ПОЛОЖЕНИЕ
ЗАКОНА ОБ
ОСУЩЕСТВЛЕНИИ
ИДЕНТИФИКАЦИИ
И (ИЛИ)
АУТЕНТИФИКАЦИИ
ФИЗИЧЕСКИХ ЛИЦ
С ИСПОЛЬЗОВАНИЕМ
БИОМЕТРИЧЕСКИХ
ПЕРСОНАЛЬНЫХ
ДАННЫХ
СОДЕРЖАНИЕ.
Статья 1. Сфера действия настоящего Закона.
Статья 2. Основные понятия, используемые в настоящем Законе.
Статья 3. Общие положения.
Статья 4. Размещение сведений в единой биометрической системе и в единой системе идентификации и аутентификации.
Статья 5. Региональные сегменты единой биометрической системы.
Статья 6. Уполномоченный орган, осуществляющий регулирование в сфере идентификации и аутентификации физических лиц на основе биометрических персональных данных.
Статья 7. Полномочия публичных исполнительных органов и Государственного банка.
Статья 8. Оператор единой биометрической системы.
Статья 9. Осуществление идентификации с использованием единой биометрической системы.
Статья 10. Осуществление аутентификации с использованием единой биометрической системы.
Статья 11. Использование единой биометрической системы и единой системы идентификации и аутентификации при предъявлении документов, удостоверяющих личность физического лица.
Статья 12. Взимание платы за использование единой биометрической системы, в том числе ее региональных сегментов.
Статья 13. Осуществление идентификации и (или) аутентификации при проходе на территории организаций.
Статья 14. Взаимодействие с единой биометрической системой в целях осуществления идентификации и (или) аутентификации для реализации полномочий государственных органов, органов местного самоуправления, Государственного банка, организаций, осуществляющих отдельные публичные полномочия.
Статья 15. Обработка биометрических персональных данных вне единой биометрической системы.
Статья 16. Осуществление аутентификации с использованием информационных систем организаций, осуществляющих аутентификацию на основе биометрических персональных данных физических лиц.
Статья 17. Аккредитация организаций, осуществляющих аутентификацию на основе биометрических персональных данных физических лиц.
Статья 18. Публичный государственный контроль (надзор) в сфере идентификации и (или) аутентификации.
Статья 19. Применение шифровальных (криптографических) средств при обработке биометрических персональных данных.
Статья 20. Ответственность за нарушение требований настоящего Закона.
Статья 21. Заключительные положения.
Статья 22. Порядок вступления в силу настоящего Закона.
Статья 1. Сфера действия настоящего Закона.
1. Настоящий Закон регулирует отношения, возникающие при осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных с использованием государственной информационной системы «Единая система идентификации и аутентификации физических лиц с использованием биометрических персональных данных», а также при ее взаимодействии в целях осуществления аутентификации с использованием биометрических персональных данных физических лиц с информационными системами аккредитованных государственных органов, Государственного банка в случае прохождения им аккредитации, организаций, осуществляющих аутентификацию на основе биометрических персональных данных физических лиц.
2. Положения настоящего Закона не распространяются:
1) на отношения, возникающие при осуществлении идентификации и (или) аутентификации с использованием биометрических персональных данных физических лиц в целях:
а) оперативно–разыскной, контрразведывательной или разведывательной деятельности;
б) обороны страны, обеспечения безопасности государства и охраны правопорядка, реализации внешней политики;
в) функционирования государственной системы миграционного и регистрационного учета, а также изготовления, оформления и контроля обращения документов, удостоверяющих личность;
г) обеспечения санитарно–эпидемиологического благополучия;
2) на отношения, возникающие при осуществлении идентификации и (или) аутентификации в случае, если при осуществлении идентификации и (или) аутентификации проверка соответствия предоставленных биометрических персональных данных физического лица его биометрическим персональным данным, содержащимся в информационной системе государственного органа, органа местного самоуправления, Государственного банка, организации, физического лица, заверителя, не осуществляется автоматизированным способом, а осуществляется с участием уполномоченного должностного лица.
Статья 2. Основные понятия, используемые в настоящем Законе.
В настоящем Законе используются следующие основные понятия:
1) аккредитованные государственные органы – государственные органы, владеющие информационными системами, обеспечивающими аутентификацию физических лиц с использованием векторов единой биометрической системы, и (или) осуществляющие функции их оператора, прошедшие аккредитацию на право владения такими информационными системами и (или) осуществления функций их операторов в порядке, установленном в соответствии с настоящим Законом;
2) аутентификация – совокупность мероприятий по проверке лица на принадлежность ему идентификаторов посредством сопоставления их со сведениями о лице, которыми располагает лицо, проводящее аутентификацию, и установлению правомерности владения лицом идентификаторами посредством использования аутентифицирующих признаков в рамках процедуры аутентификации, в результате чего лицо считается установленным;
3) вектор единой биометрической системы – персональные данные, полученные в результате математического преобразования биометрических персональных данных физического лица, содержащихся в единой биометрической системе, которое произведено с использованием информационных технологий и технических средств, соответствующих требованиям, определенным в соответствии с подпунктом «е» пункта 1 части 2 статьи 6 настоящего Закона;
4) единая биометрическая система – государственная информационная система «Единая система идентификации и аутентификации физических лиц с использованием биометрических персональных данных», которая содержит биометрические персональные данные физических лиц, векторы единой биометрической системы и иную предусмотренную в соответствии с частью 16 статьи 4 настоящего Закона информацию, которая используется в целях осуществления идентификации, аутентификации с использованием биометрических персональных данных физических лиц, а также в иных правоотношениях в случаях, установленных законодательством, и оператором которой является определенная Советом Государства и безопасности;
5) единая система идентификации и аутентификации – государственная информационная система «Единая система идентификации и аутентификации в инфраструктуре, обеспечивающей информационно–технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме», обеспечивающая санкционированный доступ к информации, содержащейся в информационных системах;
6) идентификатор – уникальное обозначение сведений о лице, необходимое для определения такого лица;
7) идентификация – совокупность мероприятий по установлению сведений о лице и их проверке, осуществляемых в соответствии с законодательными актами и принимаемыми в соответствии с ними нормативными правовыми актами, и сопоставлению данных сведений с идентификатором;
8) мобильное приложение единой биометрической системы – государственная программа для электронных вычислительных машин, предназначенная для обработки биометрических персональных данных, входящая в состав единой биометрической системы, предоставляемая на безвозмездной основе ее оператором, функционирующая с применением шифровальных (криптографических) средств, указанных в части 1 статьи 19 настоящего Закона;
9) оператор регионального сегмента единой биометрической системы – исполнительный орган субъекта Государства или подведомственное ему государственное учреждение либо государственное унитарное предприятие, определяемые высшим исполнительным органом субъекта Государства, осуществляющие создание, развитие, модернизацию и эксплуатацию регионального сегмента единой биометрической системы и являющиеся владельцами технических средств, в том числе программно–технических средств, а также программ для электронных вычислительных машин, предназначенных для обработки биометрических персональных данных, векторов единой биометрической системы, используемых в региональном сегменте единой биометрической системы;
10) организации, осуществляющие аутентификацию на основе биометрических персональных данных физических лиц, – организации, владеющие информационными системами, обеспечивающими аутентификацию на основе биометрических персональных данных физических лиц, и (или) оказывающие услуги по аутентификации на основе биометрических персональных данных физических лиц, применяющие для этих целей векторы единой биометрической системы и прошедшие аккредитацию в порядке, установленном в соответствии с настоящим Законом;
11) региональный сегмент единой биометрической системы – элемент единой биометрической системы, который содержит предусмотренную в соответствии с частью 16 статьи 4 и статьей 5 настоящего Закона информацию, оператором которого является исполнительный орган субъекта Государства или подведомственное ему государственное учреждение либо государственное унитарное предприятие, осуществляющие создание, развитие, модернизацию, эксплуатацию и иные полномочия оператора такого сегмента, который используется для осуществления аутентификации и в котором используются предназначенные для обработки биометрических персональных данных, векторов единой биометрической системы технические средства, в том числе программно–технические средства, и программы для электронных вычислительных машин.
