Вы можете открыть актуальную версию документа прямо сейчас.
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Вход
- Главная
- Приказ Министерства цифрового развития, связи и массовых коммуникаций РФ от 12 мая 2023 г. N 453 "О порядке обработки биометрических персональных данных и векторов единой биометрической системы в единой биометрической системе и в информационных системах аккредитованных государственных органов, Центрального банка Российской Федерации в случае прохождения им аккредитации, организаций, осуществляющих аутентификацию на основе биометрических персональных данных физических лиц" (с изменениями и дополнениями)
- Приложение N 2. Порядок размещения и обновления биометрических персональных данных в единой биометрической системе, а также случаи и сроки использования биометрических персональных данных при их размещении в единой биометрической системе в соответствии с частью 14 статьи 4 Федерального закона от 29 декабря 2022 г. N 572-ФЗ "Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, о внесении изменений в отдельные законодательные акты Российской Федерации и признании утратившими силу отдельных положений законодательных актов Российской Федерации"
Приложение N 2. Порядок размещения и обновления биометрических персональных данных в единой биометрической системе, а также случаи и сроки использования биометрических персональных данных при их размещении в единой биометрической системе в соответствии с частью 14 статьи 4 Федерального закона от 29 декабря 2022 г. N 572-ФЗ "Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, о внесении изменений в отдельные законодательные акты Российской Федерации и признании утратившими силу отдельных положений законодательных актов Российской Федерации"
Приложение N 2
к приказу Министерства
цифрового развития, связи
и массовых коммуникаций
Российской Федерации
от 12.05.2023 г. N 453
Порядок размещения и обновления биометрических персональных данных в единой биометрической системе, а также случаи и сроки использования биометрических персональных данных при их размещении в единой биометрической системе в соответствии с частью 14 статьи 4 Федерального закона от 29 декабря 2022 г. N 572-ФЗ "Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, о внесении изменений в отдельные законодательные акты Российской Федерации и признании утратившими силу отдельных положений законодательных актов Российской Федерации"
1. Размещение биометрических персональных данных в единой биометрической системе 1, за исключением размещения в региональных сегментах единой биометрической системы 2, осуществляется:
1) банками, многофункциональными центрами предоставления государственных и муниципальных услуг (далее - многофункциональный центр) и иными организациями в случаях, определенных федеральными законами (далее - организация), после проведения идентификации при личном присутствии физического лица с его согласия на безвозмездной основе, в соответствии с частью 1 статьи 4 Федерального закона N 572-ФЗ;
2) физическими лицами с использованием мобильного приложения единой биометрической системы 3 с применением пользовательского оборудования (оконечного оборудования), имеющего в своем составе идентификационный модуль, в соответствии с частью 9 статьи 4 Федерального закона N 572-ФЗ;
3) государственными органами, органами местного самоуправления, Центральным банком Российской Федерации, банками, иными кредитными организациями, некредитными финансовыми организациями, которые осуществляют указанные в части первой статьи 76.1 Федерального закона от 10 июля 2002 г. N 86-ФЗ "О Центральном банке Российской Федерации (Банке России)" виды деятельности, субъектами национальной платежной системы, лицами, оказывающими профессиональные услуги на финансовом рынке (далее - организации финансового рынка), иными организациями, индивидуальными предпринимателями, нотариусами (далее - органы и организации, индивидуальные предприниматели, нотариусы) в случае, если в информационных системах таких органов, организаций, индивидуальных предпринимателей, нотариусов в соответствии с федеральными законами собраны биометрические персональные данные, соответствующие всем видам или только одному из видов, размещаемым в единой биометрической системе, в соответствии с частью 14 статьи 4 Федерального закона N 572-ФЗ;
4) оператором регионального сегмента единой биометрической системы путем передачи биометрических персональных данных, размещенных в региональном сегменте единой биометрической системы в соответствии с пунктом 1 части 5 статьи 26 Федерального закона N 572-ФЗ.
2. Обновление биометрических персональных данных в единой биометрической системе осуществляется способами, указанными в подпунктах 1 и 2 пункта 1 настоящего Порядка.
