Минцифры России разъяснило порядок организации обработки биометрических персональных данных —изображения лица человека — для аутентификации при предоставлении домофонии (письмо от 28.12.2023 П24 – 2‑04 – 070-257558).
- По общему правилу, использовать биометрические персональные данные для установления личности можно только при наличии согласия в письменной форме субъекта персональных данных.
- Обработка биометрических персональных данных для идентификации и (или) аутентификации регулируется Федеральным законом № 572-ФЗ.
Результатом идентификации или аутентификации является соответственно установление сведений о лице или установление такого лица. - По общему правилу, если организация осуществляет обработку биометрических персональных данных (изображение лица человека, полученное с помощью фотовидеоустройств, и запись голоса человека, полученная с помощью звукозаписывающих устройств) для аутентификации, то соблюдение такой организацией этого закона является обязательным.
Таким образом, если через сервис домофонии происходит аутентификация, то организациям, предоставляющим такой сервис, необходимо соблюдать требования Федерального закона № 572-ФЗ.
Кроме того, при идентификации и (или) аутентификации с использованием биометрических персональных данных Федеральным законом № 572-ФЗ предусматривается обязательное взаимодействие с единой биометрической системой — либо в формате непосредственного использования, либо в формате взаимодействия для получения векторов единой биометрической системы для аутентификации.
При этом аутентификация с использованием информационных систем организаций допускается только с использованием векторов единой биометрической системы и при одновременном выполнении ряда условий, в число которых входит прохождение аккредитации.
Если же организацией предполагается осуществление непосредственного использования единой биометрической системы для идентификации и (или) аутентификации, то ей не нужно проходить аккредитацию.