До 30 сентября 2023 года бизнес, у которого имеются биометрические персональные данные (БПД), обязан передать их в Единую биометрическую систему (ЕБС). Что это такое, кого касается, и как работать с такими данными — в статье.
Что относится к биометрическим персональным данным
Биометрия — это личная информация, которая характеризует физиологические, биологические особенности человека и позволяет отличить его от других людей: запись голоса, фотография человека, видео, отпечатки пальцев. С подобными данными имеют дело многие предприниматели.
Это могут быть:
- видеозаписи в пропускной системе или при дистанционных медосмотрах водителей;
- отпечатки пальцев для доступа клиента к услугам. Например, для входа в гостиничный номер;
- фотографии. Не все фото считаются БПД, а только установленные нормативным актом. Основание — письмо Роскомнадзора от 29.08.2022 № 08-78032. Например,в п. 6 перечня, утверждённого постановлением от 04.03.2010 № 125, написано, что цифровое фото на загранпаспорт — это биометрия.
Требования по работе с биометрическими персональными данными касаются не только банков, как многие думают, но и малого бизнеса.
Что такое Единая биометрическая система
ЕБС — государственный информационный ресурс для хранения БПД, созданный при участии Минцифры, Ростелекома и Центробанка. Её оператором назначен АО «Центр Биометрических Технологий» (ЦБТ). Вся биометрия будет храниться в этой системе. До сентября 2023 года банки и другие операторы БПД передавали её в ЕБС добровольно, а теперь это становится обязательным.
Для чего это нужно:
- Биометрические данные используют мошенники, если они попадут к ним в руки. Например, по отпечаткам пальцев или записи голоса человека получить доступ к его банковским счетам. Или создавать дипфейки — сгенерированные видео, где на изображение актёра накладывают голос и лицо другого человека.
Минцифры считает, что в ЕБС биометрические персональные данные защищены лучше, чем у частников. Они хранятся отдельно от баз с ФИО. и другой личной информацией. Злоумышленникам нет смысла красть данные, которые они не смогут «привязать» к конкретному человеку. Поэтому систему применяют как хранилище для всех БПД. - Органы власти, компании, ИП и нотариусы используют сведения из ЕБС для работы со своими клиентами или сотрудниками. Например, для подтверждения личности при дистанционном подписании договора. При этом не нужно тратить деньги на создание своих информационных систем со средствами шифрования и защиты БПД. Предприниматель заключает договор с оператором, а тот предоставляет за плату программное обеспечение, которое отвечает всем требованиям закона: для бизнеса это выгоднее, чем создавать свою систему с нуля.
- Если раньше граждане оставляли свою биометрию в разных системах, то теперь она будет храниться в одном месте, и управлять ею возможно в режиме одного окна.
Порядок хранения данных в ЕБС — в приказе Минцифры от 12.05.2023 № 453.
Предприниматель будет получать из ЕБС не сами персональные данные, а их векторы — математические шаблоны. Без специальной программы расшифровать их будет нельзя, а при утечках баз данных злоумышленники не смогут ими воспользоваться. В ЕБС хранятся не все БПД, а только указанные в п. 2 Порядка обработки биометрических персональных данных в ЕБС и в аккредитованных коммерческих системах, утверждённого приказом минцифры от 12.05.2023 № 453:
- изображение лица, полученное с помощью фото- и видеотехники;
- запись голоса со звукозаписывающих устройств.
В этом же Порядке в п. 11-14 прописаны требования к единому формату биометрических данных для размещения в ЕБС. Если передаёте в систему биометрию своих работников или клиентов, нужно их соблюдать.
Информация в ЕБС из нескольких коммерческих систем не «смешивается». Например, гражданин оставлял свою биометрию в разных банках, и все они передали их в систему. В ЕБС будут храниться самые актуальные данные, а остальные будут уничтожены.
Требования к обработке биометрии
В конце 2022 года был принят закон для защиты биометрии — от 29.12.2022 № 572-ФЗ. Его требования начинают действовать поэтапно, до 1 января 2027 года.
По закону, если у вас есть БПД клиентов или сотрудников, необходимо:
Получать обязательное письменное согласие гражданина на сбор и обработку биометрии — ст. 11 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных». Есть исключения, но их немного. Например, без письменного согласия снимают отпечатки пальцев в правоохранительных органах. Собирать биометрию без ведома граждан нельзя, но тут нужно пояснить, что именно будет нарушением, ведь камеры видеонаблюдения есть в магазинах, в аэропортах, в школах и других местах.
Не нужно получать согласие граждан на видеосъёмку, если она ведётся в местах, открытых для посещения, например, на стадионах или в торговых центрах. Если только вы не снимаете конкретного человека, а он об этом не знает — тогда это нарушение. Также не нужно получать согласие, если гражданин позирует за деньги. Или вы не планируете как-то использовать или обнародовать изображение, а съёмку вели в целях общественной безопасности — ст. 152.1 ГК РФ.
Передать до 30 сентября 2023 года биометрию в виде фото- или видеоизображения лица и записи голоса граждан в ЕБС — ст. 26 Федерального закона от 29.12.2022 № 572-ФЗ. Это должны сделать все коммерческие организации, ИП, нотариусы, если у них есть биометрия.
«Передать биометрию» —это не просто записать на диск все данные и отправить его с курьером, или загрузить информацию в облачное хранилище. Для этого нужно:
- заключить договор с ЦБТ, чтобы подключиться к ЕБС;
- приобрести необходимое оборудование и программу;
- перевести все биометрические данные в формат по приказу минцифры от 12.05.2023 № 453;
- уничтожить все изображения лица и записи голоса, которые не выгружены в ЕБС.
