Законодательная база для биометрии

Биометрия – перспективный и надёжный способ идентификации человека. Не нужно предъявлять лишних документов, карточек – достаточно личного присутствия самого человека. Биометрические системы встраиваются в телефоны, начинают использоваться в банках. Однако есть и риски, ведь утечка биометрических данных откроет злоумышленникам полный доступ к операциям от лица жертвы. Поэтому к хранению этой информации предъявляются особо строгие требования. В статье мы разберём законодательную базу, касающуюся биометрии.

закон о биометрии

История вопроса

Основной закон, регулирующий хранение и обработку персональных данных, № 152-ФЗ, появился в 2006 году. С тех пор он значительно дополнялся (Последняя редакция от 02.07.2021). Так в статье 11 данного закона было прописано, что биометрия представляет собой сведения, которые характеризуют физические (впоследствии появилось дополнение: «и биологические») особенности субъекта, которые позволяют установить его личность.

Далее появилось уточнение, что операторы могут обрабатывать данные биометрии только с письменного согласия человека. Хотя есть и исключение. Разрешение не потребуется, если данный человек является террористом.

Было решено, что биометрию следует защитить от:

  • Получения неправомерного или ошибочного доступа к ним
  • Уничтожения или изменения
  • Блокировки
  • Копирования.
  • Предоставления к ним доступа.
  • Распространения.

Далее произошла стандартизация под мировой уровень. Она коснулась дактилоскопии, данных ДНК, а также изображения лица. В 2008-м году появилось постановление об утверждении требований к физическим носителям биометрических ПДн и технологиям их хранения вне информационных систем.

О чем говорит закон

Данные голосов и изображения лиц граждан могут использоваться для установления их личности. Право собирать и обрабатывать биометрические данные имеют государственные органы и банки.

Благодаря этому человек, единожды посетивший, к примеру, филиал банка и зарегистрировавший свои биометрические образцы (лицо и голос), в будущем может быть идентифицирован по ним без предъявления дополнительных документов.

Собранные данные будут храниться до 50 лет, однако использовать их для идентификации человека можно только в течение трёх первых лет. После истечения срока хранения будет производиться их обновление.

Сам сбор данных производится при личном присутствии субъекта, и храниться они будут в единой информационной системе ПДн.

При хранении биометрических данных следует свести к минимуму:

  • Риски, при сборе биометрических данных.
  • Риски, при обработке запросов и работе с данными
  • Риски, которые появляются при дистанционном установлении личности.

Чтобы избежать этого, необходимо:

  • Регистрировать все действия операторов,
  • Пользоваться лишь сертифицированными средствами защиты
  • Выдавать ключи электронной подписи операторам.
  • Информировать Центральный Банк о всех инцидентах.

За несоблюдение правил работы с ПДн предусмотрены штрафы и другие взыскания.

Требования к организациям

К организациям, занимающимся сбором, обработкой и хранением биометрических данных, предъявляются следующие требования:

  • Доступ к данным должен быть только у уполномоченных лиц,
  • Нельзя допускать перезапись ПДн вне информационной системы,
  • Использование цифровой подписи для предотвращения несанкционированного доступа к данным и сохранения их целостности.
  • Обязательное наличие письменного согласия человека на обработку и хранение ПДн.
  • Применение шифровальных средств защиты данных осуществляется в соответствии с законодательством РФ.
  • Еcли данные хранятся вне информационных систем ПДн, необходимо зарегистрировать факты несанкционированной повторной и дополнительной записи сведений после их извлечения из информационной системы.

Требований намного больше и многие из них компаниям сложно реализовать своими силами. Однако можно воспользоваться услугами провайдеров, предлагающих защищённое облако, соответствующее ФЗ-152.


White Paper об обработке данных
Мы обновили White Paper — подробное руководство по защите персональных данных по ФЗ-152.

Вверх!