Вы можете открыть актуальную версию документа прямо сейчас.
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Вход
Купить систему ГАРАНТ
Получить демо-доступ
Узнать стоимость
Информационный банк
Подобрать комплект
Семинары
- Главная
- Приказ Министерства цифрового развития, связи и массовых коммуникаций РФ от 12 мая 2023 г. N 453 "О порядке обработки биометрических персональных данных и векторов единой биометрической системы в единой биометрической системе и в информационных системах аккредитованных государственных органов, Центрального банка Российской Федерации в случае прохождения им аккредитации, организаций, осуществляющих аутентификацию на основе биометрических персональных данных физических лиц" (с изменениями и дополнениями)
- Приложение N 2. Порядок размещения и обновления биометрических персональных данных в единой биометрической системе, а также случаи и сроки использования биометрических персональных данных при их размещении в единой биометрической системе в соответствии с частью 14 статьи 4 Федерального закона от 29 декабря 2022 г. N 572-ФЗ "Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, о внесении изменений в отдельные законодательные акты Российской Федерации и признании утратившими силу отдельных положений законодательных актов Российской Федерации"
Приложение N 2. Порядок размещения и обновления биометрических персональных данных в единой биометрической системе, а также случаи и сроки использования биометрических персональных данных при их размещении в единой биометрической системе в соответствии с частью 14 статьи 4 Федерального закона от 29 декабря 2022 г. N 572-ФЗ "Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, о внесении изменений в отдельные законодательные акты Российской Федерации и признании утратившими силу отдельных положений законодательных актов Российской Федерации"
Приложение N 2
к приказу Министерства
цифрового развития, связи
и массовых коммуникаций
Российской Федерации
от 12.05.2023 г. N 453
Порядок размещения и обновления биометрических персональных данных в единой биометрической системе, а также случаи и сроки использования биометрических персональных данных при их размещении в единой биометрической системе в соответствии с частью 14 статьи 4 Федерального закона от 29 декабря 2022 г. N 572-ФЗ "Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, о внесении изменений в отдельные законодательные акты Российской Федерации и признании утратившими силу отдельных положений законодательных актов Российской Федерации"
1. Размещение биометрических персональных данных в единой биометрической системе 1, за исключением размещения в региональных сегментах единой биометрической системы 2, осуществляется:
1) банками, многофункциональными центрами предоставления государственных и муниципальных услуг (далее - многофункциональный центр) и иными организациями в случаях, определенных федеральными законами (далее - организация), после проведения идентификации при личном присутствии физического лица с его согласия на безвозмездной основе, в соответствии с частью 1 статьи 4 Федерального закона N 572-ФЗ;
2) физическими лицами с использованием мобильного приложения единой биометрической системы 3 с применением пользовательского оборудования (оконечного оборудования), имеющего в своем составе идентификационный модуль, в соответствии с частью 9 статьи 4 Федерального закона N 572-ФЗ;
3) государственными органами, органами местного самоуправления, Центральным банком Российской Федерации, банками, иными кредитными организациями, некредитными финансовыми организациями, которые осуществляют указанные в части первой статьи 76.1 Федерального закона от 10 июля 2002 г. N 86-ФЗ "О Центральном банке Российской Федерации (Банке России)" виды деятельности, субъектами национальной платежной системы, лицами, оказывающими профессиональные услуги на финансовом рынке (далее - организации финансового рынка), иными организациями, индивидуальными предпринимателями, нотариусами (далее - органы и организации, индивидуальные предприниматели, нотариусы) в случае, если в информационных системах таких органов, организаций, индивидуальных предпринимателей, нотариусов в соответствии с федеральными законами собраны биометрические персональные данные, соответствующие всем видам или только одному из видов, размещаемым в единой биометрической системе, в соответствии с частью 14 статьи 4 Федерального закона N 572-ФЗ;
4) оператором регионального сегмента единой биометрической системы путем передачи биометрических персональных данных, размещенных в региональном сегменте единой биометрической системы в соответствии с пунктом 1 части 5 статьи 26 Федерального закона N 572-ФЗ.
2. Обновление биометрических персональных данных в единой биометрической системе осуществляется способами, указанными в подпунктах 1 и 2 пункта 1 настоящего Порядка.
3. Размещение и обновление биометрических персональных данных в региональном сегменте единой биометрической системе осуществляется физическими лицами с использованием регионального мобильного приложения единой биометрической системы с применением пользовательского оборудования (оконечного оборудования), имеющего в своем составе идентификационный модуль, в порядке, установленном в соответствии с пунктом 1 части 5 статьи 26 Федерального закона N 572-ФЗ.
