ПРИНЯТЫЕ АКТЫ
Опубликован приказ о порядке обработки биометрических персональных данных
Приказ включает в себя:
-
порядок обработки, включая сбор, хранение биометрических персональных данных, в том числе требования к параметрам биометрических персональных данных;
-
порядок размещения и обновления биометрических персональных данных в единой биометрической системе (ЕБС), а также случаи и сроки использования биометрических персональных данных при их размещении в ЕБС в соответствии с частью 14 статьи 4 Федерального закона от 29.12.2022 № 572-ФЗ «Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, о внесении изменений в отдельные законодательные акты Российской Федерации и признании утратившими силу отдельных положений законодательных актов Российской Федерации»;
-
порядок обработки, включая сбор, хранение и уничтожение биометрических персональных данных, векторов ЕБС в информационных системах аккредитованных госорганов, Банка России в случае прохождения ими аккредитации, организаций, осуществляющих аутентификацию на основе биометрических персональных данных;
-
порядок создания и передачи векторов ЕБС в целях осуществления аутентификации;
-
требования к информационным технологиям и техническим средствам, предназначенным для обработки биометрических персональных данных, векторов ЕБС в целях проведения идентификации и (или) аутентификации, а также порядок подтверждения соответствия информационных технологий и технических средств указанным требованиям. (Приказ Минцифры от 12.05.2023 № 453 «О порядке обработки биометрических персональных данных и векторов единой биометрической системы в единой биометрической системе и в информационных системах аккредитованных государственных органов, Центрального банка Российской Федерации в случае прохождения им аккредитации, организаций, осуществляющих аутентификацию на основе биометрических персональных данных физических лиц»)
30.05.2023 г. Официальный интернет-портал правовой информации
Опубликовано постановление о единой биометрической системе, в том числе о ее региональных сегментах
Вступили в силу ряд положений постановления Правительства РФ от 31.05.2023 № 883 «Об утверждении Положения о единой биометрической системе, в том числе о ее региональных сегментах, и о признании утратившим силу постановления Правительства Российской. Федерации от 16 июня 2022 г. № 1089».
Постановление определяет цели и задачи создания и развития единой биометрической системы (ЕБС), в том числе ее региональных сегментов, порядок ее функционирования и взаимодействия с иными информационными системами:
-
ЕБС является элементом инфраструктуры, обеспечивающей информационно-технологическое взаимодействие действующих и создаваемых информационных систем, используемых для предоставления государственных и муниципальных услуг и исполнения государственных и муниципальных функций в электронной форме;
-
ЕБС используется в целях осуществления идентификации и (или) аутентификации физических лиц государственными органами, органами местного самоуправления, Банком России, банками, иными кредитными организациями, некредитными финансовыми организациями;
-
Определены задачи ЕБС, функции и обязанности оператора ЕБС, в том числе обязанность не предоставлять третьим лицам биометрические персональные данные, содержащиеся в ЕБС;
-
Региональный сегмент ЕБС может быть образован в составе ЕБС по решению Правительства РФ;
-
Региональный сегмент ЕБС может состоять из одной государственной информационной системы соответствующего субъекта РФ или из организационно упорядоченной совокупности государственных информационных систем субъекта РФ;
-
Определены задачи регионального сегмента ЕБС, функции и обязанности регионального сегмента оператора ЕБС. (Постановления Правительства РФ от 31.05.2023 № 883 «Об утверждении Положения о единой биометрической системе, в том числе о ее региональных сегментах, и о признании утратившим силу постановления Правительства Российской. Федерации от 16 июня 2022 г. № 1089»)
01.06.2023 г. Официальный интернет-портал правовой информации
Изменены случаи и сроки использования биометрических персональных данных, размещенных физическими лицами в единой биометрической системе с использованием мобильного приложения единой биометрической системы
Определены случаи использования биометрических персональных данных при наличии сведений о физическом лице в единой системе идентификации и аутентификации, например:
-
проведение вступительных испытаний при приеме на обучение, промежуточной и итоговой аттестации по образовательным программам высшего образования – программам бакалавриата, программам специалитета, программам магистратуры;
-
осуществление безналичных расчетов в организациях торговли и сферы услуг, в целях уплаты налогов, сборов, страховых взносов и иных платежей, являющихся источниками формирования доходов бюджетов бюджетной системы РФ, в сумме, не превышающей 5000 рублей, включая налог на добавленную стоимость.
Также определены случаи использования биометрических персональных данных при отсутствии сведений о физическом лице в единой системе идентификации и аутентификации.
