Понимание, что такое персональные данные и их виды, позволяет определить требования законодательства к их защите. Непринятие мер защиты индивидуальных сведений или недостаточность такой защиты является основанием привлечения компании к ответственности.
<Письмо> Минцифры России от 17.07.2020 N ОП-П24-070-19433
МИНИСТЕРСТВО ЦИФРОВОГО РАЗВИТИЯ, СВЯЗИ
И МАССОВЫХ КОММУНИКАЦИЙ РОССИЙСКОЙ ФЕДЕРАЦИИ
ПИСЬМО
от 17 июля 2020 г. N ОП-П24-070-19433
О РАССМОТРЕНИИ ОБРАЩЕНИЯ
Министерство цифрового развития, связи и массовых коммуникаций Российской Федерации рассмотрело обращение с просьбой разъяснить нормы Федерального закона от 27.07.2006 г. N 152-ФЗ "О персональных данных" (далее - Закон о персональных данных) и в рамках компетенции сообщает следующее.
Порядок обработки биометрических персональных данных регулируется ст. 11 Закона о персональных данных. В соответствии с ч. 1 ст. 11 Закона о персональных данных сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные) и которые используются оператором для установления личности субъекта персональных данных, могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.
Фотографические изображения посетителей организации, содержащиеся в системе контроля управления доступа (СКУД), будут являться биометрическими персональными данными, поскольку они характеризуют физиологические и биологические особенности человека, позволяют установить, принадлежит ли данному лицу предъявляемый СКУД пропуск, на основе которого можно установить его личность путем сравнения фото с лицом предъявителя пропуска и указываемых владельцем пропуска фамилии, имени и отчества с указанными в СКУД.
Таким образом, фотографическое изображение и иные сведения, используемые для обеспечения однократного и/или многократного прохода на охраняемую территорию и установления личности гражданина, также относятся к биометрическим персональным данным.
В качестве одного из оснований обработки биометрических персональных данных установлено наличие согласия в письменной форме субъекта персональных данных.
Положениями ч. 2 ст. 11 Закона о персональных данных установлены случаи, при наступлении которых согласие в письменной форме субъекта персональных данных, не требуется.
Так, согласно указанной норме обработка биометрических персональных данных может осуществляться без согласия субъекта персональных данных в связи с реализацией международных договоров Российской Федерации о реадмиссии, в связи с осуществлением правосудия и исполнением судебных актов, в связи с проведением обязательной государственной дактилоскопической регистрации, а также в случаях, предусмотренных законодательством Российской Федерации об обороне, о безопасности, о противодействии терроризму, о транспортной безопасности, о противодействии коррупции, об оперативно-разыскной деятельности, о государственной службе, уголовно-исполнительным законодательством Российской Федерации, законодательством Российской Федерации о порядке выезда из Российской Федерации и въезда в Российскую Федерацию, о гражданстве Российской Федерации.
Общий подход предоставления согласия, закрепленный в ч. 2 ст. 9 Закона о персональных данных, предусматривающий предоставление согласия субъекта персональных данных или его законного представителя в случае обработки биометрических персональных данных не применим, поскольку в соответствии с ч. 1 ст. 11 Закона о персональных данных соответствующее согласие в письменной форме может быть предоставлено исключительно субъектом персональных данных. Возможность делегирования права предоставления согласия в указанном случае законодательством Российской Федерации в области персональных данных не установлено.
Во всех случаях, не подпадающих под указанные в ч. 2 ст. 11 Закона о персональных данных, необходимо получение от субъекта личного согласия в письменной форме на обработку его биометрических персональных данных.
Таким образом, обработка биометрических персональных данных учащихся с согласия в письменной форме законного представителя субъекта персональных данных на обработку его биометрических персональных данных не допускается, за исключением случаев, предусмотренных ч. 2 ст. 11 Закона о персональных данных.
С учетом изложенного, законодательством Российской Федерации не предусмотрены случаи, предполагающие обработку биометрических персональных данных в целях установления личности для осуществления пропускного режима, в том числе в образовательные учреждения.
Таким образом, законодательством Российской Федерации в области персональных данных порядок и условия обработки биометрических персональных данных несовершеннолетних лиц не предусмотрены, что исключает наличие оснований для осуществления такой обработки образовательными учреждениями.
В соответствии с решениями, принятыми на совещании по вопросу соблюдения требований законодательства Российской Федерации в области персональных данных при подключении образовательных учреждений к программно-аппаратным комплексам с применением технологии распознавания лиц и обработки биометрических персональных данных, состоявшемся 24.01.2020 г., соответствующие рекомендации по применению положений Закона о персональных данных при обработке биометрических персональных данных несовершеннолетних направлены в адрес Минпросвещения России и Рособрнадзора.
Дополнительно сообщаем, что согласно позиции ФСБ России, обработка биометрических персональных данных образовательными учреждениями также не подпадает под исключения, установленные ч. 2 ст. 11 Закона о персональных данных.
Пунктом 6.6 Положения о Министерстве цифрового развития, связи и массовых коммуникаций Российской Федерации (далее - Министерство), утвержденного постановлением Правительства Российской Федерации от 02.06.2008 г. N 418, предусмотрено, что Министерство вправе давать государственным органам, органам местного самоуправления, юридическим и физическим лицам разъяснения по вопросам, отнесенным к сфере ведения Министерства. В этой связи отмечаем, что настоящее письмо не содержит правовых норм или общих правил, конкретизирующих нормативные предписания, и не является нормативным правовым актом. Данное письмо носит информационно-разъяснительный характер по вопросам компетенции Министерства.
О.Б.ПАК