Письмо Роскомнадзора от 10.02.2020 № 08АП-6782 "О направлении информации по протоколу совещания" (вместе с "Практическими рекомендациями по применению положений Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных" при обработке биометрических персональных данных несовершеннолетних")

Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций в соответствии с пунктом 2.1 протокола совещания по вопросу соблюдения требований законодательства Российской Федерации в области персональных данных при подключении образовательных учреждений к программно-аппаратным комплексам с применением технологии распознавания лиц и обработки биометрических персональных данных от 24.01.2020 № П25-20пр (далее - Протокол) направляет практические рекомендации по применению положений Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» при обработке биометрических персональных данных несовершеннолетних.

А.А.Приезжева

Практические рекомендациями по применению положений Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных" при обработке биометрических персональных данных несовершеннолетних

Порядок обработки биометрических персональных данных регулируется ст. 11 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее - Закон о персональных данных).

В соответствии с ч. 1 ст. 11 Закона о персональных данных сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные) и которые используются оператором для установления личности субъекта персональных данных, могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.

Следовательно, к биометрическим персональным данным относятся физиологические данные (дактилоскопические данные, радужная оболочка глаз, голос, анализы ДНК и другие), а также иные физиологические или биологические характеристики человека, в том числе, изображение человека (фотография и видеозапись).

Биометрические персональные данные будут являться таковыми при наличии условий:

- они признаны таковыми в силу положений нормативных правовых актов;

- они характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность;

- они используются оператором для установления личности субъекта персональных данных.

Фотографические изображения посетителей организации, содержащиеся в системе контроля управления доступа (СКУД), будут являться биометрическими персональными данными, поскольку они характеризуют физиологические и биологические особенности человека, позволяют установить, принадлежит ли данному лицу предъявляемый СКУД пропуск, на основе которого можно установить его личность путем сравнения фото с лицом предъявителя пропуска и указываемых владельцем пропуска фамилии, имени и отчества с указанными в СКУД.

Таким образом, фотографическое изображение и иные сведения, используемые для обеспечения однократного и/или многократного прохода на охраняемую территорию и установления личности гражданина, также относятся к биометрическим персональным данным.

Отпечатки пальцев человека являются биометрическими персональными данными (дактилоскопической информацией), обработка которых осуществляется только в случаях, установленных Федеральным законом от 25.07.1998 № 128-ФЗ «О государственной дактилоскопической регистрации в Российской Федерации», которым четко определены виды и порядок проведения дактилоскопической регистрации. Обработка указанных данных в иных случаях действующим законодательством не предусмотрена.

Так, согласно ст. 1 Федерального закона от 25.07.1998 № 128-ФЗ «О государственной дактилоскопической регистрации в Российской Федерации» (далее - Закон № 128-ФЗ) государственная дактилоскопическая регистрация - деятельность, осуществляемая органами исполнительной власти по получению, учету, хранению, классификации и выдаче дактилоскопической информации, установлению или подтверждению личности человека.

В Российской Федерации проведение государственной дактилоскопической регистрации, а также использование дактилоскопической информации осуществляются в целях идентификации личности человека.

Проведение государственной дактилоскопической регистрации возможно в случаях:

- розыска пропавших без вести граждан Российской Федерации, иностранных граждан и лиц без гражданства;

- установления личности человека по отпечаткам пальцев (ладоней) рук неопознанного трупа;

- установления личности граждан Российской Федерации, иностранных граждан и лиц без гражданства, не способных по состоянию здоровья или возрасту сообщить данные о своей личности либо не имеющих документов, удостоверяющих личность;

- подтверждения личности граждан Российской Федерации, иностранных граждан и лиц без гражданства;

- предупреждения, раскрытия и расследования преступлений, а также предупреждения и выявления административных правонарушений.

Таким образом, дактилоскопическая регистрации посетителей для осуществления однократного/многократного пропуска на территорию не подпадает под действие Закона № 128-ФЗ. Следовательно, в таком случае осуществляется обработка биометрических персональных данных, не предусмотренная законом. Данное деяние образует состав административного правонарушения, предусмотренного ч. 1 ст. 13.11 КоАП РФ.

Правовые основания обработки персональных данных установлены ч. 1 ст. 6 Закона о персональных данных.

Вместе с тем, правовое регулирование обработки биометрических персональных данных выделено в отдельной статье 11 Закона о персональных данных, которой определены правовые основания обработки указанной категории персональных данных.

В качестве одного из оснований обработки биометрических персональных данных установлено наличие согласия в письменной форме субъекта персональных данных.

Положениями ч. 2 ст. 11 Закона о персональных данных установлены случаи, при наступлении которых согласие в письменной форме субъекта персональных данных не требуется.

Так, согласно указанной норме обработка биометрических персональных данных может осуществляться без согласия субъекта персональных данных в связи с реализацией международных договоров Российской Федерации о реадмиссии, в связи с осуществлением правосудия и исполнением судебных актов, в связи с проведением обязательной государственной дактилоскопической регистрации, а также в случаях, предусмотренных законодательством Российской Федерации об обороне, о безопасности, о противодействии терроризму, о транспортной безопасности, о противодействии коррупции, об оперативно-разыскной деятельности, о государственной службе, уголовно-исполнительным законодательством Российской Федерации, законодательством Российской Федерации о порядке выезда из Российской Федерации и въезда в Российскую Федерацию, о гражданстве Российской Федерации, при обработке биометрических персональных данных несовершеннолетних лиц.

Полагаем необходимым отметить, что общий подход предоставления согласия, закрепленный в ч. 1 ст. 9 Закона о персональных данных, предусматривающий предоставление согласия субъекта персональных данных или его законного представителя в случае обработки биометрических персональных данных не применим, поскольку в соответствии с ч. 1 ст. 11 Закона о персональных данных соответствующее согласие в письменной форме может быть предоставлено исключительно субъектом персональных данных. Возможность делегирования права предоставления согласия в указанном случае законодательством Российской Федерации в области персональных данных не установлено.

Во всех случаях, не подпадающих под указанные в ч. 2 ст. 11 Закона о персональных данных, необходимо получение от субъекта личного согласия в письменной форме на обработку его биометрических персональных данных.

Таким образом, обработка биометрических персональных данных учащихся с согласия в письменной форме законного представителя субъекта персональных данных на обработку его биометрических персональных данных не допускается, за исключением случаев, предусмотренных ч. 2 ст. 11 Закона о персональных данных.

С учетом изложенного, законодательством Российской Федерации не предусмотрены случаи, предполагающие обработку биометрических персональных данных в целях установления личности для осуществления пропускного режима, в том числе в образовательные учреждения.

Таким образом, законодательством Российской Федерации в области персональных данных порядок и условия обработки биометрических персональных данных несовершеннолетних лиц не предусмотрены, что исключает наличие оснований для осуществления такой обработки образовательными учреждениями.

В этой связи в случае осуществления образовательными учреждениями обработки биометрических персональных данных несовершеннолетних лиц, необходимо принять меры по прекращению обработки биометрических персональных данных учащихся (несовершеннолетних) и их уничтожению (при наличии базы данных).