Имеет ли право работодатель собирать биометрические данные

Опубликовано: 17.09.2024

По данному вопросу мы придерживаемся следующей позиции:
Работодатель имеет право провести дактилоскопическую регистрацию работников при наличии их письменного согласия.

Обоснование позиции:
Работодатель обязан вести учет времени, фактически отработанного каждым работником (часть четвертая ст. 91 ТК РФ).
В силу ст.ст. 21, 22 ТК РФ работник обязан добросовестно исполнять свои трудовые обязанности, возложенные на него трудовым договором, соблюдать правила внутреннего трудового распорядка и трудовую дисциплину, а работодатель, в свою очередь, вправе требовать от работников исполнения ими трудовых обязанностей, соблюдения правил внутреннего трудового распорядка и трудовой дисциплины.
Таким образом, из положений трудового законодательства следует, что работодатель вправе осуществлять контроль за соблюдением работниками дисциплины труда, правил внутреннего трудового распорядка, исполнением ими трудовых обязанностей, предусмотренных трудовым договором. Однако вопрос о правомерности осуществления работодателями дактилоскопической регистрации, в целях контроля за соблюдением работниками правил внутреннего трудового распорядка, в настоящее время прямо законодательством не регламентируется.
В настоящее время Федеральным законом от 25.07.1998 N 128-ФЗ "О государственной дактилоскопической регистрации в Российской Федерации" (далее - Закон N 128-ФЗ) урегулировано только проведение государственной дактилоскопической регистрации.
В ст.ст. 10, 11 Закона N 128-ФЗ указаны органы, осуществляющие добровольную, а также, в предусмотренных законом случаях, обязательную дактилоскопическую регистрацию. Также в ст. 14 указаны органы, которые имеют право на использование и получение дактилоскопической информации. Закон N 128-ФЗ не упоминает организации, не являющиеся государственными органами, в качестве лиц, имеющих право проводить государственную дактилоскопическую регистрацию.
В этой связи некоторые представители Роструда приходят к выводу, что ни работодатели, ни нанятые ими организации не вправе проводить дактилоскопическую регистрацию работников, в том числе для целей организации пропускного режима на предприятии (смотрите ответы на вопрос 1, вопрос 2, вопрос 3, размещенные на информационном портале "Онлайнинспекция.РФ").
При этом отметим, что Закон N 128-ФЗ регулирует только порядок проведения именно государственной дактилоскопической регистрации. Сам по себе он не запрещает проведение добровольной дактилоскопической регистрации, не являющейся государственной дактилоскопической регистрацией.
В рассматриваемой ситуации необходимо руководствоваться ст. 11 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Закон N 152-ФЗ). В соответствии с ч. 2 ст. 11 Закона N 152-ФЗ сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные) и которые используются оператором для установления личности субъекта персональных данных, могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных, за исключением случаев, предусмотренных ч. 2 ст. 11 данного закона. Дактилоскопическая регистрация работодателем работников не поименована в ч. 2 ст. 11 Закон N 152-ФЗ.
На основании изложенного мы придерживаемся позиции, что в рассматриваемом случае работодатель имеет право провести дактилоскопическую регистрацию работников, но только при наличии их письменного согласия. Аналогичное мнение высказано и некоторыми представителями Роструда (смотрите ответы на вопрос 1, вопрос 2, вопрос 3, размещенные на информационном портале "Онлайнинспекция.РФ"). Также рекомендуем ознакомиться с разъяснениями Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 30 августа 2013 г.; постановлением Восьмого арбитражного апелляционного суда от 14.09.2017 N 08АП-10047/17.
Обнаружить судебную практику, где рассматривался бы вопрос правомерности дактилоскопической регистрации работников работодателем, нам, к сожалению, не удалось.

Ответ подготовил:
Эксперт службы Правового консалтинга ГАРАНТ
Трошина Татьяна

Контроль качества ответа:
Рецензент службы Правового консалтинга ГАРАНТ
Золотых Максим

Материал подготовлен на основе индивидуальной письменной консультации, оказанной в рамках услуги Правовой консалтинг. Для получения подробной информации об услуге обратитесь к обслуживающему Вас менеджеру.

Собираемся переезжать в новый офис. Недавно работодатель сообщил, что сотрудники смогут попадать туда исключительно через систему распознавания лиц. Для этого каждый должен предоставить свою фотографию.

Законно ли это требование? Нужно ли в таком случае отдельное согласие на обработку персональных данных?