4. Размещение и обновление биометрических персональных данных осуществляются в соответствии с законодательством Российской Федерации в области персональных данных, в том числе настоящим Порядком, а также Порядком обработки, включая сбор, хранение, биометрических персональных данных, в том числе требований к параметрам биометрических персональных данных, содержащимся в приложении N 1 к настоящему приказу (далее - Порядок обработки).
5. Размещение и обновление биометрических персональных данных в единой биометрической системе осуществляется с использованием шифровальных (криптографических) средств, позволяющих обеспечить безопасность персональных данных от угроз, определенных:
1) для государственных органов, органов местного самоуправления, Центрального банка Российской Федерации, организаций, за исключением организаций финансового рынка, индивидуальных предпринимателей, нотариусов в соответствии с пунктом 4 части 2 статьи 6 Федерального закона N 572-ФЗ;
2) для организаций финансового рынка в соответствии с пунктом 1 части 4 статьи 7 Федерального закона N 572-ФЗ;
3) для оператора регионального сегмента единой биометрической системы в соответствии с частью 18 статьи 5 Федерального закона N 572-ФЗ.
6. Размещение и обновление биометрических персональных данных в единой биометрической системе осуществляется с использованием в том числе единой системы межведомственного электронного взаимодействия 4.
7. Размещение и обновление биометрических персональных данных в региональном сегменте единой биометрической системы осуществляется с использованием шифровальных (криптографических) средств, позволяющих обеспечить безопасность персональных данных от угроз, определенных в соответствии с частью 18 статьи 5 Федерального закона N 572-ФЗ.
8. Банки, осуществляющие в соответствии с подпунктом 1 пункта 2 настоящего Порядка размещение и обновление биометрических персональных данных в единой биометрической системе, организации финансового рынка, осуществляющие в соответствии с подпунктом 3 пункта 1 настоящего Порядка размещение биометрических персональных данных в единой биометрической системе, должны обеспечивать:
ГАРАНТ:
По-видимому, в тексте предыдущего абзаца допущена опечатка. Вместо "подпунктом 1 пункта 2" имеется в виду "подпунктом 1 пункта 1"
1) информирование Центрального банка Российской Федерации о выявленных инцидентах, связанных с обеспечением защиты информации при размещении и обновлении биометрических персональных данных (далее - инциденты безопасности), которые привели или могут привести к нарушению или попыткам нарушения целостности, конфиденциальности и (или) доступности биометрических персональных данных. Информирование о выявленных инцидентах безопасности осуществляется не позднее одного рабочего дня со дня их выявления;
2) проведение не реже одного раза в 2 года оценки соответствия требованиям по защите информации на соответствие второму уровню защиты информации (стандартному), предусмотренному пунктом 6.7 раздела 6 национального стандарта Российской Федерации ГОСТ Р 57580.1-2017 "Национальный стандарт Российской Федерации. Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер", утвержденного и введенного в действие приказом Федерального агентства по техническому регулированию и метрологии от 8 августа 2017 г. N 882-ст, с привлечением организаций, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации на проведение работ и услуг, предусмотренных подпунктами "б", "д" или "е" пункта 4 Положения о лицензировании деятельности по технической защите конфиденциальной информации, утвержденного постановлением Правительства Российской Федерации от 3 февраля 2012 г. N 79, и информирование Центрального банка Российской Федерации о результатах такой оценки;
ГАРАНТ:
По-видимому, в тексте предыдущего абзаца допущена опечатка. Номер названного приказа следует читать как "822-ст"
3) информирование уполномоченного органа по защите прав субъектов персональных данных об инцидентах безопасности, повлекших неправомерную передачу (предоставление, распространение, доступ) биометрических персональных данных. Информирование о выявленных инцидентах безопасности осуществляется не позднее одного рабочего дня со дня их выявления.
9. Многофункциональный центр и иная организация, осуществляющие в соответствии с подпунктом 1 пункта 1 настоящего Порядка размещение и обновление биометрических персональных данных в единой биометрической системе, должны обеспечивать:
1) информирование Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации о выявленных инцидентах безопасности, которые привели или могут привести к нарушению или попыткам нарушения целостности, конфиденциальности и (или) доступности защищаемой информации. Информирование о выявленных инцидентах безопасности осуществляется не позднее одного рабочего дня со дня их выявления;
2) ежегодное проведение оценки соответствия требованиям к защите персональных данных для каждого из уровней защищенности, организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, установленным федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в соответствии с частью 4 статьи 19 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных", с привлечением организаций, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации на проведение работ и услуг, предусмотренных подпунктами "б", "д" или "е" пункта 4 Положения о лицензировании деятельности по технической защите конфиденциальной информации, утвержденного постановлением Правительства Российской Федерации от 3 февраля 2012 г. N 79, и информирование Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации о результатах такой оценки;
3) информирование уполномоченного органа по защите прав субъектов персональных данных об инцидентах безопасности, повлекших неправомерную передачу (предоставление, распространение, доступ) биометрических персональных данных. Информирование о выявленных инцидентах безопасности осуществляется не позднее одного рабочего дня со дня их выявления.
