К биометрическим категориям персональных данных относятся. Новые разъяснения Роскомнадзора – теперь про биометрические персональные данные

У Алексея Лукацкого , у BSAT devteam , наверное, где-то еще.

Не имея возможности участвовать в обсуждении проблем в каждом из этих мест, хотел бы высказать свою точку зрения только по одному из рассматриваемых в письме вопросов – относительно отнесения фотографических изображений к биометрическим персональным данным.

В письме АРБ разъясняется, что «фотография или видеозапись, на которой запечатлен человек, могут считаться биометрическими данными (является носителем биометрических ПДн) только в том случае, если они представлены в электронном виде и получены с применением специальных технологий и технических средств, позволяющих выполнять определенные требования, предъявляемые к форматам записи изображения (например, в случае фотографии установленные ГОСТ Р ИСО\ МЭК 19794-5-2006)».

При глубочайшем уважении к экспертам, подготовившим это разъяснение, и чиновникам, создавшим почву для него, категорически не могу с ним согласиться. И вот почему.

Основанием для такого критерия отнесения к биометрии, как соответствие ГОСТу, в письме № 5 называется ответ Роскомнадзора на запрос ЗАО «Коммерцбанк» от 05.04.2010 № ПК-05728.

Обратите внимание на дату письма. Направлено оно до принятия ФЗ-261 25.07.2011, который в новой редакции ФЗ-152 уточнил понятие биометрических персональных данных, регулируемых данным законом . Последние слова – ключевые. Мы сейчас говорим именно о тех данных, обработка которых регулируется ФЗ-152. А на самом деле их может быть гораздо больше, и признаки отнесения к ним надо искать совсем в других законах – о геномной и дактилоскопической регистрации, об основах здравоохранения, о въезде-выезде и т.д. В законе о персональных данных установлено три важнейших критерия, при соответствии которым обработку этой категории данных надо строить именно по ФЗ-152.

Биометрические персональные данные, обработка которых регулируется ФЗ-152, это данные:

· которые характеризуют физиологические и биологические особенности человека;

· на основе которых можно установить его личность;

· которые используются оператором для установления личности субъекта персональных данных.

Все. Точка. Ни про какие ГОСТы в законе нет и не может быть ни слова. По одной простой причине. В соответствии с ФЗ «О техническом регулировании», стандарт – это документ, в котором в целях добровольного многократного использования устанавливаются характеристики продукции, правила осуществления и характеристики процессов эксплуатации, хранения, выполнения работ или оказания услуг. Стандарт также может содержать правила отбора образцов, требования к терминологии, символике, упаковке, маркировке или этикеткам и правилам их нанесения.

И здесь ключевое слово – добровольного. Это подтверждено и в ст.12 данного закона: «Стандартизация осуществляется в соответствии с принципами добровольного применения документов в области стандартизации». Поэтому относить или не относить те или иные вопросы к регулируемым федеральным законом на основании положений ГОСТа никак нельзя.

Далее. Национальные стандарты могут использоваться полностью или частично в качестве основы для разработки проектов технических регламентов. Вот будет техрегламент по биометрическим данным – все станет просто.

Поэтому нет никаких оснований не считать биометрическими персданными фото в системе контроля управления доступом (СКУД), которые так модно стало ставить в офисах и на предприятиях. И СКУД, где есть фамилии работников, – это ИСПДн со всеми вытекающими. И если ФИО нет – тоже, но класса К4, поскольку произведено обезличивание персональных данных, и в системе невозможно определить принадлежность персональных данных конкретному субъекту без использования дополнительной информации.

Скан паспорта – тоже носитель биометрических персональных данных, обрабатываемых вне ИСПДН, но находящийся в систематизированном собрании банка, например, и поскольку существует четкий алгоритм поиска этих данных, их хранение или любая другая обработка подпадают под действие ФЗ-152. И фото в личном деле тоже, даже если его сделал фотограф, никогда не слышавший про ГОСТ, ИСО и МЭК. По той же причине – характеризует физиологические особенности, используется для идентификации и находится в систематизированном собрании.

