17 Декабря, 2012

СЗПДн. Анализ. Обработка фотографий и биометрия

Сергей Борисов
14 декабря были опубликованы разъяснения Роскомнадзора по вопросам обработки персональных данных работников и соискателей, подготовленные совместно с экспертами: А.В. Лукацким, Емельянниковым М.Ю., Волковым А.Н., Токаренко А.В.
Появление такого документа радует, потому что подобные вопросы возникают у всех операторов ПДн и теперь могут быть решены гораздо быстрее.  


Пока ожидаются разъяснения по другим темам, привожу информацию по вопросу обработки фотографий и классификации её как биометрии, которая может быть кому-то полезна.
Данная тема боянподнималась регулярно в блогах экспертов (например, эта , эта и эта ). Но, пока эксперты обсуждали, краснодарский РКН в этом году регулярно карал операторов. По моим наблюдениям подобные нарушения были выявлены в половине проверок (примеры тут и тут )
 
При этом обработку черно-белых ксерокопий паспортов трактовалась краснодарским РКН как обработка биометрических данных, а нарушением являлось отсутствие согласия субъекта на обработку биометрических ПДн.
С моей точки зрения имело место обработка обычных категорий ПДн (не биометрических) но при этом происходит нарушение  152-ФЗ части 5 статьи 5:
“5. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.”

Чтобы хоть как-то прояснить официальную позицию РНК, отправил 2 запроса в РКН (2 месяца назад и месяц назад) с вопросами:
·  относится ли ксерокопия паспорта к биометрическим данным
·  может ли оператор обрабатывать ксерокопии паспортов в рамках трудового договора с субъектом ПДн, без получения дополнительного согласия

Был получен следующий ответ:




Как видно, РКН считает что фото + дополнительные данные = биометрия. Копия паспорта = биометрия.

По этому поводу могу посетовать операторам:
· следить за новыми разъяснениями РКН,  возможно там более подробно будет освещен данный вопрос
· отказаться от обработки копий паспортов (либо заштриховывать фотографии)
· минимизировать обработку фотографий субъектов ПДн,  для всех оставшихся процессов четко определить цели для достижения которых необходимы фотографии субъектов; если эти цели – идентификация субъекта, то собирать согласие на обработку биометрических ПДн; быть готовым собрать согласие и для всех остальных случаев обработки фотографий субъектов ПДн.  
comments powered by Disqus