеонаблюдения путем размещения информационных табличек в зонах видимости камер.

Вместе с тем, если в результате опубликования фотографий или видеозаписи, возникает реальная угроза жизни и здоровью гражданина, либо ему наносятся моральные страдания, то на основании его мотивированного обращения распространение (демонстрация) данной информации должно быть прекращено.

Наличие согласия на обработку персональных данных либо иных законных оснований (договор) также необходимо в случае использования изображения гражданина в рекламных целях.

Соблюдение указанных условий должно осуществляться средствами массовой информации на этапе предоставления заказчиком соответствующих материалов.

По существу отнесения к биометрическим персональным данным дактилоскопической информации, а также их обработки в биометрических системах идентификации, построенных на использовании в качестве идентификаторов информации об особенностях строения папиллярных узоров пальцев рук человека (дактилоскопической информации), необходимо учитывать следующее.

Обработка дактилоскопической информации в системе биометрической идентификации осуществляется путем преобразования изображения папиллярных узоров на промежуточной поверхности в цифровую форму и размещения полученных данных в базе данных в виде биометрического информационного шаблона.

Принимая во внимание, что целью обработки указанных сведений в системах биометрической идентификации является установление личности конкретного лица, а также тот факт, что данная информация, содержащаяся в шаблоне, характеризует физиологические и биологические особенности человека — субъекта персональных данных, то она относится к биометрическим персональным данным, обработка которых должна осуществляться в соответствии со ст. 11 Федерального закона «О персональных данных», а также Федеральным законом от 25.07.1998 № 128-ФЗ «О государственной дактилоскопической регистрации в Российской Федерации».

Ввиду изложенного, во всех случаях, не подпадающих под указанные в ч. 2 ст. 11 Федерального закона «О персональных данных», для использования дактилоскопической информации в системах идентификации, контроля и управления доступом необходимо получение от субъекта или его представителя согласия в письменной форме на обработку его биометрических персональных данных по правилам, установленным ч. 4 ст. 9 Федерального закона «О персональных данных».

В связи с введением безвизового режима для украинцев в Европе появилась новая схема мошенничества при трудоустройстве. На просторах интернета, а особенно в социальных сетях, стали появляться объявления про набор работников в Европу по биометрическому паспорту.
Часто предлагают работу в Германии, Нидерландах, Норвегии через легализацию по прибытию в страну назначения. Кандидатам на работу необходимо понимать, что такой легальной работы для неквалифицированных работников нет. Исключение составляют специалисты в IT сфере, инженеры, архитекторы и т.д., но они должны знать язык и им действительно оформляются рабочие визы.
Самые распространенные схемы обмана при трудоустройстве за границу:
— Работа в Европе по биометрическим паспортам. Легально работать по биометрический паспорт можно только в Польше и только 3 месяца. Для пересечения границы необходимо приглашение от работодателя. Если Вам предлагают проходить границу как туристу, то у Вас должны возникнут сомнения — знайте, вас обманывают.
— Работа в Европе по польской рабочей визе (самый распространенный направление — Чехия). Для того чтобы работать в странах Европы по польской визе, у Вас должен быть не только контракт с польской фирмой, но и оформлена командировка (она оформляется максим на 3 месяца). Если Вам предлагают работу по польской рабочей визе как разнорабочему в странах Европы, кроме Польши, то, скорее всего, Вы будете работать НЕ легально. Легальная схема оформления работников в командировку существует для польских строительных фирм, имеющих контракты на выполнение работы в других странах Евросоюза.
— Работа в Израиле. Фирмы, трудоустраивающие в Израиле, обычно советуют ехать работнику в качестве туриста, а там, по приезду, запрашивать статус беженца. Естественно, что в данном случае гарантий официального трудоустройства не может быть. Рабочие визы разнорабочим, Израиль не выдает.

Какие нормы защищают мои биометрические персональные данные?

Конвенция Совета Европы № 108 «О защите физических лиц в отношении автоматизированной обработки персональных данных», которую ратифицировала Россия. Предусматривает охрану персональных данных при их автоматизированной обработке, говорит о праве субъекта на персональные данные.

Статья 23 Конституции РФ гарантирует каждому право на неприкосновенность частной жизни, личную и семейную тайну. Эта норма определяет границы, которые оператор персональных данных не вправе переступать при получении и при обработке информации о человеке.

