Как работать с биометрическими данными: инструкция по применению
Федеральный закон №152-ФЗ «О персональных данных» напоминает, что идеальная политика на сайте и согласие от пользователя на сбор биометрических данных не спасают бизнес от ошибок: нарушения нередко происходят из-за действий конкретных сотрудников, которые не соблюдали правила.
Все биометрические данные должны быть зашифрованы как при хранении, так и при передаче. Еще при работе с биометрией важно ограничивать доступ к данным для персонала, при этом нужно использовать только надежные механизмы аутентификации. В тех случаях, когда это возможно, следует применять анонимизацию или псевдонимизацию данных. Это поможет уменьшить риски, связанные с идентификацией.
Чтобы не допустить утечек, необходимо помнить, как работают общепринятые регламенты в области ПД.
Что регулируют международные протоколы
Протоколы GDPR, HIPAA и аналогичные регламенты устанавливают строгие требования к защите чувствительных данных, особенно биометрических: отпечатков пальцев, радужной оболочки глаза, голоса, изображения лица и других характеристик, которые позволяют отличить одного человека от другого.
Обсудим международные протоколы подробнее:
- GDPR рассматривает биометрические данные как особую категорию — она требует явного согласия, прозрачности обработки и возможности отзыва (это обязательный пункт);
- HIPAA регулирует работу с медицинскими биометрическими данными в США, акцентирует внимание на конфиденциальности и безопасности.
Наши клиенты, работающие с международными рынками или в медтехе, учитывают эти протоколы при проектировании собственных процессов: например, внедряют механизмы получения информированного согласия, обеспечивают право на удаление данных и реализуют высокоуровневую защиту (например, end-to-end шифрование и аудит доступа).
Сложности возникают при юридической оценке правомерности сбора биометрии, технической реализации защиты, а также при согласовании механизмов отзыва согласия и исполнения прав субъекта данных. Особенно это критично при трансграничной передаче — тут приходится учитывать сразу несколько юрисдикций.
Что важно отразить в гайдлайнах по работе с биометрическими данными
- Обеспечение мер защиты
Сами процессы обработки биометрических данных требуют особого подхода: нельзя просто хранить их как обычные персональные данные. Обязательно нужно использовать технические меры защиты — например, шифрование и изоляцию в отдельном контуре. Важно учитывать, что без отдельного письменного согласия и четкого обоснования целей их обработка недопустима — регуляторы строго контролируют этот момент.
- Порядок доступа к биометрии
Кто, при каких условиях и в каких системах может работать с персональными биометрическими данными.
- Сохранение конфиденциальности
Подпись под NDA, запрет передавать биометрические ПД третьим лицам, а также отправлять через открытые мессенджеры, в том числе сохранять на личных устройствах.
- Работа с инцидентами
Что нужно делать при утечке биометрических данных, если доступ к ним получил неавторизованный человек или вам вдруг пришел запрос от Роскомнадзора.
- Сроки хранения и удаления ПД
Здесь необходимо четко зафиксировать даты, включая данные про автоматизацию. К примеру, указать, что удаление должно произойти через 3 года после завершения договора.
- Ответственность и дисциплинарные меры
Подробно пропишите все штрафы вплоть до увольнения сотрудников, если речь идет о потенциальной утечке. Стоит помнить, что биометрия регулируется строго. Такая информация входит в специальную категорию персональных данных (п. 1 ст. 10 №152-ФЗ).
Штрафы за утечку чувствительных данных высоки: от 400 000 до 500 000 рублей для физлиц. Если правонарушение осуществляет должностное лицо, то ставки повышаются: штраф может вырасти до 1,5 млн рублей.
Именно поэтому я рекомендую:
- обучать сотрудников различию между биометрией и обычными ПД (фото в паспорте ≠ биометрия);
- не использовать биометрию без четкой цели (не собирать отпечатки «на всякий случай»);
- подписывать отдельную инструкцию о работе с биометрией (в формате локального акта).
Наш кейс
Однажды мы помогли охранной системе бизнес-центра разработать политику по использованию системы распознавания лиц — такая практика, по нашему опыту, заметно снижает риск возникновения претензий со стороны РКН и пользователей.
