В письме Роскомнадзора от 29.08.2022 № 08-78032 (далее — письмо) рассмотрено обращение по вопросу отнесения простого фотоизображения к биометрическим персональным данным. Что делать, если вы решили рядом с материалом под Ф.И.О. автора разместить его фотографию. Будет ли это считаться обработкой биометрических персональных данных? Рассмотрим ответ Роскомнадзора подробнее.
Так, в письме Роскомнадзор поясняет, что законодательство относит к биометрическим персональным данным сведения о физиологических и биологических особенностях человека, которые позволяют установить его личность.
При этом ведомство почему-то не указало на необходимость использования этих сведений оператором в целях установления личности.
Роскомнадзор отметил, что отнесение сведений (фотоизображение человека или видеозапись с ним) к биометрическим персональным данным базируется на указании такой возможности в соответствующем нормативном правовом акте.
Вместе с этим Роскомнадзор сослался на ГОСТ Р ИСО/МЭК 19794‑5‑2013 как на источник толкования ст. 11 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — Закон о персональных данных).
Роскомнадзор посчитал, что письменное согласие на обработку персональных данных (ч. 4 ст. 9 Закона о персональных данных) необходимо только при условии прямого отнесения законодательством РФ тех или иных сведений к биометрии (обработка фотографических изображений). В остальных случаях достаточно любого основания из ч. 1 ст. 6 Закона о персональных данных.
Следует отметить, что Роскомнадзор продолжил существующую в Российской Федерации дискуссию о понимании биометрических персональных данных.
Между тем квалифицирующие признаки биометрических данных определены ч. 1 ст. 11 Закона о персональных данных:
-
это сведения о физиологических и биологических особенностях человека;
-
они позволяют установить личность человека;
-
используются для установления личности человека.
В законодательстве РФ отсутствует квалифицирующий критерий применения специальных технических средств (средств автоматизации) для получения эталонных образцов биометрических данных физического лица и последующего автоматизированного (автоматического) сопоставления эталонных образцов с получаемыми/предъявляемыми биометрическими данными. Кроме того, в законодательстве не указывается на достоверную идентификацию субъекта как на необходимый признак биометрических данных, хотя наличие ошибок идентификации неизбежно, и на то, что с помощью биометрических персональных данных можно не только установить (идентифицировать) личность субъекта данных, но и удостоверить (аутентифицировать) его личность.
Так, заявленная Роскомнадзором позиция в отношении ГОСТ Р ИСО/МЭК 19794‑5‑2013 не является принципиально новой, озвучивалась им ранее и в некоторых случаях находила подтверждение в контрольно-надзорной практике.
В то же время если обратиться к письмам Минцифры России от 17.07.2020 № ОП-П24‑070‑19433, Минкомсвязи России от 28.08.2020 № ЛБ-С-074-24059, Роскомнадзора от 10.02.2020 № 08АП-6782 и Определению ВС РФ от 05.03.2018 № 307-КГ18-101, то в них возможность квалификации фотоизображения в качестве биометрических данных не привязывается к ее формату. Приказ Минцифры России от 10.09.2021 № 930 «Об утверждении порядка обработки, включая сбор и хранение, параметров биометрических персональных данных в ЕБС...» также не содержит прямого указания на ГОСТ Р ИСО/МЭК 19794‑5‑2013.
Вывод: учитывая имеющуюся дефиницию биометрических персональных данных в ч. 1 ст. 11 Закона о персональных данных, вышеприведенные письма Минцифры (Минкомсвязи) и самого Роскомнадзора, а также общую тенденцию ужесточения регулирования оборота биометрических данных в России, необходимо с крайней осторожностью относиться к достаточно либеральным подходам к квалификации сведений в качестве биометрических данных, изложенным в ответе Роскомнадзора на частный запрос.