Собственно, если посмотреть акты и предписания надзорных органов, именно это в них и пишется.

Можно затеять длинный спор про пропуска с фото (используются для идентификации, но находятся вне систематизированных хранилищ/картотек, непосредственно у работника), но это отдельная песня.

Так что я не стал бы обольщаться и откладывать проблему с фото в долгий ящик, надеясь на то, что все проверяющие согласны с позицией уважаемого профессионального сообщества. Особенно если это происходит не в банке, а на заводе или в турфирме, где заступиться за оператора, кроме суда, некому.

Мне кажется, в данном случае проще выполнить закон.

На сайте Роскомнадзора появились разъяснения по вопросам отнесения фото-, видеоизображений, дактилоскопических данных к биометрическим персональным данным и особенностям их обработки . Что теперь ясно?

А то, что к биометрическим персональным данным относятся физиологические данные (дактилоскопические данные, радужная оболочка глаз, анализы ДНК, рост, вес и другие), а также иные физиологические или биологические характеристики человека, в том числе изображение человека (фотография и видеозапись), которые позволяют установить его личность и используются оператором для установления личности субъекта.

Т.е. для того, чтобы персональные данные считались биометрическими, должны быть соблюдены 3 условия:

• Данные должны содержать физиологические или биологические характеристики человека.
• Данные должны позволять установить личность человека.
• Данные должны использоваться оператором для установления личности субъекта.

Для более наглядного разъяснения вопроса касательно опубликования результатов фото- и видеосъемки авторы разъяснений сослались на ст.152.1 ГК РФ. Исходя из текста статьи, согласие на обнародование и дальнейшее использование фотографий и видеозаписей не требуется в трех случаях:

• Использование изображения осуществляется в государственных, общественных или иных публичных интересах.
• Изображение гражданина получено при съемке, которая проводится в местах, открытых для свободного посещения, или на публичных мероприятиях (собраниях, съездах, конференциях, концертах, представлениях, спортивных соревнованиях и подобных мероприятиях), за исключением случаев, когда такое изображение является основным объектом использования.
• Гражданин позировал за плату.

Также касательно фотографий авторы сослались на "Перечень персональных данных, записываемых на электронные носители информации, содержащиеся в основных документах, удостоверяющих личность гражданина Российской Федерации, по которым граждане Российской Федерации осуществляют выезд из Российской Федерации и въезд в Российскую Федерацию ", от 4 марта 2010 г. № 125. Пункт 6 гласит:

Цветное цифровое фотографическое изображение лица владельца документа (биометрические персональные данные владельца документа)

Однако разъяснения четко говорят о том, что в любом случае должны учитываться цели обработки данных. И исходя из целей персональные данные могут быть отнесены к биометрическим или не могут.

Исходя из вышесказанного, а также из разъяснений, можно заключить следующее:

• Фотографии, содержащиеся в СКУД, являются биометрическими персональными данными и,следовательно, сама СКУД будет ИСПДн-Б.
• Если СКУД использует иные биологические особенности человека (отпечатки пальцев, сетчатка глаза и пр.), то она также является ИСПДн-Б.
• Также к биометрическим ПДн относятся ксерокопии документов с фотографиями, которые делаются на проходных, так как фотографическое изображение и иные сведения, используемые для обеспечения однократного и/или многократного прохода на охраняемую территорию и установления личности гражданина.
• Если же сканирование или ксерокопирование документа осуществляется не для установления личности, а для подтверждения осуществления определенных действий (например, заключение договора на оказание услуг, в том числе банковских, медицинских и т.п.), то в данном случае ксерокопии и сканкопии биометрическими данными не являются
• Не являются биометрическими персональными данными и фотография в личном деле, и подпись в договоре, т.к. они не используются для установления личности.
• Не являются биометрическими персональными данными различные рентгеновские снимики, результаты анализов, отпечатки пальцев и даже ДНК, т.к. они не используются оператором для идентификации субъекта. Но как только эти данные начинают использоваться для установления личности конкретного лица, то эти данные сразу становятся биометрическими.
• Не являются биометрическими персональными данными и материалы фото- и видеосъемки на охраняемых территориях и в публичных местах. Но, опять же, как только эти материалы начинают использоваться для установления личности конкретного лица, они сразу становятся биометрическими.

