Порядок обработки, включая сбор, хранения и уничтожения биометрических персональных данных, векторов единой биометрической системы в информационных системах аккредитованных государственных органов, Центрального банка Российской Федерации в случае прохождения им аккредитации, организаций, осуществляющих аутентификацию на основе биометрических персональных данных физических лиц
1. В соответствии с настоящим Порядком обработка, включая сбор, хранение, биометрических персональных данных, векторов единой биометрической системы реализуется с применением информационных технологий и технических средств, имеющих подтверждение соответствия требованиям к информационным технологиям и техническим средствам, предназначенным для обработки биометрических персональных данных, векторов единой биометрической системы в целях проведения идентификации и (или) аутентификации, установленным Требованиями к информационным технологиям и техническим средствам, предназначенным для обработки биометрических персональных данных, векторов единой биометрической системы в целях проведения идентификации и (или) аутентификации, а также порядком подтверждения соответствия информационных технологий и технических средств указанным требованиям, содержащимися в приложении N 5 к настоящему приказу.
_______________
2. В соответствии с настоящим Порядком проводится обработка биометрических персональных данных физического лица следующих видов:
изображение лица человека, полученное с помощью фотовидеоустройств;
запись голоса человека, полученная с помощью звукозаписывающих устройств.
3. В информационных системах аккредитованных государственных органов, Центрального банка Российской Федерации в случае прохождения им аккредитации, организаций, осуществляющих аутентификацию на основе биометрических персональных данных физических лиц, запрещено хранение используемых в целях аутентификации биометрических персональных данных, за исключением хранения таких данных для рассмотрения обращений субъектов персональных данных, предполагающих неправомерную обработку их биометрических персональных данных при проведении аутентификации и (или) оспаривающих результаты проведения аутентификации, в течение не более десяти суток с момента предоставления таких данных в целях проведения аутентификации.
_______________
Пункт 1 статьи 2 Федерального закона N 572-ФЗ.
Пункт 10 статьи 2 Федерального закона N 572-ФЗ.
Часть 7 статьи 14, пункт 3 части 1 статьи 15 Федерального закона N 572-ФЗ.
4. При обработке, включая сбор, хранении биометрических персональных данных, векторов единой биометрической системы в информационных системах аккредитованных государственных органов, Центрального банка Российской Федерации в случае прохождения им аккредитации, организаций, осуществляющих аутентификацию на основе биометрических персональных данных физических лиц, должны:
1) применяться организационные и технические меры по обеспечению безопасности персональных данных, предусмотренные в соответствии с частью 4 статьи 19 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (далее - Федеральный закон N 152-ФЗ);
2) использоваться шифровальные (криптографические) средства, позволяющие обеспечить безопасность персональных данных от угроз, определенных:
для аккредитованных государственных органов, Центрального банка Российской Федерации в случае прохождения им аккредитации в соответствии с пунктом 4 части 2 статьи 6 Федерального закона N 572-ФЗ;
для организаций, за исключением банков, иных кредитных организаций, некредитных финансовых организаций, которые осуществляют указанные в части первой статьи 76.1 Федерального закона от 10 июля 2002 г. N 86-ФЗ "О Центральном банке Российской Федерации (Банке России)" виды деятельности, субъектов национальной платежной системы, лиц, оказывающих профессиональные услуги на финансовом рынке (далее - организации финансового рынка), в соответствии с пунктом 6 части 2 статьи 6 Федерального закона N 572-ФЗ;
для организаций финансового рынка в соответствии с пунктом 2 части 4 статьи 7 Федерального закона N 572-ФЗ;
3) использование для обработки биометрических персональных данных и векторов единой биометрической системы баз данных, находящихся исключительно на территории Российской Федерации, за исключением случаев, предусмотренных частью 21 статьи 3 Федерального закона N 572-ФЗ;
4) использование информационных технологий, предназначенных для обработки биометрических персональных данных, которые используются для создания векторов единой биометрической системы в единой биометрической системе.
5. По истечении срока, указанного в пункте 3 настоящего Порядка, аккредитованные государственные органы, Центральный банк Российской Федерации в случае прохождения им аккредитации, организации, осуществляющие аутентификацию на основе биометрических персональных данных физических лиц, обязаны уничтожить биометрические персональные данные. Для уничтожения биометрических персональных данных применяются прошедшие в установленном порядке процедуру оценки соответствия средства защиты информации, в составе которых реализована функция автоматического уничтожения информации по истечении определенного заданного срока.
6. Векторы единой биометрической системы хранятся с применением шифровальных (криптографических) средств, позволяющих обеспечить безопасность персональных данных от угроз, определенных:
1) для аккредитованных государственных органов, Центрального банка Российской Федерации в случае прохождения им аккредитации в соответствии с пунктом 4 части 2 статьи 6 Федерального закона N 572-ФЗ;
2) для организаций, за исключением организации финансового рынка, в соответствии с пунктом 6 части 2 статьи 6 Федерального закона N 572-ФЗ;
3) для организаций финансового рынка в соответствии с пунктом 2 части 4 статьи 7 Федерального закона N 572-ФЗ.
7. Аккредитованные государственные органы, Центральный банк Российской Федерации в случае прохождения им аккредитации, организации, осуществляющие аутентификацию на основе биометрических персональных данных физических лиц, блокируют, удаляют, уничтожают векторы единой биометрической системы при получении:
мотивированного запроса оператора единой биометрической системы о блокировании, об удалении, уничтожении векторов единой биометрической системы в случае отзыва субъектом персональных данных у оператора единой биометрической системы согласия на обработку биометрических персональных данных или получения оператором единой биометрической системы от субъекта персональных данных требования о блокировании, об удалении, уничтожении биометрических персональных данных и (или) векторов единой биометрической системы;