10. Размещение и обновление биометрических персональных данных в единой биометрической системе согласно подпункту 1 пункта 1 настоящего Порядка осуществляется в соответствии с требованиями к фиксированию действий, утвержденными в соответствии с пунктом 1 части 6 статьи 4 Федерального закона N 572-ФЗ.
11. Биометрические персональные данные, а также информация, указанная в пункте 16 Порядка обработки, размещаются и обновляются в единой биометрической системе уполномоченным работником банка, многофункционального центра и организации в соответствии с подпунктом 1 пункта 1 настоящего Порядка (далее - уполномоченный работник) и подписываются усиленной квалифицированной электронной подписью соответственно банка, многофункционального центра и организации, которая создается с использованием средств электронной подписи, позволяющих обеспечить безопасность персональных данных от угроз, определенных для банков в соответствии с пунктом 1 части 4 статьи 7 Федерального закона N 572-ФЗ, для многофункциональных центров и организаций - в соответствии с пунктом 4 части 2 статьи 6 Федерального закона N 572-ФЗ.
12. Размещение биометрических персональных данных в соответствии с подпунктом 1 пункта 1 настоящего Порядка в единой биометрической системе осуществляется, если физическое лицо прошло процедуру регистрации в единой системе идентификации и аутентификации 5 в соответствии с Положением о федеральной государственной информационной системе "Единая система идентификации и аутентификации в инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме", утвержденным приказом Министерства связи и массовых коммуникаций Российской Федерации от 13 апреля 2012 г. N 107 (зарегистрирован Минюстом России 26 апреля 2012 г., регистрационный N 23952) (далее - Положение) 6, и при условии, что личность физического лица установлена в соответствии с подпунктом "з" пункта 6.1 Положения.
В случае если физическое лицо не зарегистрировано в единой системе идентификации и аутентификации, уполномоченный работник после проведения идентификации физического лица осуществляет с его согласия процедуру регистрации в единой системе идентификации и аутентификации в соответствии с Положением.
Если сведения, необходимые для регистрации физического лица в единой системе идентификации и аутентификации, внесены в указанную систему, но процесс регистрации в соответствии с абзацем первым настоящего пункта не завершен, уполномоченное лицо перед сбором биометрических персональных данных с согласия физического лица размещает или обновляет в электронной форме в единой системе идентификации и аутентификации сведения, необходимые для регистрации в ней, а также устанавливает личность соответствующего физического лица и вносит в единую систему идентификации и аутентификации сведения о способе установления его личности в соответствии с Положением.
При наличии у физического лица учетной записи в единой системе идентификации и аутентификации уполномоченный работник осуществляет в соответствии с Порядком обработки сбор биометрических персональных данных и размещение их в единой биометрической системе.
13. Размещение биометрических персональных данных в единой биометрической системе в соответствии с подпунктом 2 пункта 1 настоящего Порядка осуществляется в порядке, установленном в соответствии с частью 11 статьи 4 Федерального закона N 572-ФЗ, и с соблюдением Порядка обработки.
14. Размещение биометрических персональных данных в единой биометрической системе в соответствии с подпунктом 3 пункта 1 настоящего Порядка осуществляется органами и организациями, индивидуальными предпринимателями, нотариусами с соблюдением требования, предусмотренного частью 15 статьи 4 Федерального закона N 572-ФЗ.
15. Перед размещением биометрических персональных данных в единой биометрической системе в соответствии с подпунктом 3 пункта 1 настоящего Порядка органы и организации, индивидуальные предприниматели, нотариусы предоставляют в единую систему идентификации и аутентификации содержащиеся в их информационных системах персональных данных сведения о физических лицах, чьи биометрические персональные данные подлежат размещению в единой биометрической системе. После сопоставления указанных сведений со сведениями, содержащимися в единой системе идентификации и аутентификации, из единой системы идентификации и аутентификации органам и организациям, индивидуальным предпринимателям, нотариусам передается идентификатор сведений о физическом лице в регистре физических лиц единой системы идентификации и аутентификации, биометрические персональные данные которого размещаются в единой биометрической системе (далее - идентификатор учетной записи в единой системе идентификации и аутентификации) (при наличии).
