СЗПДн. Анализ. Обработка фотографий и биометрия


14 декабря были опубликованы разъясненияРоскомнадзора по вопросам обработки персональных данных работников и соискателей, подготовленные совместно с экспертами: А.В. Лукацким, Емельянниковым М.Ю., Волковым А.Н., Токаренко А.В.

Появление такого документа радует, потому что подобные вопросы возникают у всех операторов ПДн и теперь могут быть решены гораздо быстрее.  

Пока ожидаются разъяснения по другим темам, привожу информацию по вопросу обработки фотографий и классификации её как биометрии, которая может быть кому-то полезна.
Данная тема боян поднималась регулярно в блогах экспертов (например, эта, эта и эта). Но, пока эксперты обсуждали, краснодарский РКН в этом году регулярно карал операторов. По моим наблюдениям подобные нарушения были выявлены в половине проверок (примеры тут и тут)
  

При этом обработку черно-белых ксерокопий паспортов трактовалась краснодарским РКН как обработка биометрических данных, а нарушением являлось отсутствие согласия субъекта на обработку биометрических ПДн.
С моей точки зрения имело место обработка обычных категорий ПДн (не биометрических) но при этом происходит нарушение  152-ФЗ части 5 статьи 5:
“5. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.”

Чтобы хоть как-то прояснить официальную позицию РНК, отправил 2 запроса в РКН (2 месяца назад и месяц назад) с вопросами:
·        относится ли ксерокопия паспорта к биометрическим данным
·        может ли оператор обрабатывать ксерокопии паспортов в рамках трудового договора с субъектом ПДн, без получения дополнительного согласия

Был получен следующий ответ:




Как видно, РКН считает что фото + дополнительные данные = биометрия. Копия паспорта = биометрия.

По этому поводу могу посоветовать операторам:
·      следить за новыми разъяснениями РКН,  возможно там более подробно будет освещен данный вопрос
·      отказаться от обработки копий паспортов, либо заштриховывать фотографии (не потому что биометрия, а потому что избыточные данные)
·      минимизировать технологические процессы обработки фотографий субъектов ПДн,  для всех оставшихся процессов четко определить цели для достижения которых необходимы фотографии субъектов; если эти цели – идентификация субъекта и попадает под  152-ФЗ статью 11, то собирать согласие на обработку биометрических ПДн; быть готовым собрать согласие и для всех остальных случаев обработки фотографий субъектов ПДн.  


UPDATE. Примеры:

ОАО «ТАВС «Кубань»
РКН выдал предписание об устранении нарушений и отправил дело в прокуратуру
http://23.rsoc.ru/news/p45/news42795.htm

Прокуратура возбудила дела об административных правонарушениях по статье 13.11 КоАП РФ и направила его мировому судье судебного участка № 40 Карасунского внутригородского округа г. Краснодара
http://23.rsoc.ru/news/news45215.htm

Мировой судья признал оператора виновным
http://msud40.krd.msudrf.ru/modules.php?name=info_pages&id=1897


ООО «Европа-СПА»
РКН выдал предписание об устранении нарушений и отправил дело в прокуратуру
http://23.rsoc.ru/news/p224/news38850.htm
Мировой судья признал оператора виновным
http://msud52.krd.msudrf.ru/modules.php?name=info_pages&id=1621

Дальше просто предписания (не стал тратить время на подборку одного к другому, и так всё понятно)

ОАО "ЮКА"
http://msud101.krd.msudrf.ru/modules.php?name=info_pages&id=1453&cl=1

ФГБУ санаторий «Юность»
http://msud98.krd.msudrf.ru/modules.php?name=info_pages&id=2340&cl=1

ООО «МФО «Клиника «На здоровье» (хотя на сайте название зачем то удалили)
http://msud245.krd.msudrf.ru/modules.php?name=info_pages&id=1005&cl=1

ЗАО Санаторий «Кубань»
http://msud1.krd.msudrf.ru/modules.php?name=info_pages&id=4519

Комментарии

Talyrus написал(а)…
А как быть с системами видеонаблюдения на предприятии и системами контроля доступа? При проходе сотрудника на мониторе отображается фото, ФИО проходящего? Значит это отдельная ИСПДн, да еще с обработкой биометрии?
Сергей Борисов написал(а)…
Тут всё зависит от цели обработки.

С системой видеонаблюдения проще - целями обработки будет предотвращение преступлений и нарушений политики безопасности. При этом обрабатывается не только изображение субъекта, а вобще всё происходящее.

С фото хуже. Вы помещаете фотографию в СКУД именно для того чтобы идентифицировать субъекта на входе. Как правило кроме самой фотграфии на пропуске и в СКУД записывается ещё и должность и название организации и возможно дополнительная информация - а этого уже достаточно чтобы определить субъекта ПДн.
Получаем что СКУД - ИСПДн обрабатывающая биометрические данные и должна классифицироваться и защищаться.

ser-storchak написал(а)…
Этот комментарий был удален автором.
ser-storchak написал(а)…
Мы получили замечание как раз за обработку ксерокопий паспортов в рамках трудового договора с субъектом ПДн без получения дополнительного согласия. Позицию регуляторов считаю справедливой. Они попросили предоставить аргументы, на основании которых мы обрабатываем ксерокопии паспортов. Нигде в законодательстве нет требований, в которых было сказано, что требуется ксерокопия паспортов работников. Поэтому пришлось признать свою вину и устранить нарушение, собрав согласия с работников организации.
Сергей Борисов написал(а)…
Согласен что это нарушение.
Но Краснодарский РКН достаточно вольно трактует такие данные как биометрию.
Видимо - так им легче доказать нарушение или штраф больше.

Надо прорабатывать вариант нарушения - именно как избыточные данные, не соответствующие целям обработки.
Andrey Prozorov написал(а)…
Добавил несколько уточняющей информации и тоже отправил похожий запрос.
Также интересно, что московское отделение ответит по этому поводу, будет ли отличаться ответ.

Кстати, добавил еще в вопрос про фото в СКУД. Есть ощущения ,что его можно вывести из-под биометрии (в отличие от ксерокопии паспорта), т.к. фото не по ГОСТу.

Как получу ответ - отпишусь в блоге
Vladimir00045 написал(а)…
Я посылал даный вопрос так же в московский РКН.
Ответ - биометря :)
Unknown написал(а)…
Ну что это биометрия понятно, не понятно ПОСТАНОВЛЕНИЕ от 6 июля 2008 г. N 512 "ОБ УТВЕРЖДЕНИИ ТРЕБОВАНИЙ
К МАТЕРИАЛЬНЫМ НОСИТЕЛЯМ БИОМЕТРИЧЕСКИХ
ПЕРСОНАЛЬНЫХ ДАННЫХ И ТЕХНОЛОГИЯМ ХРАНЕНИЯ ТАКИХ ДАННЫХ
ВНЕ ИНФОРМАЦИОННЫХ СИСТЕМ ПЕРСОНАЛЬНЫХ ДАННЫХ"(в ред. Постановления Правительства РФ от 27.12.2012 N 1404) пункт 3, получается если мы снимаем ксерокопию паспорта и храним эту ее то в принципе - это не ИСПДн, я правильно поняла или нет?

Популярные сообщения из этого блога

СКЗИ. НПА. Некоторые вопросы применения криптографии

Модель угроз безопасности клиента финансовой организации

КИИ. Категорирование объектов, часть 3