Есть ли с юридической точки зрения возможность отказаться от участия в подобной оруэлловщине?

Если коротко, то требования работодателя закон не нарушают. Главное, чтобы он оформил все правильно: внес изменения в локальный нормативный акт о пропускном режиме и четко прописал, как будет использовать фотографии сотрудников и кому он имеет право их передавать, а кому нет.

Вы, конечно, можете отказаться предоставлять свою фотографию. Но если работодатель правильно оформит все документы, то сможет на этом основании расторгнуть трудовой договор. Возможно, сейчас это уже не имеет никакого смысла: скорее всего, вы уже дали свое фото работодателю и подписали согласие на обработку персональных данных, причем в момент трудоустройства.

Что говорит закон

Насколько я понимаю, вы работаете по трудовому договору. Предположу, что в этом договоре нет пункта, как должны использоваться ваши фотографии.

Пропускной режим напрямую не касается трудовых обязанностей — значит, в любой момент можно издать приказ или инструкцию, в которой описать требования к проходу на территорию. Отказаться соблюдать эти правила у работника не получится.

По закону работодатель вправе собирать, хранить и обрабатывать персональные данные работника в строго оговоренных законом случаях. Ваш работодатель четко обосновывает, зачем ему нужна ваша фотография и биометрия, — чтобы обеспечить безопасность сотрудников и сохранность имущества. А в приказе или инструкции по организации пропускного режима он укажет, как все устроено, какие данные работники должны предоставить и как работодатель будет их защищать.

Какие варианты действий есть у вас

После того как работодатель уведомил вас, что хочет собирать, хранить и обрабатывать информацию, у вас есть два варианта.

Согласиться с нововведением. Тогда вам нужно поставить подпись об ознакомлении с локальным нормативным актом о порядке допуска на рабочее место. В разных организациях порядок ознакомления может отличаться. Где-то просят расписаться на самом приказе, где-то делают отдельную ведомость об ознакомлении. После этого нужно будет предоставить фотографию — и вы продолжите работать, как и раньше.

Работодатель обязан составить обновленное соглашение об обработке персональных данных. В нем он должен указать, как планирует использовать вашу фотографию и в каких случаях и кому имеет право ее передавать.

Отказаться. Вы ничего не подписываете и не предоставляете работодателю фотографию. Если не распишетесь в том, что ознакомлены с приказом, работодатель составит акт об отказе от подписи. Но этот отказ не означает, что распоряжение работодателя можно не исполнять, — делать это все равно придется. Если не будете его выполнять, работодатель может объявить вам дисциплинарное взыскание, например выговор. За повторный выговор работника можно уволить.

А вот если работодатель зайдет на вашу страничку в соцсетях и скачает фотографию оттуда без вашего письменного согласия, он нарушит закон. Все персональные данные работодатель должен получить от сотрудника или заранее запросить у него письменное согласие на получение таких данных у третьей стороны.

Откуда у работодателя уже может быть ваша фотография

Организации ведут личные карточки работников, для которых часто требуется фото. Формы личных карточек в разных компаниях могут отличаться друг от друга, поскольку единой формы по закону нет. Например, личная карточка по форме Т-2 может использоваться для сотрудников большинства ИП и ООО. А карточка по форме Т-2 ГС (МС) — для государственных и муниципальных служащих.

В личной карточке специального места для фотографии нет, как нет и обязанности работодателя требовать фото у работника. Однако многие устанавливают такое правило в локальном нормативном акте и вклеивают фотографию в карточку на свободное место.

А еще фотографии собирают во всех организациях, где есть пропускной режим. В данном случае логика простая: охране нужно отличать своих сотрудников от посторонних. Проще всего сделать это по фотографии. Дальше фото вклеивают в пропуск и специальный альбом, по которому охранник будет сверять лица входящих с фотографиями тех, кто вправе проходить на территорию. Либо это дело поручают специальной автоматизированной системе распознавания, которая перед посторонними двери не откроет.

Плюсы и минусы систем распознавания лиц

У такого сбора данных есть и плюсы, и минусы.

О минусах пишут много, но пока ничего конкретного. Предполагается, что компания, которая будет использовать фотографии сотрудников, может вступить в сговор со злоумышленниками и использовать ваше изображение в противоправных целях. Каким образом это можно сделать, мне не совсем понятно. Помимо изображения в любой организации хранится полный набор сведений о сотруднике, включая его паспортные данные, номера банковских счетов и телефонные номера. Если работник откажется предоставлять такие сведения, он не сможет ни получить зарплату, ни оформить лист временной нетрудоспособности.