Статьи 137 и 272 УК РФ говорят об уголовной ответственности за незаконный сбор или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, и неправомерный доступ к охраняемой законом компьютерной информации. По этим же статьям вас могут и осудить, как историка Михаила Супруна, если кому-то покажется, что вы разглашаете личную информацию. Об этом мы рассказывали в докладе о доступе к информации в России.

Закон «О персональных данных» устанавливает перечень данных, обработка которых запрещена, кроме особых случаев: о расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья и интимной жизни. Исключительные случаи, при которых такие данные могут обрабатывать: если реализуется международный договор Российской Федерации, осуществляется правосудие, исполняются судебные акты, и в других случаях, предусмотренных законодательством РФ об обороне, безопасности и противодействии терроризму.

Биометрические данные по тому же закону, могут обрабатываться только при наличии согласия в письменной форме от субъекта персональных данных. Согласие должно быть осознанным и без принуждения, быть конкретным и определенным: какие данные и кому передаются. Например, участники гражданского и уголовного процессов могут возражать против приобщения видеозаписи к гражданскому или уголовному делу, если запись велась с нарушением закона. Работодатель должен получить письменное согласие работника на обработку персональных данных, чтобы разместить фото на пропуске. Об этом говорит определение ВС от 05.03.2018 № 307-КГ18-101.

Организации при обработке информации о физических лицах обязаны принимать организационные и технические меры для её защиты от неправомерного или случайного доступа. Закон о персональных данных обязывает все компании–операторы персональных данных назначить лицо, ответственное за организацию их обработки.

По общему правилу, оператор не может передавать персональные данные третьим лицам без согласия субъекта персональных данных. Без согласия позволяется передавать информацию правоохранительными органам.

Из разъяснений Роскомнадзора следует, что согласие на обработку персональных данных нельзя получить по телефону или через смс-сообщения.

Персональные данные россиян, по 242-ФЗ, можно обрабатывать только с использованием размещенных в России баз данных. Сведения о месте нахождения таких баз оператор персональных данных должен направлять в Роскомнадзор. За нарушение порядка обработки информации по решению суда доступ к сайту блокируют.

Кодекс административных правонарушений (КоАП) предусматривает штраф за нарушение порядка обработки персональных данных (ст. 13.11). Юридические лица могут заплатить от 30 тысяч до 50 тысяч рублей за обработку персональных данных в непредусмотренных законом случаях и от 15 до 75 тысяч рублей за обработку персональных данных без письменного согласия.

С 25 мая все операторы данных, которые работают с персональной информацией о гражданах ЕС, должны выполнять новые правила GDPR (General Data Protection Regulation), мы уже писали о них. Они затронут многие российские компании, обрабатывающие персональные данные граждан ЕС — тех, кто не ведёт бизнес в ЕС, не затронут. Новые правила объединяют и ужесточают все ранее существовавшие в европейских странах нормы защиты персональных данных. Компании, управляющие персональными данными, получат огромные штрафы, если не смогут обеспечить безопасность данных. Санкции нарушителям нового европейского регламента строже, чем в КоАП: до 20 млн евро или 4 % от мирового годового оборота за финансовый год.

В начало

Министерство цифрового развития, связи и массовых коммуникаций

Российской Федерации

Приказ

Москва

Об утверждении порядка обработки, включая сбор и хранение, параметров биометрических персональных данных в целях идентификации, порядка размещения и обновления биометрических персональных данных в единой биометрической системе, а также требований к информационным технологиям и техническим средствам, предназначенным для обработки биометрических персональных данных в целях проведения идентификации

ПРИКАЗЫВАЮ:

1. Утвердить прилагаемые:

порядок обработки, включая сбор и хранение, параметров биометрических персональных данных в целях идентификации;

порядок размещения и обновления биометрических персональных данных в единой биометрической системе;

требования к информационным технологиям и техническим средствам, предназначенным для обработки биометрических персональных данных в целях проведения идентификации.

2. Направить настоящий приказ на государственную регистрацию в Министерство юстиции Российской Федерации.

3. Контроль за исполнением настоящего приказа возложить на статс-секретаря — заместителя Министра цифрового развития, связи и массовых коммуникаций Российской Федерации О.Б. Пака.

4. Настоящий приказ вступает в силу со дня его официального опубликования.

