1. Обработка в соответствии с пунктами 2 и 3 части 1 статьи 15 настоящего Федерального закона используемых для аутентификации биометрических персональных данных в информационных системах организаций, осуществляющих аутентификацию на основе биометрических персональных данных физических лиц, допускается с использованием векторов единой биометрической системы, в том числе с использованием векторов, являющихся результатом обработки биометрических персональных данных, размещенных в единой биометрической системе в соответствии с частью 9 статьи 4 настоящего Федерального закона.
2. Правительство Российской Федерации по согласованию с федеральным органом исполнительной власти в области обеспечения безопасности и Центральным банком Российской Федерации устанавливает случаи, при которых аутентификация с использованием информационных систем организаций, осуществляющих аутентификацию на основе биометрических персональных данных физических лиц, не допускается.
3. Указанная в части 1 настоящей статьи обработка допускается при одновременном выполнении следующих условий:
1) применение организациями, осуществляющими аутентификацию на основе биометрических персональных данных физических лиц, организационных и технических мер по обеспечению безопасности персональных данных, предусмотренных в соответствии с частью 4 статьи 19 Федерального закона от 27 июля 2006 года N 152-ФЗ "О персональных данных";
2) использование шифровального (криптографического) средства, определенного пунктом 5 части 2 статьи 6 настоящего Федерального закона, либо шифровальных (криптографических) средств, позволяющих обеспечить безопасность персональных данных от угроз, определенных:
а) для организаций, за исключением организаций финансового рынка, в соответствии с пунктом 6 части 2 статьи 6 настоящего Федерального закона;
б) для организаций финансового рынка в соответствии с пунктом 2 части 4 статьи 7 настоящего Федерального закона;
3) выполнение требований к обработке, включая сбор, биометрических персональных данных, установленных в соответствии с пунктом 1 части 2 статьи 6 настоящего Федерального закона;
4) выполнение требований настоящего Федерального закона и Федерального закона от 26 июля 2017 года N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации", в том числе посредством выполнения требований о защите содержащейся в государственных информационных системах информации, установленных федеральным органом исполнительной власти в области обеспечения безопасности и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий, а также посредством автоматизированного информационного взаимодействия с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации для решения задач, касающихся обнаружения, предупреждения и ликвидации последствий компьютерных атак;
5) наличие согласия физического лица на обработку биометрических персональных данных в целях проведения его аутентификации;
6) прохождение указанными организациями аккредитации в соответствии со статьей 17 настоящего Федерального закона.
4. Организации финансового рынка, иные организации, индивидуальные предприниматели вправе использовать информационные системы организаций, осуществляющих аутентификацию на основе биометрических персональных данных физических лиц, соответствующих требованиям, указанным в частях 1 и 3 настоящей статьи, для аутентификации физического лица, выразившего согласие на ее проведение, в целях совершения этим лицом определенных действий, либо подтверждения волеизъявления этого лица, либо подтверждения полномочия этого лица на совершение определенных действий.
5. Организации финансового рынка, иные организации, индивидуальные предприниматели при использовании информационных систем иных организаций для аутентификации обязаны применять организационные и технические меры по обеспечению безопасности персональных данных, предусмотренные в соответствии с частью 4 статьи 19 Федерального закона от 27 июля 2006 года N 152-ФЗ "О персональных данных", а также использовать средства криптографической защиты информации, указанные в пункте 2 части 3 настоящей статьи.
6. Перед осуществлением аутентификации в соответствии с частью 7 настоящей статьи организации, осуществляющие аутентификацию на основе биометрических персональных данных физических лиц, организации финансового рынка, иные организации, индивидуальные предприниматели, указанные в части 4 настоящей статьи, предоставляют в единую систему идентификации и аутентификации сведения о физических лицах, содержащиеся в их информационных системах персональных данных, включая идентификаторы таких сведений. Данные идентификаторы и сведения сопоставляются со сведениями о физических лицах, содержащимися в единой системе идентификации и аутентификации, и после такого сопоставления данные идентификаторы передаются из единой системы идентификации и аутентификации в информационную систему организации, осуществляющей аутентификацию на основе биометрических персональных данных физических лиц.
