Минцифры опубликовало доклад о правоприменительной практике организации и осуществления федерального государственного контроля (надзора) в сфере биометрической идентификации и (или) аутентификации в 2024 году.
В 2024 году одним из наиболее актуальных вопросов в этой сфере был таким: имеют ли право банки, не прошедшие аккредитацию в качестве организаций, осуществляющих аутентификацию физических лиц на основе биометрических персональных данных, осуществлять сбор биометрических персональных данных физических лиц и их размещение в государственной информационной системе «Единая система идентификации и аутентификации физических лиц с использованием биометрических персональных данных» (ГИС ЕБС).
Согласно разъяснению Минцифры, банки имеют право собирать биометрические персональные данные физических лиц для их размещения в ГИС ЕБС. В случаях, если организации, в том числе банки, планируют проводить автоматизированную аутентификацию физических лиц на основе биометрических персональных данных, они обязаны пройти аккредитацию в соответствии с Федеральным законом № 572-ФЗ.
В докладе сказано о контроле соблюдения законодательства в сфере обращения биометрических данных. Контролируемыми лицами являются аккредитованные организации, осуществляющие аутентификацию на основе биометрических персональных данных физических лиц, аккредитованные государственные органы, Центральный банк Российской Федерации в случае прохождения им аккредитации.
Всего на 2024 год аккредитовано 16 организаций, отнесённых к категории среднего риска. Внеплановые контрольные (надзорные) мероприятия в рамках государственного контроля в 2024 году не проводились в связи с решением правительства, однако было осуществлено семь «профилактических визитов».
Организация для прохождения аккредитации должна получить лицензию на деятельность по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд организации).
В докладе Минцифры также объясняется, как физическое лицо может заявить о прекращении обработки его биометрических персональных данных. Согласно разъяснению, гражданин может отозвать ранее представленные согласия, а также направить оператору ГИС ЕБС требование о блокировании, об удалении, уничтожении биометрических персональных данных и (или) векторов ГИС ЕБС через личный кабинет единого портала госуслуг.
