Понимание, что такое персональные данные и их виды, позволяет определить требования законодательства к их защите. Непринятие мер защиты индивидуальных сведений или недостаточность такой защиты является основанием привлечения компании к ответственности.
<Письмо> Роскомнадзора от 10.02.2020 N 08АП-6782
МИНИСТЕРСТВО ЦИФРОВОГО РАЗВИТИЯ, СВЯЗИ
И МАССОВЫХ КОММУНИКАЦИЙ РОССИЙСКОЙ ФЕДЕРАЦИИ
ФЕДЕРАЛЬНАЯ СЛУЖБА ПО НАДЗОРУ В СФЕРЕ СВЯЗИ,
ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ И МАССОВЫХ КОММУНИКАЦИЙ
ПИСЬМО
от 10 февраля 2020 г. N 08АП-6782
О НАПРАВЛЕНИИ ИНФОРМАЦИИ ПО ПРОТОКОЛУ СОВЕЩАНИЯ
Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций в соответствии с пунктом 2.1 протокола совещания по вопросу соблюдения требований законодательства Российской Федерации в области персональных данных при подключении образовательных учреждений к программно-аппаратным комплексам с применением технологии распознавания лиц и обработки биометрических персональных данных от 24.01.2020 N П25-20пр (далее - Протокол) направляет практические рекомендации по применению положений Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" при обработке биометрических персональных данных несовершеннолетних.
А.А.ПРИЕЗЖЕВА
Приложение
ПРАКТИЧЕСКИЕ РЕКОМЕНДАЦИИ
ПО ПРИМЕНЕНИЮ ПОЛОЖЕНИЙ ФЕДЕРАЛЬНОГО ЗАКОНА
ОТ 27.07.2006 N 152-ФЗ "О ПЕРСОНАЛЬНЫХ ДАННЫХ" ПРИ ОБРАБОТКЕ
БИОМЕТРИЧЕСКИХ ПЕРСОНАЛЬНЫХ ДАННЫХ НЕСОВЕРШЕННОЛЕТНИХ
Порядок обработки биометрических персональных данных регулируется ст. 11 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Закон о персональных данных).
В соответствии с ч. 1 ст. 11 Закона о персональных данных сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные) и которые используются оператором для установления личности субъекта персональных данных, могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.
Следовательно, к биометрическим персональным данным относятся физиологические данные (дактилоскопические данные, радужная оболочка глаз, голос, анализы ДНК и другие), а также иные физиологические или биологические характеристики человека, в том числе, изображение человека (фотография и видеозапись).
Биометрические персональные данные будут являться таковыми при наличии условий:
- они признаны таковыми в силу положений нормативных правовых актов;
- они характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность;
- они используются оператором для установления личности субъекта персональных данных.
Фотографические изображения посетителей организации, содержащиеся в системе контроля управления доступа (СКУД), будут являться биометрическими персональными данными, поскольку они характеризуют физиологические и биологические особенности человека, позволяют установить, принадлежит ли данному лицу предъявляемый СКУД пропуск, на основе которого можно установить его личность путем сравнения фото с лицом предъявителя пропуска и указываемых владельцем пропуска фамилии, имени и отчества с указанными в СКУД.
Таким образом, фотографическое изображение и иные сведения, используемые для обеспечения однократного и/или многократного прохода на охраняемую территорию и установления личности гражданина, также относятся к биометрическим персональным данным.
Отпечатки пальцев человека являются биометрическими персональными данными (дактилоскопической информацией), обработка которых осуществляется только в случаях, установленных Федеральным законом от 25.07.1998 N 128-ФЗ "О государственной дактилоскопической регистрации в Российской Федерации", которым четко определены виды и порядок проведения дактилоскопической регистрации. Обработка указанных данных в иных случаях действующим законодательством не предусмотрена.
Так, согласно ст. 1 Федерального закона от 25.07.1998 N 128-ФЗ "О государственной дактилоскопической регистрации в Российской Федерации" (далее - Закон N 128-ФЗ) государственная дактилоскопическая регистрация - деятельность, осуществляемая органами исполнительной власти по получению, учету, хранению, классификации и выдаче дактилоскопической информации, установлению или подтверждению личности человека.