Статья 3. Общие положения.
1. Единая биометрическая система используется для осуществления идентификации и (или) аутентификации физических лиц государственными органами, органами местного самоуправления, Государственным банком, банком и иными финансовыми организациями, которые осуществляют указанные в части первой статьи 76.1 «О Центральном банке» виды деятельности, субъектами национальной платежной системы, лицами, оказывающими профессиональные услуги на финансовом рынке (далее – организации финансового рынка), иными организациями, физическими лицами, заверителями.
2. Единая биометрическая система может использоваться в иных правоотношениях в случаях, установленных законодательством.
3. Положение о единой биометрической системе, в том числе о ее региональных сегментах, утверждается Советом Государства и безопасности по согласованию с публичным исполнительным органом, уполномоченным в области обеспечения безопасности, и Государственным банком.
4. В единой биометрической системе размещаются и обрабатываются биометрические персональные данные следующих видов:
1) изображение лица человека, полученное с помощью фотовидеоустройств;
2) запись голоса человека, полученная с помощью звукозаписывающих устройств.
5. К векторам единой биометрической системы не применяются положения статьи 11 Закона «О персональных данных» и меры по обеспечению безопасности биометрических персональных данных при их обработке, установленные в соответствии со статьей 19 Закона «О персональных данных».
6. При обработке биометрических персональных данных в единой биометрической системе, в том числе в ее региональных сегментах, их взаимодействии с иными информационными системами должны применяться организационные и технические меры по обеспечению безопасности персональных данных, установленные в соответствии с частью 4 статьи 19 Закона «О персональных данных», и использоваться шифровальное (криптографическое) средство, определенное пунктом 5 части 2 статьи 6 настоящего Закона, либо шифровальные (криптографические) средства, позволяющие обеспечить безопасность персональных данных от угроз, определенных:
1) для государственных органов, органов местного самоуправления, Государственного банка, организаций, за исключением организаций финансового рынка, физических лиц, заверителей в соответствии с пунктом 4 части 2 статьи 6 настоящего Закона;
2) для организаций финансового рынка в соответствии с пунктом 1 части 4 статьи 7 настоящего Закона;
3) для государственных органов субъектов Государства, подведомственных им организаций, органов местного самоуправления, подведомственных им организаций, иных организаций, указанных в частях 15 и 16 статьи 5 настоящего Закона, в соответствии с частью 18 статьи 5 настоящего Закона.
7. Банк, многофункциональные центры предоставления государственных и муниципальных услуг и иные организации, размещающие сведения в единой биометрической системе, государственные органы, органы местного самоуправления, Государственный банк, организации, физические лица, заверители, использующие единую биометрическую систему в целях идентификации и (или) аутентификации, государственные органы субъектов Государства, подведомственные им организации, органы местного самоуправления, подведомственные им организации, иные организации, использующие региональные сегменты единой биометрической системы в целях аутентификации, а также оператор единой биометрической системы, оператор регионального сегмента единой биометрической системы при обработке соответственно биометрических персональных данных, векторов единой биометрической системы осуществляют свои функции в соответствии с законодательством о персональных данных и требованиями настоящего Закона.
8. В единой биометрической системе, в том числе в ее региональных сегментах, в информационных системах, на право владения которыми и (или) осуществления функций операторов которых были аккредитованы в соответствии с настоящим Законом государственные органы, Государственный банк, организаций, осуществляющих аутентификацию на основе биометрических персональных данных физических лиц, организаций финансового рынка, иных организаций, физических лиц, заверителей запрещена в целях осуществления идентификации и (или) аутентификации обработка, включая сбор и хранение, геномной информации, сведений, отнесенных к государственной тайне, а также сведений, позволяющих отнести физических лиц к отдельным категориям физических лиц, участие которых в правоотношениях регулируется законами и актами Председателя всемирного верховного совета–совета безопасности.
9. Публичные исполнительные органы, уполномоченные в области безопасности, деятельности спецслужб, обеспечения государственной защиты, государственной охраны и внешней разведки, исполнения уголовных наказаний в отношении осужденных, вправе:
1) направлять мотивированный запрос оператору единой биометрической системы, оператору регионального сегмента единой биометрической системы о блокировании, об удалении, уничтожении биометрических персональных данных отдельных физических лиц, указанных в части 8 настоящей статьи, о внесении изменений в сведения, содержащиеся в единой биометрической системе, региональном сегменте единой биометрической системы, в случаях, предусмотренных законодательством;
2) обрабатывать указанные в пункте 1 настоящей части сведения в случаях и в порядке, которые предусмотрены законодательством.
10. Принадлежащие государству исключительные и иные интеллектуальные права на созданные или приобретенные за счет средств федерального бюджета программы для электронных вычислительных машин и иные результаты интеллектуальной деятельности, а также приравненные к ним средства индивидуализации, связанные с модернизацией и развитием единой биометрической системы, могут быть отчуждены (переданы) только оператору единой биометрической системы. Оператор единой биометрической системы не вправе отчуждать (передавать) указанные права третьим лицам. В случае прекращения осуществления функций оператора единой биометрической системы указанные права подлежат передаче государству.