7. Аутентификация физического лица осуществляется организациями финансового рынка, иными организациями, индивидуальными предпринимателями, указанными в части 4 настоящей статьи, при условии выполнения требований, предусмотренных частями 5 и 6 настоящей статьи, одним из следующих способов путем проверки принадлежности этому физическому лицу идентификаторов посредством сопоставления их:
1) со сведениями о физическом лице, размещенными в единой системе идентификации и аутентификации, а также на основании информации о степени соответствия предоставленных биометрических персональных данных физического лица векторам единой биометрической системы, имеющимся у организации, осуществляющей аутентификацию на основе биометрических персональных данных физических лиц, по указанным идентификаторам;
2) со сведениями о физическом лице, размещенными соответственно в информационной системе персональных данных организации финансового рынка, иной организации, индивидуального предпринимателя, а также на основании информации о степени соответствия предоставленных биометрических персональных данных физического лица векторам единой биометрической системы, имеющимся у организации, осуществляющей аутентификацию на основе биометрических персональных данных физических лиц, по указанным идентификаторам.
8. Организации, индивидуальные предприниматели, указанные в части 4 настоящей статьи, должны соответствовать следующим критериям:
1) организация, а также ее единоличный исполнительный орган либо члены коллегиального исполнительного органа, индивидуальный предприниматель не включены в перечень организаций и физических лиц, в отношении которых имеются сведения об их причастности к экстремистской деятельности или терроризму, или в перечни организаций и физических лиц, связанных с террористическими организациями и террористами или с распространением оружия массового уничтожения, указанные в Федеральном законе от 7 августа 2001 года N 115-ФЗ "О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма";
2) у единоличного исполнительного органа либо членов коллегиального исполнительного органа организации, индивидуального предпринимателя отсутствует неснятая или непогашенная судимость;
3) в отношении организации в едином государственном реестре юридических лиц отсутствует запись о недостоверности сведений о юридическом лице.
9. Подтверждение соответствия индивидуальных предпринимателей и организаций, за исключением организаций финансового рынка, указанных в части 4 настоящей статьи, критерию, указанному в пункте 1 части 8 настоящей статьи, осуществляется путем проверки организацией, осуществляющей аутентификацию на основе биометрических персональных данных физических лиц, отсутствия сведений о таких индивидуальных предпринимателях и организациях в соответствующих перечнях, размещенных федеральным органом исполнительной власти, осуществляющим функции по противодействию легализации (отмыванию) доходов, полученных преступным путем, финансированию терроризма и финансированию распространения оружия массового уничтожения, на своем официальном сайте в сети "Интернет" в соответствии с Федеральным законом от 7 августа 2001 года N 115-ФЗ "О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма".
10. Подтверждение соответствия индивидуальных предпринимателей и организаций, за исключением организаций финансового рынка, указанных в части 4 настоящей статьи, критерию, указанному в пункте 3 части 8 настоящей статьи, осуществляется путем предоставления организации, осуществляющей аутентификацию на основе биометрических персональных данных физических лиц, по ее запросу информации федеральным органом исполнительной власти, осуществляющим государственную регистрацию юридических лиц и физических лиц в качестве индивидуальных предпринимателей.
11. Подтверждение соответствия индивидуальных предпринимателей и организаций, за исключением организаций финансового рынка, указанных в части 4 настоящей статьи, критерию, указанному в пункте 2 части 8 настоящей статьи, осуществляется путем предоставления организации, осуществляющей аутентификацию на основе биометрических персональных данных физических лиц, справки об отсутствии неснятой или непогашенной судимости, выданной федеральным органом исполнительной власти, осуществляющим функции по выработке и реализации государственной политики и нормативно-правовому регулированию в сфере внутренних дел.
12. Использование организациями финансового рынка, иными организациями, индивидуальными предпринимателями информационных систем организаций, осуществляющих аутентификацию на основе биометрических персональных данных физических лиц, в целях аутентификации допускается после предоставления организации, осуществляющей аутентификацию на основе биометрических персональных данных физических лиц, актов проверки, составленных федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, по результатам проверки в соответствии с частью 1 статьи 7 настоящего Федерального закона, а в отношении организаций финансового рынка - Центральным банком Российской Федерации по результатам проверки в соответствии с пунктом 3 части 4 статьи 7 настоящего Федерального закона.
13. Организация, осуществляющая аутентификацию на основе биометрических персональных данных физических лиц, обязана хранить указанные в частях 9-12 настоящей статьи информацию и документы на протяжении всего срока использования ее информационной системы.
14. Организации, осуществляющие аутентификацию на основе биометрических персональных данных физических лиц, не вправе передавать векторы единой биометрической системы третьим лицам.
15. Организации, осуществляющие аутентификацию на основе биометрических персональных данных физических лиц, по мотивированному запросу оператора единой биометрической системы, направленному в соответствии с законодательством Российской Федерации, блокируют, удаляют, уничтожают векторы единой биометрической системы, а также вносят изменения в сведения, содержащиеся в их информационных системах.