Биометрические персональные данные, содержащие в частности метку даты, времени и места размещения биометрических персональных данных в информационной системе органа и организации, индивидуального предпринимателя, нотариуса, идентификатор сведений о физическом лице, чьи биометрические персональные данные подлежат размещению в единой биометрической системе, содержащийся в информационной системе персональных данных органа и организации, индивидуального предпринимателя, нотариуса (далее - идентификатор в информационной системе органа или организации, индивидуального предпринимателя, нотариуса), идентификатор учетной записи в единой системе идентификации и аутентификации (при наличии), страховой номер индивидуального лицевого счета физического лица (при наличии) передаются органами и организациями, индивидуальными предпринимателями, нотариусами в единую биометрическую систему в том числе в автоматизированном режиме с использованием средств криптографической защиты информации, позволяющих обеспечить безопасность персональных данных от угроз, определенных в соответствии с пунктом 5 настоящего Порядка, в том числе с использованием единой системы межведомственного электронного взаимодействия. Биометрические персональные данные одного физического лица и сведения о таком физическом лице, указанные в настоящем абзаце, передаются в единую биометрическую систему отдельно от биометрических персональных данных иных физических лиц и сведений об иных физических лицах, содержащихся в информационных системах органов и организаций, индивидуальных предпринимателей, нотариусов и подлежащих размещению в единой биометрической системе в соответствии с подпунктом 3 пункта 1 настоящего Порядка.
В единой биометрической системе осуществляется проверка параметров биометрических персональных данных на соответствие требованиям, установленным пунктами 12, 14 Порядка обработки (далее - контроль качества) с использованием программного обеспечения единой биометрической системы.
В случае если в процессе прохождения контроля качества установлено соответствие параметров биометрических персональных данных требованиям, указанным в пунктах 12, 14 Порядка обработки, осуществляется размещение биометрических персональных данных в единой биометрической системе и создание векторов единой биометрической системы.
Если в процессе прохождения контроля качества установлено несоответствие параметров биометрических персональных данных требованиям, указанным в пунктах 12, 14 Порядка обработки, осуществляется размещение биометрических персональных данных в единой биометрической системе и создание векторов единой биометрической системы, которые используются исключительно органами или организациями, индивидуальными предпринимателями, нотариусами, разместившими такие биометрические персональные данные в единой биометрической системе, в случаях, предусмотренных абзацем десятым настоящего пункта.
Размещение в единой биометрической системе биометрических персональных данных физического лица осуществляется органами и организациями, индивидуальными предпринимателями, нотариусами в соответствии с настоящим пунктом до истечения 3 лет со дня размещения указанных биометрических персональных данных в информационной системе органа и организации, индивидуального предпринимателя, нотариуса.
Если в единой биометрической системе в соответствии с настоящим пунктом размещены биометрические персональные данные физического лица, параметры которых соответствуют требованиям, указанным в пунктах 12, 14 Порядка обработки, идентификатор учетной записи в единой системе идентификации и аутентификации и идентификатор в информационной системе органа или организации, индивидуального предпринимателя, нотариуса, такие биометрические персональные данные и идентификаторы могут использоваться только в следующих случаях, предусмотренных для:
а) использования биометрических персональных данных, размещенных физическим лицом в единой биометрической системе с использованием мобильного приложения единой биометрической системы, согласие физического лица на размещение и обработку которых подписано простой электронной подписью, устанавливаемых Правительством Российской Федерации в соответствии с пунктом 2 части 13 статьи 4 Федерального закона N 572-ФЗ;
б) использования биометрических персональных данных, согласие физического лица на обработку которых подписано простой электронной подписью, правом создания (замены) и выдачи ключа которой в порядке, предусмотренном законодательством Российской Федерации в области использования электронных подписей, обладает организация, осуществляющая аутентификацию на основе биометрических персональных данных физических лиц, устанавливаемых Правительством Российской Федерации в соответствии с частью 17 статьи 16 Федерального закона N 572-ФЗ.
Биометрические персональные данные, размещенные в единой биометрической системе в соответствии с настоящим пунктом, могут использоваться только органами или организациями, индивидуальными предпринимателями, нотариусами, разместившими такие биометрические персональные данные в единой биометрической системе, и исключительно в целях, для которых они были собраны в информационные системы таких органов и организаций, индивидуальных предпринимателей, нотариусов до их размещения в единой биометрической системе, если параметры таких биометрических персональных данных:
соответствуют требованиям пунктов 12, 14 Порядка обработки и размещены в единой биометрической системе вместе с идентификатором в информационной системе органа или организации, но без идентификатора учетной записи в единой системе идентификации и аутентификации;
не соответствуют требованиям пунктов 12, 14 Порядка обработки и размещены в единой биометрической системе вместе с идентификатором в информационной системе органа или организации, но без идентификатора учетной записи в единой системе идентификации и аутентификации;
не соответствуют требованиям пунктов 12, 14 Порядка обработки и размещены в единой биометрической системе вместе с идентификатором в информационной системе органа или организации, индивидуального предпринимателя, нотариуса и идентификатором учетной записи в единой системе идентификации и аутентификации.