В любом случае, если с персональными данными что-то случится, работодателя привлекут к ответственности. Незаконный сбор или распространение сведений о частной жизни человека — уголовное преступление. Санкции за такое даже для обычного гражданина — от штрафа до лишения свободы на срок до двух лет. А тот, кто собирает и распространяет такие сведения с использованием служебного положения, рискует лишиться свободы на срок до четырех лет.

Плюсов у такой системы, на мой взгляд, намного больше, чем минусов. Работник лучше защищен от субъективного подхода руководства. Электронные системы фиксируют только факты. А значит, не получится обвинить человека в прогуле, если он на самом деле был на рабочем месте, или в опоздании на 2 минуты в ситуации, когда человек пришел вовремя.

Что в итоге

Если работодатель решил использовать биометрию, он не нарушает закон.

Работодателю придется оформить дополнительное соглашение к трудовому договору и получить от работника согласие на обработку персональных данных.

Биометрические системы распознавания лиц защищают как работодателя, так и работника.

26 ноября 2020 г. Роскомнадзор провел онлайн-трансляцию по вопросам персональных данных и фактически рассказал, как будет применять Закон 152-ФЗ в следующем году.

Важное обновление 23.12.2020: принят закон об изменении правил публикации персональных данных.

На семинаре прозвучали доклады:

Дмитрия Рудакова, заместителя начальника отдела ведения реестра операторов, осуществляющих обработку персональных данных. Он рассказал о реестре. Его презентация.

Второй спикер, Альфия Гафурова, заместитель начальника Управления по защите прав субъектов персональных данных Роскомнадзора, озвучила основные вопросы по жалобам граждан. Ее презентация содержит информацию о типовых нарушениях:

• в банковской сфере;
• в ЖКХ;
• в интернете;
• в связи;
• в торговле.

Во время трансляции Юрий Контемиров, начальник Управления по защите прав субъектов персональных данных Роскомнадзора, ответил на самые актуальные вопросы. Здесь полная двухчасовая версия:

Получилось много информации, поэтому я отказался от стенографирования и написал как мне нравится: без потери смысла, сокращая фирменный стиль выступления чиновников.

Читайте и имейте в виду, что практика в регионах может отличаться. Некоторые тезисы выступления спорные, но они показывают, как Роскомнадзор будет применять законодательство о персональных в данных в 2021 году.

GDPR и российские компании

GDPR может применяться к российским компаниям в нескольких случаях:

1. Российская компания имеет филиалы на территории Европы.
2. Российская компания действует по поручению европейской компании и отвечает перед ней за обработку персональных данных.
3. Российская компания работает не только на территории России, но и направлена на европейского потребителя. Например, интернет-магазин предлагает продажу товаров в Европу, при этом одновременно выполняются два условия:

1. сайт доступен на языках стран ЕС;
2. предусмотрены расчеты в евро.

Если одно из этих условий не выполняется, то требования GDPR на такой магазин не распространяются.

Будет ли приведено российское законодательство к требованиям GDPR

По словам Контемирова, это дискуссионный вопрос. Специалисты изучают практику применения европейского законодательства, но как это будет реализовано в России будет видно в ближайшем будущем.

Трудовые отношения

Как передавать персональные данные сотрудников в рамках групп компаний

Например, при ведении кадрового учета, разработках программ повышения квалификации иностранная компания присваивает логины и пароли для работы в единой информационной системе.

Поскольку каждая компания выступает как отдельный оператор, то необходимо получать письменное согласие работника на передачу его персональных данных от одной компании в другую (ч. 4 ст. 9 Закона “О персональных данных”).

Если в группу компаний входит иностранное юридическое лицо, то необходимо оформлять не только согласие, но и договор поручения на обработку персональных данных.

Нужно ли согласие работника для передачи его персональных данных в аутсорсинговые компании

Да, нужно. Более того, передача данных в другие фирмы для ведения кадрового учета или бухгалтерского предполагает делегирование части обязанностей оператора и это требует оформление договора поручения (ч. 3 ст. 6 Закона “О персональных данных”).

В таком согласии должна быть указана конкретно одна цель, для достижения которой передаются данные сотрудника.

Порядок уничтожения персональных данных

Порядок уничтожения персональных данных работников и иных лиц должен быть закреплен локальных актах оператора. С актами должны быть ознакомлены все заинтересованные лица.

