Время прочтения: 2 мин.

Сбор и обработка биометрических параметров регулируются на законодательном уровне. Понятие «биометрические персональные данные» как отдельной категории персональных данных содержится в Федеральном законе № 152-ФЗ. В связи с этим у организации, использующей биометрию для идентификации клиентов, могут возникать регуляторные риски, связанные с неисполнением требований закона. Соответствующие санкции предусмотрены ст. 13.11 Кодекса об административных правонарушениях. Обработка биометрических данных при отсутствии согласия субъекта или его ненадлежащем оформлении обернется для юридического лица штрафом в размере 15-70 тыс. руб. Поскольку суммарный размер штрафа определяется от количества лиц, чьи данные обрабатывались с нарушениями, игнорирование законодательных норм может обернуться серьезными финансовыми последствиями.

Разберем процесс получения биометрических данных как наиболее уязвимый с точки зрения регуляторного риска. Исходя из имеющейся практики, постараюсь выделить моменты, на которые аудитору стоит обратить внимание.

Прежде всего целесообразно проверить осуществляется ли вообще получение согласий. Если клиент ранее давал согласие на обработку персональных данных, это не означает, что впоследствии с него можно собрать и биометрические параметры (слепок). Для их обработки необходимо отдельное письменное согласие. Это следует в том числе из ст. 9 Федерального закона № 152-ФЗ, где указано, что в согласии должен содержаться конкретный перечень данных. Если получению биометрических слепков не предшествует получение отдельного согласия, организацию скорее всего ждут серьезные проблемы.

Согласие может быть оформлено как на бумажном носителе, так и в форме электронного документа с ЭП. Если согласия оформляются на бумаге, проверьте, обеспечивается ли их сохранность. Ведь в случае каких-либо споров, обязанность доказать получение согласия возлагается на организацию (ст. 9 Федерального закона № 152-ФЗ). Проверить это можно сопоставив логи корпоративной фронтальной системы с данными архива (если, конечно, согласия печатаются из системы). 

Ряд клиентов (прежде всего в сфере финансовых услуг) совершают транзакции не лично, а через своих представителей. Если от таких клиентов получены биометрические слепки, их стоит включить в выборку для проверки. Обратите внимание, кто давал согласие – сам клиент или его представитель. Если последний, то в доверенности должны содержаться полномочия на предоставление согласия за доверителя. Их отсутствие означает, что документ не имеет юридической силы, а значит впоследствии возможны как претензии клиента, так и штрафные санкции.

Рекомендую также проверить, чьи слепки привязаны к ID клиентов-доверителей. Может оказаться, что это будут данные не самих клиентов, а их доверенных лиц. В этом случае возникает риск финансовых потерь и ущерба репутации, так как после отзыва (прекращения) доверенности, представитель сохранит возможность действовать за клиента через биометрическую идентификацию.

Надеюсь, что эти советы окажутся полезными при проведении аудита процессов обработки персональных данных в условиях распространения биометрических технологий.

Успешных проверок, коллеги!