🇷🇺💡👨💻 #биометрия #роскомнадзор #фото #комментарий
Комментарий от Кирилла Зюбанова (@KZyubanov):
Что произошло? Письмо Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 29 августа 2022 г. N 08-78032 “О рассмотрении обращения”
Что это значит? Из ответа РКН можно сделать несколько занятных выводов:
1) К биометрическим персональным данным (БПДн) многие, исходя из буквального толкования ч. 1 ст. 11 152-ФЗ, относят данные, которые (1) характеризуют физиологические и биологические особенности человека, (2) могут быть использованы для установления личности субъекта ПДн, (3) используются для установления личности субъекта ПДн. Теперь РКН прямо указал, что применяются только критерии (1) и (2). Но на этом дело не кончилось...
2) РКН указал, что дополнительным критерием "возможности отнесения к БПДн" является указание на такую возможность в том или ином НПА. Вместе с этим, РКН сослался на ГОСТ Р ИСО/МЭК 19794-5-2013 как на источник толкования 152-ФЗ.
3) РКН, развивая мысль, описанную в п. 2 выше, прямо указал, что требования ч. 4 ст. 9 152-ФЗ при обработке фотографий (данный тезис можно распространить и на видеозаписи) следует соблюдать только в случаях, когда такие фотографии "законодательным актом Российской Федерации отнесены к БПДн", в остальных случаях достаточного любого основания из ст. 6 152-ФЗ.
Что в сухом остатке? Если фотография обрабатывается в случае, для которого законом прямо не предусмотрено ее отнесение к БПДн и исходя из сущности обработки ПДн нельзя однозначно сказать, что происходит биометрическая идентификация / аутентификация, возможно заявлять о том, что обработка допустима с использованием любого из оснований, предусмотренных ст. 6 152-ФЗ.
PS от Privacy Advocates:
1. Заявленная РКН позиция в отношении ГОСТ Р ИСО/МЭК 19794-5-2013 не является принципиально новой, озвучивалась им ранее и в некоторых случаях находила подтверждение в контрольно-надзорной практике.
2. Если обратиться к письмам Минцифры России от 17.07.2020 № ОП-П24-070-19433, Минкомсвязи России от 28.08.2020 № ЛБ-С-074-24059, Роскомнадзора от 10.02.2020 № 08АП-6782 и определению ВС РФ от 05.03.2018 № 307-КГ18-101, то в них возможность квалификации фотоизображения в качестве БПД не привязывается к её формату.
3. Приказ Минцифры России от 10.09.2021 № 930 "Об утверждении порядка обработки, включая сбор и хранение, параметров биометрических персональных данных в ЕБС..." также не содержит прямого указания на ГОСТ Р ИСО/МЭК 19794-5-2013.
Резюме: к сожалению, письмо РКН не прояснило, а лишь больше запутало ситуацию.
Комментарий от Кирилла Зюбанова (@KZyubanov):
Что произошло? Письмо Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 29 августа 2022 г. N 08-78032 “О рассмотрении обращения”
Что это значит? Из ответа РКН можно сделать несколько занятных выводов:
1) К биометрическим персональным данным (БПДн) многие, исходя из буквального толкования ч. 1 ст. 11 152-ФЗ, относят данные, которые (1) характеризуют физиологические и биологические особенности человека, (2) могут быть использованы для установления личности субъекта ПДн, (3) используются для установления личности субъекта ПДн. Теперь РКН прямо указал, что применяются только критерии (1) и (2). Но на этом дело не кончилось...
2) РКН указал, что дополнительным критерием "возможности отнесения к БПДн" является указание на такую возможность в том или ином НПА. Вместе с этим, РКН сослался на ГОСТ Р ИСО/МЭК 19794-5-2013 как на источник толкования 152-ФЗ.
3) РКН, развивая мысль, описанную в п. 2 выше, прямо указал, что требования ч. 4 ст. 9 152-ФЗ при обработке фотографий (данный тезис можно распространить и на видеозаписи) следует соблюдать только в случаях, когда такие фотографии "законодательным актом Российской Федерации отнесены к БПДн", в остальных случаях достаточного любого основания из ст. 6 152-ФЗ.
Что в сухом остатке? Если фотография обрабатывается в случае, для которого законом прямо не предусмотрено ее отнесение к БПДн и исходя из сущности обработки ПДн нельзя однозначно сказать, что происходит биометрическая идентификация / аутентификация, возможно заявлять о том, что обработка допустима с использованием любого из оснований, предусмотренных ст. 6 152-ФЗ.
PS от Privacy Advocates:
1. Заявленная РКН позиция в отношении ГОСТ Р ИСО/МЭК 19794-5-2013 не является принципиально новой, озвучивалась им ранее и в некоторых случаях находила подтверждение в контрольно-надзорной практике.
2. Если обратиться к письмам Минцифры России от 17.07.2020 № ОП-П24-070-19433, Минкомсвязи России от 28.08.2020 № ЛБ-С-074-24059, Роскомнадзора от 10.02.2020 № 08АП-6782 и определению ВС РФ от 05.03.2018 № 307-КГ18-101, то в них возможность квалификации фотоизображения в качестве БПД не привязывается к её формату.
3. Приказ Минцифры России от 10.09.2021 № 930 "Об утверждении порядка обработки, включая сбор и хранение, параметров биометрических персональных данных в ЕБС..." также не содержит прямого указания на ГОСТ Р ИСО/МЭК 19794-5-2013.
Резюме: к сожалению, письмо РКН не прояснило, а лишь больше запутало ситуацию.
base.garant.ru
Письмо Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 29.08.2022 N 08-78032…
Письмо Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 29 августа 2022 г. N 08-78032 "О рассмотрении обращения". К биометрическим персональным данным относятся сведения, которые характеризуют физиологические…
Опубликован первый постатейный комментарий к Закону Республики Беларусь от 7 мая 2021 года № 99-З "О защите персональных данных". Он подготовлен Национальным центром защиты персональных данных Республики Беларусь с учетом подходов, выработанных в Центре за время применения Закона, анализа его реализации ”на местах“, международного и зарубежного опыта регулирования рассматриваемой сферы.
🇧🇾💡🏛️ #пд #закон #комментарий
🇧🇾💡🏛️ #пд #закон #комментарий