Приложение N 3

к приказу Министерства

цифрового развития, связи

и массовых коммуникаций

Российской Федерации

от 12.05.2023 N 453

ПОРЯДОК

ОБРАБОТКИ, ВКЛЮЧАЯ СБОР, ХРАНЕНИЯ И УНИЧТОЖЕНИЯ

БИОМЕТРИЧЕСКИХ ПЕРСОНАЛЬНЫХ ДАННЫХ, ВЕКТОРОВ ЕДИНОЙ

БИОМЕТРИЧЕСКОЙ СИСТЕМЫ В ИНФОРМАЦИОННЫХ СИСТЕМАХ

АККРЕДИТОВАННЫХ ГОСУДАРСТВЕННЫХ ОРГАНОВ, ЦЕНТРАЛЬНОГО БАНКА

РОССИЙСКОЙ ФЕДЕРАЦИИ В СЛУЧАЕ ПРОХОЖДЕНИЯ ИМ АККРЕДИТАЦИИ,

ОРГАНИЗАЦИЙ, ОСУЩЕСТВЛЯЮЩИХ АУТЕНТИФИКАЦИЮ НА ОСНОВЕ

БИОМЕТРИЧЕСКИХ ПЕРСОНАЛЬНЫХ ДАННЫХ ФИЗИЧЕСКИХ ЛИЦ

1. В соответствии с настоящим Порядком обработка, включая сбор, хранение, биометрических персональных данных, векторов единой биометрической системы <1> реализуется с применением информационных технологий и технических средств, имеющих подтверждение соответствия требованиям к информационным технологиям и техническим средствам, предназначенным для обработки биометрических персональных данных, векторов единой биометрической системы в целях проведения идентификации и (или) аутентификации, установленным Требованиями к информационным технологиям и техническим средствам, предназначенным для обработки биометрических персональных данных, векторов единой биометрической системы в целях проведения идентификации и (или) аутентификации, а также порядком подтверждения соответствия информационных технологий и технических средств указанным требованиям, содержащимися в приложении N 5 к настоящему приказу.

--------------------------------

<1> Пункт 3 статьи 2 Федерального закона от 29 декабря 2022 г. N 572-ФЗ "Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, о внесении изменений в отдельные законодательные акты Российской Федерации и признании утратившими силу отдельных положений законодательных актов Российской Федерации" (далее - Федеральный закон N 572-ФЗ).

2. В соответствии с настоящим Порядком проводится обработка биометрических персональных данных физического лица следующих видов:

изображение лица человека, полученное с помощью фотовидеоустройств;

запись голоса человека, полученная с помощью звукозаписывающих устройств.

3. В информационных системах аккредитованных государственных органов <2>, Центрального банка Российской Федерации в случае прохождения им аккредитации, организаций, осуществляющих аутентификацию на основе биометрических персональных данных физических лиц <3>, запрещено хранение используемых в целях аутентификации биометрических персональных данных, за исключением хранения таких данных для рассмотрения обращений субъектов персональных данных, предполагающих неправомерную обработку их биометрических персональных данных при проведении аутентификации и (или) оспаривающих результаты проведения аутентификации, в течение не более десяти суток с момента предоставления таких данных в целях проведения аутентификации <4>.

--------------------------------

<2> Пункт 1 статьи 2 Федерального закона N 572-ФЗ.

<3> Пункт 10 статьи 2 Федерального закона N 572-ФЗ.

<4> Часть 7 статьи 14, пункт 3 части 1 статьи 15 Федерального закона N 572-ФЗ.

4. При обработке, включая сбор, хранении биометрических персональных данных, векторов единой биометрической системы в информационных системах аккредитованных государственных органов, Центрального банка Российской Федерации в случае прохождения им аккредитации, организаций, осуществляющих аутентификацию на основе биометрических персональных данных физических лиц, должны:

1) применяться организационные и технические меры по обеспечению безопасности персональных данных, предусмотренные в соответствии с частью 4 статьи 19 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (далее - Федеральный закон N 152-ФЗ);

2) использоваться шифровальные (криптографические) средства, позволяющие обеспечить безопасность персональных данных от угроз, определенных:

для аккредитованных государственных органов, Центрального банка Российской Федерации в случае прохождения им аккредитации в соответствии с пунктом 4 части 2 статьи 6 Федерального закона N 572-ФЗ;

для организаций, за исключением банков, иных кредитных организаций, некредитных финансовых организаций, которые осуществляют указанные в части первой статьи 76.1 Федерального закона от 10 июля 2002 г. N 86-ФЗ "О Центральном банке Российской Федерации (Банке России)" виды деятельности, субъектов национальной платежной системы, лиц, оказывающих профессиональные услуги на финансовом рынке (далее - организации финансового рынка), в соответствии с пунктом 6 части 2 статьи 6 Федерального закона N 572-ФЗ;

для организаций финансового рынка в соответствии с пунктом 2 части 4 статьи 7 Федерального закона N 572-ФЗ;

3) использование для обработки биометрических персональных данных и векторов единой биометрической системы баз данных, находящихся исключительно на территории Российской Федерации, за исключением случаев, предусмотренных частью 21 статьи 3 Федерального закона N 572-ФЗ;

4) использование информационных технологий, предназначенных для обработки биометрических персональных данных, которые используются для создания векторов единой биометрической системы в единой биометрической системе.