С одной стороны наконец-то получены ответы на вопросы касательно ксерококопий документов и фотографий в СКУД. Все четко и ясно.

С другой стороны хочу заметить, что результаты анализов, ДНК и прочих экспертиз, которые могут храниться в соответствующих лабораториях, теперь свободно могут быть отнесены к иным персональным данным и защищаться соответствующим образом. К специальным их можно не относить, т.к. они характеризуют не состояние здоровья, а именно физиологические и биологические особенности. Несколько нелогично, на мой взгляд.

Дискуссию о том, является ли фотография биометрическими ПДн, можно вести бесконечно, и к окончательному выводу мы, увы, не придем. В этом абзаце предположим, что все же не является, но уж ПДн-то является точно, иначе к чему все эти обсуждения? Итак, фотография - это ПДн. Достаньте пожалуйста пропуск (у кого есть) и посмотрите на него: эй, привет, угрюма! Хмурый стандартный "фас" гражданина портретной ориентации. Но раз это персональные данные то, возможно, их нужно защищать, ну, или, по крайней мере, получать согласие на их обработку? Вбейте в поисковике фразу "охрана изображение гражданина" и найдете следующее:

Статья 152.1 Гражданского Кодекса РФ: Охрана изображения гражданина
Обнародование и дальнейшее использование изображения гражданина (в том числе его фотографии, а также видеозаписи или произведения изобразительного искусства, в которых он изображен) допускаются только с согласия этого гражданина. После смерти гражданина его изображение может использоваться только с согласия детей и пережившего супруга, а при их отсутствии - с согласия родителей. Такое согласие не требуется в случаях, когда:
1) использование изображения осуществляется в государственных, общественных или иных публичных интересах;
2) изображение гражданина получено при съемке, которая проводится в местах, открытых для свободного посещения, или на публичных мероприятиях (собраниях, съездах, конференциях, концертах, представлениях, спортивных соревнованиях и подобных мероприятиях), за исключением случаев, когда такое изображение является основным объектом использования;
3) гражданин позировал за плату .

Вот тебе раз! В самом 152-ФЗ про это ничего не сказано, а в ГК РФ, да еще в статье с аналогичным номером - явно указано: "с согласия". Что же получается - если мы развешиваем фото на доске почета или размещаем на корпоративном портале, то согласие не нужно, а вот в случае со СКУД или пропусками? Увы, но если в компании используются карточки-пропуска или СКУД, то совсем не важно, биометрия это или не биометрия: согласие на обработку фотографий получать все равно надо. Более того, утверждение относительно того, что для порталов и досок почета согласие не нужно - так же неверно, поскольку такие ресурсы относятся к общедоступным источникам ПДн, и значит, в соответствии со ст. 8 152-ФЗ, с субъекта необходимо взять ПИСЬМЕННОЕ согласие! Так что, дорогие друзья, выход один: обрабатываете фотографии - берите согласие.

Но согласие взять - не такая большая проблема: не за это биометрию не любят операторы. Давайте предположим, что фотография - это биометрические ПДн. Как уже было совершенно справедливо отмечено , биометрические ПДн остаются такими вне зависимости от того, с какой целью они используются. То есть ЛЮБАЯ фотография - хоть на пропуске, хоть на доске почета - будет "биометрией". Помните постановление правительства за номером 512, где указаны требования к материальным носителям биометрических ПДн? Вы помните, ЧТО это за требования ? Отлично. Теперь давайте представим, что в целях мотивации персонала дирекция по кадрам сфотографировала момент награждения генеральным директором лучших сотрудников почетными медалями и решила эти фотографии распечатать и в рамочке вручить награжденным. Вполне корпоративный момент, выполняет его сам оператор. И вот специалист для передачи в типографию извлекает из своего ПК эти фотографии на флешку и... тут же обязан применить к этой флешке все требования ПП-512! Именно по этой причине между операторами и регуляторами идут ожесточенные споры относительно признания или не признания фотографии биометрическими ПДн: требования совершенно неадекватные.

