СЗПДн. Анализ. Обработка фотографий и биометрия
14 декабря были опубликованы разъясненияРоскомнадзора по вопросам обработки персональных данных работников и
соискателей, подготовленные совместно с экспертами: А.В. Лукацким,
Емельянниковым М.Ю., Волковым А.Н., Токаренко А.В.
Появление такого документа радует,
потому что подобные вопросы возникают у всех операторов ПДн и теперь могут быть
решены гораздо быстрее.
Пока ожидаются разъяснения по другим
темам, привожу информацию по вопросу обработки фотографий и классификации её
как биометрии, которая может быть кому-то полезна.
Данная тема боян поднималась
регулярно в блогах экспертов (например, эта, эта и эта). Но, пока эксперты
обсуждали, краснодарский РКН в этом году регулярно карал операторов. По
моим наблюдениям подобные нарушения были выявлены в половине проверок (примеры
тут и тут)
При этом обработку черно-белых
ксерокопий паспортов трактовалась краснодарским РКН как обработка
биометрических данных, а нарушением являлось отсутствие согласия субъекта на
обработку биометрических ПДн.
С моей точки зрения имело место
обработка обычных категорий ПДн (не биометрических) но при этом происходит нарушение
152-ФЗ части 5 статьи 5:
“5.
Содержание и объем обрабатываемых персональных данных должны соответствовать
заявленным целям обработки. Обрабатываемые персональные данные не должны быть
избыточными по отношению к заявленным целям их обработки.”
Чтобы хоть как-то прояснить
официальную позицию РНК, отправил 2 запроса в РКН (2 месяца назад и месяц назад)
с вопросами:
·
относится ли ксерокопия паспорта к
биометрическим данным
·
может ли оператор обрабатывать ксерокопии
паспортов в рамках трудового договора с субъектом ПДн, без получения
дополнительного согласия
Был получен следующий ответ:
Как видно, РКН считает что фото + дополнительные
данные = биометрия. Копия паспорта = биометрия.
По этому поводу могу посоветовать
операторам:
· следить за новыми разъяснениями РКН, возможно там более подробно будет освещен данный вопрос
· отказаться от обработки копий паспортов, либо заштриховывать
фотографии (не потому что биометрия, а потому что избыточные данные)
· минимизировать технологические процессы обработки фотографий субъектов
ПДн, для всех оставшихся процессов четко
определить цели для достижения которых необходимы фотографии субъектов; если
эти цели – идентификация субъекта и попадает под 152-ФЗ статью 11, то собирать согласие на обработку биометрических
ПДн; быть готовым собрать согласие и для всех остальных случаев обработки
фотографий субъектов ПДн.
UPDATE. Примеры:
ОАО «ТАВС «Кубань»
РКН выдал предписание об устранении нарушений и отправил дело в прокуратуру
http://23.rsoc.ru/news/p45/news42795.htm
Прокуратура возбудила дела об административных правонарушениях по статье 13.11 КоАП РФ и направила его мировому судье судебного участка № 40 Карасунского внутригородского округа г. Краснодара
http://23.rsoc.ru/news/news45215.htm
Мировой судья признал оператора виновным
http://msud40.krd.msudrf.ru/modules.php?name=info_pages&id=1897
ООО «Европа-СПА»
РКН выдал предписание об устранении нарушений и отправил дело в прокуратуру
http://23.rsoc.ru/news/p224/news38850.htm
Мировой судья признал оператора виновным
http://msud52.krd.msudrf.ru/modules.php?name=info_pages&id=1621
Дальше просто предписания (не стал тратить время на подборку одного к другому, и так всё понятно)
ОАО "ЮКА"
http://msud101.krd.msudrf.ru/modules.php?name=info_pages&id=1453&cl=1
ФГБУ санаторий «Юность»
http://msud98.krd.msudrf.ru/modules.php?name=info_pages&id=2340&cl=1
ООО «МФО «Клиника «На здоровье» (хотя на сайте название зачем то удалили)
http://msud245.krd.msudrf.ru/modules.php?name=info_pages&id=1005&cl=1
ЗАО Санаторий «Кубань»
http://msud1.krd.msudrf.ru/modules.php?name=info_pages&id=4519
UPDATE. Примеры:
ОАО «ТАВС «Кубань»
РКН выдал предписание об устранении нарушений и отправил дело в прокуратуру
http://23.rsoc.ru/news/p45/news42795.htm
Прокуратура возбудила дела об административных правонарушениях по статье 13.11 КоАП РФ и направила его мировому судье судебного участка № 40 Карасунского внутригородского округа г. Краснодара
http://23.rsoc.ru/news/news45215.htm
Мировой судья признал оператора виновным
http://msud40.krd.msudrf.ru/modules.php?name=info_pages&id=1897
ООО «Европа-СПА»
РКН выдал предписание об устранении нарушений и отправил дело в прокуратуру
http://23.rsoc.ru/news/p224/news38850.htm
Мировой судья признал оператора виновным
http://msud52.krd.msudrf.ru/modules.php?name=info_pages&id=1621
Дальше просто предписания (не стал тратить время на подборку одного к другому, и так всё понятно)
ОАО "ЮКА"
http://msud101.krd.msudrf.ru/modules.php?name=info_pages&id=1453&cl=1
ФГБУ санаторий «Юность»
http://msud98.krd.msudrf.ru/modules.php?name=info_pages&id=2340&cl=1
ООО «МФО «Клиника «На здоровье» (хотя на сайте название зачем то удалили)
http://msud245.krd.msudrf.ru/modules.php?name=info_pages&id=1005&cl=1
ЗАО Санаторий «Кубань»
http://msud1.krd.msudrf.ru/modules.php?name=info_pages&id=4519
Комментарии
С системой видеонаблюдения проще - целями обработки будет предотвращение преступлений и нарушений политики безопасности. При этом обрабатывается не только изображение субъекта, а вобще всё происходящее.
С фото хуже. Вы помещаете фотографию в СКУД именно для того чтобы идентифицировать субъекта на входе. Как правило кроме самой фотграфии на пропуске и в СКУД записывается ещё и должность и название организации и возможно дополнительная информация - а этого уже достаточно чтобы определить субъекта ПДн.
Получаем что СКУД - ИСПДн обрабатывающая биометрические данные и должна классифицироваться и защищаться.
Но Краснодарский РКН достаточно вольно трактует такие данные как биометрию.
Видимо - так им легче доказать нарушение или штраф больше.
Надо прорабатывать вариант нарушения - именно как избыточные данные, не соответствующие целям обработки.
Также интересно, что московское отделение ответит по этому поводу, будет ли отличаться ответ.
Кстати, добавил еще в вопрос про фото в СКУД. Есть ощущения ,что его можно вывести из-под биометрии (в отличие от ксерокопии паспорта), т.к. фото не по ГОСТу.
Как получу ответ - отпишусь в блоге
Ответ - биометря :)
К МАТЕРИАЛЬНЫМ НОСИТЕЛЯМ БИОМЕТРИЧЕСКИХ
ПЕРСОНАЛЬНЫХ ДАННЫХ И ТЕХНОЛОГИЯМ ХРАНЕНИЯ ТАКИХ ДАННЫХ
ВНЕ ИНФОРМАЦИОННЫХ СИСТЕМ ПЕРСОНАЛЬНЫХ ДАННЫХ"(в ред. Постановления Правительства РФ от 27.12.2012 N 1404) пункт 3, получается если мы снимаем ксерокопию паспорта и храним эту ее то в принципе - это не ИСПДн, я правильно поняла или нет?