Статья 10.1 Закона о персональных данных
Статья 10.1 Закона о персональных данных — это норма Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных» (далее — Закон о персональных данных), которая устанавливает правовой режим обработки биометрических персональных данных и требования к их сбору, хранению, использованию и передаче в Российской Федерации. Введена Федеральным законом от 29 декабря 2022 года № 572-ФЗ и вступила в силу с 1 марта 2023 года. Статья направлена на регулирование сбора и обработки биометрических данных граждан, включая изображения лица, голос, отпечатки пальцев и иные уникальные физиологические или поведенческие характеристики, используемые для идентификации личности.
Содержание статьи
Статья 10.1 состоит из нескольких частей, каждая из которых регламентирует отдельные аспекты обработки биометрических данных. Основные положения включают:
- Определение биометрических персональных данных: к ним относятся сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (например, фотография лица, запись голоса, дактилоскопические данные, данные о рисунке радужной оболочки глаза).
- Общее правило: обработка биометрических данных допускается только при наличии согласия субъекта персональных данных в письменной форме, за исключением случаев, прямо предусмотренных законом.
- Исключения из требования согласия: обработка возможна без согласия в ряде случаев, например, при исполнении государственных функций (паспортно-визовая деятельность, судопроизводство, правоохранительная деятельность), при обеспечении безопасности на транспорте, а также в рамках государственной информационной системы «Единая биометрическая система» (ЕБС).
Условия обработки биометрических данных
Согласие субъекта
Согласие на обработку биометрических данных должно быть конкретным, информированным и сознательным. Оно оформляется в письменной форме, если иное не установлено законом. В согласии обязательно указываются:
- фамилия, имя, отчество субъекта;
- адрес или иной способ подтверждения личности;
- наименование оператора (организации или ИП);
- цель обработки;
- перечень биометрических данных;
- срок действия согласия;
- порядок отзыва согласия.
Исключения из общего правила
Статья 10.1 предусматривает несколько случаев, когда обработка биометрических данных допускается без согласия субъекта:
- Государственные и муниципальные функции: обработка осуществляется в рамках деятельности органов государственной власти, например, при выдаче паспортов, виз, удостоверений личности, а также в судопроизводстве и исполнительном производстве.
- Транспортная безопасность: обработка возможна для обеспечения безопасности на транспорте, в том числе в аэропортах, на железнодорожных вокзалах и других объектах транспортной инфраструктуры.
- Единая биометрическая система: обработка данных в рамках ЕБС, которая создана для идентификации граждан при получении государственных и коммерческих услуг, допускается без отдельного согласия, если субъект ранее дал согласие на обработку в этой системе.
- Обработка в интересах жизни и здоровья: в случаях, когда обработка необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта, а также в целях медицинской помощи.
Требования к операторам
Операторы, обрабатывающие биометрические данные, обязаны соблюдать ряд дополнительных требований:
- Информирование: оператор должен уведомить Роскомнадзор о начале обработки биометрических данных, если это не является исключением (например, для государственных органов).
- Безопасность: оператор обязан обеспечить защиту биометрических данных от несанкционированного доступа, уничтожения, изменения или распространения. Для этого используются шифрование, многофакторная аутентификация и иные меры.
- Локализация данных: обработка биометрических данных должна осуществляться исключительно на территории Российской Федерации. Передача таких данных за рубеж допускается только в случаях, предусмотренных международными договорами или федеральными законами.
- Уничтожение данных: при достижении цели обработки или отзыве согласия биометрические данные должны быть уничтожены в срок, не превышающий 30 дней, если иное не установлено законом.
Особенности обработки в Единой биометрической системе
Единая биометрическая система (ЕБС) — это государственная информационная система, предназначенная для идентификации граждан по биометрическим данным. Статья 10.1 устанавливает, что обработка данных в ЕБС осуществляется в соответствии с отдельным федеральным законом (от 29 декабря 2022 года № 572-ФЗ). Граждане могут добровольно предоставить свои биометрические данные (изображение лица и голос) для включения в ЕБС. После этого данные могут использоваться для получения государственных и коммерческих услуг без предъявления паспорта. При этом гражданин вправе в любой момент отозвать своё согласие, и данные будут удалены из системы.
Ответственность за нарушение
Нарушение требований статьи 10.1 влечёт административную, гражданскую и уголовную ответственность в соответствии с законодательством РФ. Основные санкции:
- Административная: штрафы для должностных лиц от 10 000 до 50 000 рублей, для юридических лиц — от 100 000 до 500 000 рублей (статья 13.11 КоАП РФ). За повторное нарушение штрафы увеличиваются.
- Гражданская: субъект вправе требовать возмещения морального вреда и убытков, причинённых незаконной обработкой его биометрических данных.
- Уголовная: в случае утечки данных или их незаконного использования может наступить ответственность по статье 137 УК РФ (нарушение неприкосновенности частной жизни) или статье 272 УК РФ (неправомерный доступ к компьютерной информации).
Критика и обсуждение
Статья 10.1 вызвала неоднозначную реакцию в обществе и среди экспертов. Основные точки критики:
- Риски утечки данных: биометрические данные являются уникальными и неизменными, поэтому их утечка может привести к серьёзным последствиям для граждан, включая кражу личности.
- Недостаточная защита: некоторые эксперты отмечают, что требования к безопасности обработки данных в законе недостаточно детализированы, что может привести к злоупотреблениям.
- Добровольность: несмотря на формальную добровольность предоставления данных в ЕБС, в ряде случаев (например, при получении паспорта или визы) сбор биометрии является обязательным, что ограничивает право граждан на отказ.
- Международный опыт: в других странах (например, в странах Европейского союза) регулирование биометрических данных более строгое, включая обязательную оценку воздействия на защиту данных и запрет на обработку без явного согласия.
Источники
- Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных» (в редакции от 29 декабря 2022 года).
- Федеральный закон от 29 декабря 2022 года № 572-ФЗ «О внесении изменений в Федеральный закон «О персональных данных» и отдельные законодательные акты Российской Федерации».
- Постановление Правительства РФ от 1 ноября 2022 года № 1959 «Об утверждении Положения о Единой биометрической системе».
- Кодекс Российской Федерации об административных правонарушениях (статья 13.11).
- Уголовный кодекс Российской Федерации (статьи 137, 272).
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →