В условиях цифровой трансформации государственного управления и реализации Концепции[1] перехода к предоставлению 24 часа в сутки 7 дней в неделю абсолютного большинства государственных и муниципальных услуг особую значимость приобретают сбор, обработка и хранение персональных данных граждан, в том числе биометрии. Регулирование данных вопросов требует постоянной и своевременной актуализации нормативно-правовой базы для обеспечения наиболее эффективного взаимодействия государства и общества, а также защиты данных.

В этой статье мы расскажем о произошедших и планируемых изменениях в законодательстве, устанавливающих особенности сбора и обработки персональных данных с использованием единой биометрической системы[2] (далее – ЕБС), регулирующих ответственность операторов персональных данных, государственных органов власти и органов местного самоуправления.

В июне – августе текущего года принят ряд нормативных правовых актов и ведомственных документов, уточняющих и расширяющих положения действующего законодательства в сфере обработки биометрических персональных данных. Речь идет о федеральных законах, нормативных правовых актах Правительства и документах Минцифры России, перечень и реквизиты которых приведены в таблице 1.

Таблица 1. Перечень и реквизиты документов, содержащих новации в сфере обработки биометрических персональных данных, утвержденных в июне - августе 2022 года

Новые требования к операторам персональных данных

Федеральным законом № 266-ФЗ усилены требования к операторам персональных данных (далее – операторы), к которым согласно законодательству[3] могут относиться публичные органы власти всех уровней, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Новые требования к операторам вступают в силу с 1 сентября 2022 года и приведены на рисунке 1.

Рисунок 1. Новые требования к операторам персональных данных

В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, оператор обязан уведомить Роскомнадзор:

1) в течение 24 часов о:

• произошедшем инциденте;
• предполагаемых причинах, повлекших нарушение прав субъектов персональных данных;
• предполагаемом вреде, нанесенном правам субъектов персональных данных;
• принятых мерах по устранению последствий соответствующего инцидента;
• сведениях о лице, уполномоченном оператором на взаимодействие с Роскомнадзором по вопросам, связанным с выявленным инцидентом;

• результатах внутреннего расследования выявленного инцидента;
• сведениях о лицах, действия которых стали причиной выявленного инцидента (при наличии).

Также, Федеральным законом № 266-ФЗ совершенствуется порядок трансграничной передачи персональных данных, измененные положения которого вступают в силу с 1 марта 2023 года.

В связи с этим обращаем внимание, что операторы, которые осуществляли трансграничную передачу персональных данных до 1 сентября 2022 года и продолжат осуществлять такую передачу после указанной даты, обязаны не позднее 1 марта 2023 года направить в Роскомнадзор уведомления об осуществлении данных действий.

Состав сведений, подлежащих передаче в федеральное ведомство, предусмотрен частью 4 статьи 12 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Федеральный закон № 152-ФЗ), действующего в редакции Федерального закона № 266-ФЗ.

Указанные изменения направлены на совершенствование правовой защищенности субъектов персональных данных, а также усиление госконтроля в указанной сфере.

Дополнительные требования к процедуре подготовки госорганами правовых актов

С 1 сентября 2022 года Федеральным законом № 266-ФЗ вводится обязанность федеральных и региональных органов государственной власти согласовывать с Роскомнадзором нормативные правовые акты по вопросам, касающимся обработки персональных данных. Правило применяется в случае, если такие акты регулируют отношения, связанные с:

• осуществлением трансграничной передачи персональных данных;
• обработкой специальных категорий персональных данных, биометрических персональных данных, персональных данных несовершеннолетних;
• предоставлением, распространением персональных данных, полученных в результате обезличивания.

Срок согласования федеральным ведомством правовых актов – не более 30 дней.

Изменения внесены в Федеральный закон № 152-ФЗ.

Ограничение доступа к персональным данным, содержащимся в Едином государственном реестре недвижимости

С 1 марта 2023 года содержащиеся в Едином государственном реестре недвижимости (далее – ЕГРН) персональные данные правообладателя объекта недвижимости и лица, в пользу которого зарегистрированы ограничения или обременения объекта, перестанут быть общедоступными и будут указываться в выписках из ЕГРН только при наличии в ЕГРН записи, допускающей возможность предоставления таких сведений, внесенной по заявлению самих субъектов персональных данных (далее – запись).

К персональным данным физического лица, доступ к которым ограничивается, отнесены:

• фамилия;
• имя;
• отчество;
• дата рождения.

Особенности предоставления сведений из ЕГРН, содержащих персональные данных физических лиц, по новым правилам приведены на рисунке 2.

Рисунок 2. Особенности предоставления сведений из ЕГРН, содержащих персональные данные физических лиц

Вне зависимости от наличия или отсутствия записи в ЕГРН для органов исполнительной власти субъектов Российской Федерации, органов местного самоуправления и многофункциональных центров сохраняется возможность получения из ЕГРН полных сведений о правообладателях и лицах, в пользу которых зарегистрировано обременение на объект недвижимости.

Соответствующие изменения Федеральным законом № 266-ФЗ внесены в:

• Федеральный закон от 13.07.2015 № 218-ФЗ «О государственной регистрации недвижимости»;
• Основы законодательства Российской Федерации о нотариате.

Как отмечалось в пояснительной записке, указанные изменения устраняют существующую правовую коллизию, когда операторы, с одной стороны, обязаны не раскрывать третьим лицам персональные данные без согласия их правообладателя, но, с другой, выдача персональных данных из ЕГРН осуществляется без каких-либо ограничений.

Создание государственных информационных систем на основе концессий

Федеральным законом № 325-ФЗ уточнены особенности создания, эксплуатации и модернизации государственных информационных систем (далее – ГИС) на основании концессионного соглашения или соглашения о государственно-частном партнерстве.

Так, концедент или публичный партнер теперь обязаны обеспечить доступ концессионера или частного партнера к информации, которая содержится в ГИС и необходима для исполнения ими своих обязательств по соответствующим соглашениям.

Данное требование применяется на весь период действия концессионного соглашения или соглашения о государственно-частном партнерстве.

При этом функции оператора ГИС по-прежнему могут осуществляться концессионером или частным партнером в объеме, определенном самим соглашением.

Обработка биометрии с использованием единой биометрической системы. Аккредитация госорганов

С 1 сентября 2022 года на 1 марта 2023 года перенесен срок вступления в силу положений Федерального закона 27.07.2006 № 149-ФЗ ‎«Об информации, информационных технологий и о защите информации» (далее – Федеральный закон № 149-ФЗ), предусматривающих особенности:

• идентификации и аутентификации граждан в информационных системах коммерческих организаций с использованием биометрических персональных данных;
• обработки биометрических персональных данных для идентификации и аутентификации, необходимых для реализации полномочий публичных органов власти, с применением ЕБС.

В случае, если для реализации указанных полномочий органов власти необходима обработка видов биометрических персональных данных, не соответствующих размещаемым в единой биометрической системе, идентификация и (или) аутентификация осуществляются с применением иных государственных информационных систем, владельцами и (или) операторами которых являются госорганы, прошедшие аккредитацию в порядке, определяемом Правительством Российской Федерации (далее – аккредитация).

В этой связи следует обратить внимание, что в мае текущего года завершено общественное обсуждение проекта постановления Правительства Российской Федерации (ID проекта 02/07/04-22/00126373), которым утверждаются требования и правила прохождения аккредитации государственных органов. Предполагается, что аккредитация будет проводиться Минцифры России на основании заявлений госорганов с приложением документов, подтверждающих выполнение требований для аккредитации с учетом ряда особенностей, которые приведены на рисунке 3.

Рисунок 3. Особенности аккредитации госорганов, являющихся владельцами и (или) операторами государственных информационных систем

Проектом постановления предусмотрено его вступление в силу с 1 сентября 2022 года, но учитывая наличие замечаний к документу, а также продление Федеральным законом № 325-ФЗ общей нормы об обязательной аккредитации госорганов до 1 марта 202З года, стоит предполагать, что редакция проекта постановления будет доработана и вступит в силу в следующем году. 