Министр К.Ю. Носков

Приложение № 1

к приказу

Министерства цифрового развития,

связи и массовых коммуникаций

Российской Федерации

от __________ № ___________

Порядок обработки, включая сбор и хранение, параметров биометрических персональных данных в целях идентификации

1. Настоящий порядок устанавливает процедуру обработки, включая сбор и хранение, параметров биометрических персональных данных в целях идентификации гражданина Российской Федерации, в том числе с применением информационных технологий без его личного присутствия (далее — идентификация, Порядок).

3. В настоящем Порядке используются термины и определения, установленные в:

межгосударственном стандарте ГОСТ ISO/IEC 2382-37-2016 «Информационные технологии (ИТ). Словарь. Часть 37. Биометрия», введенном в действие приказом Федерального агентства по техническому регулированию и метрологии от 28 февраля 2017 года № 71-ст. (М., ФГУП «Стандартинформ», 2017);

национальном стандарте Российской Федерации ГОСТ ISO/IEC 19794-1-2015 «Информационные технологии. Биометрия. Форматы обмена биометрическими данными. Часть 1. Структура», утвержденном приказом Федерального агентства по техническому регулированию и метрологии от 20 ноября 2015 года № 1928-ст «О введении в действие межгосударственного стандарта» (М., ФГУП «Стандартинформ», 2016);

национальном стандарте Российской Федерации ГОСТ Р ИСО/МЭК 19794-5-2013 «Информационные технологии. Биометрия. Форматы обмена биометрическими данными. Часть 5. Данные изображения лица», утвержденном приказом Федерального агентства по техническому регулированию и метрологии от 06 сентября 2013 года № 987-ст «Об утверждении национального стандарта» (М., ФГУП «Стандартинформ», 2015);

национальном стандарте Российской Федерации ГОСТ Р ИСО/МЭК 29794-1-2012 «Информационные технологии. Биометрия. Качество биометрических образцов. Часть 1. Структура», утвержденном приказом Федерального агентства по техническому регулированию и метрологии от 18 сентября 2012 года № 351-ст «Об утверждении национального стандарта» (М., ФГУП «Стандартинформ», 2013);

национальном стандарте Российской Федерации ГОСТ Р 57580.1-2017 «Национальный стандарт Российской Федерации. Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый набор организационных и технических мер», утвержденного приказом Федерального агентства по техническому регулированию и метрологии от 8 августа 2017 года № 882-ст «Об утверждении национального стандарта» (М., ФГУП «Стандартинформ», 2017).

4. В соответствии с настоящим порядком осуществляется обработка параметров биометрических персональных данных физического лица – гражданина Российской Федерации следующих видов (далее — субъект):

данные изображения лица; данные голоса.

5. Для обработки биометрических персональных данных применяются информационные технологии и технические средства, имеющие подтверждение соответствия требованиям к информационным технологиям и техническим средствам, предназначенным для обработки биометрических персональных данных в целях проведения идентификации согласно приложению № 3 к настоящему Приказу.

В целях обеспечения подтверждения соответствия, предусмотренного абзацем первым настоящего пункта, государственный орган, банк, иная организация в случаях, определенных федеральными законами (далее — орган или организация), направляет в Министерство цифрового развития, связи и массовых коммуникаций Российской Федерации (далее — уполномоченный орган) следующие сведения, документы либо их заверенные копии:

документы, подтверждающие право собственности заявителя либо иное законное основание использования информационных технологий и технических средств, предназначенных для обработки изображения лица и данных голоса;

наименование, модель и тип технических средств, предназначенных для обработки изображения лица и данных голоса, а также эксплуатационные документы на указанные технические средства;

сведения о приведенном фокусном расстоянии, применяемом для регистрации изображения лица, содержащиеся в технической документации на техническое средство (предоставляются органами и организациями, осуществляющими размещение в единой биометрической системе биометрических персональных данных субъекта).

Подтверждение соответствия требованиям к информационным технологиям и техническим средствам, предназначенным для обработки биометрических персональных данных в целях проведения идентификации осуществляется уполномоченным органом в течение 30 дней с даты получения указанных документов и сведений.

6. Сбор параметров биометрических персональных данных субъекта персональных данных производится при его личном присутствии уполномоченным сотрудником органа или организации с целью создания биометрического контрольного шаблона, хранение которого осуществляется в единой информационной системе персональных данных, обеспечивающей обработку, включая сбор и хранение биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным гражданина Российской Федерации (далее – единая биометрическая система).