3. Размещение и обновление биометрических персональных данных в региональном сегменте единой биометрической системе осуществляется физическими лицами с использованием регионального мобильного приложения единой биометрической системы с применением пользовательского оборудования (оконечного оборудования), имеющего в своем составе идентификационный модуль, в порядке, установленном в соответствии с пунктом 1 части 5 статьи 26 Федерального закона N 572-ФЗ.
4. Размещение и обновление биометрических персональных данных осуществляются в соответствии с законодательством Российской Федерации в области персональных данных, в том числе настоящим Порядком, а также Порядком обработки, включая сбор, хранение, биометрических персональных данных, в том числе требований к параметрам биометрических персональных данных, содержащимся в приложении N 1 к настоящему приказу (далее - Порядок обработки).
5. Размещение и обновление биометрических персональных данных в единой биометрической системе осуществляется с использованием шифровальных (криптографических) средств, позволяющих обеспечить безопасность персональных данных от угроз, определенных:
1) для государственных органов, органов местного самоуправления, Центрального банка Российской Федерации, организаций, за исключением организаций финансового рынка, индивидуальных предпринимателей, нотариусов в соответствии с пунктом 4 части 2 статьи 6 Федерального закона N 572-ФЗ;
2) для организаций финансового рынка в соответствии с пунктом 1 части 4 статьи 7 Федерального закона N 572-ФЗ;
3) для оператора регионального сегмента единой биометрической системы в соответствии с частью 18 статьи 5 Федерального закона N 572-ФЗ.
6. Размещение и обновление биометрических персональных данных в единой биометрической системе осуществляется с использованием в том числе единой системы межведомственного электронного взаимодействия 4.
7. Размещение и обновление биометрических персональных данных в региональном сегменте единой биометрической системы осуществляется с использованием шифровальных (криптографических) средств, позволяющих обеспечить безопасность персональных данных от угроз, определенных в соответствии с частью 18 статьи 5 Федерального закона N 572-ФЗ.
8. Банки, осуществляющие в соответствии с подпунктом 1 пункта 2 настоящего Порядка размещение и обновление биометрических персональных данных в единой биометрической системе, организации финансового рынка, осуществляющие в соответствии с подпунктом 3 пункта 1 настоящего Порядка размещение биометрических персональных данных в единой биометрической системе, должны обеспечивать:
ГАРАНТ:
По-видимому, в тексте предыдущего абзаца допущена опечатка. Вместо "подпунктом 1 пункта 2" имеется в виду "подпунктом 1 пункта 1"
1) информирование Центрального банка Российской Федерации о выявленных инцидентах, связанных с обеспечением защиты информации при размещении и обновлении биометрических персональных данных (далее - инциденты безопасности), которые привели или могут привести к нарушению или попыткам нарушения целостности, конфиденциальности и (или) доступности биометрических персональных данных. Информирование о выявленных инцидентах безопасности осуществляется не позднее одного рабочего дня со дня их выявления;
2) проведение не реже одного раза в 2 года оценки соответствия требованиям по защите информации на соответствие второму уровню защиты информации (стандартному), предусмотренному пунктом 6.7 раздела 6 национального стандарта Российской Федерации ГОСТ Р 57580.1-2017 "Национальный стандарт Российской Федерации. Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер", утвержденного и введенного в действие приказом Федерального агентства по техническому регулированию и метрологии от 8 августа 2017 г. N 882-ст, с привлечением организаций, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации на проведение работ и услуг, предусмотренных подпунктами "б", "д" или "е" пункта 4 Положения о лицензировании деятельности по технической защите конфиденциальной информации, утвержденного постановлением Правительства Российской Федерации от 3 февраля 2012 г. N 79, и информирование Центрального банка Российской Федерации о результатах такой оценки;
ГАРАНТ:
По-видимому, в тексте предыдущего абзаца допущена опечатка. Номер названного приказа следует читать как "822-ст"
3) информирование уполномоченного органа по защите прав субъектов персональных данных об инцидентах безопасности, повлекших неправомерную передачу (предоставление, распространение, доступ) биометрических персональных данных. Информирование о выявленных инцидентах безопасности осуществляется не позднее одного рабочего дня со дня их выявления.
