Подписка

Много правил есть на свете…

27/11/19

Успехи отечественных и зарубежных фирм в повышении точности и надежности распознавания биометрических характеристик привели к необходимости подробного изучения темы защиты при обработке биометрических персональных данных. В актуальной статье Александра Горшкова рассмотрен ряд вопросов, связанных с защитой этих данных при удаленной биометрической идентификации. 

25 мая 2018 г. вступил в силу Общий регламент по защите персональных данных Европейского союза (GDPR – General Data Protection Regulation). GDPR является экстерриториальным и распространяется не только на европейские организации или компании, обрабатывающие персональные данные на территории Европейского союза, но и на организации, находящиеся за его пределами.

Можно выделить шесть принципов обработки данных по GDPR (1):

  1. Законность, справедливость и прозрачность. Персональные данные должны обрабатываться законно, справедливо и прозрачно. Любую информацию о целях, методах и объемах обработки персональных данных следует излагать максимально доступно и просто.
  2. Ограничение цели. Данные должны собираться и использоваться исключительно в тех целях, которые заявлены компанией (онлайн-сервисом).
  3. Минимизация данных. Нельзя собирать личные данные в большем объеме, чем это необходимо для целей обработки.
  4. Точность. Личные данные, которые являются неточными, должны быть удалены или исправлены (по требованию пользователя).
  5. Ограничение хранения. Личные данные должны храниться в форме, которая позволяет идентифицировать субъекты данных, не дольше, чем это необходимо для целей обработки.
  6. Целостность и конфиденциальность. При обработке данных пользователей компании обязаны обеспечить защиту персональных данных от несанкционированной или незаконной обработки, уничтожения и повреждения.

В России основные принципы защиты персональных данных определены Федеральным законом от 27.07.2006 г. № 152-ФЗ (ред. от 31.12.2017 г.) "О персональных данных".

Постановлением Правительства РФ от 16.03.2009 г. № 228 (ред. от 28.02.2019 г.) "О Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций" (в соответствии со ст. 23 ФЗ-152) Роскомнадзор назначен федеральным органом исполнительной власти, осуществляющим функции по контролю и надзору в сфере средств массовой информации, в том числе электронных и массовых коммуникаций, информационных технологий и связи, и функции по контролю и надзору за соответствием обработки персональных данных требованиям законодательства Российской Федерации.

Ответственность за нарушения в области обработки, хранения и передачи определяется следующими документами РФ:

  • Трудовой кодекс Российской Федерации от 30.12.2001 г. № 197-ФЗ (ред. от 02.08.2019 г.);
  • Кодекс Российской Федерации об административных правонарушениях от 30.12.2001 г. № 195-ФЗ (ред. от 02.08.2019 г.);
  • Уголовный кодекс Российской Федерации от 13.06.1996 г. 63-ФЗ (ред. от 02.08.2019 г.).

Вместе с тем до конца не определен порядок контроля правил GDPR (2).

Правила GDPR не раскрывают процедуру контроля за соблюдением Регламента организациями, расположенными вне ЕС и не назначившими представителя, и не объясняют, каким образом организации, расположенные вне ЕС, будут нести ответственность за нарушения правил обработки персональных данных.

Сегодняшняя геополитическая ситуация и позиция руководителя Роскомнадзора Александра Жарова по вопросу необходимости соответствия российских организаций требованиям GDPR ясно не определены (2). Однако требования по защите биометрических персональных данных как в соответствии с требованиями GDPR, так и в соответствии с Федеральным законом от 27.07.2006 г. № 152-ФЗ необходимо выполнять безусловно.

mamaev

 

 

Василий Мамаев
Редактор рубрики "Биометрические системы",
заместитель директора НП "Русское биометрическое общество"

----------

  1. https://habr.com/ru/company/digitalrightscenter/blog/344064/
  2. https://habr.com/ru/company/infosecurity/blog/412729/
Темы:БиометрияЖурнал "Системы безопасности" №5/2019