Биометрические контрольные шаблоны используются в процессе проведения идентификации гражданина Российской Федерации с использованием информационных технологий.

Уполномоченный сотрудник органа и организации при сборе параметров биометрических персональных данных в целях проведения идентификации гражданина Российской Федерации подписывает собранные биометрические персональные данные простой электронной подписью.

7. Органы и организации обязаны принимать организационно-распорядительные меры, предусматривающие:

определение уполномоченных сотрудников, осуществляющих сбор параметров биометрических персональных данных в целях проведения идентификации гражданина Российской Федерации, и выдачу им ключей простой электронной подписи;

использование уполномоченными сотрудниками, осуществляющими сбор параметров биометрических персональных данных в целях проведения идентификации гражданина Российской Федерации, в качестве ключа простой электронной подписи идентификатора, которым является страховой номер индивидуального лицевого счета сотрудника, пароля ключа и иной аутентифицирующей информации (не являющейся паролем), уникальных для каждого сотрудника;

защищенное хранение выданных уполномоченным сотрудникам, осуществляющим сбор параметров биометрических персональных данных в целях проведения идентификации гражданина Российской Федерации, ключей простой электронной подписи, обеспечивающее их конфиденциальность и исключающее несанкционированное изменение, добавление и удаление;

сохранение идентификатора уполномоченного сотрудника, осуществляющего сбор параметров биометрических персональных данных в целях проведения идентификации гражданина Российской Федерации, и результата его аутентификации в составе данных, содержащих биометрические персональные данные, собранные указанным сотрудником, и иную информацию, указанную в пункте 14 настоящего Порядка.

8. Уполномоченные сотрудники, осуществляющие сбор параметров биометрических персональных данных в целях проведения идентификации гражданина Российской Федерации, обязаны соблюдать конфиденциальность выданных им паролей ключа простой электронной подписи и аутентифицирующей информации (не являющейся паролем). Сотрудники, осуществляющие создание, выдачу и хранение ключей простой электронной подписи, обязаны соблюдать конфиденциальность ключей простой электронной подписи, к которым имеют доступ.

9. В дополнение к мерам, предусмотренным пунктом 7 настоящего Порядка, банки должны обеспечивать:

1) информирование Банка России о выявленных инцидентах, связанных с нарушениями требований к обеспечению защиты информации при обработке, включая сбор и хранение, параметров биометрических персональных данных в целях идентификации (далее — инциденты безопасности, требования по защите информации соответственно), которые привели или могут привести к нарушению или попыткам нарушения целостности, конфиденциальности и (или) доступности защищаемой информации.

Банки осуществляют информирование Банка России о выявленных инцидентах безопасности не позднее одного рабочего дня с момента их выявления.

2) ежегодное проведение оценки соответствия требований по защите информации с привлечением сторонних организаций, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации на проведение работ и услуг, предусмотренных подпунктами «б», «д» или «е» пункта 4 Положения о лицензировании деятельности по технической защите конфиденциальной информации, утвержденного постановлением Правительства Российской Федерации от 3 февраля 2012 года № 79 «О лицензировании деятельности по технической защите конфиденциальной информации» (Собрание законодательства Российской Федерации, 2012, № 7, ст. 863; 2016, № 26, ст. 4049).

В случае отзыва субъектом персональных данных в соответствии с частью 2 статьи 9 Федерального закона № 152-ФЗ согласия на обработку персональных данных, использование его биометрических персональных данных в целях проведения идентификации не осуществляется.

11. В процессе обработки параметров биометрических персональных данных создаются биометрические образцы данных изображения лица субъекта (далее – БО изображения лица) и биометрические образцы данных голоса (далее — БО записи голоса).