Что же нас ждет впереди? А впереди - пункт 3 части 3 статьи 19 152-ФЗ, в котором говорится, что требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных должны устанавливаться правительством с учетом возможного вреда субъекту, объема и содержания обрабатываемых ПДн, вида деятельности, при осуществлении которого обрабатываются ПДн и актуальности угроз безопасности. Насколько хорошо правительство справится с этой задачей - покажет недалекое будущее. Так что, как говорится, ждем-с

Михаил Емельянников

В обстановке «строгой конспирации и секретности», конечно же, поздним вечером пятницы, на сайте Роскомнадзора опубликован второй документ , подготовленный уполномоченным органом с участием экспертной группы, куда вхожу и я. На этот раз разъяснения касаются вопросов отнесения фото- и видео- изображений, дактилоскопических данных и иной информации к биометрическим персональным данным и особенностей их обработки.

Судя по количеству прочтений, тема биометрии – самая популярная среди читателей моего блога. На персональной страничке прямых заходов на пост « Биометрические персональные данные: что это? » – более 7200, , где есть зеркало блога, – без малого 3000 прочтений. Если к ним добавить те посты, где я так или иначе писал про проблемы обработки биометрических персональных данных ( и , например), общее число посещений страниц только с этой тематикой уже превысило 20 тысяч.

Поскольку в написании текста разъяснений я принимал самое непосредственное участие, позволю себе выделить главное, что в них отражено.

С самого начала я настаивал на формулировке «биометрические персональные данные, обработка которых регламентируется 152-ФЗ», но поддержки у коллег не нашел. Тем не менее, крайне важным представляется, что в разъяснении четко указаны три признака, при которых на работу с этой категорий сведений распространяются ограничения, определенные ст.11 152-ФЗ. Это сведения, которые:

· характеризуют физиологические и биологические особенности человека;

· на основании которых можно установить его личность;

· которые используются оператором для установления личности субъекта персональных данных.

Все три признака должны присутствовать одновременно! Из чего следует логичный вывод, что «отнесение сведений персонального характера к биометрическим персональным данным и их последующая обработка должны рассматриваться в рамках проводимых оператором мероприятий, направленных на установление личности конкретного лица». Нет идентификации – нет биометрии в понимании Федерального закона «О персональных данных».

Поэтому рентгеновские снимки или результаты биохимического анализа крови в поликлинике – не биометрические персональные данные. Как и результаты видеосъемки в офисе или фотография в личном деле работника. Все они не используются для идентификации субъекта медицинским учреждением, кадровым органом или службой безопасности. Но как только они попадут в органы следствия, дознания или исполнения судебных актов для розыска или установления личности, они становятся именно биометрическими персональными данными. А оператором в отношении этих биометрических данных будут как раз следственные и исполнительные органы.

Исходя их этих же соображений, цифровое фото, зашитое в чип загранпаспорта или пропуска, используемого в СКУД, – биометрия, поскольку используется оно как раз при установлении личности владельца пропуска, предъявившего его на входе, паче чаяния у охранника возникнут сомнения, что молодой человек, проходящий через трипод, похож на пожилую даму, чей портрет в этот момент появился на экране монитора.

К чему это я? А к тому, что в соответствии с законом, организации, поставившие у себя СКУД, использующие фотографии и уж тем более дактилоскопическую систему идентификации, должны получить у владельцев пропусков или лиц, прислоняющих свои пальчики к считывателю, согласие на обработку персональных данных в письменной форме, предусмотренной частью 4 ст.9 Федерального закона. И никак по-другому. А вот ФМС, выдающей биометрические загранпаспорта, никаких согласий получать не надо. Часть 2 ст.11: «Обработка биометрических персональных данных может осуществляться без согласия субъекта персональных данных… в случаях, предусмотренных законодательством Российской Федерации о порядке выезда из Российской Федерации и въезда в Российскую Федерацию».