9. Многофункциональный центр и иная организация, осуществляющие в соответствии с подпунктом 1 пункта 1 настоящего Порядка размещение и обновление биометрических персональных данных в единой биометрической системе, должны обеспечивать:
1) информирование Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации о выявленных инцидентах безопасности, которые привели или могут привести к нарушению или попыткам нарушения целостности, конфиденциальности и (или) доступности защищаемой информации. Информирование о выявленных инцидентах безопасности осуществляется не позднее одного рабочего дня со дня их выявления;
2) ежегодное проведение оценки соответствия требованиям к защите персональных данных для каждого из уровней защищенности, организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, установленным федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в соответствии с частью 4 статьи 19 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных", с привлечением организаций, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации на проведение работ и услуг, предусмотренных подпунктами "б", "д" или "е" пункта 4 Положения о лицензировании деятельности по технической защите конфиденциальной информации, утвержденного постановлением Правительства Российской Федерации от 3 февраля 2012 г. N 79, и информирование Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации о результатах такой оценки;
3) информирование уполномоченного органа по защите прав субъектов персональных данных об инцидентах безопасности, повлекших неправомерную передачу (предоставление, распространение, доступ) биометрических персональных данных. Информирование о выявленных инцидентах безопасности осуществляется не позднее одного рабочего дня со дня их выявления.
10. Размещение и обновление биометрических персональных данных в единой биометрической системе согласно подпункту 1 пункта 1 настоящего Порядка осуществляется в соответствии с требованиями к фиксированию действий, утвержденными в соответствии с пунктом 1 части 6 статьи 4 Федерального закона N 572-ФЗ.
11. Биометрические персональные данные, а также информация, указанная в пункте 16 Порядка обработки, размещаются и обновляются в единой биометрической системе уполномоченным работником банка, многофункционального центра и организации в соответствии с подпунктом 1 пункта 1 настоящего Порядка (далее - уполномоченный работник) и подписываются усиленной квалифицированной электронной подписью соответственно банка, многофункционального центра и организации, которая создается с использованием средств электронной подписи, позволяющих обеспечить безопасность персональных данных от угроз, определенных для банков в соответствии с пунктом 1 части 4 статьи 7 Федерального закона N 572-ФЗ, для многофункциональных центров и организаций - в соответствии с пунктом 4 части 2 статьи 6 Федерального закона N 572-ФЗ.
12. Размещение биометрических персональных данных в соответствии с подпунктом 1 пункта 1 настоящего Порядка в единой биометрической системе осуществляется, если физическое лицо прошло процедуру регистрации в единой системе идентификации и аутентификации 5 в соответствии с Положением о федеральной государственной информационной системе "Единая система идентификации и аутентификации в инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме", утвержденным приказом Министерства связи и массовых коммуникаций Российской Федерации от 13 апреля 2012 г. N 107 (зарегистрирован Минюстом России 26 апреля 2012 г., регистрационный N 23952) (далее - Положение) 6, и при условии, что личность физического лица установлена в соответствии с подпунктом "з" пункта 6.1 Положения.
В случае если физическое лицо не зарегистрировано в единой системе идентификации и аутентификации, уполномоченный работник после проведения идентификации физического лица осуществляет с его согласия процедуру регистрации в единой системе идентификации и аутентификации в соответствии с Положением.
Если сведения, необходимые для регистрации физического лица в единой системе идентификации и аутентификации, внесены в указанную систему, но процесс регистрации в соответствии с абзацем первым настоящего пункта не завершен, уполномоченное лицо перед сбором биометрических персональных данных с согласия физического лица размещает или обновляет в электронной форме в единой системе идентификации и аутентификации сведения, необходимые для регистрации в ней, а также устанавливает личность соответствующего физического лица и вносит в единую систему идентификации и аутентификации сведения о способе установления его личности в соответствии с Положением.
