Приложение N 2

к приказу Министерства

цифрового развития, связи

и массовых коммуникаций

Российской Федерации

от 12.05.2023 N 453

ПОРЯДОК

РАЗМЕЩЕНИЯ И ОБНОВЛЕНИЯ БИОМЕТРИЧЕСКИХ ПЕРСОНАЛЬНЫХ

ДАННЫХ В ЕДИНОЙ БИОМЕТРИЧЕСКОЙ СИСТЕМЕ, А ТАКЖЕ СЛУЧАИ

И СРОКИ ИСПОЛЬЗОВАНИЯ БИОМЕТРИЧЕСКИХ ПЕРСОНАЛЬНЫХ ДАННЫХ

ПРИ ИХ РАЗМЕЩЕНИИ В ЕДИНОЙ БИОМЕТРИЧЕСКОЙ СИСТЕМЕ

В СООТВЕТСТВИИ С ЧАСТЬЮ 14 СТАТЬИ 4 ФЕДЕРАЛЬНОГО ЗАКОНА

ОТ 29 ДЕКАБРЯ 2022 Г. N 572-ФЗ "ОБ ОСУЩЕСТВЛЕНИИ

ИДЕНТИФИКАЦИИ И (ИЛИ) АУТЕНТИФИКАЦИИ ФИЗИЧЕСКИХ ЛИЦ

С ИСПОЛЬЗОВАНИЕМ БИОМЕТРИЧЕСКИХ ПЕРСОНАЛЬНЫХ ДАННЫХ,

О ВНЕСЕНИИ ИЗМЕНЕНИЙ В ОТДЕЛЬНЫЕ ЗАКОНОДАТЕЛЬНЫЕ

АКТЫ РОССИЙСКОЙ ФЕДЕРАЦИИ И ПРИЗНАНИИ УТРАТИВШИМИ

СИЛУ ОТДЕЛЬНЫХ ПОЛОЖЕНИЙ ЗАКОНОДАТЕЛЬНЫХ АКТОВ

РОССИЙСКОЙ ФЕДЕРАЦИИ"

1. Размещение биометрических персональных данных в единой биометрической системе <1>, за исключением размещения в региональных сегментах единой биометрической системы <2>, осуществляется:

--------------------------------

<1> Пункт 4 статьи 2 Федерального закона от 29 декабря 2022 г. N 572-ФЗ "Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, о внесении изменений в отдельные законодательные акты Российской Федерации и признании утратившими силу отдельных положений законодательных актов Российской Федерации" (далее - Федеральный закон N 572-ФЗ).

<2> Пункт 11 статьи 2 Федерального закона N 572-ФЗ.

1) банками, многофункциональными центрами предоставления государственных и муниципальных услуг (далее - многофункциональный центр) и иными организациями в случаях, определенных федеральными законами (далее - организация), после проведения идентификации при личном присутствии физического лица с его согласия на безвозмездной основе, в соответствии с частью 1 статьи 4 Федерального закона N 572-ФЗ;

2) физическими лицами с использованием мобильного приложения единой биометрической системы <3> с применением пользовательского оборудования (оконечного оборудования), имеющего в своем составе идентификационный модуль, в соответствии с частью 9 статьи 4 Федерального закона N 572-ФЗ;

--------------------------------

<3> Пункт 8 статьи 2 Федерального закона N 572-ФЗ.

3) государственными органами, органами местного самоуправления, Центральным банком Российской Федерации, банками, иными кредитными организациями, некредитными финансовыми организациями, которые осуществляют указанные в части первой статьи 76.1 Федерального закона от 10 июля 2002 г. N 86-ФЗ "О Центральном банке Российской Федерации (Банке России)" виды деятельности, субъектами национальной платежной системы, лицами, оказывающими профессиональные услуги на финансовом рынке (далее - организации финансового рынка), иными организациями, индивидуальными предпринимателями, нотариусами (далее - органы и организации, индивидуальные предприниматели, нотариусы) в случае, если в информационных системах таких органов, организаций, индивидуальных предпринимателей, нотариусов в соответствии с федеральными законами собраны биометрические персональные данные, соответствующие всем видам или только одному из видов, размещаемым в единой биометрической системе, в соответствии с частью 14 статьи 4 Федерального закона N 572-ФЗ;

4) оператором регионального сегмента единой биометрической системы путем передачи биометрических персональных данных, размещенных в региональном сегменте единой биометрической системы в соответствии с пунктом 1 части 5 статьи 26 Федерального закона N 572-ФЗ.