Можно, наконец, вздохнуть с облегчением банкам, которых Управление Роскомнадзора по Краснодарскому краю и республике Адыгея и некоторые его коллеги-единомышленники постоянно штрафуют за ксерокопирование паспортов без письменного согласия клиентов. Теперь всем будет ясно, что «В иных случаях, когда сканирование паспорта осуществляется оператором для подтверждения осуществления определенных действий конкретным лицом (например, заключение договора на оказание услуг, в том числе банковских, медицинских и т.п.) без проведения процедур идентификации (установления личности), данные действия не могут считаться обработкой биометрических персональных данных и ст. 11 Федерального закона «О персональных данных» не регулируются. Соответственно, обработка сведений, в данных случаях, осуществляется в соответствии с общими требованиями, установленными Федеральным законом «О персональных данных». Аналогичный подход следует применять при осуществлении ксерокопирования документа, удостоверяющего личность».

Конечно, всех сложных проблем, связанных с биометрией, данное разъяснение решить не может. Остается, например, просто неприличное несоответствие оснований для обработки биометрических данных без согласия субъектов в федеральных законах «О персональных данных» и «О геномной регистрации». Но все равно такие разъяснения представляются крайне важными для создания единой практики правоприменения. И не надо в очередной раз писать, что толкование законов – вне компетенции Роскомнадзора. Оно уж тем более не в компетенции авторов таких высказываний.

Считаю, что надо радикально менять определение биометрии в 152-ФЗ. В рамках рабочей группы, созданной при Совете Федерации, я предложил следующее: «Биометрические персональные данные – это зафиксированные по определенным правилам параметры, характеризующие биологические особенности человека и используемые в системах автоматической идентификации (распознавания), такие, как изображения папиллярных узоров пальцев, сетчатки глаза и т.п. Само по себе фотографическое изображение человека, в том числе и в цифровой форме, к биометрическим данным не относится, если не используется для его автоматической идентификации».

С обратной связью пока трудно, но можно обсудить и усовершенствовать это определение прямо на блоге. При случае передам заинтересованным и компетентным.

Так что же такое ПДн? Наш предыдущий пост о персональных данных собрал довольно много комментариев. Больше всего споров развернулось вокруг вопроса о том, что именно считать персональными данными.
Мы обещали в этом разобраться и обещание свое выполняем.

Факт № 1. Закон не содержит конкретного перечня

В 152-ФЗ под ПДн понимают любую информацию, относящуюся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Из этого определения, нужно признать, мало что понятно.

Факт № 2. ПДн бывают трех видов

Закон выделяет три категории ПДн: общие, специальные и биометрические.

1. К общей категории относятся Ф. И. О., адрес, телефон.
2. К специальной категории закон относит данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни.
3. К биометрическим данным относятся особенности строения частей тела, отпечатки пальцев, ладони, сетчатка глаз, анализ ДНК и т. п.

Факт № 3. Судебная практика по ПДн

Опираясь на имеющуюся судебную практику, давайте разберем, что нужно относить к ПДн:

