3.9.13

Разъяснение Роскомндзора по биометрическим персональным данным: послевкусие

В выходные Роскомнадзор опубликовал свое видение того, что такое биометрические персональные данные. В работе над данным разъяснением принимали участие сотрудники Роскомнадзора, Михаил Емельянников, Александр Токаренко, Алексей Волков и ваш покорный слуга. Это второй документ, который родился в результате совместного творчества - первый был посвящен разъяснению обработки ПДн работников, сотрудников и служащих оператора ПДн.

Михаил Емельянников уже прошелся по этому документу, выделив его основные положения. Поэтому повторяться я не вижу смысла. Но т.к. Наташа Храмцовская раскритиковала наш скромный труд, то не могу не высказаться ;-) В форме тезисов.


  1. Роскомнадзор не наделен полномочиями по трактовке законодательства. Это странно, коль скоро он наделен полномочиями его проверять и, по идее, он должен знать, что проверяет. Но так уж у нас сложилось в государстве, что те, кто проверяет выполнение законодательства не может высказывать официальных и обязательных к применению мнений по данному вопросу. Поэтому не стоит и не стоило ждать какого-либо оформления данной позиции в виде официального документа с какими-то выходными данными. Если кого-то интересует официальное письмо с реквизитами, то пишите официальный запрос и вы получите текст разъяснения на бланке (могу предположить, что будет именно так).
  2. Разъяснение РКН не может быть использовано в суде, но от него этого и не требовалось. Задача данного разъяснения - указать операторам ПДн, в каком направлении двигаться, и указание территориальным органами, как трактовать понятие биометрических ПДн при проверках. Именно унификация позиций разных терорганов и помощь операторам было основной задачей формирования нашей рабочей группы.
  3. Закон не совершенен. Это аксиома. Поправить закон мы сейчас не в силах (хотя скажу, что в рабочей группе при Совете Федерации поправки в статью по биометрии вносились). Поэтому все, что делается на базе несовершенного нормативного акта будет по определению несовершенно. Но многие спорные моменты этим разъяснением сняты.
  4. По определению биометрических ПДн можно долго спорить. Но я (и мои коллеги) остаюсь на позиции, что биометрия становится таковой если соблюдается все ТРИ элемента определения из закона. И основное отличие последней редакции от предыдущей заключается именно в добавлении "на основании которых устанавливается личность субъекта". Т.е. установление личности является основным квалифицирующим признаком, чтобы ни говорилось. Нет установления - нет и биометрии. Персональные данные есть, а биометрии нет. А значит нет и необходимости получать письменное согласие субъекта. А значит многие Интернет-сервисы (те же соцсети) могут спать спокойно. Также хочу отметить, что изменение во времени статуса персональных данных (то ПДн, то не ПДн; то биометрия, то не биометрия) отмечалось еще рабочей группой ЦБ и АРБ при написании 4-й версии СТО БР ИББС (действующий на момент написания этого поста).
  5. Ссылка на судебные решения выглядит достаточно интересно, если не учитывать тот факт, что данное разъяснение и должно было исправить ситуацию, когда разные терорганы РКН по-разному трактуют ФЗ-152. И этого достичь удалось. Надеюсь что теперь таких судебных решений уже не будет, т.к. у РКН не будет оснований подавать иски по аналогичным случаям. Но... никто не дает гарантии, что та же прокуратура будет пользоваться аналогичными рассуждениями - это правоохранительный орган всегда отличался оригинальностью мышления.
  6. Исходя из предыдущих пунктов становится ясно, что и отменять уже вынесенные судебные дела никто не будет. Разъяснения РКН не носит характера закона, который имеет обратную силу в явной форме. Поэтому, кому не повезло, тому не повезло. Но с нынешнего момента должна наступить ясность хотя бы в одно спорном моменте по линии ПДн.
  7. Что касается предложения не заниматься словесной эквилибристикой и сосредоточиться на изменении закона и получении решений высших судебных инстанций. Полностью поддерживаю данное начинание и предлагаю Наталье последовать своему же совету ;-) Рабочие группы по изменению законодательства в области персональных данных создавалось уже немало (только я входил в 4 или 5 из них). Причем ни в одну из них не было закрыто доступа никому из тех, кто реально желал помочь общему делу. Сейчас такая группа создана при Минкомсвязи, завершила свою работу публичная (и туда мог прийти кто угодно) группа про Совете Федерации, планируются очередные Парламентские слушания по ФЗ-152... Вариантов внесения поправок в ФЗ-152 множество. Ну а про обращения в суд проблем вообще нет - любой желающий может обратиться в суд с целью защиты своих прав или признании того или иного нормативного акта незаконным или противоречащим международным договорам или Конституции или еще чему-нибудь. Никто препятствий чинить не станет. Было бы желание помогать, а не только критиковать ;-)
  8. Закрывает ли наше с РКН разъяснение тему биометрических ПДн? Нет. Мы включили в текст то, по чему пришли к консенсу. Спорные темы были целенаправлено исключены из документа. Да и объять необъятное нельзя. Очевидно, что остаются и будут появляться частные случаи обработки персональных данных, по которым сложно будет сделать однозначный вывод об их отнесению к разряду биометрических. Это так. Но процентов на 90 всех вопросов этот документ отвечает.