2. Обновление биометрических персональных данных в единой биометрической системе осуществляется способами, указанными в подпунктах 1 и 2 пункта 1 настоящего Порядка.

3. Размещение и обновление биометрических персональных данных в региональном сегменте единой биометрической системе осуществляется физическими лицами с использованием регионального мобильного приложения единой биометрической системы с применением пользовательского оборудования (оконечного оборудования), имеющего в своем составе идентификационный модуль, в порядке, установленном в соответствии с пунктом 1 части 5 статьи 26 Федерального закона N 572-ФЗ.

4. Размещение и обновление биометрических персональных данных осуществляются в соответствии с законодательством Российской Федерации в области персональных данных, в том числе настоящим Порядком, а также Порядком обработки, включая сбор, хранение, биометрических персональных данных, в том числе требований к параметрам биометрических персональных данных, содержащимся в приложении N 1 к настоящему приказу (далее - Порядок обработки).

5. Размещение и обновление биометрических персональных данных в единой биометрической системе осуществляется с использованием шифровальных (криптографических) средств, позволяющих обеспечить безопасность персональных данных от угроз, определенных:

1) для государственных органов, органов местного самоуправления, Центрального банка Российской Федерации, организаций, за исключением организаций финансового рынка, индивидуальных предпринимателей, нотариусов в соответствии с пунктом 4 части 2 статьи 6 Федерального закона N 572-ФЗ;

2) для организаций финансового рынка в соответствии с пунктом 1 части 4 статьи 7 Федерального закона N 572-ФЗ;

3) для оператора регионального сегмента единой биометрической системы в соответствии с частью 18 статьи 5 Федерального закона N 572-ФЗ.

6. Размещение и обновление биометрических персональных данных в единой биометрической системе осуществляется с использованием в том числе единой системы межведомственного электронного взаимодействия <4>.

--------------------------------

<4> Постановление Правительства Российской Федерации от 8 сентября 2010 г. N 697 "О единой системе межведомственного электронного взаимодействия".

7. Размещение и обновление биометрических персональных данных в региональном сегменте единой биометрической системы осуществляется с использованием шифровальных (криптографических) средств, позволяющих обеспечить безопасность персональных данных от угроз, определенных в соответствии с частью 18 статьи 5 Федерального закона N 572-ФЗ.

8. Банки, осуществляющие в соответствии с подпунктом 1 пункта 1 настоящего Порядка размещение и обновление биометрических персональных данных в единой биометрической системе, организации финансового рынка, осуществляющие в соответствии с подпунктом 3 пункта 1 настоящего Порядка размещение биометрических персональных данных в единой биометрической системе, должны обеспечивать:

1) информирование Центрального банка Российской Федерации о выявленных инцидентах, связанных с обеспечением защиты информации при размещении и обновлении биометрических персональных данных (далее - инциденты безопасности), которые привели или могут привести к нарушению или попыткам нарушения целостности, конфиденциальности и (или) доступности биометрических персональных данных. Информирование о выявленных инцидентах безопасности осуществляется не позднее одного рабочего дня со дня их выявления;

2) проведение не реже одного раза в 2 года оценки соответствия требованиям по защите информации на соответствие второму уровню защиты информации (стандартному), предусмотренному пунктом 6.7 раздела 6 национального стандарта Российской Федерации ГОСТ Р 57580.1-2017 "Национальный стандарт Российской Федерации. Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер", утвержденного и введенного в действие приказом Федерального агентства по техническому регулированию и метрологии от 8 августа 2017 г. N 882-ст, с привлечением организаций, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации на проведение работ и услуг, предусмотренных подпунктами "б", "д" или "е" пункта 4 Положения о лицензировании деятельности по технической защите конфиденциальной информации, утвержденного постановлением Правительства Российской Федерации от 3 февраля 2012 г. N 79, и информирование Центрального банка Российской Федерации о результатах такой оценки;

3) информирование уполномоченного органа по защите прав субъектов персональных данных об инцидентах безопасности, повлекших неправомерную передачу (предоставление, распространение, доступ) биометрических персональных данных. Информирование о выявленных инцидентах безопасности осуществляется не позднее одного рабочего дня со дня их выявления.

