Вы можете открыть актуальную версию документа прямо сейчас.
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Приложение N 3
к приказу Министерства
цифрового развития, связи
и массовых коммуникаций
Российской Федерации
от 12.05.2023 г. N 453
Порядок обработки, включая сбор, хранения и уничтожения биометрических персональных данных, векторов единой биометрической системы в информационных системах аккредитованных государственных органов, Центрального банка Российской Федерации в случае прохождения им аккредитации, организаций, осуществляющих аутентификацию на основе биометрических персональных данных физических лиц
1. В соответствии с настоящим Порядком обработка, включая сбор, хранение, биометрических персональных данных, векторов единой биометрической системы 1 реализуется с применением информационных технологий и технических средств, имеющих подтверждение соответствия требованиям к информационным технологиям и техническим средствам, предназначенным для обработки биометрических персональных данных, векторов единой биометрической системы в целях проведения идентификации и (или) аутентификации, установленным Требованиями к информационным технологиям и техническим средствам, предназначенным для обработки биометрических персональных данных, векторов единой биометрической системы в целях проведения идентификации и (или) аутентификации, а также порядком подтверждения соответствия информационных технологий и технических средств указанным требованиям, содержащимися в приложении N 5 к настоящему приказу.
2. В соответствии с настоящим Порядком проводится обработка биометрических персональных данных физического лица следующих видов:
изображение лица человека, полученное с помощью фотовидеоустройств;
запись голоса человека, полученная с помощью звукозаписывающих устройств.
3. В информационных системах аккредитованных государственных органов 2, Центрального банка Российской Федерации в случае прохождения им аккредитации, организаций, осуществляющих аутентификацию на основе биометрических персональных данных физических лиц 3, запрещено хранение используемых в целях аутентификации биометрических персональных данных, за исключением хранения таких данных для рассмотрения обращений субъектов персональных данных, предполагающих неправомерную обработку их биометрических персональных данных при проведении аутентификации и (или) оспаривающих результаты проведения аутентификации, в течение не более десяти суток с момента предоставления таких данных в целях проведения аутентификации 4.
4. При обработке, включая сбор, хранении биометрических персональных данных, векторов единой биометрической системы в информационных системах аккредитованных государственных органов, Центрального банка Российской Федерации в случае прохождения им аккредитации, организаций, осуществляющих аутентификацию на основе биометрических персональных данных физических лиц, должны:
1) применяться организационные и технические меры по обеспечению безопасности персональных данных, предусмотренные в соответствии с частью 4 статьи 19 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (далее - Федеральный закон N 152-ФЗ);
2) использоваться шифровальные (криптографические) средства, позволяющие обеспечить безопасность персональных данных от угроз, определенных:
для аккредитованных государственных органов, Центрального банка Российской Федерации в случае прохождения им аккредитации в соответствии с пунктом 4 части 2 статьи 6 Федерального закона N 572-ФЗ;
для организаций, за исключением банков, иных кредитных организаций, некредитных финансовых организаций, которые осуществляют указанные в части первой статьи 76.1 Федерального закона от 10 июля 2002 г. N 86-ФЗ "О Центральном банке Российской Федерации (Банке России)" виды деятельности, субъектов национальной платежной системы, лиц, оказывающих профессиональные услуги на финансовом рынке (далее - организации финансового рынка), в соответствии с пунктом 6 части 2 статьи 6 Федерального закона N 572-ФЗ;
для организаций финансового рынка в соответствии с пунктом 2 части 4 статьи 7 Федерального закона N 572-ФЗ;
3) использование для обработки биометрических персональных данных и векторов единой биометрической системы баз данных, находящихся исключительно на территории Российской Федерации, за исключением случаев, предусмотренных частью 21 статьи 3 Федерального закона N 572-ФЗ;
4) использование информационных технологий, предназначенных для обработки биометрических персональных данных, которые используются для создания векторов единой биометрической системы в единой биометрической системе.
5. По истечении срока, указанного в пункте 3 настоящего Порядка, аккредитованные государственные органы, Центральный банк Российской Федерации в случае прохождения им аккредитации, организации, осуществляющие аутентификацию на основе биометрических персональных данных физических лиц, обязаны уничтожить биометрические персональные данные. Для уничтожения биометрических персональных данных применяются прошедшие в установленном порядке процедуру оценки соответствия средства защиты информации, в составе которых реализована функция автоматического уничтожения информации по истечении определенного заданного срока.
6. Векторы единой биометрической системы хранятся с применением шифровальных (криптографических) средств, позволяющих обеспечить безопасность персональных данных от угроз, определенных:
1) для аккредитованных государственных органов, Центрального банка Российской Федерации в случае прохождения им аккредитации в соответствии с пунктом 4 части 2 статьи 6 Федерального закона N 572-ФЗ;
2) для организаций, за исключением организации финансового рынка, в соответствии с пунктом 6 части 2 статьи 6 Федерального закона N 572-ФЗ;
3) для организаций финансового рынка в соответствии с пунктом 2 части 4 статьи 7 Федерального закона N 572-ФЗ.