При наличии у физического лица учетной записи в единой системе идентификации и аутентификации уполномоченный работник осуществляет в соответствии с Порядком обработки сбор биометрических персональных данных и размещение их в единой биометрической системе.
13. Размещение биометрических персональных данных в единой биометрической системе в соответствии с подпунктом 2 пункта 1 настоящего Порядка осуществляется в порядке, установленном в соответствии с частью 11 статьи 4 Федерального закона N 572-ФЗ, и с соблюдением Порядка обработки.
14. Размещение биометрических персональных данных в единой биометрической системе в соответствии с подпунктом 3 пункта 1 настоящего Порядка осуществляется органами и организациями, индивидуальными предпринимателями, нотариусами с соблюдением требования, предусмотренного частью 15 статьи 4 Федерального закона N 572-ФЗ.
15. Перед размещением биометрических персональных данных в единой биометрической системе в соответствии с подпунктом 3 пункта 1 настоящего Порядка органы и организации, индивидуальные предприниматели, нотариусы предоставляют в единую систему идентификации и аутентификации содержащиеся в их информационных системах персональных данных сведения о физических лицах, чьи биометрические персональные данные подлежат размещению в единой биометрической системе. После сопоставления указанных сведений со сведениями, содержащимися в единой системе идентификации и аутентификации, из единой системы идентификации и аутентификации органам и организациям, индивидуальным предпринимателям, нотариусам передается идентификатор сведений о физическом лице в регистре физических лиц единой системы идентификации и аутентификации, биометрические персональные данные которого размещаются в единой биометрической системе (далее - идентификатор учетной записи в единой системе идентификации и аутентификации) (при наличии).
Биометрические персональные данные, содержащие в частности метку даты, времени и места размещения биометрических персональных данных в информационной системе органа и организации, индивидуального предпринимателя, нотариуса, идентификатор сведений о физическом лице, чьи биометрические персональные данные подлежат размещению в единой биометрической системе, содержащийся в информационной системе персональных данных органа и организации, индивидуального предпринимателя, нотариуса (далее - идентификатор в информационной системе органа или организации, индивидуального предпринимателя, нотариуса), идентификатор учетной записи в единой системе идентификации и аутентификации (при наличии), страховой номер индивидуального лицевого счета физического лица (при наличии) передаются органами и организациями, индивидуальными предпринимателями, нотариусами в единую биометрическую систему в том числе в автоматизированном режиме с использованием средств криптографической защиты информации, позволяющих обеспечить безопасность персональных данных от угроз, определенных в соответствии с пунктом 5 настоящего Порядка, в том числе с использованием единой системы межведомственного электронного взаимодействия. Биометрические персональные данные одного физического лица и сведения о таком физическом лице, указанные в настоящем абзаце, передаются в единую биометрическую систему отдельно от биометрических персональных данных иных физических лиц и сведений об иных физических лицах, содержащихся в информационных системах органов и организаций, индивидуальных предпринимателей, нотариусов и подлежащих размещению в единой биометрической системе в соответствии с подпунктом 3 пункта 1 настоящего Порядка.
В единой биометрической системе осуществляется проверка параметров биометрических персональных данных на соответствие требованиям, установленным пунктами 12, 14 Порядка обработки (далее - контроль качества) с использованием программного обеспечения единой биометрической системы.
В случае если в процессе прохождения контроля качества установлено соответствие параметров биометрических персональных данных требованиям, указанным в пунктах 12, 14 Порядка обработки, осуществляется размещение биометрических персональных данных в единой биометрической системе и создание векторов единой биометрической системы.
Если в процессе прохождения контроля качества установлено несоответствие параметров биометрических персональных данных требованиям, указанным в пунктах 12, 14 Порядка обработки, осуществляется размещение биометрических персональных данных в единой биометрической системе и создание векторов единой биометрической системы, которые используются исключительно органами или организациями, индивидуальными предпринимателями, нотариусами, разместившими такие биометрические персональные данные в единой биометрической системе, в случаях, предусмотренных абзацем десятым настоящего пункта.
Размещение в единой биометрической системе биометрических персональных данных ф