Продолжая тему, казалось уже неактуальную, видов персональных данных сегодня рассмотрим биометрические ПД.
Многие организации устанавливают у себя СКУД – системы комплексного контроля управления доступом. Одной из возможностей предоставляемых этими системами – возможность привязать к пропуску фотографию и основные данные: ФИО, номер документа, должность.
Теперь при предъявлении пропуска на мониторе у сотрудника службы безопасности появляется фотография проходящего мимо человек. Обычно для фотографирования используется web камера.
Теперь попробуем проклассифицировать эту систему.
ФИО, Паспорт, Должность - однозначно 3 категория ПД - чистая идентификация...
Есть еще фотография и здесь начинается интересное.
Мнение Новосибирских ФСТЭК и РКН однозначно – ИСПДн обрабатывающая фотографию относится к 1 категории.
Попробуем разобраться с ситуацией. Первый шаг – 152-ФЗ, дающий определение биометрическим персональным данным: «Сведения, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность…». Комментарий ФСТЭК – сама по себе фотография сделанная с web камеры не соответствует требованиям ГОСТ Р ИСО/МЭК 19794-5-2006 «Автоматическая идентификация. Идентификация биометрическая. Форматы обмена биометрическими данными. Часть 5. Данные изображения лица». Однако в СКУД хранятся еще ФИО и другие данные, а так же фото используется для идентификации субъекта при прохождении процедуры контроля. Таким образом, можно сделать вывод 1: «отнесение фотографии к биометрическим данным зависит от системы и информационного окружения».
Идем далее. Есть Приказ Федеральной службы по техническому и экспортному контролю, ФСБ РФ и Министерства информационных технологий и связи РФ от 13 февраля 2008 г. N 55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных». При классификации систем нет отсылок к биометрическим данным. Законодатель разделяет специальные категории (статья 10) и биометрические данные (статья 11). Таким образом единственная категория обрабатываемых ПД в системе: «категория 3 - персональные данные, позволяющие идентифицировать субъекта персональных данных». Данное утверждение следует из (1) определения БмПД, (2) разъяснения Новосибирского ФСТЭК, основанием отнесения фотографии является возможность идентификации.
Таким образом верхняя граница классификации не более К2. Так в чем же отличие от простой идентификации? Смотрим статью 11: «могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи». И статью 19 ч.4: «Использование и хранение биометрических персональных данных вне информационных систем персональных данных могут осуществляться только на таких материальных носителях информации и с применением такой технологии ее хранения, которые обеспечивают защиту этих данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения». Делаем вывод 2: «мы имеем в худшем случае К2 плюс обязательное письменное согласие субъекта, плюс надежное хранилище».
Как-то так. Будем общаться с контролерами дальше.
P.S. В подавляющем большинстве случаев охранник является сотрудником ЧОП или ВОХР – соответственно сотрудником другого юридического лица, соответственно требуется согласие субъекта на передачу данных третьим лицам.
upd. Кратко итоги: Исходя из прямого прочтения документов система контроля управления доступом не может быть выше класса К2, а вероятнее всего К3. Обязательным требованием является согласие субъекта на обработку биометрической информации.
Комментариев нет:
Отправить комментарий