Приложение N 2

к приказу Министерства цифрового развития,

связи и массовых коммуникаций

Российской Федерации

от 10 сентября 2021 г. N 930

ПОРЯДОК

РАЗМЕЩЕНИЯ И ОБНОВЛЕНИЯ БИОМЕТРИЧЕСКИХ

ПЕРСОНАЛЬНЫХ ДАННЫХ В ЕДИНОЙ БИОМЕТРИЧЕСКОЙ СИСТЕМЕ И В ИНЫХ

ИНФОРМАЦИОННЫХ СИСТЕМАХ, ОБЕСПЕЧИВАЮЩИХ ИДЕНТИФИКАЦИЮ

И (ИЛИ) АУТЕНТИФИКАЦИЮ С ИСПОЛЬЗОВАНИЕМ БИОМЕТРИЧЕСКИХ

ПЕРСОНАЛЬНЫХ ДАННЫХ ФИЗИЧЕСКИХ ЛИЦ

1. Размещение и обновление в единой информационной системе персональных данных, обеспечивающей обработку, включая сбор и хранение биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным физического лица (далее - единая биометрическая система) сведений, определенных частью 8 статьи 14.1 Федерального закона от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации" (Собрание законодательства Российской Федерации, 2006, N 31, ст. 3448; 2021, N 11, ст. 1708) (далее - Федеральный закон N 149-ФЗ) осуществляются банками с универсальной лицензией и банками с базовой лицензией, соответствующими критериям, установленным абзацами вторым - четвертым пункта 5.7 статьи 7 Федерального закона от 7 августа 2001 г. N 115-ФЗ "О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма" (Собрание законодательства Российской Федерации, 2001, N 33, ст. 3418; 2021, N 27, ст. 5183), государственными органами и иными организациями в случаях, определенных федеральными законами, с согласия физического лица и на безвозмездной основе.

Размещение и обновление в иных информационных системах, обеспечивающих идентификацию и (или) аутентификацию с использованием биометрических персональных данных физических лиц, сведений, определенных частью 8 статьи 14.1 Федерального закона N 149-ФЗ, осуществляется организациями, в том числе организациями финансового рынка, владеющими указанными иными информационными системами, обеспечивающими идентификацию и (или) аутентификацию с использованием биометрических персональных данных физических лиц, и (или) оказывающими услуги по идентификации и (или) аутентификации с использованием биометрических персональных данных физических лиц (далее - организации, осуществляющие идентификацию и (или) аутентификацию с использованием биометрических персональных данных физических лиц), с согласия физического лица и на безвозмездной основе при соблюдении условий, установленных федеральными законами.

2. Размещение и обновление в единой биометрической системе и в иных информационных системах, обеспечивающих идентификацию и (или) аутентификацию с использованием биометрических персональных данных физических лиц, биометрических персональных данных осуществляются в соответствии с законодательством Российской Федерации в области персональных данных и настоящим Порядком.

3. Размещение и обновление биометрических персональных данных в единой биометрической системе осуществляется с использованием в том числе единой системы межведомственного электронного взаимодействия.

4. Обновление сведений в единой биометрической системе и в иных информационных системах, обеспечивающих идентификацию и (или) аутентификацию с использованием биометрических персональных данных физических лиц, осуществляется в соответствии с порядком обработки, включая сбор и хранение, параметров биометрических персональных данных, утверждаемым настоящим приказом (далее - Порядок обработки).

5. При размещении и обновлении сведений в единой биометрической системе и в иных информационных системах, обеспечивающих идентификацию и (или) аутентификацию с использованием биометрических персональных данных физических лиц, кредитные организации, некредитные финансовые организации, которые осуществляют указанные в части первой статьи 76.1 Федерального закона от 10 июля 2002 года N 86-ФЗ "О Центральном банке Российской Федерации (Банке России)" (Собрание законодательства Российской Федерации, 2002, N 28, ст. 2790; 2021, N 24, ст. 4210) виды деятельности, субъекты национальной платежной системы, осуществляющие сбор и обработку используемых для идентификации биометрических персональных, должны осуществлять информирование Банка России о выявленных инцидентах безопасности в соответствии с подпунктом 1 пункта 7 Порядка обработки.

При размещении и обновлении сведений в единой биометрической системе и в иных информационных системах, обеспечивающих идентификацию и (или) аутентификацию с использованием биометрических персональных данных физических лиц, организации, не относящиеся к организациям финансового рынка, осуществляющие сбор и обработку используемых для идентификации параметров биометрических персональных данных, должны осуществлять информирование Минцифры России о выявленных инцидентах безопасности в соответствии с подпунктом 1 пункта 8 Порядка обработки.

6. Размещение и обновление сведений в единой биометрической системе осуществляется в соответствии с требованиями к фиксированию действий в соответствии с пунктом 1 части 2 статьи 14.1 Федерального закона N 149-ФЗ.

7. Биометрические персональные данные, а также иная информация, указанная в пункте 13 Порядка обработки, размещаются и обновляются в единой биометрической системе уполномоченным сотрудником органа или организации и подписываются усиленной квалифицированной электронной подписью государственного органа или организации.

