При этом даже при наличии аккредитации сбор и обработка БПД в информационных системах организации допускается только в установленных Правительством случаях.
К самому распространенному из этих случаев относится идентификация либо идентификация+аутентификация при проходе на территорию организаций
с помощью системы контроля и управления доступом на территории данных организаций.
Таким образом, если в организации используется БПД, в том числе для идентификациии и/или аутентификации лиц при проходе на ее территорию, необходима аккредитация в Минцифре и дальнейшее использование Единой биометрической системы (далее – ЕБС) для этих и иных целей.
1.2. Можно ли обрабатывать БПД без аккредитации?
Без прохождения аккредитации допускается продолжить обработку БПД, однако не в собственной информационной системе, а в ЕБС, что предполагает внесение БПД в ЕБС и запрос их из ЕБС при необходимости аутентификации и идентификации. Порядок использования ЕБС для обработки БПД установлен приказом Минцифры.
Обращаем внимание, что конкретный порядок обработки установлен только для данных изображения лица и данных голоса, собранных текстозависимым методом. Для других видов БПД (например, отпечатки пальцев) такие документы, видимо, появятся позже. Но требование аккредитации или использования ЕБС относится ко всем БПД.
Порядок аккредитации и требования
Постановлением Правительства установлены порядок аккредитации и требования к претенденту.
Требования включают в себя:
1. Предоставление доказательств наличия криптографических средств определенного уровня
2. Наличие собственных финансовых средств в размере 50 млн. рублей только при аутентификации / 500 млн. рублей при аутентификации и идентификации
3. Наличие денежных средств для финансового обеспечения возможных убытков третьим лицам в размере 50 млн. рублей только при аутентификации / 500 млн. рублей при аутентификации и идентификации
4. Наличие не менее 2 работников, осуществляющих деятельность по идентификации и/или аутентификации с использованием БПД
Ответственность за нарушение порядка использования ЕБС
Пока законодательством не предусмотрена какая-либо специальная ответственность за нарушение новых норм по обработке БПД.
В связи с этим ответственность за нарушение указанных правил, вероятнее всего, может быть квалифицирована по ч. 1 и ч. 1.1 ст. 13.11 КоАП РФ (максимальная ответственность – 300 000 рублей).
Рекомендации:
-
проверить, осуществляется ли в организации обработка БПД для аутентификации или идентификации и для каких целей.
-
оценить возможность и целесообразность получения аккредитации для продолжения обработки БПД в собственной информационной системе / перехода к обработке с использованием ЕБС / отказа от обработки БПД в принципе.
Материал подготовлен Адвокатским бюро «Юрлов и партнеры»
Изображение: https://stock.adobe.com/ru