5. По истечении срока, указанного в пункте 3 настоящего Порядка, аккредитованные государственные органы, Центральный банк Российской Федерации в случае прохождения им аккредитации, организации, осуществляющие аутентификацию на основе биометрических персональных данных физических лиц, обязаны уничтожить биометрические персональные данные. Для уничтожения биометрических персональных данных применяются прошедшие в установленном порядке процедуру оценки соответствия средства защиты информации, в составе которых реализована функция автоматического уничтожения информации по истечении определенного заданного срока.

6. Векторы единой биометрической системы хранятся с применением шифровальных (криптографических) средств, позволяющих обеспечить безопасность персональных данных от угроз, определенных:

1) для аккредитованных государственных органов, Центрального банка Российской Федерации в случае прохождения им аккредитации в соответствии с пунктом 4 части 2 статьи 6 Федерального закона N 572-ФЗ;

2) для организаций, за исключением организации финансового рынка, в соответствии с пунктом 6 части 2 статьи 6 Федерального закона N 572-ФЗ;

3) для организаций финансового рынка в соответствии с пунктом 2 части 4 статьи 7 Федерального закона N 572-ФЗ.

7. Аккредитованные государственные органы, Центральный банк Российской Федерации в случае прохождения им аккредитации, организации, осуществляющие аутентификацию на основе биометрических персональных данных физических лиц, блокируют, удаляют, уничтожают векторы единой биометрической системы при получении:

мотивированного запроса оператора единой биометрической системы о блокировании, об удалении, уничтожении векторов единой биометрической системы в случае отзыва субъектом персональных данных у оператора единой биометрической системы согласия на обработку биометрических персональных данных или получения оператором единой биометрической системы от субъекта персональных данных требования о блокировании, об удалении, уничтожении биометрических персональных данных и (или) векторов единой биометрической системы;

отзыва субъекта персональных данных согласия на обработку биометрических персональных данных или требования субъекта персональных данных о блокировании, об удалении, уничтожении биометрических персональных данных и (или) векторов единой биометрической системы.

8. Уничтожение векторов единой биометрической системы осуществляется с соблюдением статьи 21 Федерального закона N 152-ФЗ "О персональных данных".

9. Организации, в отношении которых была прекращена аккредитация в порядке, установленном в соответствии с частью 1 статьи 16 Федерального закона N 572-ФЗ, обязаны уничтожить векторы единой биометрической системы, обрабатываемые в их информационных системах, в течение семи рабочих дней после дня прекращения аккредитации. Для уничтожения векторов единой биометрической системы применяются прошедшие в установленном порядке процедуру оценки соответствия средства защиты информации, в составе которых реализована функция автоматического уничтожения информации по истечении определенного заданного срока <5>.

--------------------------------

<5> Постановление Правительства Российской Федерации от 22 мая 2023 г. N 810 "Об утверждении Правил аккредитации организаций, осуществляющих аутентификацию на основе биометрических персональных данных физических лиц, оснований ее приостановления и прекращения и признании утратившим силу постановления Правительства Российской Федерации от 20 октября 2021 г. N 1799". В соответствии с пунктом 3 постановления Правительства Российской Федерации от 22 мая 2023 г. N 810 данный акт действует до 1 июня 2029 г.

10. Использование векторов единой биометрической системы для целей аутентификации осуществляется до истечения срока, указанного в пункте 17 Порядка размещения и обновления биометрических персональных данных в единой биометрической системе, а также случаев и сроков использования биометрических персональных данных при их размещении в единой биометрической системе в соответствии с частью 14 статьи 4 Федерального закона от 29 декабря 2022 г. N 572-ФЗ "Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, о внесении изменений в отдельные законодательные акты Российской Федерации и признании утратившими силу отдельных положений законодательных актов Российской Федерации", утвержденных настоящим приказом, в соответствии с которым осуществляется обновление биометрических персональных данных, размещенных в единой биометрической системе, в результате преобразования которых получены соответствующие векторы единой биометрической системы.

По истечении срока, указанного в абзаце первом настоящего пункта, векторы единой биометрической системы должны быть удалены из информационных систем аккредитованных государственных органов, Центрального банка Российской Федерации в случае прохождения им аккредитации, организаций, осуществляющих аутентификацию на основе биометрических персональных данных физических лиц.

11. Аккредитованные государственные органы, Центральный банк Российской Федерации в случае прохождения им аккредитации, организации, осуществляющие аутентификацию на основе биометрических персональных данных физических лиц, должны обеспечивать информирование Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации о выявленных инцидентах, связанных с обеспечением защиты информации при обработке, включая сбор и хранение, биометрических персональных данных, векторов единой биометрической системы, которые привели или могут привести к нарушению или попыткам нарушения целостности, конфиденциальности и (или) доступности защищаемой информации, а также информирование уполномоченного органа по защите прав субъектов персональных данных об инцидентах, связанных с обеспечением защиты информации при обработке, включая сбор и хранение, биометрических персональных данных, векторов единой биометрической системы, повлекших неправомерную передачу (предоставление, распространение, доступ) биометрических персональных данных, векторов единой биометрической системы.