Верификация персональных данных: что это такое?

И перед предпринимателем встает вопрос: нужно ли соблюдать Федеральный закон «О персональных данных» при получении изображения/голоса клиента или фотографии его документов? 

Для начала следует разобраться с двумя понятиями: «верификация» и «персональные данные». 

Персональные данные (ПД) – любая информация, которая относится прямо или косвенно к определенному физическому лицу.

Верификация – это идентификация человека для каких-либо целей. Она проводится при помощи сбора и записи данных (фото- и видеофиксация физического лица и его документов). Далее происходит размещение и хранение этих данных, например, в «облачном хранилище» с последующим предоставлением доступа владельцу бизнеса, что обеспечивает необходимые меры по их защите.

Сбор, запись, хранение, предоставление доступа – данные действия являются обработкой персональных данных, согласно Закону «О персональных данных». 

Учитывая изложенное, можно сказать, что при верификации лицу, собирающему и обрабатывающему ПД, необходимо соблюдать требования Закона «О персональных данных». 

Сразу отметим, что лицо, получающее каким-то образом ПД в любом сочетании, является оператором ПД и обязано соблюдать все требования закона в сфере персональных данных. Оператором может быть как физическое лицо, так и юридическое. 

Если верификатор (сборщик данных) самостоятельное лицо, то он будет самостоятельным оператором персональных данных. Если же он сотрудник банка или компании, то он выступает от их имени, то есть оператором персональных данных является уже именно банк или компания. С точки зрения регулирования персональных данных имеет значение, кем является верификатор, так как от этого зависит, у кого возникают обязанности оператора, а у кого – обязанности поверенного по договору поручения (коммерческого представительства).

Лицо, осуществляющее обработку ПД по поручению оператора, не обязано получать согласие субъекта персональных данных на обработку его данных.

В случае, если оператор поручает обработку персональных данных другому лицу, ответственность перед субъектом ПД за действия указанного лица несет оператор. Лицо, осуществляющее обработку персональных данных по поручению оператора, несет ответственность перед оператором. 

Можно привести вот такие варианты взаимодействия при верификации персональных данных на примере банковской сферы (в отношении банков и других кредитных организаций кроме ФЗ «О персональных данных» есть специальные требования в сфере защиты персональных данных, а именно в сфере информационной безопасности – стандарт Банка России СТО БР ИББС-1.0-2014 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации/ Общие положения»):

Чтобы все действия, проводимые в рамках верификации лица, соответствовали закону, необходимо соблюдать некоторые условия: уведомить Роскомнадзор, разработать локальные акты (положение/регламент), публично их разместить на своем сайте (при необходимости), получить согласие лица на обработку данных, хранить и использовать данные с соблюдением требований к защите персональных данных. 

При верификации (установлении личности/подлинности документов) при помощи фото- и видеофиксации необходимо получить согласие лица на обработку как обычных ПД, так и биометрических, то есть изображения/голоса. 

Кроме того, необходимо уведомить Роскомнадзор, так как данные действия не подпадают под исключение, в рамках которого данные получены оператором при заключении договора, но не распространяются, не предоставляются третьим лицам без согласия на то их субъекта, то есть используются оператором исключительно для исполнения договора. При верификации как раз к данным должны иметь доступ третьи лица, например, любая компания или банк, а собирать их может верификатор (любое физическое лицо), также третье лицо. Электронная форма уведомления Роскомнадзора - https://pd.rkn.gov.ru/operators-registry/notification/form/ .

Роскомнадзор в течение 30 дней с даты поступления уведомления об обработке ПД вносит сведения, указанные в уведомлении, а также сведения о дате направления указанного уведомления в реестр операторов. Госпошлина и иные сборы не уплачиваются. 

Внимательное изучение требований ФЗ «О персональных данных» и разъяснений Роскомнадзора избавит компанию от существенных штрафов (например, обработка данных граждан РФ с использованием зарубежных баз данных грозит штрафом для юридических лиц в размере 1–6 млн руб.). 

Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!