9. Многофункциональный центр и иная организация, осуществляющие в соответствии с подпунктом 1 пункта 1 настоящего Порядка размещение и обновление биометрических персональных данных в единой биометрической системе, должны обеспечивать:

1) информирование Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации о выявленных инцидентах безопасности, которые привели или могут привести к нарушению или попыткам нарушения целостности, конфиденциальности и (или) доступности защищаемой информации. Информирование о выявленных инцидентах безопасности осуществляется не позднее одного рабочего дня со дня их выявления;

2) ежегодное проведение оценки соответствия требованиям к защите персональных данных для каждого из уровней защищенности, организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, установленным федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в соответствии с частью 4 статьи 19 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных", с привлечением организаций, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации на проведение работ и услуг, предусмотренных подпунктами "б", "д" или "е" пункта 4 Положения о лицензировании деятельности по технической защите конфиденциальной информации, утвержденного постановлением Правительства Российской Федерации от 3 февраля 2012 г. N 79, и информирование Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации о результатах такой оценки;

3) информирование уполномоченного органа по защите прав субъектов персональных данных об инцидентах безопасности, повлекших неправомерную передачу (предоставление, распространение, доступ) биометрических персональных данных. Информирование о выявленных инцидентах безопасности осуществляется не позднее одного рабочего дня со дня их выявления.

10. Размещение и обновление биометрических персональных данных в единой биометрической системе согласно подпункту 1 пункта 1 настоящего Порядка осуществляется в соответствии с требованиями к фиксированию действий, утвержденными в соответствии с пунктом 1 части 6 статьи 4 Федерального закона N 572-ФЗ.

11. Биометрические персональные данные, а также информация, указанная в пункте 16 Порядка обработки, размещаются и обновляются в единой биометрической системе уполномоченным работником банка, многофункционального центра и организации в соответствии с подпунктом 1 пункта 1 настоящего Порядка (далее - уполномоченный работник) и подписываются усиленной квалифицированной электронной подписью соответственно банка, многофункционального центра и организации, которая создается с использованием средств электронной подписи, позволяющих обеспечить безопасность персональных данных от угроз, определенных для банков в соответствии с пунктом 1 части 4 статьи 7 Федерального закона N 572-ФЗ, для многофункциональных центров и организаций - в соответствии с пунктом 4 части 2 статьи 6 Федерального закона N 572-ФЗ.

12. Размещение биометрических персональных данных в соответствии с подпунктом 1 пункта 1 настоящего Порядка в единой биометрической системе осуществляется, если физическое лицо завершило процедуру регистрации в единой системе идентификации и аутентификации <5> в соответствии с пунктом 9(1) Правил использования федеральной государственной информационной системы "Единая система идентификации и аутентификации в инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме", утвержденных постановлением Правительства Российской Федерации от 10 июля 2013 г. N 584 "Об использовании федеральной государственной информационной системы "Единая система идентификации и аутентификации в инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме" (далее - Правила).

--------------------------------

<5> Пункт 5 статьи 2 Федерального закона N 572-ФЗ.

<6> Сноска исключена. - Приказ Минцифры России от 29.11.2023 N 1024.

В случае если физическое лицо не зарегистрировано в единой системе идентификации и аутентификации, уполномоченный работник после проведения идентификации физического лица осуществляет с его согласия процедуру регистрации в единой системе идентификации и аутентификации в соответствии с Правилами.

Если сведения, необходимые для регистрации физического лица в единой системе идентификации и аутентификации, внесены в указанную систему, но процесс регистрации в соответствии с абзацем первым настоящего пункта не завершен, уполномоченное лицо перед сбором биометрических персональных данных с согласия физического лица размещает или обновляет в электронной форме в единой системе идентификации и аутентификации сведения, необходимые для регистрации в ней, а также устанавливает личность соответствующего физического лица и вносит в единую систему идентификации и аутентификации сведения о способе установления его личности в соответствии с Правилами.

При наличии у физического лица учетной записи в единой системе идентификации и аутентификации уполномоченный работник осуществляет в соответствии с Порядком обработки сбор биометрических персональных данных и размещение их в единой биометрической системе.

13. Размещение биометрических персональных данных в единой биометрической системе в соответствии с подпунктом 2 пункта 1 настоящего Порядка осуществляется в порядке, установленном в соответствии с частью 11 статьи 4 Федерального закона N 572-ФЗ, и с соблюдением Порядка обработки.

14. Размещение биометрических персональных данных в единой биометрической системе в соответствии с подпунктом 3 пункта 1 настоящего Порядка осуществляется органами и организациями, индивидуальными предпринимателями, нотариусами с соблюдением требования, предусмотренного частью 15 статьи 4 Федерального закона N 572-ФЗ.

