Биометрия – перспективный и надёжный способ идентификации человека. Не нужно предъявлять лишних документов, карточек – достаточно личного присутствия самого человека. Биометрические системы встраиваются в телефоны, начинают использоваться в банках. Однако есть и риски, ведь утечка биометрических данных откроет злоумышленникам полный доступ к операциям от лица жертвы. Поэтому к хранению этой информации предъявляются особо строгие требования. В статье мы разберём законодательную базу, касающуюся биометрии.
История вопроса
Основной закон, регулирующий хранение и обработку персональных данных, № 152-ФЗ, появился в 2006 году. С тех пор он значительно дополнялся (Последняя редакция от 02.07.2021). Так в статье 11 данного закона было прописано, что биометрия представляет собой сведения, которые характеризуют физические (впоследствии появилось дополнение: «и биологические») особенности субъекта, которые позволяют установить его личность.
Далее появилось уточнение, что операторы могут обрабатывать данные биометрии только с письменного согласия человека. Хотя есть и исключение. Разрешение не потребуется, если данный человек является террористом.
Было решено, что биометрию следует защитить от:
- Получения неправомерного или ошибочного доступа к ним
- Уничтожения или изменения
- Блокировки
- Копирования.
- Предоставления к ним доступа.
- Распространения.
Далее произошла стандартизация под мировой уровень. Она коснулась дактилоскопии, данных ДНК, а также изображения лица. В 2008-м году появилось постановление об утверждении требований к физическим носителям биометрических ПДн и технологиям их хранения вне информационных систем.
О чем говорит закон
Данные голосов и изображения лиц граждан могут использоваться для установления их личности. Право собирать и обрабатывать биометрические данные имеют государственные органы и банки.
Благодаря этому человек, единожды посетивший, к примеру, филиал банка и зарегистрировавший свои биометрические образцы (лицо и голос), в будущем может быть идентифицирован по ним без предъявления дополнительных документов.
Собранные данные будут храниться до 50 лет, однако использовать их для идентификации человека можно только в течение трёх первых лет. После истечения срока хранения будет производиться их обновление.
Сам сбор данных производится при личном присутствии субъекта, и храниться они будут в единой информационной системе ПДн.
При хранении биометрических данных следует свести к минимуму:
- Риски, при сборе биометрических данных.
- Риски, при обработке запросов и работе с данными
- Риски, которые появляются при дистанционном установлении личности.
Чтобы избежать этого, необходимо:
- Регистрировать все действия операторов,
- Пользоваться лишь сертифицированными средствами защиты
- Выдавать ключи электронной подписи операторам.
- Информировать Центральный Банк о всех инцидентах.
За несоблюдение правил работы с ПДн предусмотрены штрафы и другие взыскания.
Требования к организациям
К организациям, занимающимся сбором, обработкой и хранением биометрических данных, предъявляются следующие требования:
- Доступ к данным должен быть только у уполномоченных лиц,
- Нельзя допускать перезапись ПДн вне информационной системы,
- Использование цифровой подписи для предотвращения несанкционированного доступа к данным и сохранения их целостности.
- Обязательное наличие письменного согласия человека на обработку и хранение ПДн.
- Применение шифровальных средств защиты данных осуществляется в соответствии с законодательством РФ.
- Еcли данные хранятся вне информационных систем ПДн, необходимо зарегистрировать факты несанкционированной повторной и дополнительной записи сведений после их извлечения из информационной системы.
Требований намного больше и многие из них компаниям сложно реализовать своими силами. Однако можно воспользоваться услугами провайдеров, предлагающих защищённое облако, соответствующее ФЗ-152.