Альтернативный вариант — ничего в Единую систему не передавать, а просто прекратить использовать БПД для подтверждения личности граждан. И приглашать людей для очной идентификации и аутентификации в тех случаях, когда это нужно. Например, банкам — выдавать карты только в офисе.
Если выбрали такой вариант, не забудьте уничтожить или передать в архив всю хранившуюся ранее биометрию. Не используйте её даже для внутренних целей, например, для пропуска на территорию. Иначе грозит штраф, если кто-то из работников или потребителей пожалуется в Роскомнадзор.
Пройти государственную аккредитацию. Это нужно тем ИП и компаниям, которые продолжат собирать БПД клиентов и работников, а не только получать данные из ЕБС.
В Единой системе у бизнеса две роли:
- поставщик данных — тот, кто собирает изображения и записи голоса граждан с помощью своих информационных систем, например, банки;
- пользователь данных — тот, кто просто получает из ЕБС векторы.
Государственная аккредитация нужна только первой группе — поставщикам биометрических данных. Её проходят по правилам из постановления от 22.05.2023 № 810.
Не отказывать в услуге гражданам, если они не дают согласия на обработку биометрии. Сдача БПД — это право, а не обязанность граждан. По закону нельзя отказать человеку в предоставлении услуг, если он не хочет подтверждать свою личность по биометрическим данным. В таких случаях используйте другие способы аутентификации гражданина, например, проверку паспорта при личном посещении офиса.
Как работать с ЕБС
Вы можете подключиться к Единой биометрической системе на её официальном сайте ebs.ru, через вкладку «Бизнесу».
Перейдите в раздел «Мои задачи» через соответствующую кнопку на сайте и выберите роль. Например, роль «Поставщик биометрических данных» нужна компаниям, которые регистрируют изображения лица и запись голоса граждан в ЕБС. Если вы собираетесь использовать систему только для получения векторов БПД при оказании услуг, то выбирайте «Потребитель биометрических данных».
На сайте ЕБС есть пошаговые инструкции по подключению и рекомендации по выбору оборудования, программного обеспечения с учётом требований приказа Минцифры от 12.05.2023 № 453.
Например, для получения изображения лица потребуется видеокамера с разрешением не ниже 1280х720, которая поддерживает режим автоматической корректировки баланса белого цвета и режим автофокусировки.
За использование возможностей ЕБС предпринимателям придётся платить в соответствии со ст. 12 Федерального закона от 29.12.2022 № 572-ФЗ. Размер платы устанавливают в договоре с ЦБТ.
Поставщики данных в ЕБС обязаны уведомить гражданина о том, что собираются разместить его биометрические данные в Единой системе, не менее чем за 30 дней — ч. 15 ст. 4 Федерального закона от 29.12.2022 № 572-ФЗ. Это можно сделать в любой форме, которая позволяет подтвердить, что человека предупредили вовремя — например, направить письмо по E-mail или смс-сообщение, бумажное письмо «Почтой России».
Если в течение 30 дней гражданин не сообщит, что он против размещения своей биометрии в Единой системе, то сведения можно передавать.
Как узнать, передавали ли ваши данные в ЕБС
Если вы не работаете с БПД и не собираетесь это делать, может быть полезно узнать, не попали ли ваши данные в ЕБС, и что с этим делать.
Вы могли оставить свою биометрию в банке, чтобы оформить банковскую карту. В этом случае вы должны были получить уведомление о том, что до 30 сентября 2023 года ваши данные будут переданы в ЕБС.
Например, в августе 2023 года клиенты банков стали получать сообщения примерно такого содержания: «По закону № 572-ФЗ от 29.12.2022 года банк Х, как и другие банки, передаст Ваши биометрические данные в Единую биометрическую систему (ЕБС). Это произойдет через 30 дней и не повлияет на обслуживание в банке…».
Если вы пропустили такое уведомление или по каким-то причинам не получили его, посмотреть размещение БПД можно в личном профиле на Портале госуслуг, в разделе «Биометрия».
Надёжнее всего проверять биометрию после 30 сентября 2023 года, когда истечёт срок получения сведений от всех коммерческих систем. С этой даты можно точно увидеть, какие ваши данные попали в ЕБС.
Если обнаружили данные в системе, можно отозвать своё согласие на обработку БПД в любой момент. Для этого отправьте письменное обращение в ЦБТ через Госуслуги или в личном кабинете физлица на сайте ЕБС. После этого ваши данные удалят из ЕБС, и больше никто не сможет использовать их или их векторы. Но имейте в виду, что тогда вы не сможете получать дистанционно государственные и коммерческие услуги.
Аналогично можно отозвать в любой момент своё согласие на обработку БПД у банков, ИП и компаний, которым вы оставляли свою биометрию. Если помните, где их давали.
С 1 января 2024 года всеми согласиями на обработку БПД в режиме одного окна можно будет управлять разделе «Биометрия» на Госуслугах.
В будущем можно заранее отказаться от сбора своих биометрических данных через МФЦ. Тогда ни одна государственная или коммерческая структура не сможет обрабатывать ваши БПД. Отказ можно будет отозвать в любой момент через МФЦ.
Штрафы за нарушения
На сентябрь 2023 года отдельных санкций за несоблюдение порядка обработки БДН нет. Предпринимателя могут привлечь к административной ответственности по ст. 13.11 КоАП как за нарушения при работе с персональными данными.
На рассмотрении в Госдуме находится законопроект № 353266-8 с отдельными штрафами. Несоблюдение порядка обработки БПД может стоить ИП от 100 000 до 300 000 рублей, компании — от 300 000 до 700 000 рублей. Законопроект прошёл первое чтение в июне 2023 года.