15. Перед размещением биометрических персональных данных в единой биометрической системе в соответствии с подпунктом 3 пункта 1 настоящего Порядка органы и организации, индивидуальные предприниматели, нотариусы предоставляют в единую систему идентификации и аутентификации содержащиеся в их информационных системах персональных данных сведения о физических лицах, чьи биометрические персональные данные подлежат размещению в единой биометрической системе. После сопоставления указанных сведений со сведениями, содержащимися в единой системе идентификации и аутентификации, из единой системы идентификации и аутентификации органам и организациям, индивидуальным предпринимателям, нотариусам передается идентификатор сведений о физическом лице в регистре физических лиц единой системы идентификации и аутентификации, биометрические персональные данные которого размещаются в единой биометрической системе (далее - идентификатор учетной записи в единой системе идентификации и аутентификации) (при наличии).

Биометрические персональные данные, содержащие в частности метку даты, времени и места размещения биометрических персональных данных в информационной системе органа и организации, индивидуального предпринимателя, нотариуса, идентификатор сведений о физическом лице, чьи биометрические персональные данные подлежат размещению в единой биометрической системе, содержащийся в информационной системе персональных данных органа и организации, индивидуального предпринимателя, нотариуса (далее - идентификатор в информационной системе органа или организации, индивидуального предпринимателя, нотариуса), идентификатор учетной записи в единой системе идентификации и аутентификации (при наличии), страховой номер индивидуального лицевого счета физического лица (при наличии) передаются органами и организациями, индивидуальными предпринимателями, нотариусами в единую биометрическую систему в том числе в автоматизированном режиме с использованием средств криптографической защиты информации, позволяющих обеспечить безопасность персональных данных от угроз, определенных в соответствии с пунктом 5 настоящего Порядка, в том числе с использованием единой системы межведомственного электронного взаимодействия. Биометрические персональные данные одного физического лица и сведения о таком физическом лице, указанные в настоящем абзаце, передаются в единую биометрическую систему отдельно от биометрических персональных данных иных физических лиц и сведений об иных физических лицах, содержащихся в информационных системах органов и организаций, индивидуальных предпринимателей, нотариусов и подлежащих размещению в единой биометрической системе в соответствии с подпунктом 3 пункта 1 настоящего Порядка.

В единой биометрической системе осуществляется проверка параметров биометрических персональных данных на соответствие требованиям, установленным пунктами 12, 14 Порядка обработки (далее - контроль качества) с использованием программного обеспечения единой биометрической системы.

В случае если в процессе прохождения контроля качества установлено соответствие параметров биометрических персональных данных требованиям, указанным в пунктах 12, 14 Порядка обработки, осуществляется размещение биометрических персональных данных в единой биометрической системе и создание векторов единой биометрической системы.

Если в процессе прохождения контроля качества установлено несоответствие параметров биометрических персональных данных требованиям, указанным в пунктах 12, 14 Порядка обработки, осуществляется размещение биометрических персональных данных в единой биометрической системе и создание векторов единой биометрической системы, которые используются исключительно органами или организациями, индивидуальными предпринимателями, нотариусами, разместившими такие биометрические персональные данные в единой биометрической системе, в случаях, предусмотренных абзацем десятым настоящего пункта.

Размещение в единой биометрической системе биометрических персональных данных физического лица осуществляется органами и организациями, индивидуальными предпринимателями, нотариусами в соответствии с настоящим пунктом до истечения 3 лет со дня размещения указанных биометрических персональных данных в информационной системе органа и организации, индивидуального предпринимателя, нотариуса.

Если в единой биометрической системе в соответствии с настоящим пунктом размещены биометрические персональные данные физического лица, параметры которых соответствуют требованиям, указанным в пунктах 12, 14 Порядка обработки, идентификатор учетной записи в единой системе идентификации и аутентификации и идентификатор в информационной системе органа или организации, индивидуального предпринимателя, нотариуса, такие биометрические персональные данные и идентификаторы могут использоваться только в следующих случаях, предусмотренных для:

а) использования биометрических персональных данных, размещенных физическим лицом в единой биометрической системе с использованием мобильного приложения единой биометрической системы, согласие физического лица на размещение и обработку которых подписано простой электронной подписью, устанавливаемых Правительством Российской Федерации в соответствии с пунктом 2 части 13 статьи 4 Федерального закона N 572-ФЗ;

б) использования биометрических персональных данных, согласие физического лица на обработку которых подписано простой электронной подписью, правом создания (замены) и выдачи ключа которой в порядке, предусмотренном законодательством Российской Федерации в области использования электронных подписей, обладает организация, осуществляющая аутентификацию на основе биометрических персональных данных физических лиц, устанавливаемых Правительством Российской Федерации в соответствии с частью 17 статьи 16 Федерального закона N 572-ФЗ.