Оператором должен быть обеспечен неограниченный доступ к этим документам, а если сбор персональных данных осуществляется с помощью сайта, то Роскомнадзор рекомендует размещать ссылки на политику обработки персональных данных непосредственно рядом с веб-формами.

Что относится к персональным данным по мнению Роскомнадзора

Центр компетенций Роскомнадзора по Южному федеральному округу разрабатывает матрицу персональных данных. Проект такой матрицы уже существует, планируется, что он будет размещен в открытом доступе в первом полугодии 2021 года.

Сбор копий документов, содержащих персональные данные

Сбор копий документов должен осуществляться на основании согласия субъекта в соответствии с ч.1 ст. 6 Закона “О персональных данных”.

Паспорт — это носитель биометрических персональных данных. Для получения копии документа согласия, предусмотренного ч. 4 ст. 9 ФЗ № 152 не требуется. Но должно быть получено согласие, которое отвечает требованиям ч. 1 ст. 9 Закона: согласие должно быть информированным, конкретным и сознательным.

Т.е. человек должен четко понимать, какие данные он предоставляет, в каких целях, кому, какие действия будут осуществлять с данными. В течение какого срока, кто будет иметь доступ к персональным данным.

Если такие требования соблюдаются, то форма получения согласия определяется оператором: можно в электронном виде, можно на бумаге.

Являются ли идентификаторы персональными данными

Такие идентификаторы как ИНН, СНИЛС, электронная почта и т.п. являются персональными данным. Роскомнадзор исходит из их уникальности: они присваиваются конкретному человеку и не могут быть отнесены к другому.

Даже без дополнительной информации идентификаторы являются персональными данными.

Вопрос о MAC- адресах устройств нужно рассматривать в контексте Закона “О связи”. Без сведений об абоненте они не относятся к персональным данным. Но когда MAC- адрес добавляется сведениями, например, о геолокации или кукис, то в совокупности эта информация является персональными данными.

Фотографии и видеозаписи в контексте персональных данных

Ранее Роскомнадзор уже озвучивал позицию о том, что в случаях, предусмотренных законодательством, фото является биометрическим персональными данными. Для их обработки необходимо выполнить требования статьи 11 Закона “О персональных данных”

Во всех иных случая фотография рассматривается как материальный носитель персональных данных и обработка которых осуществляется на общих основаниях, предусмотренных статьей 6 Закона 152-ФЗ.

Оборот фото-видеоизображений регулируется Гражданским кодексом, который предусматривает случаи использования изображения гражданина как с согласия, так и без такового.

Потоковое видеонаблюдение не рассматривается Роскомнадзором как обработка персональных данных. Но если камера направлена на идентификацию лица, например, для пресечения или раскрытия правонарушений, то записи с этой камеры должны рассматриваться как источники персональные данные.

Профилирование и оценка личностных качеств

Например в мобильном приложении осуществляется сбор информации в объеме: имя, телефон, история заказов, выявление предпочтений пользователя. По мнению Роскомнадзора такой набор информации является персональными данными, поскольку на его анализе осуществляется подготовка маркетинговых предложений. И дальнейшее использование этих данных в рекламе должно осуществляться в соответствии со ст. 15 Закона “О персональных данных” и предполагает согласие на обработку персональных данных

Оценка поведений и личных качеств работников, например, при проведении психологических тестов, представляет собой некую модель профилирования физического лица на основании которой вырабатываются рекомендации: о занятости, приеме или отказе в приеме на работу, на замещение вакантной должности. Для проведения профилирования необходимо получать согласие на обработку персональных данных.

О согласиях на обработку персональных данных

Несколько целей в одном согласии

Разработан законопроект, который предусматривает совмещение нескольких целей в одной форме согласия. Как только он будет принят, РКН скорректирует свою позицию.

Пока же Роскомнадзор считает, что можно указать несколько целей в одном согласии только в некоторых случаях. Например, если происходит обработка биометрических данных, специальных категорий персональных данных, в случаях, если осуществляется трансграничная передача в страны, не обеспечивающие адекватную защиту данных.

Во всех других случаях оформления согласия в письменной форме должна быть указана одна цель.

Получение согласия на обработку персональных данных при заключении договора

Если обработка персданных осуществляется в соответствии с условиями договора и только для его исполнения, то согласие не требуется.

Но если в договор включаются положения, не связанные с его предметом, то на такие действия необходимо получать отдельное согласие на обработку персональных данных.