12. БО изображения лица должны соответствовать следующим требованиям: цвета пикселей изображений фронтального типа должны быть представлены в

24-битовом цветовом пространстве RGB, в котором на каждый пиксель приходится по 8 битов на каждый компонент цвета: красный, зеленый и синий;

поворот головы должен быть не более 5° от фронтального положения;

наклон головы должен быть не более 5° от фронтального положения;

отклонение головы должно быть не более 8° от фронтального положения;

расстояние между центрами глаз должно составлять не менее 120 пикселей;

при расстоянии между центрами глаз 120 пикселей значение горизонтального размера изображения лица должно составлять не менее 480 пикселей;

при расстоянии между центрами глаз 120 пикселей значение вертикального размера изображения лица должно составлять не менее 640 пикселей;

не допускается перекрытие волосами или посторонними предметами изображение лица по всей ширине от бровей до нижней губы;

на изображении должно присутствовать только одно лицо, наличие других лиц, фрагментов других лиц не допускается;

выражение лица должно быть нейтральным, рот закрыт, оба глаза открыты нормально для соответствующего субъекта (с учетом поведенческих факторов и (или) медицинских заболеваний);

лицо должно быть равномерно освещено, чтобы на изображении лица отсутствовали тени и блики;

не допускается использование ретуши и редактирования изображения;

допускается кадрирование изображения;

в случае фотографирования человека в очках не допускается наличие солнцезащитных очков и ярких световых артефактов или отражения вспышки от очков;

изображение лица должно быть сохранено в формате .jpeg или .png; код сжатия: JPEG (0x00), PNG (0x03).

13. БО записи голоса должны соответствовать следующим требованиям:

отношение сигнал-шум для звука не менее 15 дБ;

глубина квантования не менее 16 бит;

частота дискретизации не менее 16 кГц;

запись голоса должна быть сохранена в формате RIFF (WAV);

код сжатия: PCM/uncompressed (0x0001)

количество каналов в записи голоса: 1 (моно режим) канал;

не допускается использовать шумоподавление;

на записи должен присутствовать голос одного человека;

запрещено получение БО записи голоса путем перекодирования фонограмм, записанных с помощью технических средств телефонной сети общего пользования;

для текстозависимого алгоритма распознавания по голосу:

произнесенное субъектом сообщение должно соответствовать последовательности букв и (или) цифр, сгенерированной программным обеспечением информационной системы органа или организации;

запись голоса должна содержать указанную последовательность полностью и не должна прерываться;

при осуществлении записи голоса эмоционально-психологическое состояние и состояние субъекта должно быть нормальным, не возбужденным, без явных признаков заболеваний, препятствующих произнесению сообщения, указанного в абзаце двенадцатом настоящего пункта, или способных нарушить тембр и (или) звучание голоса;

сообщение, указанное в абзаце двенадцатом настоящего пункта, должно быть произнесено субъектом на русском языке.

14. Собранные уполномоченными сотрудниками органов и организаций биометрические образцы в автоматизированном режиме проверяются в информационных системах таких органов и организаций, на соответствие требованиям, установленным пунктами 12, 13 настоящего Порядка (далее — контроль качества).

15. Если в случае прохождения контроля качества установлено соответствие биометрических образцов требованиям, указанным в пунктах 12, 13 настоящего Порядка, такие образцы, содержащие, в том числе, метку даты, времени и места, передаются органами и организациями в единую биометрическую систему с использованием единой системы межведомственного электронного взаимодействия.

16. В единой биометрической системе переданные биометрические образцы проходят контроль качества с использованием программного обеспечения указанной системы.

В случае если в процессе прохождения контроля качества, осуществляемого в соответствии с абзацем первым настоящего пункта, установлено не соответствие биометрических образцов требованиям, указанным в пунктах 12, 13 настоящего Порядка, в единой биометрической системе, создание биометрического контрольного шаблона не осуществляется.

17. Хранение биометрических персональных данных, размещенных в единой биометрической системе, в целях идентификации осуществляется в соответствии со статьей 19 Федерального закона № 152-ФЗ в течение не менее чем 50 лет с момента их размещения в указанной системе.

Биометрические персональные данные, собранные в соответствии с настоящим Порядком, размещенные в единой биометрической системе, а также обрабатываемые в информационных системах органов и организаций, используются в целях идентификации не более 3 лет с даты сбора.

По истечении срока, указанного в абзаце втором настоящего пункта, использование биометрических персональных данных, размещенных в единой биометрической системе, в целях идентификации не допускается.

Приложение 2

к приказу

Министерства цифрового развития,

связи и массовых коммуникаций

Российской Федерации

от __________ № ___________

Порядок размещения и обновления биометрических персональных данных в единой биометрической системе

1. Порядок размещения и обновления биометрических персональных данных в единой информационной системе персональных данных, обеспечивающей обработку, включая сбор и хранение биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным гражданина Российской Федерации (далее -единая биометрическая система), устанавливает процедуру размещения и обновления биометрических персональных данных в единой биометрической системе в целях идентификации гражданина Российской Федерации, в том числе, с применением информационных технологий без его личного присутствия (далее -идентификация, Порядок).