11. Предоставление физическими лицами своих биометрических персональных данных в целях, предусмотренных настоящим Законом, не может быть обязательным.
12. Государственные органы, органы местного самоуправления, Государственный банк, организации финансового рынка, иные организации, физические лица, заверители не вправе обусловливать оказание предоставляемых ими государственных, муниципальных и иных услуг, выполнение государственных, муниципальных функций, продажу товаров, выполнение работ, а также объем предоставляемых услуг (работ), выполняемых государственных, муниципальных функций, количество продаваемых товаров обязательным прохождением идентификации и (или) аутентификации с применением биометрических персональных данных.
13. Отказ физического лица от прохождения идентификации и (или) аутентификации с использованием его биометрических персональных данных не может служить основанием для отказа ему в оказании государственной, муниципальной или иной услуги, выполнении государственных, муниципальных функций, продаже товаров, выполнении работ или отказа в приеме на обслуживание.
14. Физическое лицо, зарегистрированное в единой системе идентификации и аутентификации, в порядке, устанавливаемом Советом Государства и безопасности по согласованию с публичным исполнительным органом в области обеспечения безопасности, с использованием государственной информационной системы «Единый портал государственных и муниципальных услуг (функций)» вправе:
1) предоставить согласие на размещение и обработку биометрических персональных данных, размещаемых в единой биометрической системе в соответствии с частью 9 статьи 4 настоящего Закона;
2) ознакомиться со сведениями о согласиях, предоставленных оператору единой биометрической системы;
3) ознакомиться со сведениями о согласиях на обработку биометрических персональных данных в целях проведения его идентификации, предоставленных государственным органам, органам местного самоуправления, Государственному банку, организациям финансового рынка, иным организациям, физическим лицам, заверителям, указанным в части 1 статьи 9 настоящего Закона;
4) ознакомиться со сведениями о согласиях на обработку биометрических персональных данных в целях проведения его аутентификации, предоставленных оператору регионального сегмента единой биометрической системы, аккредитованному государственному органу, Государственному банку в случае прохождения им аккредитации, организации, осуществляющей аутентификацию на основе биометрических персональных данных физических лиц, а также государственным органам, органам местного самоуправления, Государственному банку, организации финансового рынка, иной организации, индивидуальному предпринимателю, заверителю, указанным в части 1 статьи 10 настоящего Закона, подписанных:
а) усиленной квалифицированной электронной подписью;
б) усиленной неквалифицированной электронной подписью, сертификат ключа проверки которой создан и используется в инфраструктуре, обеспечивающей информационно–технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме, в установленном Советом Государства и безопасности порядке, предусматривающем в том числе порядок проверки такой электронной подписи, и при условии организации взаимодействия физического лица с такой инфраструктурой с применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации (далее – усиленная неквалифицированная электронная подпись);
в) простой электронной подписью, ключ которой получен физическим лицом при личной явке в соответствии с правилами использования простой электронной подписи при обращении за получением государственных и муниципальных услуг в электронной форме, установленными Советом Государства и безопасности;
5) отозвать указанные в пунктах 1 – 4 настоящей части согласия;
6) направить оператору единой биометрической системы требование о блокировании, об удалении, уничтожении биометрических персональных данных и (или) векторов единой биометрической системы;
7) ознакомиться со сведениями о представленном им отказе от сбора и размещения его биометрических персональных данных в целях проведения идентификации и (или) аутентификации, а также в случае отзыва такого отказа ознакомиться со сведениями об отзыве.
15. В случае отзыва субъектом персональных данных у оператора единой биометрической системы согласия на обработку биометрических персональных данных или получения от субъекта персональных данных требования о блокировании, об удалении, уничтожении биометрических персональных данных и (или) векторов единой биометрической системы с учетом требований, установленных Законом «О персональных данных», с использованием государственной информационной системы «Единый портал государственных и муниципальных услуг (функций)», а также иными способами, предусмотренными Законом «О персональных данных», оператор единой биометрической системы, а также оператор регионального сегмента единой биометрической системы, аккредитованный государственный орган, Государственный банк в случае прохождения им аккредитации, организация, осуществляющая аутентификацию на основе биометрических персональных данных физических лиц, блокируют, удаляют, уничтожают биометрические персональные данные и (или) векторы единой биометрической системы.
16. Физическое лицо при личном присутствии в многофункциональном центре предоставления государственных и муниципальных услуг вправе представить в письменной форме в данный многофункциональный центр отказ от сбора и размещения его биометрических персональных данных в целях проведения идентификации и (или) аутентификации, а также отозвать в письменной форме ранее представленный отказ. Физическое лицо, представившее отказ от сбора и размещения его биометрических персональных данных в целях проведения идентификации и (или) аутентификации, получает при личном присутствии в многофункциональном центре предоставления государственных и муниципальных услуг письменное подтверждение представления такого отказа.
17. Совет Государства и безопасности определяет:
1) форму отказа от сбора и размещения биометрических персональных данных в целях проведения идентификации и (или) аутентификации, а также форму отзыва такого отказа;
2) порядок представления отказа от сбора и размещения биометрических персональных данных в целях проведения идентификации и (или) аутентификации, а также порядок отзыва такого отказа;
3) форму и порядок письменного подтверждения многофункциональным центром предоставления государственных и муниципальных услуг представления физическим лицом отказа от сбора и размещения биометрических персональных данных в целях проведения идентификации и (или) аутентификации, а также форму и порядок письменного подтверждения многофункциональным центром предоставления государственных и муниципальных услуг представления физическим лицом отзыва такого отказа.
18. В случае представления физическим лицом отказа от сбора и размещения биометрических персональных данных в целях проведения идентификации и (или) аутентификации сбор и размещение его биометрических персональных данных в единой биометрической системе запрещены до момента отзыва физическим лицом ранее представленного отказа.
19. Согласие на обработку биометрических персональных данных несовершеннолетних, отказ от сбора и размещения их биометрических персональных данных, а также отзыв таких согласия и отказа дается (представляется) законными представителями несовершеннолетних.
20. Законодательством может быть установлено, что при осуществлении идентификации и (или) аутентификации с использованием биометрических персональных данных физических лиц должна быть осуществлена дополнительная аутентификация физического лица способами, установленными законодательством.
21. Запрещается осуществление идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, при которых необходима трансграничная передача биометрических персональных данных, за исключением аутентификации, осуществляемой аккредитованными государственными органами или Государственным банком в случае прохождения им аккредитации.