Например, в договор оказания услуг связи включаются положения о проведении исследований или на рассылку рекламы.

Если впоследствии по этим видам обработки субъект направит отзыв своего согласия, то оператор обязан ее прекратить, поскольку она не является основной применительно к предмету договора.

Согласия на обработку персональных данных соискателя и близких родственников

Трудовым кодексом урегулированы отношения только между работодателем и работником и не охвачены вопросы поиска работы. Поэтому единственным правовым основанием для обработки персональных данных соискателей является его согласие.

Часто соискателю предлагается заполнить анкеты, в которых предусмотрены сведения о близких родственниках, но очень сложно получить согласия от самих родственников. В таких случаях рекомендуется все же убедить соискателя в необходимости получения согласия от родственников.

Например, сообщить о необходимости проверки конфликта интересов.

Обработка персональных данных родственников сотрудника имеет ряд особенностей

Обработка персональных данных в объеме, предусмотренном унифицированными формам, например, карточками Т-2, согласия не требует. Но на обработку ПД, которые не содержаться в типовых формах, но необходимы работодателю, требуется получать согласие.

Электронные копии согласий на обработку персональных данных

Сканы письменных форм согласий на обработку делать не запрещено. Но если есть электронные копии, то можно ли уничтожить оригинал на бумажном носителе?

Роскомнадзор рекомендует принимать во внимание положения процессуальных кодексов, где предусмотрено, что в случае рассмотрения судебного спора необходимо предоставить суду подлинники письменных доказательств. Поэтому при принятии решения о замене оригинальных экземпляров на электронные копии, необходимо учитывать эти риски.

Срок согласия на обработку персональных данных

По мнению Роскомнадзора срок согласия должен быть ограничен конкретным сроком или достижением цели обработки персональных данных, например, исполнением договора.

Нельзя указывать, что согласие дается на неограниченный срок или указывать сроки, не предусмотренные законодательством или ничем не мотивированные. Например, неправильно установить срок согласия на 15, 50 или 70 лет.

Если конкретный срок определить затруднительно, то рекомендуется обработку ПД ограничивать достижением цели обработки.

Форма согласия на получение рассылки от иностранного сайта

Достаточно ли получения согласия в электронной форме в виде проставления галочки в чек-боксе, если сайт или его администратор находятся за пределами РФ?

Роскомнадзор считает, что если сайт направлен на граждан России, то презюмируется, что он соблюдает требования национального законодательства России — в частности, соблюдает правило локализации. Следовательно, такая форма выдачи согласия допустима.

Передача персональных данных третьим лицам

Что делать, если персональные данные передаются третьим лицам? Причем этот список может изменяться.

Если для обработки персональных данных необходимо получать письменное согласие (ч. 4 ст. 9 Закона “О персональных данных”) например, трансграничная передача, обработка биометрических данных и т. д, то в этом случае обязательно поименное указание организаций, которые действуют по поручению оператора. В случае изменения этих организаций, согласие придется переподписывать.

Во всех остальных случаях согласие может содержать отсылку на сайт оператора, где можно разместить список третьих лиц, которым передаются персональные данные. В самом согласии необходимо указать цели, в которых ПД передаются этим третьим лицам.

Об изменении списка Роскомнадзор рекомендует уведомлять субъектов персональных данных. Срок такого уведомления законом не определен, но РКН считает разумным делать это в течение 10 дней.

Договоры поручения на обработку персональных данных

Является ли провайдер облачных услуг оператором?

Конечно, провайдер облачных услуг является оператором, поскольку на его серверах осуществляется хранение персональных данных.

Требуется ли при использовании облачных услуг заключать договор поручения на обработку персональных данных?

Да, потому что один оператор передает для хранения ПД другому оператору. А этот случай предполагает заключение договора поручения. Дополнительно нужно получать согласие субъекта на передачу его персональных данных по договору поручения.

Можно ли в согласии работника указывать всех третьих лиц, которым передаются ПД в рамках договоров поручений?

Можно, но только при условии, что третьи лица привлекаются для достижения единой цели, которая предусмотрена в тексте согласия на обработку персональных данных.

Например, для целей кадрового учета привлекается две организации. В согласии указывается цель: ведение кадрового учета. В этом случае согласие составлено корректно.

Да, эти лица являются операторами и обязаны предоставлять уведомления по общим правилам.