Биометрические персональные данные, размещенные в единой биометрической системе в соответствии с настоящим пунктом, могут использоваться только органами или организациями, индивидуальными предпринимателями, нотариусами, разместившими такие биометрические персональные данные в единой биометрической системе, и исключительно в целях, для которых они были собраны в информационные системы таких органов и организаций, индивидуальных предпринимателей, нотариусов до их размещения в единой биометрической системе, если параметры таких биометрических персональных данных:

соответствуют требованиям пунктов 12, 14 Порядка обработки и размещены в единой биометрической системе вместе с идентификатором в информационной системе органа или организации, но без идентификатора учетной записи в единой системе идентификации и аутентификации;

не соответствуют требованиям пунктов 12, 14 Порядка обработки и размещены в единой биометрической системе вместе с идентификатором в информационной системе органа или организации, но без идентификатора учетной записи в единой системе идентификации и аутентификации;

не соответствуют требованиям пунктов 12, 14 Порядка обработки и размещены в единой биометрической системе вместе с идентификатором в информационной системе органа или организации, индивидуального предпринимателя, нотариуса и идентификатором учетной записи в единой системе идентификации и аутентификации.

В случае, если в единой биометрической системе в соответствии с настоящим пунктом несколькими органами и (или) организациями, и (или) индивидуальными предпринимателями, и (или) нотариусами размещены биометрические персональные данные одного физического лица, в случаях, установленных абзацами восьмым и девятым настоящего пункта, подлежат использованию биометрические персональные данные, соответствующие требованиям пунктов 12, 14 Порядка обработки, с наиболее поздней датой размещения в информационной системе таких органов и (или) организаций, и (или) индивидуальных предпринимателей, и (или) нотариусов.

Размещение биометрических персональных данных в единой биометрической системе в соответствии с настоящим пунктом осуществляется на безвозмездной основе.

16. Размещение биометрических персональных данных в единой биометрической системе в соответствии с подпунктом 4 пункта 1 настоящего Порядка осуществляется путем передачи биометрических персональных данных, размещенных в региональном сегменте единой биометрической системы в соответствии с пунктом 1 части 5 статьи 26 Федерального закона N 572-ФЗ, вместе со страховым номером индивидуального лицевого счета физического лица (при наличии), а также с одним из следующих идентификаторов:

идентификатором единой системы идентификации и аутентификации, полученным региональным сегментом единой биометрической системы в результате сопоставления сведений о физическом лице, содержащихся в государственной информационной системе персональных данных органа государственной власти субъекта Российской Федерации или иной информационной системе, со сведениями, содержащимися в единой системе идентификации и аутентификации, за исключением случая отсутствия сведений о физическом лице в единой системе идентификации и аутентификации;

идентификатором сведений о физическом лице, содержащимся в иной информационной системе, в случае отсутствия сведений о физическом лице в единой системе идентификации и аутентификации.

Биометрические персональные данные, размещенные в единой биометрической системе в соответствии с настоящим пунктом, применяются в случаях, установленных в соответствии с пунктом 10 части 5 статьи 26 Федерального закона N 572-ФЗ.

17. Обновление биометрических персональных данных в единой биометрической системе осуществляется физическим лицом добровольно в следующих случаях:

а) по истечении 5 лет со дня их размещения в указанной системе, а в случаях размещения в соответствии с подпунктом 3 пункта 1 настоящего Порядка - по истечении 2 лет со дня их размещения в указанной системе;

б) по инициативе физического лица.

18. Обновление биометрических персональных данных в региональном сегменте единой биометрической системы осуществляется физическим лицом добровольно в следующих случаях:

а) по истечении 5 лет со дня их размещения в региональном сегменте единой биометрической системы;

б) по инициативе физического лица.

В случае обновления биометрических персональных данных в региональном сегменте единой биометрической системы такие биометрические персональные данные подлежат передаче в единую биометрическую систему в соответствии с подпунктом 4 пункта 1 настоящего Порядка.