25 Февраля, 2013

Мнение РКН про биометрические ПДн. Рукалицо

Andrey Prozorov
Продолжая и заканчивая тему, поднятую (в очередной раз) Сергеем Борисовым  о том, являются ли фотографии и скан-копии/ксерокопии паспортов биометрическими ПДн, привожу официальные ответы РКН Сергею и мне. На этом считаю вопрос для себя закрытым, хотя такая позиция регулятора мне не близка и даже вызывает некоторое недоумение (см.картинку). Но будем принимать ее как данность (хотя многие скорее "забьют")...

Важные выводы:

  1. Ксерокопирование (а также получение скан-копий) и хранение страниц паспортов, содержащих фотографии субъектов ПДн, подпадает под требования ч. 1 ст. 11 152-ФЗ (биометрические ПДн).
  2. Использование и хранение фотографических изображений субъектов ПДн на корпоративном портале, а также в системе управления контролем доступа (и в других информационных системах) также подпадает под нормы ч. 1 ст. 11 152-ФЗ (биометрические ПДн).
Обратите внимание, что мы попадаем не только под "наличие письменного согласия" (ст.1 ст.11 152- ФЗ), но, в некоторых случаях, и под Постановление Правительства РФ от 06.07.2008 N 512 (ред. от 27.12.2012) "Об утверждении требований к материальным носителям биометрических ПДн и технологиям хранения таких данных вне ИСПДн". А там есть, например такие требования:
"п.9 Технологии хранения биометрических персональных данных вне информационных систем персональных данных должны обеспечивать: б) применение средств электронной подписи или иных информационных технологий, позволяющих сохранить целостность и неизменность биометрических персональных данных, записанных на материальный носитель." или вот "При хранении биометрических персональных данных вне информационных систем персональных данных должна обеспечиваться регистрация фактов несанкционированной повторной и дополнительной записи информации после ее извлечения из информационной системы персональных данных.". 
Аккуратнее с флешками :)))

Далее наши вопросы и официальные ответы на них.

name='more'>
Вопросы Сергея:
  • Относится ли ксерокопия паспорта к биометрическим данным?
  • Может ли оператор обрабатывать ксерокопии паспортов в рамках трудового договора с субъектом ПДн, без получения дополнительного согласия?
Ответ:



Мои вопросы:
  • Относится ли ксерокопирование и хранение твердых (бумажных) копии паспорта к обработке биометрических персональных данных? 
  • Относится ли хранение и использование фотографий сотрудников на корпоративном портале и в системе управления контролем доступа (СКУД) к обработке биометрических персональных данных? Фотографии сделаны обычными фотоаппаратами без соблюдения требований (ГОСТ) к биометрическим фотографиям.
Ответ:


Вот как-то так.


P.S. Кстати, вот еще один интересный ответ РКН, но уже по другой теме ("регистрационная информация на сайтах и форумах ПДн или нет") -   http://www.securitylab.ru/blog/personal/80na20/28293.php