Исключение, предусмотренное для договорных отношений, в этом случае не применяется, поскольку субъекты персональных данных не являются стороной договора поручения, заключаемого оператором с третьим лицом.

Обязан ли оператор предоставлять по договору поручения сведения о правовых основаниях обработки персональных данных?

Действующим законодательством такая обязанность не предусмотрена, поскольку ответственность перед субъектом несет только оператор, даже за действия третьего лица.

Поэтому РКН рекомендует урегулировать этот вопрос в договоре поручения на обработку персональных данных, если необходимо.

Персональные данные представителей компаний в договоре

Типичная ситуация: два юридических лица заключили между собой договор. С одной стороны договор подписал представитель по доверенности.

Организация, которая выдала доверенность своему работнику, обязана получить от него согласие на передачу персональных данных контрагенту по договору.

Для контрагента, получившего доверенность этого работника, получать отдельное согласие на обработку не нужно, т.к. обработка ПД доверенного лица осуществляется в рамках договора.

Ответственное лицо

Будет ли привлечен оператор к ответственности, если он не назначил ответственное лицо за обработку персональных данных?

К административной ответственности РКН привлекать не будет. Но если в ходе проверки такой факт будет выявлен, то проверяющий выдаст предписание с указанием срока его исполнения. И если оператор в этот срок не устранит нарушение, то будет привлечен к административной ответственности по ст. 19.5 КоАП РФ.

Можно ли назначить нескольких лиц, ответственных за обработку ПД?

В уведомлении о намерении осуществлять обработку персональных данных должно быть указано только одно физическое лицо, ответственное за обработку персональных данных. Конечно, ответственный может делегировать часть своего функционала, но об этом нужно указать только в локальных актах оператора.

Можно ли указывать в уведомлении юридическое лицо, ответственное за обработку ПД?

Да, если к обработке привлечено юридическое лицо, то оно может быть указано в уведомлении о намерении осуществлять обработку персональных данных в дополнение к информации, предусмотренной ст. 22 Закона № 152-ФЗ.

Заключение

Контемиров пообещал, что по результатам работы Центров компетенций в 2021 году будут опубликованы: матрица персональных данных, портфель оператора, включающий в себя шаблоны документов, актов, форм, необходимых для работы с персональными данными. РКН хочет, чтобы такой портфель был хорошим подспорьем.

Важное обновление 23.12.2020: принят закон об изменении правил публикации персональных данных.

Ну а я продолжаю наблюдение. Подпишитесь на мои страницы в Фейсбуке, Яндекс Дзене и Телеграм, чтобы делать это вместе.

Остаюсь с вами на связи. Все вопросы по статье можно написать в чат в Я.Дзене.

ps. Чатик придумал, чтобы избежать включения в реестр ОРИ, но быть с вами на связи.

В России почти месяц действует новый закон о биометрических данных. Возможно, вы об этом не знали, потому что президент подписал его накануне Нового года, когда страна слабо следила за законотворчеством. Давайте разбираться, стала ли биометрия обязательной, как изменится жизнь с вводом новых правил и где проверить данные о себе.

Биометрия шагает по стране

До 1 января 2021 года биометрия почти не использовалась. Банки могли собирать её, а могли не собирать — закон их не принуждал. Максимум, для чего можно было использовать слепки лица и запись голоса — дистанционное открытие счетов, вкладов и оформление кредитов. Но финансовые организации не обязаны были предоставлять подобные услуги.

_{Для нашего удобства. Фото: gazetazt.ru}

Получается, что какие-то банки собирали биометрию, какие-то — нет. Кто-то из клиентов понимал, зачем банк записывает голос, кто-то — нет. В итоге в единую биометрическую систему (ЕБС), как сообщает РБК со ссылкой на свой источник, внесено около 150 000 человек. Впрочем, Герман Греф утверждал, что Сбербанк хранит миллионы биометрических данных.

1. Банки с универсальной лицензией обязаны передавать биометрические данные клиентов в ЕБС и предоставлять дистанционные услуги с аутентификацией клиента по лицу и голосу.
2. Сфера действия биометрии и доступ к ЕБС расширяется. Данные могут получать не только банки, но и госучреждения, МФЦ, нотариусы, юридические лица и ИП.

В пресс-службе Ростелекома (оператор ЕБС) сообщают, что с помощью биометрии можно будет платить в магазинах и вендинговых аппаратах, проходить на стадион или в транспорт, сдавать дистанционные экзамены, подписывать договоры, получать услуги нотариуса и т. д.

