Получен ответ Минцифры России по вопросам применения Федерального закона от 29.12.2020 № 479-ФЗ в части биометрической идентификации
Федеральный закон от 29.12.2020 № 479-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации» внес существенные изменения в Федеральный закон от 07.08.2001 № 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма» в части регулирования процессов идентификации с использованием биометрических персональных данных посредством Единой биометрической системы (ЕБС).
В этой связи НСФР направил обращение в Минцифры России с вопросами кредитных организаций.
В ответе Минцифры России сформулированы следующие позиции:
1. Требования к формату передачи данных в ЕСИА сведений о физических лицах и идентификаторов таких сведений нормативными правовыми актами не установлены.
2. Требования к порядку хранения организациями финансового рынка согласий физических лиц на проведение аутентификации не установлены.
При этом обращено внимание, что в соответствии с требованиями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» срок, в течение которого должно осуществляться хранение указанных в вопросе согласий физических лиц, также не установлен, при этом в отношении срока обработки персональных данных необходимо руководствоваться требованием статей 9 Закона № 152-ФЗ.
Требование к исключительно электронной или иной форме (бумажный носитель) оформления согласий физического лица, не установлено. При этом если согласие выдано в форме электронного документа, оно должно быть подписано электронной подписью в соответствии с положениями Федерального закона от 06.04.2011 № 63-ФЗ «Об электронной подписи».
3. Требования к способу и форме подтверждения физического лица своего решения об отказе от использования шифровальных (криптографических) средств не установлено. Предполагается, что это можно сделать любым доступным способом и в любой доступной форме.
Требования к организации финансового рынка по обеспечению хранения подтверждения физическим лицом указанного решения, равно как и срока хранения такого подтверждения не установлено. Запретов на уведомление организацией финансового рынка о рисках в свободной форме не установлено.
4. В соответствии с частью 18.18 статьи 14.1 Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» сбор и обработка используемых для аутентификации биометрических персональных данных в информационных системах организаций, в том числе организаций финансового рынка, осуществляющих идентификацию и (или) аутентификацию с использованием биометрических персональных данных физических лиц, допускаются в случае выполнения определенного рода условий, одним из которых является прохождение указанными организациями аккредитации в соответствии с частями 18.28 – 18.30 указанной статьи.
Поэтому, если организация, в том числе организация финансового рынка предполагает использовать свою коммерческую биометрическую систему для аутентификации, она должна получить аккредитацию по требованиям Закона № 149-ФЗ и принимаемых в соответствии с ним подзаконных нормативных правовых актов.
Указанные подзаконные акты находятся в разработке.