Первым шагом стал комплексный аудит системы: мы оценили объем собираемых биометрических данных, цели обработки, техническую архитектуру и действующие процессы информирования. Затем составили детальную политику обработки персональных данных, адаптировали ее под особенности биометрии. В нее включили обязательные сведения по ст. 18.1 и 22 №152-ФЗ. Кроме того, мы выделили отдельный раздел по трансграничной передаче. Следующим шагом стала разработка полного набора документов, в который вошли:
- согласие на обработку биометрических данных (отдельное от общего);
- информационные плакаты на входе;
- регламент обработки и журнал фиксации событий.
В итоге мы обеспечили прозрачность обработки: посетители могли перейти к «Политике обработки ПД», а заодно узнать, где именно применяются камеры, как отозвать согласие на сбор данных, а также куда обращаться с вопросами.
Безопасность данных прежде всего
Мы в своей практике предпочитаем следовать принципу Privacy by design, где на первом месте всегда стоит защита личной информации. Если вы в компании используете приложения, то сразу же встраивайте в них инструменты защиты данных. Что здесь имеется в виду? Приватность должна включаться в «ДНК» всего цифрового решения: от интерфейса до архитектуры хранения данных.
Предоставьте пользователю возможность контролировать свои данные: например, запросить удаление, изменить согласие или же отозвать его. К примеру, при запуске собственной платформы мы вспомнили об этих ключевых принципах и сразу же предусмотрели сбор только минимально необходимых биометрических ПД. Заодно встроили в планируемую архитектуру логирование доступа и возможность самостоятельно удалить свои данные.
Метод Privacy by design мы искренне советуем: он снижает риски штрафов (согласно ст. 18.1 и 19 №152-ФЗ) и укрепляет доверие клиентов. По данным Cisco Privacy Benchmark, компании теряют на 40% меньше пользователей в случае утечки информации, если используют решения СУБД с ролевым доступом, шифрование на уровне дисков и каналов и DLP-системы.
Автоматизировать сбор и хранение таких данных также необходимо: фиксируйте согласия и маршруты данных — в этом могут помочь интеграции через API.
Как избежать наказания за утечки
Банально, но факт: большинство утечек происходит не из-за хакеров, а из-за настроек «по умолчанию»: открытых портов, общего доступа к базам и отсутствия аудита. Один из наших клиентов из FinTech-сферы после теста на уязвимости закрыл доступ к внутренним данным, которые по ошибке были видны в CRM. Без этой проверки утечка была бы вопросом времени.
В рамках регулярной оценки ИБ-рисков мы провели аудит информационной безопасности. Проверка включала в себя комбинированное тестирование уязвимостей. Особый акцент мы сделали на безопасность обработки персональных данных в CRM.
Во время ручного анализа интерфейсов стало ясно, что у системы управления доступом в CRM была неправильная конфигурация: сотрудники отдела поддержки могли просматривать не только чувствительные внутренние поля, содержащие номер паспорта, но и частичные банковские реквизиты клиентов, несмотря на то, что по регламенту им это видеть не полагалось. Доступ не ограничивался на уровне frontend, а фильтрация данных происходила только на клиентской части приложения. Всё это подразумевало риск простого обхода через API-интерфейс или инспекцию трафика.
С нашей помощью компания пересмотрела модель доступа и реализовала серверную фильтрацию данных, разделила доступ по ролям с помощью ACL (Access Control List) и токенов с ограниченным scope (областью действия). Благодаря проведенному тесту и быстрому реагированию потенциальная утечка была предотвращена, а клиент избежал не только штрафов, но и потери репутации.
Чтобы исключить любые инциденты, связанные с использованием биометрических ПД, IT-специалисты в компаниях обязаны:
- проводить регулярные аудиты ИБ — минимум раз в год, особенно при изменении IT-архитектуры;
- использовать инструменты тестирования на уязвимости;
- правильно настраивать минимизацию прав доступа и журналы действий.
Резюмируя, можно сказать, что историю с защитой данных каждая компания должна рассматривать как приоритетную. Даже при наличии понятных гайдов и инструкций можно допустить ошибку. Именно поэтому важно соблюдать все технические требования по защите персональных данных, включая их шифрование.