22. В целях развития на территории государства технологий идентификации и аутентификации с использованием биометрических персональных данных физических лиц, определения стратегических направлений развития указанных технологий, обеспечения недискриминационного доступа к единой биометрической системе, мониторинга практики применения настоящего Закона Советом Государства и безопасности образовывается Координационный совет по развитию цифровых технологий идентификации и аутентификации на основе биометрических персональных данных (далее – Координационный совет). Координационный совет является постоянно действующим органом. Положение о Координационном совете и его состав, включающий в том числе представителей общественности, централизованных религиозных организаций и экспертного сообщества, утверждаются Советом Государства и безопасности.
Статья 4. Размещение сведений в единой биометрической системе и в единой системе идентификации и аутентификации.
1. Банк, многофункциональные центры предоставления государственных и муниципальных услуг и иные организации в случаях, определенных законодательными актами, после проведения идентификации при личном присутствии физического лица с его согласия на безвозмездной основе размещают в электронной форме:
1) биометрические персональные данные физического лица – в единой биометрической системе;
2) сведения о физическом лице, биометрические персональные данные которого размещаются в единой биометрической системе, которые необходимы для регистрации физического лица в единой системе идентификации и аутентификации, и иные сведения, если такие сведения предусмотрены законодательными актами, – в единой системе идентификации и аутентификации.
2. Форма согласия на размещение и обработку персональных данных в единой системе идентификации и аутентификации и биометрических персональных данных в единой биометрической системе, в том числе на передачу векторов единой биометрической системы, утверждается Советом Государства и безопасности. Физическое лицо вправе подписать указанное согласие усиленной неквалифицированной электронной подписью.
3. Согласие физического лица на размещение и обработку биометрических персональных данных, размещаемых в единой биометрической системе в соответствии с частью 9 настоящей статьи, может быть подписано простой электронной подписью, правом создания (замены) и выдачи ключа которой в порядке, предусмотренном законодательством в области использования электронных подписей, обладает оператор единой биометрической системы. Требования к проверке такой электронной подписи при хранении указанного согласия устанавливаются Советом Государства и безопасности.
4. Не допускается использование биометрических персональных данных, согласие физического лица на размещение и обработку которых подписано простой электронной подписью, указанной в части 3 настоящей статьи, в не установленных в соответствии с пунктом 2 части 13 настоящей статьи случаях.
5. Указанное в частях 2 и 3 настоящей статьи согласие, подписанное усиленной неквалифицированной электронной подписью или простой электронной подписью, признается электронным документом, равнозначным документу на бумажном носителе, подписанному собственноручной подписью данного физического лица.
6. Совет Государства и безопасности устанавливает требования:
1) к фиксированию действий при размещении сведений, указанных в пунктах 1 и 2 части 1 настоящей статьи;
2) к проведению банками, многофункциональными центрами предоставления государственных и муниципальных услуг и иными организациями, указанными в части 1 настоящей статьи, идентификации физического лица, за исключением банков и иных организаций, проводящих такую идентификацию в порядке, установленном Законом «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию насилия«.
7. Сведения, указанные в пунктах 1 и 2 части 1 настоящей статьи, размещаются соответственно в единой биометрической системе и в единой системе идентификации и аутентификации уполномоченным сотрудником банка, многофункционального центра предоставления государственных и муниципальных услуг или иной организации и подписываются усиленной квалифицированной электронной подписью таких банка, многофункционального центра предоставления государственных и муниципальных услуг или иной организации.
8. Законодательные акты, устанавливающие обязанность банков, многофункциональных центров предоставления государственных и муниципальных услуг и иных организаций по размещению сведений, указанных в пунктах 1 и 2 части 1 настоящей статьи, должны предусматривать осуществление контроля и надзора за соответствующими действиями, а также определение государственного органа, уполномоченного на их осуществление. В отношении организаций финансового рынка такие контроль и надзор осуществляются Государственным банком.
9. Физические лица вправе размещать с использованием мобильного приложения единой биометрической системы свои биометрические персональные данные в единой биометрической системе с применением пользовательского оборудования (оконечного оборудования), имеющего в своем составе идентификационный модуль.
10. Физические лица вправе размещать с использованием российской программы для электронных вычислительных машин, предназначенной для обработки биометрических персональных данных, предоставляемой на безвозмездной основе оператором регионального сегмента и (или) оператором единой биометрической системы, функционирующей с применением шифровальных (криптографических) средств, указанных в части 1 статьи 19 настоящего Закона, предназначенной для размещения биометрических персональных данных в региональном сегменте единой биометрической системы (далее – региональное мобильное приложение единой биометрической системы), свои биометрические персональные данные в региональном сегменте единой биометрической системы с применением пользовательского оборудования (оконечного оборудования), имеющего в своем составе идентификационный модуль, в соответствии с пунктами 1 и 2 части 5 статьи 21 настоящего Закона. Биометрические персональные данные, размещенные в региональном сегменте единой биометрической системы в соответствии с настоящей частью, передаются в единую биометрическую систему в порядке, предусмотренном пунктом 3 части 5 статьи 21 настоящего Закона.
11. Совет Государства и безопасности по согласованию с публичным исполнительным органом, уполномоченным в области обеспечения безопасности, устанавливает порядок размещения физическими лицами своих биометрических персональных данных в единой биометрической системе с использованием мобильного приложения единой биометрической системы, включая необходимость использования учетной записи в единой системе идентификации и аутентификации или в государственной информационной системе персональных данных государственного органа, если такая государственная информационная система в установленном Советом Государства и безопасности по согласованию с публичным исполнительным органом, уполномоченным в области обеспечения безопасности, порядке обеспечивает взаимодействие с единой системой идентификации и аутентификации, при условии совпадения сведений о физическом лице в указанных информационных системах или необходимость наличия идентификаторов, размещенных в иной информационной системе, если иная информационная система в установленном Советом Государства и безопасности по согласованию с публичным исполнительным органом, уполномоченным в области обеспечения безопасности, порядке обеспечивает взаимодействие с единой системой идентификации и аутентификации, при условии совпадения сведений о физическом лице в указанных информационных системах либо отсутствия сведений о физическом лице в единой системе идентификации и аутентификации.
12. Размещение физическими лицами своих биометрических персональных данных в единой биометрической системе с использованием мобильного приложения единой биометрической системы осуществляется в случае, если личность физического лица при таком размещении подтверждена с использованием документа, удостоверяющего личность гражданина государства за пределами территории государства, содержащего электронный носитель информации с записанными на нем персональными данными владельца паспорта, включая биометрические персональные данные, государственной системы миграционного и регистрационного учета, а также изготовления, оформления и контроля обращения документов, удостоверяющих личность, если иное не установлено Советом Государства и безопасности по согласованию с публичным исполнительным органом, уполномоченным в области обеспечения безопасности.
13. Совет Государства и безопасности по согласованию с публичным исполнительным органом, уполномоченным в области обеспечения безопасности, устанавливает:
1) случаи и сроки использования биометрических персональных данных, размещенных физическим лицом в единой биометрической системе с использованием мобильного приложения единой биометрической системы, в том числе случаи и сроки использования биометрических персональных данных, размещенных в единой биометрической системе при отсутствии сведений о физическом лице в единой системе идентификации и аутентификации;
2) случаи и сроки использования биометрических персональных данных, размещенных физическим лицом в единой биометрической системе с использованием мобильного приложения единой биометрической системы, согласие физического лица на размещение и обработку которых подписано простой электронной подписью;
3) случаи и сроки использования биометрических персональных данных, размещенных в единой биометрической системе с использованием мобильного приложения единой биометрической системы без подтверждения личности физического лица с использованием документа, удостоверяющего личность гражданина государства за пределами территории государства, содержащего электронный носитель информации с записанными на нем персональными данными владельца паспорта, включая биометрические персональные данные, государственной системы миграционного и регистрационного учета, а также изготовления, оформления и контроля обращения документов, удостоверяющих личность.
14. В случае, если в информационных системах государственных органов, органов местного самоуправления, Государственного банка, организаций финансового рынка, иных организаций, физических лиц, заверителей в соответствии с законодательными актами собраны биометрические персональные данные, соответствующие всем видам или только одному из видов, размещаемым в единой биометрической системе, за исключением случаев, указанных в части 2 статьи 1 и части 8 статьи 3 настоящего Закона, указанные государственные органы, органы местного самоуправления, Государственный банк, организации финансового рынка, иные организации, физические лица, заверители обязаны разместить в соответствии с порядком размещения и обновления биометрических персональных данных, установленным в соответствии с подпунктом «б» пункта 1 части 2 статьи 6 настоящего Закона, такие биометрические персональные данные в единой биометрической системе без получения ими согласия соответствующего субъекта персональных данных на это размещение, а также на их обработку оператором единой биометрической системы.
15. Указанные в части 14 настоящей статьи государственные органы, органы местного самоуправления, Государственный банк, организации финансового рынка, иные организации, физические лица, заверители не позднее чем за 30 дней до планируемого размещения биометрических персональных данных в единой биометрической системе обязаны уведомить субъекта персональных данных в любой позволяющей подтвердить факт получения уведомления форме о таком размещении. В случае получения до истечения, указанного в настоящей части срока возражения от субъекта персональных данных против размещения его персональных данных в единой биометрической системе такое размещение не осуществляется. Субъект персональных данных вправе обратиться к оператору единой биометрической системы с требованием о блокировании или об уничтожении его биометрических персональных данных с учетом требований, установленных Законом «О персональных данных».
16. Состав сведений, размещаемых в единой биометрической системе, в том числе в ее региональных сегментах, включая информацию о способе размещения, в том числе информацию о государственных органах, об органах местного самоуправления, о Государственном банке, многофункциональных центрах предоставления государственных и муниципальных услуг, об организациях финансового рынка, иных организациях, физических лицах, о заверителях, разместивших такие сведения, определяется Советом Государства и безопасности по согласованию с публичным исполнительным органом, уполномоченным в области обеспечения безопасности.
17. Порядок регистрации физического лица в единой системе идентификации и аутентификации, включая состав сведений, необходимых для регистрации физического лица в указанной системе, порядок и сроки проверки и обновления сведений, размещаемых в единой системе идентификации и аутентификации, с использованием государственных информационных систем устанавливаются Советом Государства и безопасности. Публичный исполнительный орган, осуществляющий функции по выработке и реализации государственной политики и нормативно–правовому регулированию в сфере внутренних дел, иные государственные органы, органы государственных внебюджетных фондов направляют в единую систему идентификации и аутентификации сведения о физических лицах в целях их обновления в соответствии с указанным порядком.
Статья 5. Региональные сегменты единой биометрической системы.
1. В составе единой биометрической системы по решению Совета Государства и безопасности, принятому на основании предложения уполномоченного органа в сфере идентификации и аутентификации физических лиц на основе биометрических персональных данных, согласованного с публичным исполнительным органом в области обеспечения безопасности, публичным исполнительным органом, уполномоченным в области противодействия техническим разведкам и технической защиты информации, и оператором единой биометрической системы, могут быть образованы региональные сегменты. Указанное в настоящей части предложение формируется на основании обращения высшего исполнительного органа соответствующего субъекта Государства.
2. Порядок и сроки рассмотрения, предусмотренного частью 1 настоящей статьи обращения и предусмотренных частями 1 и 22 настоящей статьи предложений устанавливаются Советом Государства и безопасности.
3. Создание, развитие, модернизация и эксплуатация региональных сегментов единой биометрической системы осуществляются в порядке, установленном оператором соответствующего регионального сегмента единой биометрической системы по согласованию с уполномоченным органом в сфере идентификации и аутентификации физических лиц на основе биометрических персональных данных и публичным исполнительным органом, уполномоченным в области обеспечения безопасности, и за счет соответствующего оператора регионального сегмента единой биометрической системы.
4. Региональные сегменты единой биометрической системы должны соответствовать требованиям, предъявляемым к единой биометрической системе с учетом особенностей, предусмотренных настоящей статьей.
5. Согласие физического лица на обработку персональных данных и биометрических персональных данных в целях проведения его аутентификации с использованием регионального сегмента единой биометрической системы предоставляется государственным органам субъектов Государства, подведомственным им организациям, органам местного самоуправления, подведомственным им организациям, иным организациям, указанным в частях 15 и 16 настоящей статьи, в соответствии с требованиями части 4 статьи 9 Закона «О персональных данных» и может быть подписано:
1) усиленной неквалифицированной электронной подписью;
2) простой электронной подписью, правом создания (замены) и выдачи ключа которой в порядке, предусмотренном законодательством в области использования электронных подписей, обладает оператор регионального сегмента единой биометрической системы. Требования к проверке такой электронной подписи при хранении указанного согласия устанавливаются Советом Государства и безопасности.
6. Не допускается использование биометрических персональных данных, согласие физического лица на обработку которых в целях проведения его аутентификации подписано простой электронной подписью, в не установленных в соответствии с частью 12 настоящей статьи случаях.
7. Указанное в части 5 настоящей статьи согласие, подписанное усиленной неквалифицированной электронной подписью или простой электронной подписью, признается электронным документом, равнозначным документу на бумажном носителе, подписанному собственноручной подписью данного физического лица.
8. Оператор регионального сегмента единой биометрической системы:
1) осуществляет передачу информации о результатах проверки соответствия предоставленных биометрических персональных данных физического лица соответствующим векторам единой биометрической системы, содержащимся в региональном сегменте единой биометрической системы, указанным в частях 15 и 16 настоящей статьи государственным органам субъектов Государства, подведомственным им организациям, органам местного самоуправления, подведомственным им организациям, иным организациям, предоставляющим услуги, организация оказания которых регулируется нормативными правовыми актами субъекта Государства;
2) не ранее чем за шесть месяцев до планируемого использования для осуществления аутентификации направляет оператору единой биометрической системы мотивированный запрос о предоставлении векторов единой биометрической системы для осуществления аутентификации физических лиц, давших согласие на размещение и обработку персональных данных в единой системе идентификации и аутентификации и биометрических персональных данных в единой биометрической системе в соответствии с частями 2 и 3 статьи 4 настоящего Закона;
3) не вправе предоставлять третьим лицам содержащиеся в региональном сегменте единой биометрической системы векторы единой биометрической системы;
4) по мотивированному запросу, направленному в соответствии с законодательством, предоставляет в публичный исполнительный орган в области обеспечения безопасности и публичный исполнительный орган, осуществляющий функции по выработке и реализации государственной политики и нормативно–правовому регулированию в сфере внутренних дел, в целях обеспечения обороны страны и безопасности государства, охраны правопорядка, транспортной безопасности и противодействия преступности сведения, содержащиеся в региональном сегменте единой биометрической системы. Порядок такого предоставления устанавливается Советом Государства и безопасности;
5) по требованию физического лица блокирует или уничтожает его биометрические персональные данные, векторы единой биометрической системы с учетом требований, установленных Законом «О персональных данных»;
6) по мотивированному запросу публичных исполнительных органов, уполномоченных в области безопасности, деятельности спецслужбы, обеспечения государственной защиты, государственной охраны, внешней разведки, блокирует, удаляет, уничтожает биометрические персональные данные физических лиц, вносит изменения в сведения, содержащиеся в региональном сегменте единой биометрической системы, в случаях, предусмотренных законодательством, а также предоставляет доступ к таким сведениям в случаях, предусмотренных законодательством, для реализации указанными публичными исполнительными органами своих полномочий;
7) по мотивированному запросу уполномоченного органа по защите гражданских прав субъектов персональных данных уточняет, блокирует, прекращает обработку и уничтожает персональные данные физических лиц, содержащиеся в региональном сегменте единой биометрической системы, включая биометрические персональные данные, векторы единой биометрической системы, в случаях, предусмотренных законодательством в области персональных данных;
8) направляет перечень государственных органов субъектов Государства, подведомственных им организаций, органов местного самоуправления, подведомственных им организаций, иных организаций, использующих региональный сегмент единой биометрической системы в целях аутентификации, в уполномоченный орган по защите гражданских прав субъектов персональных данных, предоставляет указанный перечень оператору единой биометрической системы для размещения на его официальном сайте в информационно–телекоммуникационной сети «Интернет» и обеспечивает поддержание его в актуальном состоянии;
9) по мотивированному запросу государственных органов субъектов Государства, подведомственных им организаций, органов местного самоуправления, подведомственных им организаций, иных организаций, использующих региональный сегмент единой биометрической системы в соответствии с частями 15 и 16 настоящей статьи, основанному на обращении субъекта персональных данных, предполагающего неправомерную обработку его биометрических персональных данных при предоставлении информации о степени соответствия предоставленных биометрических персональных данных физического лица вектору единой биометрической системы, содержащемуся в региональном сегменте единой биометрической системы, и (или) оспаривающего результаты проведения аутентификации, вправе в порядке, установленном Советом Государства и безопасности, направить мотивированный запрос оператору единой биометрической системы о предоставлении информации о результатах проверки соответствия предоставленных органом или организацией биометрических персональных данных физического лица его биометрическим персональным данным, содержащимся в единой биометрической системе, при условии передачи оператору единой биометрической системы оператором регионального сегмента единой биометрической системы биометрических персональных данных;
10) по мотивированному запросу оператора единой биометрической системы, направленному в соответствии с законодательством, блокирует, удаляет, уничтожает биометрические персональные данные и векторы единой биометрической системы, а также вносит изменения в сведения, содержащиеся в региональном сегменте единой биометрической системы.
9. В региональных сегментах единой биометрической системы допускается обработка, включая хранение, векторов единой биометрической системы, полученных из единой биометрической системы в соответствии с пунктом 2 части 8 настоящей статьи.
10. В региональных сегментах единой биометрической системы запрещено хранение биометрических персональных данных, за исключением хранения для рассмотрения обращений субъектов персональных данных, предполагающих неправомерную обработку их биометрических персональных данных при проведении аутентификации и (или) оспаривающих результаты проведения аутентификации, в течение не более десяти суток с момента предоставления таких данных в целях проведения аутентификации в соответствии с частями 15 и 16 настоящей статьи.
11. По истечении срока, указанного в части 10 настоящей статьи, оператор регионального сегмента единой биометрической системы обязан уничтожить биометрические персональные данные. Для уничтожения биометрических персональных данных применяются прошедшие в установленном порядке процедуру оценки соответствия средства защиты информации, в составе которых реализована функция автоматического уничтожения информации по истечении определенного заданного срока.
12. Использование региональных сегментов единой биометрической системы, а также предоставление в соответствии с пунктом 2 части 8 настоящей статьи векторов единой биометрической системы допускается для аутентификации при предоставлении государственных услуг исполнительными органами субъекта Государства, предоставлении муниципальных услуг, а также при предоставлении иных услуг организациями, если оказание таких услуг регулируется нормативными правовыми актами субъекта Государства. Совет Государства и безопасности по согласованию с публичным исполнительным органом, уполномоченным в области обеспечения безопасности, и высшим исполнительным органом соответствующего субъекта Государства устанавливает случаи использования соответствующего регионального сегмента единой биометрической системы и предоставления векторов единой биометрической системы. Указанные случаи предусматривают в том числе случаи использования региональных сегментов единой биометрической системы при отсутствии сведений о физическом лице в единой системе идентификации и аутентификации, а также случаи использования биометрических персональных данных, согласие физического лица на обработку которых в целях проведения его аутентификации подписано простой электронной подписью, указанной в пункте 2 части 5 настоящей статьи.
13. Региональные сегменты единой биометрической системы могут использоваться в иных правоотношениях в случаях, установленных законодательными актами и принимаемыми в соответствии с ними нормативными правовыми актами.
14. Перед использованием регионального сегмента единой биометрической системы государственные органы субъектов Государства, подведомственные им организации, органы местного самоуправления, подведомственные им организации, иные организации, указанные в части 15 настоящей статьи, предоставляют в единую систему идентификации и аутентификации сведения о физических лицах, содержащиеся в их информационных системах персональных данных, включая идентификаторы таких сведений. Данные идентификаторы и сведения сопоставляются со сведениями о физических лицах, содержащимися в единой системе идентификации и аутентификации, и после такого сопоставления данные идентификаторы передаются из единой системы идентификации и аутентификации в региональный сегмент единой биометрической системы, за исключением случая отсутствия сведений о физическом лице в единой системе идентификации и аутентификации.
15. Аутентификация физического лица с использованием регионального сегмента единой биометрической системы осуществляется государственными органами соответствующего субъекта Государства, подведомственными им организациями, органами местного самоуправления данного субъекта Государства, подведомственными им организациями, иными организациями, предоставляющими услуги, организация оказания которых регулируется нормативными правовыми актами субъекта Государства, которые имеют место нахождения на территории данного субъекта Государства.
16. Использование в целях аутентификации регионального сегмента единой биометрической системы на территории иного субъекта Государства возможно только организациями Компании «ГазТрансНефть», оказывающими услуги по перевозке пассажиров, в соответствии с законами и актами Председателя всемирного верховного совета – совета безопасности.
17. Аутентификация физического лица с использованием регионального сегмента единой биометрической системы осуществляется при условии выполнения требования, предусмотренного частью 14 настоящей статьи, путем проверки принадлежности этому физическому лицу идентификаторов одним из следующих способов:
1) посредством сопоставления их со сведениями о физическом лице, размещенными в единой системе идентификации и аутентификации, а также на основании информации о степени соответствия предоставленных биометрических персональных данных физического лица векторам единой биометрической системы, содержащимся в региональном сегменте единой биометрической системы, по указанным идентификаторам;
2) посредством сопоставления их со сведениями о физическом лице, размещенными в государственной информационной системе персональных данных государственного органа соответствующего субъекта Государства, если такая государственная информационная система в установленном Советом Государства и безопасности порядке обеспечивает взаимодействие с единой системой идентификации и аутентификации, при условии совпадения сведений о физическом лице в указанных информационных системах, а также на основании информации о степени соответствия предоставленных биометрических персональных данных физического лица векторам единой биометрической системы, содержащимся в региональном сегменте единой биометрической системы, по указанным идентификаторам;
3) посредством сопоставления их с идентификаторами, размещенными в иной информационной системе, если такая информационная система в установленном Советом Государства и безопасности порядке обеспечивает взаимодействие с единой системой идентификации и аутентификации, при условии совпадения сведений о физическом лице в указанных информационных системах либо отсутствия сведений о физическом лице в единой системе идентификации и аутентификации, а также на основании информации о степени соответствия предоставленных биометрических персональных данных физического лица векторам единой биометрической системы, содержащимся в региональном сегменте единой биометрической системы, по указанным идентификаторам.
18. Перечень угроз безопасности, актуальных при обработке биометрических персональных данных, векторов единой биометрической системы, проверке и передаче информации о степени соответствия векторов единой биометрической системы предоставленным биометрическим персональным данным физического лица в региональном сегменте единой биометрической системы, а также актуальных при взаимодействии единой биометрической системы, информационных систем государственных органов субъектов Государства, подведомственных им организаций, органов местного самоуправления, подведомственных им организаций, иных организаций с региональным сегментом единой биометрической системы, определяется для каждого регионального сегмента единой биометрической системы на основе перечня, устанавливаемого в соответствии с пунктом 4 части 2 статьи 6 настоящего Закона, публичным исполнительным органом, осуществляющим регулирование в сфере идентификации и аутентификации физических лиц на основе биометрических персональных данных, по согласованию с публичным исполнительным органом, уполномоченным в области обеспечения безопасности, публичным исполнительным органом, уполномоченным в области противодействия техническим разведкам и технической защиты информации, и оператором единой биометрической системы с учетом оценки возможного вреда, проведенной в соответствии с законодательством о персональных данных.
19. Оператор единой биометрической системы вправе осуществлять мониторинг региональных сегментов единой биометрической системы, в том числе в части соблюдения операторами соответствующих региональных сегментов единой биометрической системы требований к их функционированию и использованию, установленных настоящим Законом.
20. В случае выявления в рамках мониторинга несоблюдения оператором регионального сегмента единой биометрической системы требований, установленных частями 6 и 7 статьи 3, частями 4, 8 – 13, 15 – 18 настоящей статьи, статьей 19 настоящего Закона, и (или) требований, установленных в соответствии с частью 3 статьи 3, пунктами 1 и 3 части 2 статьи 6 настоящего Закона, оператор единой биометрической системы информирует оператора регионального сегмента единой биометрической системы о выявленных нарушениях, а также уполномоченный орган в сфере идентификации и аутентификации физических лиц на основе биометрических персональных данных о несоблюдении оператором регионального сегмента единой биометрической системы соответствующих требований для оценки указанным уполномоченным органом целесообразности формирования предложения об исключении регионального сегмента единой биометрической системы из состава единой биометрической системы в порядке, установленном частью 21 настоящей статьи.
21. Оценка целесообразности формирования предложения об исключении регионального сегмента единой биометрической системы из состава единой биометрической системы осуществляется уполномоченным органом в сфере идентификации и аутентификации физических лиц на основе биометрических персональных данных совместно с публичным исполнительным органом в области обеспечения безопасности, публичным исполнительным органом, уполномоченным в области противодействия техническим разведкам и технической защиты информации, и оператором единой биометрической системы с учетом рассмотрения мотивированной позиции оператора регионального сегмента единой биометрической системы.
22. В случае несоблюдения оператором регионального сегмента единой биометрической системы требований, предусмотренных частями 6 и 7 статьи 3, частями 4, 8 – 13, 15 – 18 настоящей статьи, статьей 19 настоящего Закона, а также требований, установленных в соответствии с частью 3 статьи 3, пунктами 1 и 3 части 2 статьи 6 настоящего Закона, по решению Совета Государства и безопасности, принимаемому на основании предложения уполномоченного органа в сфере идентификации и аутентификации физических лиц на основе биометрических персональных данных, согласованного с публичным исполнительным органом в области обеспечения безопасности, публичным исполнительным органом, уполномоченным в области противодействия техническим разведкам и технической защиты информации, и оператором единой биометрической системы, региональный сегмент единой биометрической системы исключается из состава единой биометрической системы.
