Сбор и передача биометрических данных на предприятии: о чем следует знать в 2024 году?
RSSС 1 июня 2023 года организации и предприятия, которые собирают биометрические данные своих сотрудников и клиентов, обязаны передавать полученную информацию в систему ГИС ЕБС. В этой статье мы подробно разберем виды данных, которые подлежат обработке и передаче, особенности организации СКУД по требованиям 572-ФЗ «О единой биометрической системе», а также расскажем об альтернативных способах контроля доступа.
Что такое биометрические данные?
Биометрия (или биометрические данные) – это индивидуальные биологические и физиологические характеристики человека, которые модно использовать для идентификации его личности. В России чаще всего можно встретить следующие биометрические параметры: отпечатки пальцев, запись голоса, рисунок вен, радужная оболочка глаз и фотография лица.
Согласно 572-ФЗ, организации могут собирать, обрабатывать и передавать на хранение в ЕБС только записи голосов и изображения лиц. Рисунок вен, отпечаток пальца и радужка не попадают под действие актуального российского законодательства.
Пользователи смартфонов с разблокировкой с помощью отпечатка пальца могут не волноваться – мобильные устройства не обрабатывают и не передают эти параметры в ЕБС. |
Где хранятся биометрические данные?
В Единой биометрической системе (ЕБС). Эта цифровая платформа создана по инициативе ЦБ РФ и Минцифры в целях повышения доступности услуг, которые требуют обязательной идентификации личности. Именно в ЕБС хранятся все биометрические характеристики граждан.
Существуют также КБС – коммерческие биометрические системы. Они уполномочены на сбор и передачу данных в ЕБС, а также на использование полученной информации для обеспечения безопасности на режимных предприятиях, в учебных заведениях, а также для идентификации сотрудников и учета их рабочего времени.
Для чего можно использовать биометрию?
Данные могут эксплуатироваться коммерческими и государственными структурами в нескольких целях:
-
идентификация личности правонарушителя;
-
подтверждение личности посетителя и/или клиента организации для проведения определенных действий (заключение договоров, получение документов, перечисление платежа и т.д.);
-
ускорение взаимодействия пользователя и программного обеспечения (используется в мобильных приложениях в качестве альтернативы для ввода пароля и иных способов аутентификации);
-
упрощение доступа к услугам кредитных и государственных организаций маломобильных граждан и жителей отдаленных регионов.
Организация СКУД согласно требованиям 572-ФЗ
Напрямую к ЕБС должны быть подключены объекты критической инфраструктуры:
-
режимные объекты с государственной тайной;
-
предприятия ОПК;
-
категоризированные по ЧС организации;
-
транспортные компании;
-
химические производства;
-
атомно-промышленные организации;
-
топливно-энергетические предприятия;
-
атомно-энергопромышленные объекты.
Использовать КБС на предприятиях этого типа запрещено на законодательном уровне, так как их деятельность является стратегически важной для государства.
Коммерческие структуры, учебные организации и органы власти, как правило, не владеют информацией, критически значимой для госбезопасности, поэтому на них можно организовать СКУД как с прямым подключением к ЕБС, так и с подключением через КБС.
Ограничения и ответственность организаций за нарушение 572-ФЗ
Если ранее коммерческие структуры могли собирать и хранить биометрические данные своих сотрудников и/или клиентов на собственных серверах, то теперь сбор, обработка и хранение таких данных разрешены только в ЕБС. Это обусловлено и более полноценным обеспечением госбезопасности, и необходимостью упрощения доступа к различным видам госуслуг для конкретных граждан.
Клиенты банков могут получать уведомления от Госуслуг о том, что банки передали им биометрические данные. С одной стороны, переживать по этому поводу не стоит – теперь информация находится в надежных руках. С другой – если клиент не давал согласия на сбор и обработку биометрических данных, ему следует обратиться в банк за пояснениями. |
Если организация не передала биометрию в ЕБС до 30.09.2023, то с 01.12.2023 ее ожидают штрафные санкции:
-
для должностных лиц – от 100 до 300 тыс. руб. за первое нарушение, и от 300 до 500 тыс. руб. за повторный случай;
-
для юридических лиц – от 300 до 700 тыс. руб. за первое нарушение, и от 1 до 1,5 млн. руб. за повторный случай.
Как предприятиям избежать штрафов за нарушение 572-ФЗ?
Если предприятие относится объектам критической инфраструктуры, необходимо заключить договор с оператором по передаче и хранению данных в ЕБС.
Если организация не является режимным объектом, то можно использовать два варианта:
-
подключиться к ЕБС и передать биометрию в ГИС ЕБС согласно положениям 572-ФЗ. Для этого нужно собрать согласия на обработку персональных данных со всех людей, которым предоставлено право доступа, а также сделать записи их голосов и фотографии лиц. Если организация не успела сделать это до 01.06.2023, ей необходимо остановить сбор таких данных, подать заявку на государственную аккредитацию в Минцифры и дождаться одобрения ведомства. Требования для получения аккредитации, форму заявки и сроки ее рассмотрения можно найти на сайте Минцифры;
-
подключиться к КБС и использовать идентификацию по отпечаткам пальцев и рисунку вен на ладонях. Эти данные не регламентируются 572-ФЗ, на их сбор и обработку не требуется письменного согласия.
Подключиться к КБС можно у любого оператора биометрических систем. Как правило, такие организации предлагают гибкие тарифы и обеспечивают интеграцию своих систем в уже имеющуюся систему безопасности на предприятии заказчика.
Альтернативные решения для коммерческих структур
Если на предприятии необходимо обеспечить контроль доступа, и оно не относится к режимным объектам, то можно рассмотреть несколько вариантов.
Идентификация через КБС. Как уже сказано ранее, она не регламентируется законодательством и не требует обязательной передачи сведений в государственную базу данных. Для идентификации личности в таких системах могут применяться отпечатки пальцев или рисунки вен.
СКУД по карточкам. Пожалуй, наиболее распространенная система, которая используется на большинстве предприятий. Каждому сотруднику и/или посетителю выдается персонифицированная карточка, которая учитывает время нахождения на объекте, а также позволяет разграничить права доступа. Например, посетители не смогут попасть на территорию склада, а сотрудники службы доставки – в переговорную для клиентов.
СКУД по динамическим QR-кодам. Аналогична системе с использованием карточек, но вместо пластика посетителям и/или сотрудникам предприятия на мобильное устройство высылается QR-код, который нужно считать сканером на турникете.