1
Что такое биометрические данные?
Биометрические данные — согласно закону, это сведения, которые характеризуют физиологические и биологические особенности человека, на основании чего можно установить его личность. Наиболее часто собирают отпечатки пальцев, изображение лица, записывают голос и фиксируют радужную оболочку глаза и рисунок вен ладони и пальца.
2
Для чего их собирают?
Биометрию собирают для
– верификации пользователей (смартфоны, платёжные системы, система пропуска на работу);
– удалённой идентификации (банки);
– бесконтактной оплаты (к примеру, в Москве до конца 2021 г. планируется запустить бесконтактную оплату проезда на всех станциях метро с помощью системы распознавания лиц FacePay);
– отслеживания людей (системы распознавания).
3
Сдавать биометрию безопасно? Кто хранит её? Как использует?
Вообще у каждой системы должен быть свой оператор по сбору данных. Если вы сдаёте биометрию в банк, то за их безопасность отвечает банк. Однако подробности хранения и обеспечения, как правило, неизвестны, а на запросы приходят отписки. Законодательно хранение данных также не урегулировано в должной мере, что постоянно вызывает критику специалистов по персональным данным.
Непонятно:
– кто к таким базам имеет доступ;
– на каких основаниях;
– как долго это хранится.
Поэтому мы рекомендуем не сдавать биометрию бездумно: взвесьте, насколько важно оплачивать лицом и потом рисковать своими данными. Тем более что банки не уничтожают эти данные и хранят их не менее пяти лет с момента прекращения договора (п. 4 ст. 7 закона 115-ФЗ).
Кроме того, существует риск утечек. Например, связанных с системами распознавания подобных случаев довольно много, «РосКомСвобода» даже проводила расследование.
4
Я могу не сдавать биометрию?
Согласно закону «О персональных данных», обрабатывать биометрию можно только при наличии согласия её владельца в письменной форме. Из правила есть исключения. Так, согласие не требуется при реализации законодательства о противодействии терроризму, о транспортной безопасности, о противодействии коррупции, об оперативно-разыскной деятельности, о государственной службе и т.п.
Дактилоскопия может быть обязательной в отношении осужденных и обвиняемых в совершении уголовного преступления и даже подозреваемых в совершении административного правонарушения, если установить их личность иным способом невозможно. Ст. 9 ФЗ «О дактилоскопии» чётко регулирует случаи обязательной сдачи биометрических данных, поэтому, если вы не подпадаете под оговоренные случаи, отпечатки пальцев сдавать не нужно.
Однако, как показывает практика задержаний и в том числе после митингов или в результате ошибки камер распознавания лиц, граница между добровольной и обязательной дактилоскопией отсутствует, так как у людей при наличии паспорта брали отпечатки пальцев и без их согласия. Тем не менее отстаивать своё право не сдавать биометрию можно и нужно.
5
И что делать, если меня явно или подспудно принуждают сдавать биометрию? Например, для попадания на территорию детского сада нужно, чтобы твоё лицо было в базе данных.
Если администрация не позволяет родителю, не давшему согласия, пройти на территорию детсада, чтобы, допустим, посетить его директора или забрать ребёнка, то это является нарушением прав родителей, предусмотренных ст. 44 закона «Об образовании в Российской Федерации».
Родитель в любом случае имеет право требовать, чтобы его ребенка привели к нему ко входу школы. После этого он может написать жалобу в Минобразования и прокуратуру, либо обжаловать действия администрации в суде.
Интересно, что в 2019 году средняя школа в Швеции попыталась применить камеры с распознаванием лиц, чтобы зарегистрировать присутствие ученика в классе. И хотя администрация школы собирала согласия, шведский регулятор в сфере защиты персональных данных посчитал, что они не могут быть действительными, поскольку школьники находились в зависимом положении от школы. В результате регулятор признал такую практику оскорбительной и подрывающей право на приватность и запретил использование системы распознавания лиц в школе, оштрафовав её по GDPR на 200 тыс. крон (около 1,37 млн руб. или 20 тыс. евро).
6
Как отозвать биометрические данные?
Дактилоскопия
Если же у вас всё-таки добровольно-принудительно взяли отпечатки пальцев, то ст. 15 ФЗ «О дактилоскопии» даёт возможность потребовать удаления добровольной дактилоскопии, подав заявление в МВД по месту жительства или месту, где были взяты данные. В заявлении требуйте также выдачи уведомление об уничтожении дактилоскопической информации.
Банки
Вы должны подать заявление об отзыве данных, банк в ответ — предоставить уведомление, что с такого-то числа использование биометрии для идентификации такого-то гражданина они прекращают. Но повторяем, что эти данные не уничтожаются и будут храниться в банке не менее пяти лет с момента прекращения договора (п. 4 ст. 7 закона 115-ФЗ).
Если вы сомневаетесь имеет ли банк ваши биометрические данные, можно сделать запрос, позвонив на горячую линию или письменно на основании ст. 14 ФЗ «О персональных данных». Запрос делается в свободной форме, но мы подготовили шаблон, его можно взять тут. Форму можно использовать и для запроса информации о любых ваших персональных данных, убрав слово «биометрические».
7
А что с системами распознавания?
Здесь всё сложнее. С одной стороны, согласия на сбор наших изображений мы не давали. С другой стороны, государство без зазрения совести использует системы видеонаблюдения и распознавания, преследуя с помощью них людей. Подробнее об этом читайте в карточках здесь и здесь.
Именно поэтому мы проводим кампанию BanCam за мораторий на использование систем распознавания лиц — пока существуют высокие риски злоупотреблений, неправомерной слежки и контроля за гражданами, а также утечки данных на чёрный рынок. Присоединяйтесь и подписывайте петицию!