8. Размещение биометрических персональных данных физического лица в единой биометрической системе осуществляется, если физическое лицо прошло процедуру регистрации в единой системе идентификации и аутентификации в соответствии с Положением о федеральной государственной информационной системе "Единая система идентификации и аутентификации в инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме", утвержденным приказом Министерства связи и массовых коммуникаций Российской Федерации от 13 апреля 2012 г. N 107 (далее - Положение) <1>.

--------------------------------

<1> Зарегистрирован Минюстом России 26.04.2012, регистрационный N 23952), с изменениями, внесенными приказами Минюста России от 31.08.2012 N 218 (зарегистрирован Минюстом России 27.09.2012, регистрационный N 25546), от 23.07.2015 N 278 (зарегистрирован Минюстом России 26.10.2015, регистрационный N 39470) и от 07.07.2016 N 307 (зарегистрирован Минюстом России 21.11.2016, регистрационный N 44379).

Размещение биометрических персональных данных физического лица в единой биометрической системе осуществляется при условии, что личность физического лица установлена в соответствии с подпунктом "з" пункта 6.1 Положения.

9. В случае если физическое лицо не зарегистрировано в единой системе идентификации и аутентификации, уполномоченный сотрудник после проведения идентификации физического лица осуществляет с его согласия процедуру регистрации в единой системе идентификации и аутентификации в соответствии с Положением.

10. Если сведения, необходимые для регистрации физического лица в единой системе идентификации и аутентификации, внесены в указанную систему, но процесс регистрации в соответствии с пунктом 8 настоящего порядка не завершен, уполномоченное лицо перед сбором параметров биометрических персональных данных с согласия физического лица размещает или обновляет в электронной форме в единой системе идентификации и аутентификации сведения, необходимые для регистрации в ней, а также устанавливает личность соответствующего физического лица и вносит в единую систему идентификации и аутентификации сведения о способе установления его личности в соответствии с Положением.

11. При наличии у физического лица учетной записи в единой системе идентификации и аутентификации уполномоченный сотрудник осуществляет сбор биометрических персональных данных и размещение их в единой биометрической системе.

12. В случае если при размещении при личном присутствии и обработке указанными в абзаце втором пункта 1 настоящего порядка организациями биометрических персональных данных в иных информационных системах, обеспечивающих идентификацию и (или) аутентификацию с использованием биометрических персональных данных физических лиц, собраны биометрические персональные данные, соответствующие видам, параметрам и порядку обработки биометрических персональных данных, установленных в соответствии с настоящим приказом, размещаемым в единой биометрической системе биометрическим персональным данным, такие собираемые указанными организациями биометрические персональные данные могут быть размещены в единой биометрической системе до истечения срока, указанного в подпункте 1 пункта 14 настоящего порядка, со дня их размещения в указанных иных информационных системах.

В случае если расстояние между центрами глаз биометрических персональных данных изображения лица, содержащихся в иных информационных системах, обеспечивающих идентификацию и (или) аутентификацию с использованием биометрических персональных данных физических лиц, составляет менее допустимого значения, указанного в абзаце шестом пункта 11 Порядка обработки, но не менее 45 пикселей, такие собираемые указанными в абзаце втором пункта 1 настоящего порядка организациями биометрические персональные данные размещаются в единой биометрической системе до истечения срока, указанного в подпункте 1 пункта 14 настоящего порядка, со дня их размещения в указанных иных информационных системах, в целях использования для:

а) аутентификации на едином портале государственных и муниципальных услуг;

б) аутентификации в целях получения банковских услуг при личном посещении отделений банковских организаций, клиентами которых они являются.

Размещение биометрических персональных данных в единой биометрической системе в соответствии с настоящим пунктом осуществляется на безвозмездной основе при соблюдении условия, установленного пунктом 8 настоящего порядка, а также при соблюдении положений пунктов 3 и 7 настоящего порядка.

13. Размещенные в единой биометрической системе биометрические персональные данные физического лица используются в целях идентификации и (или) аутентификации физического лица, в случае завершения регистрации соответствующего физического лица в единой системе идентификации и аутентификации при условии, что личность физического лица удостоверена в соответствии с подпунктом "з" пункта 6.1 Положения.

14. Обновление биометрических персональных данных в единой биометрической системе и в иных информационных системах, обеспечивающих идентификацию и (или) аутентификацию с использованием биометрических персональных данных физических лиц, осуществляется физическим лицом добровольно в следующих случаях:

1) по истечении 5 лет со дня их размещения в указанных системах, а в случаях, установленных в соответствии с пунктом 12 настоящего порядка, - по истечении 3-х лет со дня их размещения в указанных системах;

2) по инициативе физического лица.

15. При размещении и обновлении биометрических персональных данных в единой биометрической системе и в иных информационных системах, обеспечивающих идентификацию и (или) аутентификацию с использованием биометрических персональных данных физических лиц, должны применяться средства защиты информации (в том числе средства криптографической защиты информации), обеспечивающие нейтрализацию актуальных угроз безопасности, определенных в соответствии с пунктами 4, 6 части 13 и частями 14, 14.1 статьи 14.1 Федерального закона N 149-ФЗ.