Эти и другие сценарии использования Единой биометрической системы позволят сделать сервисы, которыми граждане пользуются ежедневно, еще более удобными, бесконтактными и безопасными, что особенно важно в условиях распространения коронавирусной инфекции. Отметим, что благодаря новому закону Единая биометрическая система в связке с Единой системой идентификации и аутентификации (ЕСИА) может стать аналогом паспорта гражданина РФ

Выглядит красиво, но смущает одно — закон разрешает на коммерческой основе получать данные любым организациям, не только государственным. Единственное ограничение — у руководителя нет судимости, а сама организация не входит в перечень запрещённых.

По сути ИП Сидоров может купить доступ в ЕСИА, чтобы клиенты входили в его ночной клуб, сканируя лицо.

Биометрия станет обязательной?

В законе прямо сказано, что организации не в праве отказывать в предоставлении услуг, если клиент отказался проходить идентификацию по биометрии. Но правило распространяется на государственные и муниципальные услуги. Частные организации могут отказать. В том числе к ним относятся банки и МФО.

Размещение в системе может проводиться только по письменному заявлению клиента, форма которого утверждена правительством. Банк не может сфотографировать клиента во время оформления кредита и размесить данные в ЕСБ, сославшись, что есть подпись на кредитном договоре.

Хочешь-не хочешь, а сдашь

На данном этапе развития биометрия вызывает сомнения и недоверие. Мы не знаем, как и кому будет дан доступ, как станут использоваться данные, насколько системы хранения и передачи данных безопасны, можно ли совершить мошенничество, записав голос по телефону.

Пока сдача данных добровольная. Но нас могут поставить в условия, при которых проще пойти в банк и сфотографироваться. Например, внедрить множество удобных, нужных и полезных услуг, которые предоставляются по скану лица и записи голоса.

Первые ласточки уже появились. ВТБ и «Ростелеком» завершили тестирование системы доступа на спортивные мероприятия «ВТБ Арены» по биометрии. Время прохода через турникет сократится до 1-2 секунд. Система распознаёт лицо с точностью 99,99% даже у людей, находящихся в маске.

Покажи личико. Фото: mkoreaharald.com

Оплату с помощью распознования лица планируют запустить в гипермаркетах «Лента». Эквайером выступает ВТБ.

Вспомним Госуслуги. Изначально сервис не вызывал доверия, потому что портал требовал данные паспорта и прочих документов. Но удобство перевесило опасения. Заметим, что доступ к данным на Госуслугах имеют госучреждения и банки, а пристав может найти вас по данным на портале.

Где проверить данные?

Однажды нам рассказали такую историю.

У Сбербанка своя система хранения биометрии, но по новому закону он обязан разместить сведения в ЕБС. Передал банк данные или нет, можно проверить на сайте оператора.

Обращаем внимание, что войти в личный кабинет можно только с учётной записью Госуслуг. Причём система просит доступ к данным: ФИО, номер телефона, адрес электронной почты, паспортные данные, разрешённые организации. Тем самым лицо, голос и номера документов связываются воедино, если этого ещё не произошло.

В личном кабинете можем посмотреть, размещены ли биометрические данные в системе и какие действия с ними происходили.

Если вы не уверены, что стоит размещать свои данные в ЕБС, то тут же в личном кабинете их можно отозвать.

Биометрические персональные данные используются для того, чтобы установить личность человека. Что относится к таким данным, как они защищаются, на эти и другие вопросы ответы в нашем материале.

Содержание статьи:

ПОЛЕЗНО: смотрите ВИДЕО с советами по составлению искового заявления, чтобы не оказаться в ситуации, когда Ваше обращение будет оставлено без движения или возвращено.

Что относится к биометрическим персональным данным?

В соответствии с законом, посвященном персональным данным, биометрические данные включают в себя физиологические и биологические особенности человека со следующими характеристиками:

1. дактилоскопические данные
2. радужную оболочку глаз
3. анализы ДНК
4. рост, вес
5. образ лица
6. особенности строения тела
7. фотография
8. видеозапись
9. аудиозапись голоса
10. другие данные

Как видно из приведенного списка, рассматриваемые персональные данные включают в себя информацию, которая для каждого человека является индивидуальной, и установить личность по соответствующим данным не составляет труда. Надо сказать, что в некоторых банках начали фиксировать биометрические данные клиентов, а именно, осуществляется фотографирование и запись голоса.

Как отозвать согласие на обработку биометрических данных?

