Разъяснение Роскомндзора по биометрическим персональным данным: послевкусие

Разъяснение Роскомндзора по биометрическим персональным данным: послевкусие
В выходные Роскомнадзор опубликовал  свое видение того, что такое биометрические персональные данные. В работе над данным разъяснением принимали участие сотрудники Роскомнадзора, Михаил Емельянников, Александр Токаренко, Алексей Волков и ваш покорный слуга. Это второй документ, который родился в результате совместного творчества - первый был посвящен  разъяснению обработки ПДн работников, сотрудников и служащих оператора ПДн.

Михаил Емельянников уже прошелся  по этому документу, выделив его основные положения. Поэтому повторяться я не вижу смысла. Но т.к. Наташа Храмцовская раскритиковала  наш скромный труд, то не могу не высказаться ;-) В форме тезисов.

  1. Роскомнадзор не наделен полномочиями по трактовке законодательства. Это странно, коль скоро он наделен полномочиями его проверять и, по идее, он должен знать, что проверяет. Но так уж у нас сложилось в государстве, что те, кто проверяет выполнение законодательства не может высказывать официальных и обязательных к применению мнений по данному вопросу. Поэтому не стоит и не стоило ждать какого-либо оформления данной позиции в виде официального документа с какими-то выходными данными. Если кого-то интересует официальное письмо с реквизитами, то пишите официальный запрос и вы получите текст разъяснения на бланке (могу предположить, что будет именно так).
  2. Разъяснение РКН не может быть использовано в суде, но от него этого и не требовалось. Задача данного разъяснения - указать операторам ПДн, в каком направлении двигаться, и указание территориальным органами, как трактовать понятие биометрических ПДн при проверках. Именно унификация позиций разных терорганов и помощь операторам было основной задачей формирования нашей рабочей группы.
  3. Закон не совершенен. Это аксиома. Поправить закон мы сейчас не в силах (хотя скажу, что в рабочей группе при Совете Федерации поправки в статью по биометрии вносились). Поэтому все, что делается на базе несовершенного нормативного акта будет по определению несовершенно. Но многие спорные моменты этим разъяснением сняты.
  4. По определению биометрических ПДн можно долго спорить. Но я (и мои коллеги) остаюсь на позиции, что биометрия становится таковой если соблюдается все ТРИ элемента определения из закона. И основное отличие последней редакции от предыдущей заключается именно в добавлении "на основании которых устанавливается личность субъекта". Т.е. установление личности является основным квалифицирующим признаком, чтобы ни говорилось. Нет установления - нет и биометрии. Персональные данные есть, а биометрии нет. А значит нет и необходимости получать письменное согласие субъекта. А значит многие Интернет-сервисы (те же соцсети) могут спать спокойно. Также хочу отметить, что изменение во времени статуса персональных данных (то ПДн, то не ПДн; то биометрия, то не биометрия) отмечалось еще рабочей группой ЦБ и АРБ при написании 4-й версии СТО БР ИББС (действующий на момент написания этого поста).
  5. Ссылка на судебные решения выглядит достаточно интересно, если не учитывать тот факт, что данное разъяснение и должно было исправить ситуацию, когда разные терорганы РКН по-разному трактуют ФЗ-152. И этого достичь удалось. Надеюсь что теперь таких судебных решений уже не будет, т.к. у РКН не будет оснований подавать иски по аналогичным случаям. Но... никто не дает гарантии, что та же прокуратура будет пользоваться аналогичными рассуждениями - это правоохранительный орган всегда отличался оригинальностью мышления.
  6. Исходя из предыдущих пунктов становится ясно, что и отменять уже вынесенные судебные дела никто не будет. Разъяснения РКН не носит характера закона, который имеет обратную силу в явной форме. Поэтому, кому не повезло, тому не повезло. Но с нынешнего момента должна наступить ясность хотя бы в одно спорном моменте по линии ПДн.
  7. Что касается предложения не заниматься словесной эквилибристикой и сосредоточиться на изменении закона и получении решений высших судебных инстанций. Полностью поддерживаю данное начинание и предлагаю Наталье последовать своему же совету ;-) Рабочие группы по изменению законодательства в области персональных данных создавалось уже немало (только я входил в 4 или 5 из них). Причем ни в одну из них не было закрыто доступа никому из тех, кто реально желал помочь общему делу. Сейчас такая группа создана при Минкомсвязи, завершила свою работу публичная (и туда мог прийти кто угодно) группа про Совете Федерации, планируются очередные Парламентские слушания по ФЗ-152... Вариантов внесения поправок в ФЗ-152 множество. Ну а про обращения в суд проблем вообще нет - любой желающий может обратиться в суд с целью защиты своих прав или признании того или иного нормативного акта незаконным или противоречащим международным договорам или Конституции или еще чему-нибудь. Никто препятствий чинить не станет. Было бы желание помогать, а не только критиковать ;-)
  8. Закрывает ли наше с РКН разъяснение тему биометрических ПДн? Нет. Мы включили в текст то, по чему пришли к консенсу. Спорные темы были целенаправлено исключены из документа. Да и объять необъятное нельзя. Очевидно, что остаются и будут появляться частные случаи обработки персональных данных, по которым сложно будет сделать однозначный вывод об их отнесению к разряду биометрических. Это так. Но процентов на 90 всех вопросов этот документ отвечает.

Хочу выразить отдельное спасибо Роскомнадзору и его ключевым сотрудникам - Шередину Роману Валерьевичу, с которым у нас и возникла идея этой рабочей группы и этих разъяснений, и Контемирову Юрию Евгеньевичу, который довел тему с биометрией до победного конца. Спасибо им, что они согласились на эту работу и не отмахнулись от идеи сотрудничества с экспертным сообществом. Я уже не раз это писал и хочу повторить, что за последние год произошел некоторый перелом в сознании регуляторов, которые не отмахиваются от экспертов и их мнения и готовы, если не разделить его, то хотя бы прислушаться, а местами и учесть в своей работе. Такой позитив наблюдается по нашей тематике в общении с РКН, с ЦБ, с ФСТЭК, с Минкомсвязью. С ФСБ пока нет двусторонней связи - остается надеяться, что эта ситуация будет исправлена.

Роскомнадзор персональные данные
Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

Alert! Зафиксирована утечка экспертных знаний!

Собираем и анализируем опыт профессионалов ИБ

Подключитесь к потоку конфиденциальной информации!