3. Размещение и обновление в единой биометрической системе биометрических персональных данных осуществляются в соответствии с законодательством Российской Федерации в области персональных данных и настоящим Порядком.

4. Размещение и обновление биометрических персональных данных в единой биометрической системе осуществляется органами и организациями с использованием единой системы межведомственного электронного взаимодействия.

5. Обновление сведений в единой биометрической системе осуществляется в соответствии с порядком обработки, включая сбор и хранение, параметров биометрических персональных данных в целях идентификации в соответствии с приложением 1 к настоящему приказу (далее — Порядок обработки).

6. При размещении и обновлении сведений в единой биометрической системе банки должны осуществлять информирование Банка России о выявленных инцидентах безопасности в соответствии с подпунктом 1 пункта 9 Порядка обработки.

7. Размещение и обновление сведений в единой биометрической системе осуществляется в соответствии с требованиями к фиксированию действий в соответствии с пунктом 1 части 2 статьи 14.1 Федерального закона № 149-ФЗ.

8. Биометрические персональные данные, а также иная информация, указанная в пункте 15 Порядка обработки, размещаются и обновляются в единой биометрической системе уполномоченным сотрудником органов и организаций, (далее уполномоченные сотрудники) и подписываются усиленной квалифицированной электронной подписью такого органа или организации, основанной на квалифицированном сертификате ключа проверки электронной подписи, выдаваемом такому органу или организации головным удостоверяющим центром, функции которого осуществляет федеральный орган исполнительной власти, уполномоченный в сфере использования электронной подписи.

9. Размещение биометрических персональных данных гражданина Российской Федерации в единой биометрической системе осуществляется, если гражданин Российской Федерации прошел процедуру регистрации в единой системе идентификации и аутентификации в соответствии с положением о федеральной государственной информационной системе «Единая система идентификации и аутентификации в инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме», утвержденным приказом Министерства связи и массовых коммуникаций Российской Федерации от 13.04.2012 № 107 (далее — Положение)1.

Размещение биометрических персональных данных гражданина Российской Федерации в единой биометрической системе осуществляется при условии, что личность гражданина Российской Федерации удостоверена в соответствии с подпунктом «з» пункта 6.1 Положения.

10. В случае если гражданин Российской Федерации не зарегистрирован в единой системе идентификации и аутентификации, уполномоченный сотрудник после проведения идентификации гражданина Российской Федерации осуществляет с его согласия процедуру регистрации в единой системе идентификации и аутентификации, в соответствии с Положением.

11. Если сведения, необходимые для регистрации гражданина Российской Федерации в единой системе идентификации и аутентификации, внесены в указанную систему, но процесс регистрации в соответствии с пунктом 9 Порядка не завершен, уполномоченное лицо перед сбором параметров биометрических персональных данных с согласия гражданина Российской Федерации размещает или обновляет в электронной форме в единой системе идентификации и аутентификации сведения, необходимые для регистрации в ней, а также устанавливает личность соответствующего гражданина Российской Федерации и вносит в единую систему идентификации и аутентификации сведения о способе установления личности заявителя в соответствии с Положением.

12. При наличии у гражданина Российской Федерации учетной записи в единой системе идентификации и аутентификации, уполномоченный сотрудник осуществляет сбор биометрических персональных данных и размещение их в единой биометрической системе.

13. Размещенные в единой биометрической системе биометрические персональные данные гражданина Российской Федерации используются в целях идентификации гражданина Российской Федерации, в случае завершения регистрации соответствующего гражданина Российской Федерации в единой системе идентификации и аутентификации при условии, что личность гражданина Российской Федерации удостоверена в соответствии с подпунктом «з» пункта 6.1 Положения.

14. Обновление биометрических персональных данных в единой биометрической системе в целях идентификации осуществляется гражданином Российской Федерации добровольно в следующих случаях:

1) по истечении 3 лет с момента их размещения в указанной системе;

2) по инициативе гражданина Российской Федерации.

