Комментарии 15
Вывод о том, что «если Вы используете скан-копию паспорта, то работаете с биометрическими персональными данными» — неверный. Более правильно будет "… можете работать с биоПДн при определенных условиях..."
Как видно из ПП РФ № 125 от 4 марта 2010г., скан-копия паспорта является биометрическими ПД, если Вы используете эти данные в работе, то очевидно, что Вы с ними работаете. Другое дело, что при определенных обстоятельствах, такая обработка может осуществляться в соответствии с общими правилами. НО если я не правильно сформулировал свою мысль, то прошу не судить строго, поскольку совсем не претендую на лавры писателя, а ставлю своей целью разобраться и помочь разобраться другим в достаточно дискуссионном вопросе.
В ПП 125 речь идет про ПДн, записываемые на электронные носители. Т.е. фото и «пальчики», записанные на чип в паспорте — это БИО ПДн. Копия паспорта к таковым не относится.
Копия нет, но скан-копия паспорта, по определению записывается на какое-то электронное устройство, то бишь носитель информации. В данном случае я оперирую именно термином скан-копия
Если вы скан-копию запишете на "… электронные носители информации, содержащиеся в основных документах, удостоверяющих личность гражданина Российской Федерации...", то может быть это и будет ПДн, но, думаю, у вас это не получится. Так что скан-копия, по моему мнению, это не БИО ПДн. По поводу отнесения фото к БИО ПДн у РКН по этому вопросу позиция вроде поменялась. Есть ГОСТ Р ИСО/МЭК 19794-5-2013 и если изображение не соответствует этому ГОСТу, то это не БИО ПДн. Но это не точно. Эти позиции озвучиваются на днях открытых дверей и могут противоречить позиции, озвученной, например, годом ранее…
Является ли случаем работы с ПД (и вытекающие из неё обязанности Оператора ПД) снятие мобильным приложением фотографии человека и образца голоса, если для установления его личности (т. е. привязки к ФИО, адресу и т. д.) эти данные не используются — ну, скажем, всё полученное прямо в приложении хэшируется и только этот необратимый хэш отправляется куда-то наружу?
Если фотография и образец голоса позволят определить конкретного человека, то несомненно это будет являться персональными данными. Другое дело, что без дополнительной информации по вышеуказанным данным, мне представляется затруднительно определить конкретного человека, потому что как и с ситуацией с ФИО это лишь сужает выборку. Но доподлинно не указывает на личность физ. лица (поскольку людей с похожей внешностью и голосом может быть не один десяток). Как и писал в статье, огромное значение имеют обстоятельства (публичное выступление, оплата и выступление должностного лица). Что касается Вашего вопроса, постараюсь привести пример судебного дела со схожими обстоятельствами и опубликовать в комментариях.
Когда я был вынужден вступить в полемику на эту тему и, соответственно, полезть читать нормативные акты, я там увидел в статье 3.3 — «сбор (пофиг в каких условиях, для каких целей и даже без хранения) — это тоже обработка». Столь драконовское трактование меня опечалило.
Не говоря уж о том, что раз уж (в соответствии с тем же самым 152-ФЗ) «персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)», то, если подходить педантично, даже ФИО с датой рождения не является ПД, поскольку не может однозначно относиться к конкретному человеку (возможны довольно частые коллизии).
Не говоря уж о том, что раз уж (в соответствии с тем же самым 152-ФЗ) «персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)», то, если подходить педантично, даже ФИО с датой рождения не является ПД, поскольку не может однозначно относиться к конкретному человеку (возможны довольно частые коллизии).
Конечно нужно разбираться в каждой ситуации индивидуально, поэтому прошу относится к моему комментарию, как к мнению, а не как к позиции суда или регулятора или истине.
Предполагаю, что Вы являетесь разработчиком приложения, в таком случае оператором персональных данных будет являться его пользователь. Вы же, в данном случае, должны вдумчиво проработать пользовательское соглашение или Вашу оферту. Где необходимо предусмотреть пункт передачи оператором персональных данных третьему лицу, т.е. Вам. При этом ответственность за обработку будет на стороне пользователя. И Вашими обязанностями по договору или соглашению будет адекватная организация хранения этих данных и целью в Вашем случае, будет только хранение и отсутствие утечек, т.е. дальнейшая их передача куда-либо — это и будет всей обработкой с Вашей стороны, без сбора и т.д. Другое дело, какие требования будут предъявляться к инфраструктуре, но это уже зависит от обстоятельств и состава персональных данных.Базовые требования приведены в 21 приказе, точнее его приложении. В своем комментарии, про поиск соответствующего разбирательства, я взял такие исходные критерии и постараюсь ответить Вам по существу, как только появится такая возможность.
Предполагаю, что Вы являетесь разработчиком приложения, в таком случае оператором персональных данных будет являться его пользователь. Вы же, в данном случае, должны вдумчиво проработать пользовательское соглашение или Вашу оферту. Где необходимо предусмотреть пункт передачи оператором персональных данных третьему лицу, т.е. Вам. При этом ответственность за обработку будет на стороне пользователя. И Вашими обязанностями по договору или соглашению будет адекватная организация хранения этих данных и целью в Вашем случае, будет только хранение и отсутствие утечек, т.е. дальнейшая их передача куда-либо — это и будет всей обработкой с Вашей стороны, без сбора и т.д. Другое дело, какие требования будут предъявляться к инфраструктуре, но это уже зависит от обстоятельств и состава персональных данных.Базовые требования приведены в 21 приказе, точнее его приложении. В своем комментарии, про поиск соответствующего разбирательства, я взял такие исходные критерии и постараюсь ответить Вам по существу, как только появится такая возможность.
Например, Вы приходите в банк или поликлинику, там у Вас также могут спросить паспорт и отсканировать его или снять копию. Но в этом случае целью будет являться подтверждение осуществления действий конкретным лицом (заключение договора на оказание услуг, банковских, услуг связи и т.д.) без проведения процедур установления личности.Здесь не чего не перепутано? Какое подтверждение действий, мои действия подтвердить может только моя подпись в договоре как минимум в двух экземплярах.
Меня тоже эта цитата смутила. Биометрия именно тут используется для подтверждения личности. Причем как ни крути, но идет ее обработка. Хотелось бы точной цитаты, на основании чего такие исключения
Вот мнение верховного суда
Это по поводу пропусков, но из цитаты видно, что при обработке биометрии согласие нужно всегда
Вот мнение верховного суда
Судьи напомнили, что согласно ч. 1 ст. 11 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные) и которые используются оператором для установления личности субъекта персональных данных, по общему правилу могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных.
Это по поводу пропусков, но из цитаты видно, что при обработке биометрии согласие нужно всегда
Так трактует РКН в своих разъяснениях
Насколько я вижу по ссылке — данный документ нелегитимен. Роскомнадзор не имеет права толковать законы — это может делать только орган типа Верховного Суда. Разъяснения Роскомнадзора имеют силу только в случае утверждения Минюстом — в данном документе такой отметки нет. Пользоваться им можно исключительно для самоуспокоения, но не основания
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Биометрические персональные данные, нюансы и тонкости обработки