Обработка биометрических персональных данных при обслуживании домофонов: разъяснения Минцифры России
В связи с поступающими вопросами об осуществлении организациями обработки в целях аутентификации биометрических персональных данных (изображения лица человека) в процессе предоставления услуг домофонии Минцифры пояснило следующее.
Биометрическими персональными данными являются сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность.
По общему правилу использовать биометрические персональные данные для установления личности можно только при наличии согласия в письменной форме субъекта персональных данных (есть исключения).
Обработка биометрических персональных данных в целях идентификации и (или) аутентификации физических лиц автоматизированным способом регулируется Федеральным законом от 29 декабря 2022 г. № 572-ФЗ (далее - Закон № 572-ФЗ).
Определения понятий "идентификация" и "аутентификация" содержатся в ст. 2 Федерального закона № 572-ФЗ. Исходя из указанных определений, результатом идентификации или аутентификации является соответственно установление сведений о лице или установление такого лица.
Действие Закона № 572-ФЗ, в том числе установленных им требований, не распространяется на отношения, возникающие при осуществлении идентификации и (или) аутентификации с использованием биометрических персональных данных физических лиц, которые определены ч. 2 ст. 1 этого закона.
Следовательно, если организация не подпадает под данные исключения, но при этом осуществляет обработку биометрических персональных данных (изображение лица человека, полученное с помощью фотовидеоустройств, и запись голоса человека, полученная с помощью звукозаписывающих устройств), в целях аутентификации, то соблюдение такой организацией положений Закона № 572-ФЗ является обязательным.
Таким образом, если реализуемый в сервисе домофонии технический процесс соответствует определению аутентификации, то организациям, предоставляющим такой сервис, необходимо соблюдать требования Закона № 572-ФЗ.
Также в письме Минцифры напоминает, что при осуществлении идентификации и (или) аутентификации с использованием биометрических персональных данных физических лиц Законом № 572-ФЗ предусматривается обязательное взаимодействие с единой биометрической системой - либо в формате непосредственного использования, либо в формате взаимодействия с единой биометрической системой с целью получения векторов единой биометрической системы для аутентификации.
При этом аутентификация с использованием информационных систем организаций допускается только с использованием векторов единой биометрической системы и при одновременном выполнении ряда условий, предусмотренных Законом № 572-ФЗ, в число которых входит прохождение аккредитации.
Если же организацией предполагается осуществление непосредственного использования единой биометрической системы для идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, то такой организации не требуется проходить аккредитацию (Письмо Минцифры России от 28 декабря 2023 г. № П24-2-04-070-257558).
Источник: garant.ru