Чаще всего согласие на обработку биометрических данных дается в письменной форме. Однако, такое согласие может быть получено и через совершение лицом действий, направленных на фиксацию биометрических данных. Например, в банках предлагают сфотографироваться на камеру и назвать цифры для аудиозаписи голоса, после чего биометрия получена и согласие тоже.

Как же отозвать согласие на обработку биометрических данных? Отозвать согласие путем совершения каких-то действий наверное не удастся, да и доказать в случае чего такой отзыв будет затруднительно. Поэтому действуем по старинке и оформляем в письменной форме заявление на отзыв соответствующего согласия.

Как законно отказаться от биометрии?

Закон не вменяет в обязанности человека сдавать биометрические данные, поскольку это право.

Следовательно, лицо может просто сказать, что не хочет предоставлять информацию о своих биометрических данных и отказывается от этого.

Если тот или иной сотрудник, например, банка, будет настаивать, то можно попросить его назвать конкретную норму права, которая говорит об обязанности лица предоставлять банку свою биометрию. Сотрудник назвать такую норму не сможет и, скорее всего, прекратит всякие действия по настаиванию на предоставлении биометрии.

На форумах в интернете еще встречаются такие рассказы, когда на просьбу сдать свою биометрию, люди отвечают, скорее всего, в шутку, что им вера не позволяет сдавать биометрию и все просьбы и уговоры якобы прекращаются.

Защита биометрических персональных данных

Операторы, которые получили информацию о биометрии человека, обязаны обеспечить ее защиту и использовать только в установленных законом случаях. Поскольку информация о лице, как правило, хранится в базах данных, соответственно, оператор обязан обеспечить защиту таких баз данных.

Однако, какие бы меры по защите биометрических персональных данных, как и иных данных, не принимали, всегда найдутся люди, которые могут продать информацию о рассматриваемых персональных данных, могут взломать базу данных и т.п.

Каждый человек, может сам попытаться защитить свои персональные данные, в том числе, биометрические. Для защиты не следует лишний раз соглашаться предоставлять свои данные, не следует указывать их везде, где просят. С биометрическими персональными данными проще, т.е. не согласился их предоставлять и все. С обычными же персональными данными все не так просто. Например, часто при заполнении любых анкет, например, потенциальные работодатели просят указать в ней все, а именно, ФИО, дату и место рождения, место проживания и что самое интересное паспортные данные. Очень интересно, зачем в анкете указывать паспортные данные? Не стоит указывать информацию, которая не может понадобиться оператору.

А что делать в случае нарушения прав, разглашения данных? В этом случае, необходимо обратиться к руководителю организации, сотрудник которой разгласил данные, или откуда произошла «утечка информации», и попросить провести проверку с принятием мер к сотруднику, которого можно уволить и/или привлечь к ответственности. Однако, установить иногда лицо, которое разгласило данные, является затруднительно.

Если нарушаются права лица, чьи персональные данные используются, тогда можно обратиться в правоохранительные органы. Например, встречаются случаи, когда на лицо оформляется кредит, при этом человек не брал такой кредит, а оформило кредит какое-то неизвестное третье лицо. В таком случае подлежит возбуждению уголовное дело, а с банком, скорее всего, нужно будет судиться и признавать кредитный договор недействительным.

Адвокат по биометрическим данным в Екатеринбурге

Если у Вас возникли какие-то вопросы, связанные с биометрическими данными, либо Вам отказывают в оказании каких-либо услуг, потому что Вы не предоставляете биометрические персональные данные, тогда обратитесь к адвокатам нашего бюро, которые могут оказать следующие услуги в этой сфере:

• консультация по вопросам предоставления и использования биометрических данных
• подготовка заявление об отзыве своего согласия на использование биометрических данных
• подготовка претензии в адрес оператора на незаконное использование Вашей биометрии
• подготовка жалобы на нарушение Ваших прав, в связи с использованием Ваших биометрических персональных данных
• представление интересов доверителя по вопросам незаконного использования Ваших данных, по вопросам обжалования действий операторов и т.п.

ИНТЕРЕСНО: читайте еще про защиту авторских прав в Интернете на сайте

Читайте также:

  
• Для чего нужен интернет на работе обоснование
  
• Какая зарплата у мишустина
  
• Кто подписывает приказ о продлении полномочий директора ооо
  
• Как получить звание ветеран труда в хакасии
  
• Что такое сокращение на работе по соглашению сторон