Не все знают, что в России обработка биометрических персональных данных должна вестись в соответствии с Федеральным законом № 152-ФЗ «О персональных данных» (далее — 152-ФЗ). В нем указано, что организации могут обрабатывать биометрические данные работников для собственных нужд только с их согласия в письменной форме.
Как показывают аудиты информационной безопасности, только очень небольшое число организаций получает от своих работников такое согласие. Многие уверены, что получать согласие в их случае не нужно. Аргументируют они это тем, что хранят данные своих сотрудников в виде биометрических шаблонов — набора букв, цифр, спецсимволов, к тому же зашифрованных. А в таком формате данные якобы уже не считаются персональными.
Предлагаю разобраться, так ли это и когда компаниям все-таки нужно получать согласие своих работников на обработку биометрических данных.
Логичное мышление не избавит от штрафа
Компании, которые не считают биометрический шаблон биометрическими персональными данными, рассуждают примерно так: «Давайте представим, что базу, в которой хранятся биометрические шаблоны и некая другая информация, похитили злоумышленники. Возможно ли по набору символов, который лежит в поле с шаблоном, восстановить первичные сведения о биометрическом признаке человека — например, папиллярном узоре на отпечатке пальца, рисунке вен ладони, изображении лица? Нет. Значит, это не персональные данные, а, следовательно, можно «спать спокойно».
