info@b-152.ru +7 (499) 372-06-52 Заказать звонок

Новые правила работы с биометрическими данными российских граждан

1 января 2022 г. вступают в силу новые правила работы с биометрическими данными российских граждан. Теперь для обработки биометрических персональных данных организации должны пройти аккредитацию. Правила, устанавливающие порядок аккредитации, находятся на стадии рассмотрения, однако критерии для получения аккредитации уже установлены. Предусмотрено введение двух видов аккредитации:

1. для организаций, которые осуществляют только аутентификацию1;

2. для организаций, которые осуществляют идентификацию2 либо идентификацию и аутентификацию.

Для каждой из указанных категорий установлены организационные и технические требования, которые гарантируют безопасность данных.

 

Для получения аккредитации организации должны иметь:

 По «аутентификации»:

1. размер капитала не менее 50 млн. руб.

2. не менее 50 млн. руб. обеспечения ответственности за убытки третьим лицам

3. наличие лицензии и права собственности на шифровальные (криптографические) средства

4. не менее 2ух работников в штате, имеющих высшее образование в области информационных технологий или информационной безопасности

5. не более 49% участия иностранных юр. лиц в уставном капитале

6. соответствие требованиям к деловой репутации исполнительного органа

7. отсутствие в ЕГРЮЛ записи о недостоверности сведений о юр. лице

8. соответствие дополнительным требованиям единоличного исполнительного органа

9. аккредитация не была прекращена досрочно3

 

«По идентификацииили идентификации и аутентификации»: 

1. размер капитала не менее чем 500 млн. руб.

2. не менее 100 млн. руб. обеспечения ответственности за убытки третьим лицам

3. наличие лицензии и права собственности на шифровальные (криптографические) средства

4. не менее 2ух работников в штате, имеющих высшее образование в области информационных технологий или информационной безопасности

5. не более 49% участия иностранных юр. лиц в уставном капитале

6. соответствие требованиям к деловой репутации исполнительного органа

7. отсутствие в ЕГРЮЛ записи о недостоверности сведений о юр. лице

8. соответствие дополнительным требованиям единоличного исполнительного органа

9. аккредитация не была прекращена досрочно3

10. доступ организации к гос. системе предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ

 

Особенности аккредитации иностранных юридических лиц, осуществляющих аутентификацию, установлены дополнительно.

 

Есть ли исключения?

Действительно ли сервисам каршеринга придётся отказаться от обработки биометрии? И как быть с пропускным режимом в большинстве организаций, где сотрудники проходят в офис после идентификации по фото?

С одной стороны, получить аккредитацию смогут только крупные корпорации, но, с другой, - законодатель «пытается понять» потребности бизнеса и предлагает установить случаи, когда организации для обработки биометрии вправе использовать системы организаций, получивших аккредитацию. Это возможно при условии наличия согласия физических лиц.

К таким случаям относятся:

1. идентификация водителей легкового такси;

2. идентификация водителей каршеринга;

3. осуществление пропускного режима;

4. участие в собрании участников гражданско-правового сообщества.

 

Что делать остальным организациям?

Исходя из тех положений, которые опубликованы сейчас, если получить аккредитацию для использования «коммерческих биометрических систем» невозможно – организациям останется только использование ЕБС4 и единой системы идентификации и аутентификации или им вовсе придется отказаться от обработки биометрии.

 

На что повлияют нововведения и зачем они нужны?

Из очевидного – ужесточение требований к обработке биометрии необходимо для защиты прав физических лиц и стимулирования использования ЕБС, которая такую защиту обеспечивает. Однако тут же возникает вопрос относительно ряда критериев для аккредитации организаций: может ли размер уставного капитала организации свидетельствовать о ее способности обеспечить безопасную обработку биометрии? Вероятно, нет. По мнению РСПП5, проект Минцифры дискриминирует крупнейшие российские IT-компании, что может повлечь технологическое отставание Российской Федерации в развитии этого направления. Ряду компаний и вовсе придется отказаться от использования биометрических данных для идентификации и аутентификации субъектов. Пока неизвестно, будут ли вноситься изменения в законопроекты, и как они будут реализованы на практике, – будем следить за новостями.

1 т.е. проверяют подлинность пользователя

2 т.е. определяют наличие субъекта в информационной системе

3 и лицо, действующее без доверенности от имени организации, не являлось лицом, действующим без доверенности от имени организации, аккредитация которой досрочно прекращена

4 Единая биометрическая система

5 Российский союз промышленников и предпринимателей