В случае, если в единой биометрической системе в соответствии с настоящим пунктом несколькими органами и (или) организациями, и (или) индивидуальными предпринимателями, и (или) нотариусами размещены биометрические персональные данные одного физического лица, в случаях, установленных абзацами восьмым и девятым настоящего пункта, подлежат использованию биометрические персональные данные, соответствующие требованиям пунктов 12, 14 Порядка обработки, с наиболее поздней датой размещения в информационной системе таких органов и (или) организаций, и (или) индивидуальных предпринимателей, и (или) нотариусов.
Размещение биометрических персональных данных в единой биометрической системе в соответствии с настоящим пунктом осуществляется на безвозмездной основе.
16. Размещение биометрических персональных данных в единой биометрической системе в соответствии с подпунктом 4 пункта 1 настоящего Порядка осуществляется путем передачи биометрических персональных данных, размещенных в региональном сегменте единой биометрической системы в соответствии с пунктом 1 части 5 статьи 26 Федерального закона N 572-ФЗ, вместе со страховым номером индивидуального лицевого счета физического лица (при наличии), а также с одним из следующих идентификаторов:
идентификатором единой системы идентификации и аутентификации, полученным региональным сегментом единой биометрической системы в результате сопоставления сведений о физическом лице, содержащихся в государственной информационной системе персональных данных органа государственной власти субъекта Российской Федерации или иной информационной системе, со сведениями, содержащимися в единой системе идентификации и аутентификации, за исключением случая отсутствия сведений о физическом лице в единой системе идентификации и аутентификации;
идентификатором сведений о физическом лице, содержащимся в иной информационной системе, в случае отсутствия сведений о физическом лице в единой системе идентификации и аутентификации.
Биометрические персональные данные, размещенные в единой биометрической системе в соответствии с настоящим пунктом, применяются в случаях, установленных в соответствии с пунктом 10 части 5 статьи 26 Федерального закона N 572-ФЗ.
17. Обновление биометрических персональных данных в единой биометрической системе осуществляется физическим лицом добровольно в следующих случаях:
а) по истечении 5 лет со дня их размещения в указанной системе, а в случаях размещения в соответствии с подпунктом 3 пункта 1 настоящего Порядка - по истечении 2 лет со дня их размещения в указанной системе;
б) по инициативе физического лица.
18. Обновление биометрических персональных данных в региональном сегменте единой биометрической системы осуществляется физическим лицом добровольно в следующих случаях:
а) по истечении 5 лет со дня их размещения в региональном сегменте единой биометрической системы;
б) по инициативе физического лица.
В случае обновления биометрических персональных данных в региональном сегменте единой биометрической системы такие биометрические персональные данные подлежат передаче в единую биометрическую систему в соответствии с подпунктом 4 пункта 1 настоящего Порядка.
------------------------------
1Пункт 4 статьи 2 Федерального закона от 29 декабря 2022 г. N 572-ФЗ "Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, о внесении изменений в отдельные законодательные акты Российской Федерации и признании утратившими силу отдельных положений законодательных актов Российской Федерации" (далее - Федеральный закон N 572-ФЗ).
2 Пункт 11 статьи 2 Федерального закона N 572-ФЗ.
3 Пункт 8 статьи 2 Федерального закона N 572-ФЗ.
4Постановление Правительства Российской Федерации от 8 сентября 2010 г. N 697 "О единой системе межведомственного электронного взаимодействия".
5 Пункт 5 статьи 2 Федерального закона N 572-ФЗ.
6 С изменениями, внесенными приказами Минкомсвязи России от 31 августа 2012 г. N 218 (зарегистрирован Минюстом России 27 сентября 2012 г., регистрационный N 25546), от 23 июля 2015 г. N 278 (зарегистрирован Минюстом России 26 октября 2015 г., регистрационный N 39470) и от 7 июля 2016 г. N 307 (зарегистрирован Минюстом России 21 ноября 2016 г., регистрационный N 44379), приказом Минцифры России от 19 августа 2022 г. N 605 (зарегистрирован Минюстом России 21 ноября 2022 г., регистрационный N 71034).
------------------------------