1. Обработка биометрических персональных данных для идентификации в случаях, если проведение такой идентификации необходимо для реализации установленных нормативными правовыми актами полномочий государственных органов, органов местного самоуправления, Центрального банка Российской Федерации, организаций, осуществляющих в соответствии с федеральными законами отдельные публичные полномочия, осуществляется с применением единой биометрической системы.
2. Обработка биометрических персональных данных для аутентификации в случаях, если проведение такой аутентификации необходимо для реализации указанных в части 1 настоящей статьи полномочий, может осуществляться одним из следующих способов:
1) с применением единой биометрической системы в соответствии со статьей 10 настоящего Федерального закона или регионального сегмента единой биометрической системы в соответствии со статьей 5 настоящего Федерального закона;
2) путем проверки принадлежности физическому лицу идентификаторов посредством сопоставления их со сведениями о физическом лице, размещенными в единой системе идентификации и аутентификации, а также на основании информации о степени соответствия предоставленных биометрических персональных данных физического лица векторам единой биометрической системы, содержащимся в информационной системе аккредитованного государственного органа, информационной системе Центрального банка Российской Федерации в случае прохождения им аккредитации, по указанным идентификаторам;
3) путем проверки принадлежности физическому лицу идентификаторов посредством сопоставления их со сведениями о физическом лице, размещенными в государственной информационной системе персональных данных аккредитованного государственного органа, информационной системе персональных данных Центрального банка Российской Федерации в случае прохождения им аккредитации, а также на основании информации о степени соответствия предоставленных биометрических персональных данных физического лица векторам единой биометрической системы, содержащимся в информационной системе аккредитованного государственного органа, информационной системе Центрального банка Российской Федерации в случае прохождения им аккредитации, по указанным идентификаторам.
3. Перед использованием единой биометрической системы в соответствии с пунктом 3 части 2 настоящей статьи аккредитованные государственные органы, Центральный банк Российской Федерации в случае прохождения им аккредитации предоставляют в единую систему идентификации и аутентификации сведения о физических лицах, содержащиеся в государственной информационной системе персональных данных аккредитованного государственного органа, информационной системе персональных данных Центрального банка Российской Федерации, включая идентификаторы таких сведений. Данные идентификаторы и сведения сопоставляются со сведениями о физических лицах, содержащимися в единой системе идентификации и аутентификации, и после такого сопоставления данные идентификаторы передаются из единой системы идентификации и аутентификации в единую биометрическую систему, а также в информационную систему аккредитованного государственного органа, информационную систему Центрального банка Российской Федерации в случае прохождения им аккредитации.
4. Для прохождения аккредитации государственным органам, Центральному банку Российской Федерации при обработке, включая хранение в соответствии с частью 7 настоящей статьи, биометрических персональных данных в информационных системах государственных органов, Центрального банка Российской Федерации необходимо обеспечить:
1) применение организационных и технических мер по обеспечению безопасности персональных данных, предусмотренных в соответствии с частью 4 статьи 19 Федерального закона от 27 июля 2006 года N 152-ФЗ "О персональных данных";
2) использование шифровальных (криптографических) средств, позволяющих обеспечить безопасность персональных данных от угроз, определенных в соответствии с пунктом 4 части 2 статьи 6 настоящего Федерального закона;
3) выполнение требований, установленных в соответствии с пунктом 1 части 2 статьи 6 настоящего Федерального закона;
4) использование для обработки биометрических персональных данных, включая их хранение в соответствии с частью 7 настоящей статьи, и векторов единой биометрической системы баз данных, находящихся исключительно на территории Российской Федерации, за исключением случаев, предусмотренных частью 21 статьи 3 настоящего Федерального закона.
5. Государственные органы, Центральный банк Российской Федерации, владеющие информационными системами, обеспечивающими аутентификацию физических лиц с использованием векторов единой биометрической системы, вправе привлекать для осуществления функций оператора таких информационных систем организации, соответствующие требованиям, установленным Правительством Российской Федерации по согласованию с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности.
6. Аккредитация государственных органов, Центрального банка Российской Федерации для осуществления аутентификации осуществляется без ограничения срока. Требования для прохождения такой аккредитации, помимо установленных настоящей статьей, порядок осуществления такой аккредитации, основания ее приостановления и прекращения устанавливаются Правительством Российской Федерации по согласованию с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности.
7. В информационных системах аккредитованных государственных органов, информационных системах Центрального банка Российской Федерации в случае прохождения им аккредитации запрещено хранение используемых в соответствии с частями 1 и 2 настоящей статьи биометрических персональных данных, за исключением хранения данных для рассмотрения обращений субъектов персональных данных, предполагающих неправомерную обработку их биометрических персональных данных при проведении аутентификации и (или) оспаривающих результаты проведения аутентификации, в течение не более десяти суток с момента предоставления таких данных в целях проведения аутентификации в соответствии с пунктами 2 и 3 части 2 настоящей статьи.
8. Аккредитованные государственные органы, Центральный банк Российской Федерации в случае прохождения им аккредитации не вправе передавать векторы единой биометрической системы третьим лицам.
9. По истечении срока, указанного в части 7 настоящей статьи, аккредитованные государственные органы, Центральный банк Российской Федерации в случае прохождения им аккредитации обязаны уничтожить биометрические персональные данные. Для уничтожения биометрических персональных данных применяются прошедшие в установленном порядке процедуру оценки соответствия средства защиты информации, в составе которых реализована функция автоматического уничтожения информации по истечении определенного заданного срока.
10. Аккредитованные государственные органы, Центральный банк Российской Федерации в случае прохождения им аккредитации по мотивированному запросу оператора единой биометрической системы, направленному в соответствии с законодательством Российской Федерации, блокируют, удаляют, уничтожают векторы единой биометрической системы.
11. Аккредитованный государственный орган, Центральный банк Российской Федерации в случае прохождения им аккредитации при получении поданного в течение срока, указанного в части 7 настоящей статьи, обращения субъекта персональных данных, предполагающего неправомерную обработку его биометрических персональных данных при проведении аутентификации и (или) оспаривающего результаты проведения аутентификации, вправе в порядке, установленном Правительством Российской Федерации, направить мотивированный запрос оператору единой биометрической системы о предоставлении информации о результатах проверки соответствия предоставленных аккредитованным государственным органом, Центральным банком Российской Федерации в случае прохождения им аккредитации биометрических персональных данных физического лица его биометрическим персональным данным, содержащимся в единой биометрической системе, при условии передачи оператору единой биометрической системы аккредитованным государственным органом, Центральным банком Российской Федерации в случае прохождения им аккредитации или субъектом персональных данных биометрических персональных данных.