Являются ли биометрические данные объектом локализации?

Алексей Ветров

Эксперт по защите данных IC-TECH

Задать вопрос

Да, биометрические данные входят в категорию персональных данных и подлежат локализации на территории Российской Федерации. Это означает, что сбор, систематизация, хранение и первичная обработка биометрических данных граждан РФ должны происходить на серверах, расположенных в России.

Под биометрическими понимаются данные, которые позволяют идентифицировать личность по физиологическим или биологическим характеристикам — фотоизображение, видео с распознаванием лиц, голос, отпечатки пальцев, сетчатка глаза, параметры походки и другие. Если организация использует такие данные, она обязана соблюдать не только общее требование о локализации, но и особые правила обработки, закреплённые в ФЗ-152.

Обоснование по законодательству

• ФЗ-152, ст. 3 — биометрические данные определяются как информация, позволяющая идентифицировать личность.
• ФЗ-152, ст. 10, ч. 2 — обработка биометрических ПДн допускается только с письменного согласия субъекта.
• ФЗ-152, ст. 18.1 — все персональные данные граждан РФ, включая биометрические, должны храниться на территории России.
• ФЗ-242 — ввёл требование о локализации ПДн.

Практика и позиция Роскомнадзора

Роскомнадзор указывает, что биометрические данные рассматриваются наравне с другими ПДн, но их обработка требует повышенной защиты. В проверках регулятор уделяет особое внимание местам хранения биометрии: использование зарубежных сервисов (например, для распознавания лиц или хранения фото) без локализации в РФ считается нарушением. Более того, для биометрических данных необходимо документально фиксировать согласие субъектов и применять дополнительные меры защиты (например, криптографические средства).

Что важно учитывать компаниям

• Биометрические данные нужно хранить только в России.
• Для их обработки требуется письменное согласие.
• Доступ к ним должен быть строго ограничен.
• Все действия с биометрией должны фиксироваться в локальных актах компании.

Рекомендации и выводы

Да, биометрические данные подлежат локализации так же, как и любые другие персональные данные. Чтобы действовать в рамках закона:

1. Организуйте хранение биометрии исключительно на российских серверах.
2. Получайте письменные согласия субъектов.
3. Утвердите внутренние регламенты и порядок обработки биометрических данных.
4. Обеспечьте повышенный уровень защиты — шифрование, контроль доступа, журналирование.

Компания ICTech поможет вашей организации выстроить систему работы с биометрическими данными: подготовить все необходимые согласия, регламенты и перенести базы в российские дата-центры, чтобы избежать претензий Роскомнадзора.

Хотите защитить себя от проверок и штрафов?

Подготовим документы по 152-ФЗ

Разработаем полный пакет документации по обработке персональных данных для вашей организации.

Заказать

О услуге