Хочу выразить отдельное спасибо Роскомнадзору и его ключевым сотрудникам - Шередину Роману Валерьевичу, с которым у нас и возникла идея этой рабочей группы и этих разъяснений, и Контемирову Юрию Евгеньевичу, который довел тему с биометрией до победного конца. Спасибо им, что они согласились на эту работу и не отмахнулись от идеи сотрудничества с экспертным сообществом. Я уже не раз это писал и хочу повторить, что за последние год произошел некоторый перелом в сознании регуляторов, которые не отмахиваются от экспертов и их мнения и готовы, если не разделить его, то хотя бы прислушаться, а местами и учесть в своей работе. Такой позитив наблюдается по нашей тематике в общении с РКН, с ЦБ, с ФСТЭК, с Минкомсвязью. С ФСБ пока нет двусторонней связи - остается надеяться, что эта ситуация будет исправлена.

14 коммент.:

Евгений комментирует...

То что продавили Роскомнадзор на хоть в такой форме толкование закона - это хорошо. Особенно учитывая, что в законе все-таки написано не так и судя по вашему многословной реакции на "словесную эквилибристику", вы это очевидно понимаете :). Посмотрим теперь насколько эти разъяснения обязательны для региональных подразделений РКН.

ЗЫ. А про прокуратуру вы это зря, они трактуют закон не оригинально, а дословно, так как он написан. А не как хотелось бы экспертному сообществу...

Анонимный комментирует...

Я так понимаю вектор дискуссии упирается в в следующее разделение или смешение:
1 - что такое БПДн. (Вреде бы понятно = Сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные);
2 - в каких случаях нужно или не нужно письменное согласие.
2.1 ДА, если БПДн используются оператором для установления личности субъекта персональных данных;
2.2. НЕТ в случаях, предусмотренных частью 2 настоящей статьи ФЗ.

Почему 1 и 2 смешивают мне не ясно...

Анонимный комментирует...

Эх, насколько было бы проще при реализации одного из двух принципов:
1. берем явное согласие на все ("запрещено все, что явно не разрешено")
2. не берем согласие вовсе, а человек сам требует прекращения обработки, если это не соответствует его желаниям ("разрешено все, что...")
А сейчас все проблемы и начинаются с того, что здесь берем согласие, здесь не берем, а здесь не знаем то ли берем, то ли нет...

Евгений комментирует...

>Почему 1 и 2 смешивают мне не ясно...
Потому что очень хочется чтобы так было, а вот сил исправить закон не хватает пока.

Unknown комментирует...

Моё мнение (озвучивал его здесь http://rusrim.blogspot.ru/2013/09/blog-post_4099.html?showComment=1378299822383#c1917580549833540680 ) всё упирается всего лишь в определение. Написать всего лишь нормальное определение - и всё, вопросы со всякими ксерокопиями будут сняты автоматически. Версия определения в европейском документе значительно лучше версии в нашем 152-ФЗ, оно у нас вообще никакое :(

Evgline комментирует...

Где в фз-152 прописано, что изображение человека это биометрия???
...и почему копирование паспорта для заключения договора банковского или прочего обслуживания не является обработкой биометрических данных(для чего тогда делается копия документа удостоверяющего личность, как не для его идентификации)... Непонимаю

Evgline комментирует...

Где в фз-152 прописано, что изображение человека это биометрия???
...и почему копирование паспорта для заключения договора банковского или прочего обслуживания не является обработкой биометрических данных(для чего тогда делается копия документа удостоверяющего личность, как не для его идентификации)... Непонимаю

Алексей Лукацкий комментирует...

В статье про биометрию говорится об изображении человека, в т.ч.

Алексей Лукацкий комментирует...

Если копия паспорта нужна для установления личности, то это биометрия

Анонимный комментирует...

Моя лепта в длинный поток слов, сделанный во многих блогах и РКН.
Биометрия - это когда нужно после каждого факта установления личности на основе биометрии дать ПРАВА, ДОСТУП, АВТОРИЗОВАТЬ. После каждого!
А если вы просто общаетесь, лучше продаёте, используются фотки, чтобы вашему брэнду в целом доверяли лучше, подтверждаете факт выполнения процедуры, то это НЕ БИОМЕТРИЯ.

Сравните уровень доверия данным!?
То же касается паспорта: по закону его экземпляр ОДИН. Ему мы доверяем!!! А ксерокопия - это запись в системе банка, о том, что идентификация была проведена успешно один раз при предъявлении паспорта. Её никуда больше не предъявишь, это не документ, это запись.

Мой комментарий здесь: http://crisisidea.livejournal.com/11085.html

С уважением, CI.

Unknown комментирует...

Добрый день! Сейчас на сайте РКН нет этого разъяснения. Значит ли это, что они пересмотрели свой взгляд на биометрию?

Алексей Лукацкий комментирует...

rkn.gov.ru/docs/Raz6jasnenija_RKN_po_biometrii_okonchatel6naja_versija.doc

Алексей Лукацкий комментирует...

Но они поменяли свой подход

Unknown комментирует...

Что изменилось в их подходе?