В Российской Федерации проведение государственной дактилоскопической регистрации, а также использование дактилоскопической информации осуществляются в целях идентификации личности человека.
Проведение государственной дактилоскопической регистрации возможно в случаях:
- розыска пропавших без вести граждан Российской Федерации, иностранных граждан и лиц без гражданства;
- установления личности человека по отпечаткам пальцев (ладоней) рук неопознанного трупа;
- установления личности граждан Российской Федерации, иностранных граждан и лиц без гражданства, не способных по состоянию здоровья или возрасту сообщить данные о своей личности либо не имеющих документов, удостоверяющих личность;
- подтверждения личности граждан Российской Федерации, иностранных граждан и лиц без гражданства;
- предупреждения, раскрытия и расследования преступлений, а также предупреждения и выявления административных правонарушений.
Таким образом, дактилоскопическая регистрации посетителей для осуществления однократного/многократного пропуска на территорию не подпадает под действие Закона N 128-ФЗ. Следовательно, в таком случае осуществляется обработка биометрических персональных данных, не предусмотренная законом. Данное деяние образует состав административного правонарушения, предусмотренного ч. 1 ст. 13.11 КоАП РФ.
Правовые основания обработки персональных данных установлены ч. 1 ст. 6 Закона о персональных данных.
Вместе с тем, правовое регулирование обработки биометрических персональных данных выделено в отдельной статье 11 Закона о персональных данных, которой определены правовые основания обработки указанной категории персональных данных.
В качестве одного из оснований обработки биометрических персональных данных установлено наличие согласия в письменной форме субъекта персональных данных.
Положениями ч. 2 ст. 11 Закона о персональных данных установлены случаи, при наступлении которых согласие в письменной форме субъекта персональных данных не требуется.
Так, согласно указанной норме обработка биометрических персональных данных может осуществляться без согласия субъекта персональных данных в связи с реализацией международных договоров Российской Федерации о реадмиссии, в связи с осуществлением правосудия и исполнением судебных актов, в связи с проведением обязательной государственной дактилоскопической регистрации, а также в случаях, предусмотренных законодательством Российской Федерации об обороне, о безопасности, о противодействии терроризму, о транспортной безопасности, о противодействии коррупции, об оперативно-разыскной деятельности, о государственной службе, уголовно-исполнительным законодательством Российской Федерации, законодательством Российской Федерации о порядке выезда из Российской Федерации и въезда в Российскую Федерацию, о гражданстве Российской Федерации, при обработке биометрических персональных данных несовершеннолетних лиц.
Полагаем необходимым отметить, что общий подход предоставления согласия, закрепленный в ч. 1 ст. 9 Закона о персональных данных, предусматривающий предоставление согласия субъекта персональных данных или его законного представителя в случае обработки биометрических персональных данных не применим, поскольку в соответствии с ч. 1 ст. 11 Закона о персональных данных соответствующее согласие в письменной форме может быть предоставлено исключительно субъектом персональных данных. Возможность делегирования права предоставления согласия в указанном случае законодательством Российской Федерации в области персональных данных не установлено.
Во всех случаях, не подпадающих под указанные в ч. 2 ст. 11 Закона о персональных данных, необходимо получение от субъекта личного согласия в письменной форме на обработку его биометрических персональных данных.
Таким образом, обработка биометрических персональных данных учащихся с согласия в письменной форме законного представителя субъекта персональных данных на обработку его биометрических персональных данных не допускается, за исключением случаев, предусмотренных ч. 2 ст. 11 Закона о персональных данных.
С учетом изложенного, законодательством Российской Федерации не предусмотрены случаи, предполагающие обработку биометрических персональных данных в целях установления личности для осуществления пропускного режима, в том числе в образовательные учреждения.
Таким образом, законодательством Российской Федерации в области персональных данных порядок и условия обработки биометрических персональных данных несовершеннолетних лиц не предусмотрены, что исключает наличие оснований для осуществления такой обработки образовательными учреждениями.
В этой связи в случае осуществления образовательными учреждениями обработки биометрических персональных данных несовершеннолетних лиц, необходимо принять меры по прекращению обработки биометрических персональных данных учащихся (несовершеннолетних) и их уничтожению (при наличии базы данных).