Важно отметить, что отказ физического лица от прохождения идентификации и (или) аутентификации с использованием его биометрических персональных данных не может служить основанием для отказа ему в оказании государственной или муниципальной услуги.

Особенности передачи биометрических данных из государственных информационных систем в единую биометрическую систему

Изменениями, внесенными Федеральным законом № 325-ФЗ в Федеральный закон № 149-ФЗ, с 14 июля 2022 года устанавливается обязанность государственных органов размещать в ЕБС биометрические персональные данные граждан, хранящиеся в своих государственных информационных системах. Порядок размещения данных определен Приказом Минцифры России от 10.09.2021 № 930[4], вступившим в силу с марта текущего года.

Получение в данном случае согласия соответствующего субъекта персональных данных на такое размещение, а также на их обработку оператором единой биометрической системы не требуется.

При этом государственный орган обязан уведомить субъекта персональных данных в любой позволяющей подтвердить факт получения уведомления форме о:

• размещении его биометрических персональных данных в ЕБС;
• возможности обратиться к оператору ЕБС с требованием о блокировании или об уничтожении его биометрических персональных данных в порядке, установленном Федеральным законом № 152-ФЗ.

Организации финансового рынка также обязаны размещать в единой биометрической системе имеющуюся в их распоряжении биометрию граждан.

Обращаем внимание, что речь идет не о сборе новых биометрических данных физических лиц без их согласия, а о размещении в ЕБС уже имеющихся в государственных и иных информационных системах данных. Сбор любой биометрии осуществляется только на добровольной основе и с согласия гражданина.

В заключении отметим, что в последнее время произошло существенное изменение нормативной базы, регулирующей основы использования биометрических данных граждан, в том числе в целях оказания государственных и муниципальных услуг. Основная цель принимаемых мер – повышение защищенности данных при расширении использования биометрии. На операторов персональных данных и госорганы возложены дополнительные обязанности.

Для повышения эффективности деятельности органам исполнительной власти субъектов Российской Федерации и органам местного самоуправления необходимо на постоянной основе контролировать изменения, происходящие в законодательстве.

В этой связи приглашаем принять участие в бесплатном вебинаре, посвященном обзору последних новаций в сфере цифровизации, включая обработку биометрических персональных данных. Вебинар состоится 25 августа 2022 года в 10:00. Подробнее по ссылке.

Продолжение обзора читайте во второй части статьи.

Мы расскажем о целях и задачах единой биометрической системы, особенностях ее взаимодействия с государственными и иными информационными системами, а также правилах самостоятельного внесения гражданами биометрических данных в ЕБС. Кроме того, познакомим вас с планируемыми мерами ответственности должностных лиц за нарушения требований обработки, включая сбор и хранение, биометрических персональных данных, а также за внесение в ЕБС недостоверных сведений.

По всем интересующим вас вопросам соответствующей тематики Вы можете обратиться к экспертам БФТ-Холдинга:                                                    

question@bftcom.com,

тел. +7 (495) 784-70-00

[1] Распоряжение Правительства Российской Федерации от 11.04.2022 № 837-р «О Концепции перехода к предоставлению 24 часа в сутки 7 дней в неделю абсолютного большинства государственных и муниципальных услуг без необходимости личного присутствия граждан».

[2] Единая информационная система персональных данных, обеспечивающая обработку, включая сбор и хранение, биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным физического лица.

[3] Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных».

[4] Приказ Минцифры России от 10.09.2021 № 930 «Об утверждении порядка обработки, включая сбор и хранение, параметров биометрических персональных данных, порядка размещения и обновления биометрических персональных данных в единой биометрической системе и в иных информационных системах, обеспечивающих идентификацию и (или) аутентификацию с использованием биометрических персональных данных физических лиц, а также требований к информационным технологиям и техническим средствам, предназначенным для обработки биометрических персональных данных в целях проведения идентификации». Срок действия приказа ограничен 1 марта 2028 года.