02/06/2023
Единая биометрическая система: новые правила обработки биометрии
С 1 июня 2023 года вступает в силу запрет обработки отдельных видов биометрии вне Единой биометрической системы (далее – «ЕБС»). Это повлияет на возможность коммерческих организаций обрабатывать определенные виды биометрических данных.ЕБС была создана в соответствии с Федеральным законом от 29 декабря 2022 года № 572, который также регулирует процедуры идентификации и аутентификации физических лиц с использованием биометрических персональных данных (далее – «Закон»).Что такое Единая биометрическая система?ЕБС – это государственная информационная система, которая собирает биометрические персональные данные физических лиц и хранит их для последующей идентификации и аутентификации.На сегодняшний день ЕБС включает следующие виды биометрических персональных данных: (а) изображение человека; (б) запись голоса человека (далее – «Биометрические данные»). После 1 сентября 2024 года этот перечень может быть расширен.Закон устанавливает, что Биометрические данные для целей идентификации (то есть установление личности через принадлежащие ей Биометрические данные) и аутентификации (то есть подтверждение, что лицо, предоставившее Биометрические данные, является тем, за кого себя выдает) могут храниться только в ЕБС.Идентификацию с помощью Биометрических данных может осуществлять только оператор ЕБС – АО «Центр биометрических технологий».Аутентификацию с помощью данных, содержащихся в ЕБС, могут проводить либо оператор ЕБС, либо специально аккредитованные на это организации.Компании не имеют права самостоятельно проводить идентификацию или аутентификацию по Биометрическим данным.Что делать компаниям?До 30 сентября 2023 года все организации, хранящие у себя Биометрические данные, которые использовались для идентификации или аутентификации, должны передать их в ЕБС. Организации должны уведомить об этом физических лиц за 30 дней до передачи. После этого эти данные должны быть удалены.В дальнейшем компании могут осуществлять аутентификацию физических лиц по Биометрическим данным только через ЕБС или аккредитованные организации, но только при условии получения добровольного согласия физического лица.Например, пропускная система через автоматизированное считывание изображения или система подтверждения пользователей через голос могут быть реализованы только посредством интеграции с ЕБС или сервисом аккредитованной организации. Самостоятельно такую аутентификацию производить запрещено.Плюсом аутентификации через ЕБС является то, что личность физического лица считается установленной, и компании могут не собирать иные данные для подтверждения личности.ЕБС может не использоваться при:неавтоматизированной идентификации и аутентификации с использованием Биометрических данных уполномоченным сотрудником (например, пропускной режим через сравнение фото и посетителя живым человеком); ииспользовании другой биометрии, то есть не изображения или голоса, при условии соблюдения закона о персональных данных.ОтветственностьНа данный момент специальная ответственность за нарушение Закона отсутствует, но в Государственную Думу РФ внесен законопроект о штрафах за нарушения при использовании Биометрических данных. Данный законопроект может быть принят в ходе весенней сессии.Штраф для юридического лица сможет составить от 300 до 700 тысяч рублей (за повторное нарушение – от 1 до 1,5 миллионов рублей).РекомендацииТак как Закон вступает в силу уже завтра, мы рекомендуем организациям:проверить текущие процессы на наличие процессов идентификации и аутентификации с помощью Биометрических данных, в том числе планируемые к внедрению системы; искорректировать процессы, чтобы исключить применение Закона, либо внедрить идентификацию/аутентификацию через ЕБС в существующие и планируемые бизнес-процессы.