7. Аккредитованные государственные органы, Центральный банк Российской Федерации в случае прохождения им аккредитации, организации, осуществляющие аутентификацию на основе биометрических персональных данных физических лиц, блокируют, удаляют, уничтожают векторы единой биометрической системы при получении:
мотивированного запроса оператора единой биометрической системы о блокировании, об удалении, уничтожении векторов единой биометрической системы в случае отзыва субъектом персональных данных у оператора единой биометрической системы согласия на обработку биометрических персональных данных или получения оператором единой биометрической системы от субъекта персональных данных требования о блокировании, об удалении, уничтожении биометрических персональных данных и (или) векторов единой биометрической системы;
отзыва субъекта персональных данных согласия на обработку биометрических персональных данных или требования субъекта персональных данных о блокировании, об удалении, уничтожении биометрических персональных данных и (или) векторов единой биометрической системы.
8. Уничтожение векторов единой биометрической системы осуществляется с соблюдением статьи 21 Федерального закона N 152-ФЗ "О персональных данных".
9. Организации, в отношении которых была прекращена аккредитация в порядке, установленном в соответствии с частью 1 статьи 16 Федерального закона N 572-ФЗ, обязаны уничтожить векторы единой биометрической системы, обрабатываемые в их информационных системах, в течение семи рабочих дней после дня прекращения аккредитации. Для уничтожения векторов единой биометрической системы применяются прошедшие в установленном порядке процедуру оценки соответствия средства защиты информации, в составе которых реализована функция автоматического уничтожения информации по истечении определенного заданного срока 5.
10. Использование векторов единой биометрической системы для целей аутентификации осуществляется до истечения срока, указанного в пункте 17 Порядка размещения и обновления биометрических персональных данных в единой биометрической системе, а также случаев и сроков использования биометрических персональных данных при их размещении в единой биометрической системе в соответствии с частью 14 статьи 4 Федерального закона от 29 декабря 2022 г. N 572-ФЗ "Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, о внесении изменений в отдельные законодательные акты Российской Федерации и признании утратившими силу отдельных положений законодательных актов Российской Федерации", утвержденных настоящим приказом, в соответствии с которым осуществляется обновление биометрических персональных данных, размещенных в единой биометрической системе, в результате преобразования которых получены соответствующие векторы единой биометрической системы.
По истечении срока, указанного в абзаце первом настоящего пункта, векторы единой биометрической системы должны быть удалены из информационных систем аккредитованных государственных органов, Центрального банка Российской Федерации в случае прохождения им аккредитации, организаций, осуществляющих аутентификацию на основе биометрических персональных данных физических лиц.
11. Аккредитованные государственные органы, Центральный банк Российской Федерации в случае прохождения им аккредитации, организации, осуществляющие аутентификацию на основе биометрических персональных данных физических лиц, должны обеспечивать информирование Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации о выявленных инцидентах, связанных с обеспечением защиты информации при обработке, включая сбор и хранение, биометрических персональных данных, векторов единой биометрической системы, которые привели или могут привести к нарушению или попыткам нарушения целостности, конфиденциальности и (или) доступности защищаемой информации, а также информирование уполномоченного органа по защите прав субъектов персональных данных об инцидентах, связанных с обеспечением защиты информации при обработке, включая сбор и хранение, биометрических персональных данных, векторов единой биометрической системы, повлекших неправомерную передачу (предоставление, распространение, доступ) биометрических персональных данных, векторов единой биометрической системы.
------------------------------
1Пункт 3 статьи 2 Федерального закона от 29 декабря 2022 г. N 572-ФЗ "Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, о внесении изменений в отдельные законодательные акты Российской Федерации и признании утратившими силу отдельных положений законодательных актов Российской Федерации" (далее - Федеральный закон N 572-ФЗ).
2 Пункт 1 статьи 2 Федерального закона N 572-ФЗ.
3 Пункт 10 статьи 2 Федерального закона N 572-ФЗ
4 Часть 7 статьи 14, пункт 3 части 1 статьи 15 Федерального закона N 572-ФЗ.
5Постановление Правительства Российской Федерации от 22 мая 2023 г. N 810 "Об утверждении Правил аккредитации организаций, осуществляющих аутентификацию на основе биометрических персональных данных физических лиц, оснований ее приостановления и прекращения и признании утратившим силу постановления Правительства Российской Федерации от 20 октября 2021 г. N 1799". В соответствии с пунктом 3 постановления Правительства Российской Федерации от 22 мая 2023 г. N 810 данный акт действует до 1 июня 2029 г.
------------------------------
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.