Согласие на обработку биометрических персональных данных: есть ли в действиях операторов нарушение закона?

29 декабря 2022 года вступил в силу Федеральный закон от 29.12.2022 № 572-ФЗ «Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, о внесении изменений в отдельные законодательные акты Российской Федерации и признании утратившими силу отдельных положений законодательных актов Российской Федерации» (далее — «Закон № 572»). На дату написания настоящей статьи большая часть положений Закона вступила в силу. Однако, как показывает юридическая практика, ряд положений закона операторами не соблюдается или интерпретируется произвольно.

Базовым законом в отношении любых персональных данных является Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — «Закон № 152»). Именно этот закон содержит основную терминологию и процессы регламентации получения и обработки персональных данных гражданина. Согласно ч.1 ст.11 Закона № 152 под биометрическими персональными данными понимаются сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные) и которые используются оператором для установления личности субъекта персональных данных. Такие сведения могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных, за исключением отдельных случаев (определены специальными законами или международными договорами). Важным положением является прямой запрет операторам персональных данных навязывать подобное согласие или ставить в зависимость от дачи такого согласия оказание каких-то услуг. По общему правилу — предоставление биометрических персональных данных не может быть обязательным, за исключением предусмотренных законом случаев (ч.3 ст.11).

Несмотря на достаточно понятную формулировку закона и прямой запрет, случаи получения оператором согласия на обработку биометрических персональных данных не всегда являются для субъекта персональных данных — гражданина — очевидными. Согласно ч.1 ст. 9 Закона № 152 включает формулировку, которая позволяет операторам обработки избирать любой метод получения согласия: «может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме». Именно это положение закона трактуется операторами максимально широко. Хотя в этой же части ст. 9 Закона № 152 устанавливаются принципы дачи согласия: дается свободно, своей волей и в своем интересе, а само согласие должно быть конкретным, предметным, информированным, сознательным и однозначным; не все эти принципы соблюдаются операторами персональных данных.

Подобная ситуация влечет за собой ряд потенциальных нарушений со стороны оператора. Отчасти именно поэтому был принят Закон № 572, который ввел дополнительные правовые гарантии и механизмы при осуществлении идентификации и аутентификации физических лиц с использованием биометрических персональных данных.

Как указывалось выше общие условия отбора согласия на обработку биометрических персональных данных совпадают с процедурой отбора согласий на обработку иных персональных данных. Однако со вступлением в силу отдельных положений Закона № 572 у оператора биометрических персональных данных появились обязанности по дополнительному информированию субъекта персональных данных, а также ряд особенностей размещения биометрических персональных данных в Единой биометрической системе.

Отметим, Закон № 572 конкретизирует, что в единой биометрической системе до 01.09.2024 размещаются только два вида персональных данных: изображения человека, полученное с помощью видеоустройств; запись голоса человека, полученная с помощью звукозаписывающих устройств (ч.4 ст.3 Закона).

Размещение биометрических персональных данных физических лиц в Единой биометрической системе в соответствии с ч.1 ст. 4 Закона № 572 осуществляется с согласия таких лиц так же, как и дальнейшее использование биометрических персональных данных физического лица допускается исключительно при наличии соответствующего согласия такого физического лица в соответствии с ч.5 ст. 5, ч. 3 ст. 9, ч. 1 ст. 10, п. 5 ч. 3 и ч. 4 ст. 16 Закона № 572.

Согласно ч.15 ст. 4 Федерального закона № 572-ФЗ такие органы и организации обязаны не позднее чем за 30 дней до планируемого размещения биометрических персональных данных в Единой биометрической системе уведомить субъекта персональных данных в любой позволяющей подтвердить факт получения уведомления форме о таком размещении. Субъект персональных данных при получении такого уведомления вправе возразить против размещения его биометрических персональных данных в Единой биометрической системе до истечения вышеуказанного срока, обратившись в соответствующие органы и организации, где ранее были сданы биометрические персональные данные. При получении такого возражения размещение биометрических персональных данных в Единой биометрической системе не осуществляется.

Именно описанный выше порядок периодически нарушают операторы биометрических персональных данных. В совокупности с некорректным и обрывочным толкованием норм Закона №152 операторами персональных данных, граждане могут с удивлением узнать о том, что ими уже предоставлено соглашение на обработку биометрических персональных данных и указанные сведения внесены в Единый реестр из кабинета госуслуг. Как это произошло в начале этого года с клиентами АО «Тинькофф Банк».

В Российской Федерации предусмотрена ответственность за обработку (в частности, распространение, предоставление) персональных данных без согласия в письменной форме субъекта персональных данных на обработку его персональных данных в случаях, когда такое согласие должно быть получено в соответствии с законодательством РФ в области персональных данных, за исключением случаев, предусмотренных ст. 17.13 КоАП РФ, если эти действия не содержат уголовно наказуемого деяния, либо обработка персональных данных с нарушением установленных законодательством РФ в области персональных данных требований к составу сведений, включаемых в согласие в письменной форме субъекта персональных данных на обработку его персональных данных, влечет наложение административного штрафа на должностных лиц в размере от 100 000 до 300 000 руб.; на малые предприятия, в том числе микропредприятия, - от 150 000 до 350 000 руб.; на иных юридических лиц - от 300 000 до 700 000 руб. (ч. 2, 3 ст. 4.1.2, ч. 2 ст. 13.11 КоАП РФ, п. 3 ст. 3, ст. 9 Закона №152).

Государственным органом, который привлекает к ответственности по указанным составам административных правонарушений, является Роскомнадзор. Именно в этот орган необходимо обращаться в первую очередь с жалобами по поводу нарушения прав субъекта персональных данных или в суд, особенно если подобная незаконная обработка персональных данных повлекла ущерб для гражданина. К сожалению, на практике Роскомнадзор не всегда усматривает нарушения законодательства о персональных данных крупными операторами персональных данных, например, банками. Поэтому дополнительной рекомендацией может быть изучение гражданином всех обстоятельств отказа в возбуждении дела об административном судопроизводстве (если был направлен такой отказ) и дальнейшее его обжалование в суде. В данном случае рекомендуется обращаться за юридической помощью.