Биометрические персональные данные, размещенные в ЕБС, используются не более 3 лет со дня их размещения в ЕБС. (Постановление Правительства Российской Федерации от 31.05.2023 № 893 «О внесении изменений в постановление Правительства Российской Федерации от 15 июня 2022 г. № 1067»)
01.06.2023 г. Официальный интернет-портал правовой информации
ЗАКОНОПРОЕКТЫ, НОРМОТВОРЧЕСТВО
В первом чтении принят законопроект об увеличении штрафов за отсутствие письменного согласия субъекта персональных данных, а также об административной ответственности за нарушения при обработке биометрии
В первом чтении принят законопроект № 353266-8 «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях» (далее – Законопроект), предусматривающий значительное увеличение штрафов за обработку персональных данных без согласия субъекта в письменной форме в случаях, когда такое согласие должно быть получено в соответствии с законодательством, а также штрафов за обработку биометрических персональных данных с нарушением установленных законодательством требований (читайте подробнее в нашем алерте).
Законопроект предусматривает внесение изменений в части 2 и 2.1 ст. 13.11 КоАП РФ («Нарушение законодательства Российской Федерации в области персональных данных»):
-
ответственность за размещение биометрических персональных данных субъекта персональных данных в единой биометрической системе, в иных информационных системах, обеспечивающих идентификацию и (или) аутентификацию с использованием биометрических персональных данных физических лиц, с нарушением установленных законодательством РФ в области персональных данных требований;
-
значительное увеличение штрафов (для юридических лиц – в 3-10 раз) за обработку персональных данных без согласия в письменной форме в случаях, когда такое согласие должно быть получено в соответствии с законодательством.
Нарушения ч. 2 ст. 13.11 КоАП РФ повлекут наложение штрафа на должностных лиц от 100 тыс. до 300 тыс. руб., на юридических лиц — от 300 тыс. до 700 тыс. руб. при первом нарушении. В случае повторного нарушения штрафы для должностных лиц возрастают до 300–500 тыс. руб., для индивидуальных предпринимателей — до 1 млн руб., а для юридических лиц — до 1,5 млн руб. (Законопроект № 353266-8 «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях»)
01.06.2023 г. ТАСС
СУДЕБНАЯ ПРАКТИКА И АДМИНИСТРАТИВНЫЕ ДЕЛА
Проведены мероприятия по контролю соблюдения требований законодательства РФ в области персональных данных
С 19 по 23 мая Управлением Роскомнадзора по Мурманской области проведено плановое мероприятие по контролю без взаимодействия с контролируемыми лицами в отношении медицинских организаций. Были проанализированы интернет-сайты ряда таких организаций на предмет их соответствия положениям Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – «152-ФЗ»).
По результатам проведенного мероприятия выявлены следующие нарушения:
-
сбор персональных данных на сайте при отсутствии механизма получения согласия на обработку персональных данных и возможности ознакомления с текстом согласия на обработку персональных данных;
-
несоответствие структуры документов, определяющих политику в отношении обработки персональных данных, и сведений о реализуемых требованиях к защите персональных данных требованиям п. 2 ч. 1 ст. 18.1 152-ФЗ;
-
распространение на сайтах персональных данных в различном объеме при отсутствии информации о наличии согласий субъектов персональных данных, а также о наличии условий и запретов на распространение.
По итогам проведенной работы в адрес организаций, в действиях которых содержатся признаки нарушения законодательства Российской Федерации в области персональных данных, направлены требования о принятии необходимых мер.
25.05.2023 г. Роскомнадзор
Выявлены нарушения в области персональных данных при проведении мероприятий по контролю без взаимодействия с контролируемыми лицами
В период с 23 мая по 25 мая Управлением Роскомнадзора по Сибирскому федеральному округу проведено мероприятие по контролю без взаимодействия с контролируемыми лицами на предмет выявления признаков нарушений законодательства в области персональных данных в отношении интернет-магазинов на территории Новосибирской области.
По результатам проведенного мероприятия выявлены нарушения в области персональных данных в деятельности ООО НПЛ «БиоМинералы» и ИП Кузнецов И.Ю.
В целях информирования операторов, осуществляющих обработку персональных данных сообщаем, что при сборе персональных данных посредством электронных форм типа «Обратная связь», «Оплатить», «Оставить отзыв», «Написать нам», «Задать вопрос», «Оформить заявку» и т.п. необходимо предусмотреть возможность пользователю сайта проставить отметку о своем согласии на обработку персональных данных. Также Роскомнадзор отметил о необходимости размещения на сайте документа, определяющего политику организации в отношении обработки персональных данных.
В адрес операторов направлены требования об устранении выявленных нарушений.
30.05.2023 г. Роскомнадзор
НОВОСТИ И СОБЫТИЯ
Государственная Дума РФ предложила Минцифры изучить вопрос запрета систем распознавания лиц в РФ
Минцифры РФ и правоохранительным органам рекомендовали изучить вопрос запрета использования систем распознавания лиц и иных систем удаленной биометрической идентификации.
Предлагается законодательно закрепить запрет таких систем, работающих в режиме реального времени в местах массового скопления людей, а также для компаний операторов, использующих искусственный интеллект (ИИ). Под исключение будет попадать ФСБ России.
