Открыть сервис

Статья 10.1 Закона о персональных данных

Статья 10.1 Закона о персональных данных — это норма Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных» (далее — Закон о персональных данных), которая устанавливает правовой режим обработки биометрических персональных данных и требования к их сбору, хранению, использованию и передаче в Российской Федерации. Введена Федеральным законом от 29 декабря 2022 года № 572-ФЗ и вступила в силу с 1 марта 2023 года. Статья направлена на регулирование сбора и обработки биометрических данных граждан, включая изображения лица, голос, отпечатки пальцев и иные уникальные физиологические или поведенческие характеристики, используемые для идентификации личности.

Содержание статьи

Статья 10.1 состоит из нескольких частей, каждая из которых регламентирует отдельные аспекты обработки биометрических данных. Основные положения включают:

  • Определение биометрических персональных данных: к ним относятся сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (например, фотография лица, запись голоса, дактилоскопические данные, данные о рисунке радужной оболочки глаза).
  • Общее правило: обработка биометрических данных допускается только при наличии согласия субъекта персональных данных в письменной форме, за исключением случаев, прямо предусмотренных законом.
  • Исключения из требования согласия: обработка возможна без согласия в ряде случаев, например, при исполнении государственных функций (паспортно-визовая деятельность, судопроизводство, правоохранительная деятельность), при обеспечении безопасности на транспорте, а также в рамках государственной информационной системы «Единая биометрическая система» (ЕБС).

Условия обработки биометрических данных

Согласие субъекта

Согласие на обработку биометрических данных должно быть конкретным, информированным и сознательным. Оно оформляется в письменной форме, если иное не установлено законом. В согласии обязательно указываются:

  • фамилия, имя, отчество субъекта;
  • адрес или иной способ подтверждения личности;
  • наименование оператора (организации или ИП);
  • цель обработки;
  • перечень биометрических данных;
  • срок действия согласия;
  • порядок отзыва согласия.

Исключения из общего правила

Статья 10.1 предусматривает несколько случаев, когда обработка биометрических данных допускается без согласия субъекта:

  • Государственные и муниципальные функции: обработка осуществляется в рамках деятельности органов государственной власти, например, при выдаче паспортов, виз, удостоверений личности, а также в судопроизводстве и исполнительном производстве.
  • Транспортная безопасность: обработка возможна для обеспечения безопасности на транспорте, в том числе в аэропортах, на железнодорожных вокзалах и других объектах транспортной инфраструктуры.
  • Единая биометрическая система: обработка данных в рамках ЕБС, которая создана для идентификации граждан при получении государственных и коммерческих услуг, допускается без отдельного согласия, если субъект ранее дал согласие на обработку в этой системе.
  • Обработка в интересах жизни и здоровья: в случаях, когда обработка необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта, а также в целях медицинской помощи.

Требования к операторам

Операторы, обрабатывающие биометрические данные, обязаны соблюдать ряд дополнительных требований:

  • Информирование: оператор должен уведомить Роскомнадзор о начале обработки биометрических данных, если это не является исключением (например, для государственных органов).
  • Безопасность: оператор обязан обеспечить защиту биометрических данных от несанкционированного доступа, уничтожения, изменения или распространения. Для этого используются шифрование, многофакторная аутентификация и иные меры.
  • Локализация данных: обработка биометрических данных должна осуществляться исключительно на территории Российской Федерации. Передача таких данных за рубеж допускается только в случаях, предусмотренных международными договорами или федеральными законами.
  • Уничтожение данных: при достижении цели обработки или отзыве согласия биометрические данные должны быть уничтожены в срок, не превышающий 30 дней, если иное не установлено законом.

Особенности обработки в Единой биометрической системе

Единая биометрическая система (ЕБС) — это государственная информационная система, предназначенная для идентификации граждан по биометрическим данным. Статья 10.1 устанавливает, что обработка данных в ЕБС осуществляется в соответствии с отдельным федеральным законом (от 29 декабря 2022 года № 572-ФЗ). Граждане могут добровольно предоставить свои биометрические данные (изображение лица и голос) для включения в ЕБС. После этого данные могут использоваться для получения государственных и коммерческих услуг без предъявления паспорта. При этом гражданин вправе в любой момент отозвать своё согласие, и данные будут удалены из системы.

Ответственность за нарушение

Нарушение требований статьи 10.1 влечёт административную, гражданскую и уголовную ответственность в соответствии с законодательством РФ. Основные санкции:

  • Административная: штрафы для должностных лиц от 10 000 до 50 000 рублей, для юридических лиц — от 100 000 до 500 000 рублей (статья 13.11 КоАП РФ). За повторное нарушение штрафы увеличиваются.
  • Гражданская: субъект вправе требовать возмещения морального вреда и убытков, причинённых незаконной обработкой его биометрических данных.
  • Уголовная: в случае утечки данных или их незаконного использования может наступить ответственность по статье 137 УК РФ (нарушение неприкосновенности частной жизни) или статье 272 УК РФ (неправомерный доступ к компьютерной информации).

Критика и обсуждение

Статья 10.1 вызвала неоднозначную реакцию в обществе и среди экспертов. Основные точки критики:

  • Риски утечки данных: биометрические данные являются уникальными и неизменными, поэтому их утечка может привести к серьёзным последствиям для граждан, включая кражу личности.
  • Недостаточная защита: некоторые эксперты отмечают, что требования к безопасности обработки данных в законе недостаточно детализированы, что может привести к злоупотреблениям.
  • Добровольность: несмотря на формальную добровольность предоставления данных в ЕБС, в ряде случаев (например, при получении паспорта или визы) сбор биометрии является обязательным, что ограничивает право граждан на отказ.
  • Международный опыт: в других странах (например, в странах Европейского союза) регулирование биометрических данных более строгое, включая обязательную оценку воздействия на защиту данных и запрет на обработку без явного согласия.

Источники

  • Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных» (в редакции от 29 декабря 2022 года).
  • Федеральный закон от 29 декабря 2022 года № 572-ФЗ «О внесении изменений в Федеральный закон «О персональных данных» и отдельные законодательные акты Российской Федерации».
  • Постановление Правительства РФ от 1 ноября 2022 года № 1959 «Об утверждении Положения о Единой биометрической системе».
  • Кодекс Российской Федерации об административных правонарушениях (статья 13.11).
  • Уголовный кодекс Российской Федерации (статьи 137, 272).

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →