Биометрические персональные данные — это физиологические и биологические особенности человека, на основании которых можно установить его личность. К ним относятся: отпечатки пальцев, изображение лица (в том числе с фотографий), рисунок радужной оболочки глаза, голос (в биометрических системах), ДНК-профиль. Статус биометрических данных в российском праве закреплён в ч. 1 ст. 11 Федерального закона № 152-ФЗ.
Что является биометрическими данными
Важно разграничить: фотография сама по себе является биометрическими данными только если используется для идентификации личности. Если на сайте размещена фотография сотрудника исключительно в информационных целях — она биометрическими данными не является. Но если фото используется в системе распознавания лиц — это уже биометрия.
Перечень данных, признаваемых биометрическими:
- Отпечатки пальцев (дактилоскопия) в СКУД.
- Трёхмерная модель лица для разблокировки устройства или прохода через турникет.
- Рисунок сетчатки или радужной оболочки глаза.
- Голос в биометрических системах идентификации.
- Геометрия руки в системах биометрической аутентификации.
Требования к обработке биометрических данных
Часть 1 ст. 11 152-ФЗ устанавливает специальный режим для биометрических данных:
- Обработка допускается исключительно при наличии письменного согласия субъекта.
- Письменное согласие должно соответствовать всем требованиям ч. 4 ст. 9 152-ФЗ.
- Биометрические данные не могут обрабатываться на основании «иного правового основания» (договора, законного интереса).
Исключение: Без согласия субъекта биометрические данные могут обрабатываться в целях безопасности государства, обороны, правопорядка, а также при осуществлении правосудия.
Единая биометрическая система (ЕБС)
С 2022 года в России функционирует Государственная информационная система «Единая биометрическая система» (ЕБС). Федеральный закон № 572-ФЗ «Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных» установил особый порядок:
- Коммерческие организации вправе использовать биометрическую идентификацию исключительно через ЕБС.
- Самостоятельные коммерческие биометрические базы данных запрещены.
- Интеграция с ЕБС требует аккредитации и технической сертификации.
Практические ситуации
| Ситуация | Является ли биометрией | Требования |
|---|---|---|
| СКУД с картами | Нет | Обычные требования 152-ФЗ |
| СКУД с отпечатком пальца | Да | Письменное согласие сотрудников |
| Распознавание лиц на проходной | Да | Интеграция с ЕБС или письменное согласие |
| Фото сотрудника на сайте | Нет (без системы распознавания) | Обычное согласие + фото с согласия |
| Голосовой ассистент с идентификацией | Да | Письменное согласие |
Ответственность за нарушения
Незаконная обработка биометрических данных влечёт ответственность по ч. 2 ст. 13.11 КоАП — до 75 000 рублей для организаций. При повторном нарушении — до 300 000 рублей. В случае утечки биометрических данных применяются оборотные штрафы.
Связанные статьи
О порядке получения согласия на обработку данных читайте в статье Согласие на обработку персональных данных: правильная форма. Об ответственности оператора за нарушения — в материале Оператор персональных данных: обязанности и ответственность.
Итог
Биометрические данные требуют особой осторожности в обращении. Любая система биометрической идентификации должна быть легализована через ЕБС или обеспечена письменными согласиями. Проверьте, нет ли на вашем сайте или в бизнес-процессах незаконной биометрической обработки — используйте аудит на help152.ru.