Кроме того, Государственная Дума РФ предложила рассмотреть вариант запрета систем предиктивной аналитики, которые основаны на ИИ.
22.05.2023 г. Новости Москвы
Планируется урегулировать рекомендательные алгоритмы
ФГУП «Главный радиочастотный центр» (ГРЧЦ), подведомственный Роскомнадзору, предлагает внедрить аудит алгоритмов, сообщение для пользователя с разъяснением о работе алгоритмов, а также возможность давать и отзывать согласие на обработку персональных данных.
Как отметил ГРЧЦ, пользователь должен быть в доступной форме и в полной мере проинформирован о работе рекомендательного алгоритма. Законодательное регулирование рекомендательных алгоритмов необходимо для защиты потребителей от незаконного сбора и обработки персональных данных.
24.05.2023 г. Ведомости
Возможность оплаты при помощи биометрии станет доступна в России в 2023 году
В настоящее время с помощью Единой биометрической системы (ЕБС) можно получить широкий спектр финансовых услуг.
Планируется, что в метро Москвы заработает сервис оплаты проезда по биометрии, зарегистрированной в ГИС ЕБС. Также планируется в рамках ГИС ЕБС запустить сервисы для оплаты небольших покупок по биометрии.
31.05.2023 г. ТАСС
Вступили в силу положения о возможности отказа от сбора и размещения биометрических персональных данных
С 1 июня вступили в силу ряд положений Федерального закона от 29.12.2022 № 572-ФЗ «Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, о внесении изменений в отдельные законодательные акты Российской Федерации и признании утратившими силу отдельных положений законодательных актов Российской Федерации».
Положения касаются возможности физического лица отказаться от сбора и размещения его биометрических персональных данных в целях проведения идентификации и аутентификации. Физическое лицо может отозвать в письменной форме ранее предоставленный отказ. Все это можно будет сделать в отделениях МФЦ при личном присутствии физического лица (заявителя).
01.06.2023 г. Российская газета
В Минцифры выступили за расширение полномочий Роскомнадзора по утверждению требований и методов обезличивания данных
Сегодня технологий, позволяющих полностью обезличивать персональные данные, не существует. В связи с этим, как отметили в Минцифры, оборот обезличенных персональных данных необходимо регулировать путем их поэтапного внедрения.
Первый этап – это расширение полномочий Роскомнадзора по утверждению требований и методов по обезличиванию персональных данных. Соответствующие требования Роскомнадзором приняты и используются государственными органами. Но они не распространяются на всех операторов.
Также, рассматривается возможность доступа к массивам обезличенных персональных данных в рамках государственных информационных систем.
Роскомнадзор и Минцифры прорабатывают подход, при котором был бы исключен свободный доступ и оборот персональных и обезличенных персональных данных.
02.06.2023 г. ТАСС
Обсуждается механизм компенсаций за утечки персональных данных граждан
Один из механизмов, который сейчас предлагается, и Минцифры подтверждает возможность его реализации, заключается в подаче через портал «Госуслуги» физическим лицом, чьи данные попали в общий доступ, требования о компенсации непосредственно от оператора, без суда, без подтверждения принадлежности этих персональных данных. Для этого необходимо быть авторизованным на портале «Госуслуги».
02.06.2023 г. РИА Новости
Предлагается засекречивать персональные данные аудиторов
Саморегулируемая организация аудиторов (СРО) Ассоциация «Содружество» отправила в Банк России и Минфин России письмо с просьбой отнести ФИО подписантов аудиторского заключения консолидированной финансовой отчетности к чувствительной информации и не раскрывать их, ограничившись указанием аудиторской компании. Речь идет об отчетности подсанкционных компаний и касается руководителя аудиторской организации или уполномоченного им лица и руководителя аудита.
05.06.2023 г. Коммерсант
Предлагается введение внеплановых проверок ИТ-компаний в случае утечки персональных данных
ФАС России обсуждает с Минцифры введение внеплановых проверок IT-компаний вопреки предоставленным им льготам, если организация допустит утечку данных или нарушит антимонопольное законодательство.
09.06.2023 г. Коммерсант
Предлагается создать в судебной системе службу защиты от хакеров
В Совете судей России отметили о необходимости создания в системе судов служб, способных эффективно предотвращать попытки несанкционированного доступа к электронной информации и ее сбору.
Также обсуждалось обеспечение криптографической защиты персональных данных в информационных системах судов, дальнейшее развитие электронной идентификации и других средств обеспечения безопасности и достоверности электронных судебных процедур, упорядочение алгоритмов обработки данных и доступа к таким данным, обеспечение технологического суверенитета через обработку данных только на российских серверах, а также через передачу таких данных на территории РФ с использованием сетей связи российских операторов.
09.06.2023 г. Российская газета