Закон о персональных данных устанавливает строгие требования к сбору, хранению и использованию биометрических данных граждан.
Ключевая норма – часть 1 статьи 11 Закона No 152-ФЗ, согласно которой биометрические персональные данные можно обрабатывать только при наличии согласия субъекта в письменной форме. Иначе говоря, каждый гражданин должен дать явное информированное согласие именно на обработку его биометрических данных. Обычного согласия на обработку персональных данных недостаточно – оно должно быть оформлено письменно (в бумажном виде или электронно с электронной подписью) и содержать все предусмотренные законом сведения (оператор, цели, перечень данных, действия с ними, срок действия согласия и т.д. – требования изложены в ч.4 ст.9 Закона No 152-ФЗ). Судебная практика показывает, что согласие “на фотографирование” или общее согласие на обработку фото не равносильно согласию на биометрию – такое согласие признаётся недействительным, если не отражает именно обработку биометрических данных. Поэтому для законного
внедрения системы распознавания лиц организация должна заранее получить у каждого затрагиваемого лица отдельное письменное согласие на биометрическую идентификацию.
Исключительные случаи без согласия. Закон содержит ограниченный перечень ситуаций, когда биометрические данные могут обрабатываться без согласия (ч.2 ст.11). Эти исключения касаются преимущественно государственных функций: например, правосудие, исполнение судебных решений, обязательная дактилоскопическая или геномная регистрация, оборона и безопасность, оперативно-розыскные мероприятия, противодействие терроризму и т.п.. В частном секторе (ритейл, частные компании) такие основания, как правило, неприменимы. То есть ни ведение маркетингового учёта посетителей, ни внутренняя безопасность коммерческой организации не поименованы законом в качестве основания для обработки биометрии без согласия. Следовательно, в рассматриваемых контекстах (магазины, частные предприятия) обязательно нужно опираться на добровольное согласие гражданина.
Добровольность согласия. Важно, что получение биометрии не может быть обязательным требованием со стороны компании. Закон прямо запрещает делать предоставление биометрических данных условием обслуживания или доступа к услугам, кроме случаев, прямо установленных законом. Согласно ч.3 ст.11 Закона No 152-ФЗ, оператор (например, магазин или работодатель) не вправе отказать человеку в обслуживании или ущемлять его права в случае отказа предоставить биометрические данные или дать согласие на их обработку. Проще говоря, посетитель магазина или сотрудник фирмы имеет законное право сказать «нет» распознаванию лица, и организация должна либо предоставить альтернативу, либо воздержаться от применения технологии к этому лицу. Этот принцип добровольности особенно релевантен в трудовых отношениях, где работодатель находится в позиции власти - даже если работник подписывает согласие, оно не должно быть вынужденным под угрозой увольнения. (Практические аспекты такого отказа рассмотрены ниже в контексте трудового права.)
Обязанности оператора при обработке. Если субъект дал согласие и биометрические данные собираются, оператор обязан соблюдать всеобщие требования закона к обработке персональных данных. Во-первых, данные должны собираться только для конкретных заранее определённых и законных целей, указанных в согласии (принцип целевого использования, ст.5 Закона). Нельзя использовать систему распознавания лиц для целей, не уведомленных субъекту. Во-вторых, должны применяться необходимые меры защиты данных (ст.19 Закона). Биометрические данные – одни из самых чувствительных, поэтому их конфиденциальность и безопасность должны обеспечиваться особенно тщательно: шифрование хранимых изображений или шаблонов лиц, разграничение доступа к ним, журналы доступа, регулярные проверки уязвимостей. Роскомнадзор и ФСТЭК установили в подзаконных актах требования к защите информационных систем персональных данных; как правило,
система распознавания лиц будет относиться к информационной системе с высоким уровнем угроз, и оператор обязан внедрить средства защиты соответствующего класса.
Отдельно следует отметить
требование локализации персональных данных граждан РФ. Согласно ч.5 ст.18 Закона No 152-ФЗ, при сборе персональных данных россиян оператор обязан обеспечивать хранение и обновление таких данных в базах данных, находящихся на территории Российской Федерации. Если компания планирует отправлять изображения или шаблоны лиц на зарубежные серверы (например, облачный сервис распознавания), требуется соблюдать дополнительные условия трансграничной передачи (ст.12 Закона) – в частности, проверить, включена ли страна в перечень обеспечивающих адекватную защиту или получить отдельное разрешение от субъекта на зарубежную передачу.
Уведомление регулятора. Российское законодательство обязывает большинство операторов персональных данных уведомлять Роскомнадзор о начале обработки (ст.22 Закона No 152-ФЗ). Есть исключения (например, обработка только персональных данных сотрудников для кадровых целей освобождена от обязательного уведомления, если данные не распространяются и не предоставляются третьим лицам). Однако использование биометрической системы в магазине (для клиентов) почти наверняка требует подачи уведомления в Роскомнадзор, поскольку не подпадает под упрощённые случаи. Несоблюдение этой обязанности может повлечь административный штраф, хотя сам по себе факт неуведомления не легитимирует незаконность обработки, но является нарушением процедурных требований.