Биометрия в СКУД: актуальные вопросы

Применение биометрических систем в различных сферах жизни уже прочно вошло в нашу жизнь: проход на территорию организаций и обеспечение безопасности; разблокировка мобильного телефона и доступ к различным услугам посредством биометрии и многое другое уже не кажется чем-то необычным. Однако бесконтрольное использование биометрии недопустимо, в связи с чем законодательство в данной сфере стремительно меняется в сторону усложнения, а ответственность операторов ужесточается.

Ещё до декабря 2022 года работа с биометрией регулировалась законом о персональных данных. Теперь необходимо учитывать её соответствие требованиям 572-ФЗ «Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных». Кратко вспомним его ключевые положения, вступившие в силу с 01.06.2023:

• Единая биометрическая система (ЕБС). Биометрические данные граждан должны храниться в ГИС ЕБС для их эффективной защиты. Все обработчики биометрии, подпадающие под действие 572-ФЗ, должны передавать биометрические данные своих клиентов и сотрудников в единую систему. Следует отметить, что ЕБС применима только в гражданской сфере и не касается оперативно-разыскной деятельности, обороны страны, миграционного учёта и санитарно-эпидемиологического контроля.
• Согласие. Для обработки биометрии необходимо согласие и уведомление субъекта о передаче данных в ЕБС. С 01.01.2024 физическое лицо может управлять таким согласием на ПГУ. Компания не вправе отказать в предоставлении услуг при отказе дать согласие на обработку биометрических ПДн.
• Цели. Использование биометрии должно соответствовать поставленным целям и ограничено сроком их достижения. Нельзя использовать биометрию по своему усмотрению и передавать сторонним лицам.
• Вектор ЕБС. Необходимость работы с единым вектором биометрических ПДн. Для возможности использования биометрии субъект ПДн должен сдать свои биометрические данные в одном из отделений МФЦ или отделений аккредитованных банков.
• Аккредитация. Доступ к ЕБС получат уполномоченные и аккредитованные компании, соответствующие требованиям 572-ФЗ.

Необходимость изменения работы с биометрией в русле требований 572-ФЗ и связанных с ним НПА вызывает множество вопросов у лиц, на деятельность которых он распространяется. Одни из наиболее часто встречающихся вопросов в данной сфере связаны с возможностью дальнейшего использования СКУД после нововведений.

Прежде всего обратим внимание, что исходя из положений ч. 2 ст. 1 572-ФЗ, действие данного закона не распространяется на отношения, возникающие при осуществлении идентификации и (или) аутентификации в случае, если проверка соответствия предоставленных биометрических ПДн физического лица его биометрическим ПДн, содержащимся в ИС, не осуществляется автоматизированным способом (с помощью средств вычислительной техники), а осуществляется с участием уполномоченного должностного лица. Например, когда при входе на территорию завода сотрудник предъявляет свой пропуск у турникета, а охранник самостоятельно сверяет изображение с лицом сотрудника перед принятием решения о разрешении доступа.

В СКУД зачастую применяется «смешанная» обработка ПДн: фото сотрудника занесено в систему и отражено в пропуске, прикладываемом к считывателю СКУД, но параллельно этому уполномоченным лицом проводится сверка отражённого в СКУД изображения и принимается итоговое решение о пропуске. Исходя из буквального толкования 152-ФЗ и № 572-ФЗ, такой случай с большей долей вероятности также не будет подпадать под регулирование и новые требования о взаимодействии с ЕБС.

Однако если предприятие использует систему автоматической идентификации сотрудников по лицу при проходе через турникет, то биометрические данные обрабатываются автоматически – организация должна следовать требованиям № 572-ФЗ.

По требованиям № 572-ФЗ при организации работы СКУД на режимных объектах распознавание личности сотрудников может проводиться только через ЕБС. Остальные организации могут применять любые схемы использования биометрии, в том числе и услуги по аутентификации от организаций, получивших аккредитацию.

Юридическая квалификация некоторых сценариев обработки фотографического изображения и иных персональных данных (ПД) посетителей организации для обеспечения их однократного и/или многократного прохода на охраняемую территорию

Несколько советов, как организовать обработку биометрии с учётом новых требований

Оцените деятельность на предмет распространения на неё положений 572-ФЗ.

Новые требования относятся к компаниям, планирующим или уже использующим в работе технические решения, посредством которых проводится полностью автоматизированная идентификация и аутентификация субъектов. Если удастся доказать, что вы не обрабатываете биометрические данные, математическая модель которых указана в законе, или не обрабатываете и не храните данные указанными в законе способами, то требования 572-ФЗ на вашу организацию не распространяются.

Если ваша компания подпадает под действие 572-ФЗ:

• Определите порядок взаимодействия с ГИС ЕБС и обеспечьте информационную безопасность и защиту устройств, работающих с биометрией, подходящие для взаимодействия с ЕБС.
• Организуйте защищённые каналы связи для взаимодействия с ГИС ЕБС, обеспечьте работу с криптографией по утверждённым требованиям, устанавливайте на оборудование сертифицированные программные продукты и т.д. При работе с криптографией не забывайте вести журналы учёта СКЗИ, если вы пользователь сервиса 152DOC, то можете сформировать журналы в мастере «Комплект документов по применению СКЗИ».
• Не забывайте про согласие на обработку персональных данных. Предусмотрите альтернативные способы получения услуг для субъектов, выступающих против обработки их биометрических ПДн (право на отказ предусмотрено законодательно и не может являться основанием для отказа в предоставлении услуг).
• Проведите внутренний контроль соответствия систем и обработки биометрических данных требованиям 152-ФЗ, 572-ФЗ и принятых в соответствии с ними НПА (можно оценить такие аспекты, как соблюдение порядка получения согласий на обработку биометрических данных, контроль направления уведомлений при передаче данных в ЕБС и т.д.).

К сожалению, на данный момент мы имеем больше вопросов, чем ответов. Конкретизация требований к используемому оборудованию на законодательном уровне находится в стадии проработки. Поэтому при переходе на новый формат работы организациям необходимо взвешенно подойти к перестраиванию действующих или внедрению новых систем и внимательно отслеживать изменения и нововведения законодательства, дополняющие положения № 572-ФЗ.