• Фамилия, имя, отчество, год, месяц, день и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы (Постановление по делу № А15-2016/2009 от 05.10.2010. Президиум ВАС РФ, Постановление по делу № А36-5713/2014 от 29.04.2015. 19-й ААС).
• Паспортные данные (см., например, Апелляционное определение Московского городского суда от 22.05.2014 № 33-14709).
  Есть решения судов, в которых указывается, что серия и номер паспорта идентифицируют бланк документа, но не физического лицо и, следовательно, не относятся к персональным данным (см. подробнее Определение Московского городского суда от 29 февраля 2012 г. № 33-6709; Постановление Тринадцатого арбитражного апелляционного суда от 21 июня 2010 г. по делу № А56-4788/2010).
  С такими выводами трудно согласиться, так как серия и номер паспорта идентифицируют физическое лицо с легкостью.
• Адрес электронной почты (см., например, Решение по делу № 12-253/2015 от 26.05.2015. Калининский районный суд (город Санкт-Петербург).
  При этом стоит обратить внимание, что практика и мнение Роскомнадзора относительно отнесения электронной почты к категории ПДн неоднозначны. В ряде разъяснений Роскомнадзор указывает, что адрес электронной почты, содержащий ФИО, будет отнесен к категории ПДн, а в случае если адрес представляет собой набор символов (слов), его нельзя считать персональными данными.
• Данные технического паспорта на дом (см., например, Определение Приморского краевого суда от 28.04.2014 № 33-3718).
• Адреса места жительства индивидуальных предпринимателей , указанные в плане проведения проверок юридических лиц и индивидуальных предпринимателей, размещенном в общем доступе на официальном сайте администрации (см., например, Апелляционное определение Волгоградского областного суда от 24.04.2014 № 33-4427/2014).
• Сведения о пересечении государственной границы (см., например, Апелляционное определение Московского городского суда от 10.04.2014 № 33-11688).
• Адрес регистрации должностного лица , сведения о его доходах и собственности, распространяемые в непредусмотренной для официальной процедуры форме (см., например, Определение Санкт-Петербургского городского суда от 31.03.2014 № 33-4198/14).
• Данные работника, указанные в трудовом договоре (см., например, Апелляционное определение Верховного суда Республики Саха (Якутия) от 23.10.2013 № 33-4172/13).

Применительно к отнесению данных к персональным важно понимать еще два момента:

1. Никакой проверки или подтверждения, что данные относятся к конкретному физическому лицу, не требуется (закон такой процедуры не предусматривает). Поэтому оператор по факту не знает вымышленные ли это данные или нет, но от обязанностей по обработке ПДн это не избавляет.
2. Персональными данными являются только те, которые могут идентифицировать физическое лицо (см., например, определение Санкт-Петербургского городского суда от 26 марта 2013 г. № 33-3815/13, Апелляционное определение Московского городского суда от 28 января 2014 г. N 33-5461/14).

Факт № 4. Более сложные материи

Помимо «простых» данных, вроде имени и фамилии, часто возникают вопросы относительно более «сложных» категорий типа IP-адреса, ника или профиля в социальной сети и их определения в качестве персональных данных.
В отнесении этих категорий персональных данных даже суды имеют разные точки зрения.

• Относительно IP-адреса в одном из судебных решений встречается довольно хороший правовой анализ «…Идентификация пользователя информационно-телекоммуникационной сети Интернет через установление его персональных данных по статическому IP-адресу, назначаемому оператором связи и постоянно закрепленному за конечным пользовательским оборудованием при заключении договора на оказание услуг доступа к сети Интернет (при использовании статического IP-адреса все подключения пользователя всегда идентифицируются этим IP-адресом в сети связи) по своим правовым последствиям не может отличаться от случаев, когда IP-адрес назначается оператором связи пользовательскому оборудованию автоматически, на период подключения данного устройства (период сессии) к сети Интернет (динамический IP-адрес)» (Решение по делу № 2-5354/2015 от 24.09.2015. Октябрьский районный суд г. Самары (Самарская область)).

  При этом одни суды IP-адрес к ПДн не относят (см., например, Постановление по делу № А56-75017/2014 от 01.06.2015. 13-й ААС), а другие, наоборот, признают (Решение по делу № А76-29008/2015 от 11.02.2016. АС Челябинской обл.).

  Представляется, что статичный IP-адрес справедливо относить к персональным данным, так как по нему идентифицировать пользователя легко. Но оператор не может знать, что будет являться статичным IP-адресом, в таком случае нужно признавать все IP адреса ПДн (на всякий пожарный).

• Логин и пароль (от электронной почты или социальной сети) вызывает как раз меньше споров. Роскомнадзор неоднократно высказывался, что относить их к персональным данным нельзя.

Безусловно это только начало диалога о персональных данных и вопросов больше чем ответов.

Что же касается таких космических материй как сбор информации о пользователи с помощью куков и прочих скриптов, то тут мы просим вас погодить. Товарищи, дайте же разобраться с тем что попроще! Потом уже будем надстраивать на эти ответы новые вопросы.