Приложение 3

к приказу

Министерства цифрового развития,

связи и массовых коммуникаций

Российской Федерации

от __________ № ___________

Требования к информационным технологиям и техническим средствам, предназначенным для обработки биометрических персональных данных в целях проведения идентификации

1. В Требованиях к информационным технологиям и техническим средствам, предназначенным для обработки биометрических персональных данных в целях проведения идентификации (далее — Требования) используются термины и определения, установленные в:

межгосударственном стандарте ГОСТ ISO/IEC 2382-37-2016 «Информационные технологии (ИТ). Словарь. Часть 37. Биометрия», введенном в действие приказом Федерального агентства по техническому регулированию и метрологии от 28 февраля 2017 года № 71-ст. (М., ФГУП «Стандартинформ», 2017);

национальном стандарте Российской Федерации ГОСТ ISO/IEC 19794-1-2015 «Информационные технологии. Биометрия. Форматы обмена биометрическими данными. Часть 1. Структура», утвержденном приказом Федерального агентства по техническому регулированию и метрологии от 20 ноября 2015 года № 1928-ст «О введении в действие межгосударственного стандарта» (М., ФГУП «Стандартинформ», 2016);

национальном стандарте Российской Федерации ГОСТ Р ИСО/МЭК 19794-5-2013 «Информационные технологии. Биометрия. Форматы обмена биометрическими данными. Часть 5. Данные изображения лица», утвержденном приказом Федерального агентства по техническому регулированию и метрологии от 06 сентября 2013 года № 987-ст «Об утверждении национального стандарта» (М., ФГУП «Стандартинформ», 2015);

национальном стандарте Российской Федерации ГОСТ Р ИСО/МЭК 29794-1-2012 «Информационные технологии. Биометрия. Качество биометрических образцов. Часть 1. Структура», утвержденном приказом Федерального агентства по техническому регулированию и метрологии от 18 сентября 2012 года № 351-ст «Об утверждении национального стандарта» (М., ФГУП «Стандартинформ», 2013);

национальном стандарте Российской Федерации ГОСТ Р 57580.1-2017 «Национальный стандарт Российской Федерации. Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый набор организационных и технических мер», утвержденного приказом Федерального агентства по техническому регулированию и метрологии от 8 августа 2017 года № 882-ст «Об утверждении национального стандарта» (М., ФГУП «Стандартинформ», 2017).

2. Требования к информационным технологиям и техническим средствам, предназначенным для обработки изображения лица в целях проведения идентификации:

а) для регистрации изображения лица необходимо использовать фото- или видеокамеру (далее — камера) со следующими характеристиками:

разрешение получаемого изображения: не менее 1280×720 пикселей;

эквивалентное фокусное расстояние должно составлять от 31 до 100 мм при расположении субъекта на расстоянии 0,3-0,5 м от камеры; эквивалентное фокусное расстояние должно составлять от 28 мм до 100 мм от камеры при расположении субъекта на расстоянии 0,51-1,0 м от камеры;

фото-видеосъемка должна проводится при использовании режима автоматической корректировки баланса белого цвета.

б) используемые источники освещения должны создавать в области лица освещенность:

для фото-видеокамер без автоматической коррекции освещенности не менее — 300 лк;

для фото-видеокамер с автоматической коррекцией освещенности не менее -100 лк.

3. Требования к информационным технологиям и техническим средствам, предназначенным для обработки данных голоса в целях проведения идентификации:

а) Для регистрации записи голоса необходимо использовать микрофон со следующими характеристиками:

тип: конденсаторный, без автоматической регулировки усиления;

соотношение сигнал/шум: не менее 58 дБ;

диапазон частот: от 40 до 10000 Гц;

чувствительность: не менее — 30 дБ;

форма диаграммы направленности: всенаправленная, кардиоида, суперкардиоида или гиперкардиоида.

4. Защита от подбора, обеспечиваемая в единой биометрической системе, неподлинных биометрических образцов должна быть в объеме не менее 104 попыток на каждый образец.

5. Банки при обработке, включая сбор и хранение, параметров биометрических персональных данных в целях идентификации должны использовать информационные технологии и технические средства, которые соответствуют 2-му уровню защиты информации (стандартный), установленному национальным стандартом Российской Федерации ГОСТ Р 57580.1-2017 «Национальный стандарт Российской Федерации. Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый набор организационных и технических мер», утвержденному приказом Федерального агентства по техническому регулированию и метрологии от 8 августа 2017 года № 882-ст «Об утверждении национального стандарта» (М., ФГУП «Стандартинформ», 2017).