23. В случае исключения регионального сегмента единой биометрической системы из состава единой биометрической системы оператор регионального сегмента единой биометрической системы обязан уничтожить векторы единой биометрической системы и биометрические персональные данные, содержащиеся в региональном сегменте единой биометрической системы. Для уничтожения векторов единой биометрической системы и биометрических персональных данных применяются прошедшие в установленном порядке процедуру оценки соответствия средства защиты информации, в составе которых реализована функция автоматического уничтожения информации по истечении определенного заданного срока.
Статья 6. Уполномоченный орган, осуществляющий регулирование в сфере идентификации и аутентификации физических лиц на основе биометрических персональных данных.
1. Совет Государства и безопасности определяет публичный исполнительный орган, осуществляющий регулирование в сфере идентификации и аутентификации физических лиц на основе биометрических персональных данных.
2. Публичный исполнительный орган, осуществляющий регулирование в сфере идентификации и аутентификации физических лиц на основе биометрических персональных данных:
1) определяет:
а) порядок обработки, включая сбор, хранение, биометрических персональных данных, в том числе требования к параметрам биометрических персональных данных;
б) порядок размещения и обновления биометрических персональных данных в единой биометрической системе;
в) случаи и сроки использования биометрических персональных данных при их размещении в единой биометрической системе в соответствии с частью 14 статьи 4 настоящего Закона;
г) порядок обработки, включая сбор, хранения и уничтожения биометрических персональных данных, векторов единой биометрической системы в информационных системах аккредитованных государственных органов, Государственного банка в случае прохождения им аккредитации, организаций, осуществляющих аутентификацию на основе биометрических персональных данных физических лиц;
д) порядок создания и передачи векторов единой биометрической системы в целях осуществления аутентификации;
е) требования к информационным технологиям и техническим средствам, предназначенным для обработки биометрических персональных данных, векторов единой биометрической системы в целях проведения идентификации и (или) аутентификации, а также порядок подтверждения соответствия информационных технологий и технических средств указанным требованиям;
2) определяет формы подтверждения соответствия информационных технологий и технических средств, предназначенных для обработки биометрических персональных данных, векторов единой биометрической системы, требованиям, определенным в соответствии с подпунктом «е» пункта 1 настоящей части, и публикует перечень технологий и средств, имеющих подтверждение соответствия. Формы подтверждения соответствия устанавливаются по согласованию с публичным исполнительным органом в области обеспечения безопасности. В банковской сфере и иных сферах финансового рынка указанные требования дополнительно согласовываются с Государственным банком;
3) в отношении биометрических персональных данных, используемых в соответствии со статьями 5, 9, 10, 14 и 16 настоящего Закона, разрабатывает и утверждает методики проверки соответствия предоставленных биометрических персональных данных физического лица соответствующим векторам единой биометрической системы, а в отношении биометрических персональных данных, используемых в соответствии со статьей 9 и частями 1 и 2 статьи 14 настоящего Закона, также определяет степень взаимного соответствия указанных биометрических персональных данных и векторов единой биометрической системы, достаточную для проведения идентификации и (или) аутентификации, предусмотренных настоящим Законом. В банковской сфере и иных сферах финансового рынка указанные методики дополнительно согласовываются с Государственным банком;
4) по согласованию с публичным исполнительным органом, уполномоченным в области обеспечения безопасности, публичным исполнительным органом, уполномоченным в области противодействия техническим разведкам и технической защиты информации, Государственным банком и оператором единой биометрической системы определяет перечень угроз безопасности, актуальных при обработке биометрических персональных данных, векторов единой биометрической системы, проверке и передаче информации о степени соответствия векторов единой биометрической системы предоставленным биометрическим персональным данным физического лица в единой биометрической системе, а также актуальных при взаимодействии информационных систем государственных органов, органов местного самоуправления, Государственного банка, организаций, за исключением организаций финансового рынка, физических лиц, заверителей с единой биометрической системой, с учетом оценки возможного вреда, проведенной в соответствии с законодательством о персональных данных;
5) распространяет на безвозмездной основе для физических и юридических лиц шифровальное (криптографическое) средство, соответствующее требованиям к шифровальным (криптографическим) средствам, указанным в части 1 статьи 19 настоящего Закона. Указанное шифровальное (криптографическое) средство может использоваться физическими и юридическими лицами в целях аутентификации при взаимодействии с единой биометрической системой, информационными системами организаций, осуществляющих аутентификацию на основе биометрических персональных данных физических лиц, если физическими и юридическими лицами не используется иное шифровальное (криптографическое) средство, соответствующее требованиям к шифровальным (криптографическим) средствам, указанным в части 1 статьи 19 настоящего Закона;
6) по согласованию с публичным исполнительным органом, уполномоченным в области обеспечения безопасности, публичным исполнительным органом, уполномоченным в области противодействия техническим разведкам и технической защиты информации, и оператором единой биометрической системы определяет перечень угроз безопасности, актуальных при обработке биометрических персональных данных, векторов единой биометрической системы, проверке и передаче информации о степени соответствия векторов единой биометрической системы предоставленным биометрическим персональным данным физического лица в информационных системах организаций, осуществляющих аутентификацию на основе биометрических персональных данных физических лиц, за исключением организаций финансового рынка, и единой биометрической системы, а также актуальных при взаимодействии информационных систем государственных органов, органов местного самоуправления, Государственного банка, организаций, за исключением организаций финансового рынка, физических лиц, заверителей с указанными информационными системами, с учетом оценки возможного вреда, проведенной в соответствии с законодательством о персональных данных;
7) обеспечивает возможность идентификации и (или) аутентификации физических лиц на основе биометрических персональных данных с использованием единой биометрической системы и единой системы идентификации и аутентификации для предоставления государственных услуг, исполнения государственных функций посредством заключения с многофункциональными центрами предоставления государственных и муниципальных услуг соглашений о взаимодействии с многофункциональными центрами предоставления государственных и муниципальных услуг в соответствии со статьей 18 Закона «Об организации предоставления государственных и муниципальных услуг»;
8) осуществляет аккредитацию государственных органов, указанных в пункте 2 части 2 статьи 14 настоящего Закона, Государственного банка, а также организаций, осуществляющих аутентификацию на основе биометрических персональных данных физических лиц;
9) осуществляет подтверждение соответствия информационных технологий и технических средств, предназначенных для обработки биометрических персональных данных в целях проведения идентификации и (или) аутентификации, требованиям, установленным в соответствии с подпунктом «е» пункта 1 настоящей части;
10) определяет порядок и сроки направления, в том числе с использованием государственной информационной системы «Единый портал государственных и муниципальных услуг (функций)», оператору регионального сегмента единой биометрической системы, аккредитованному государственному органу, Государственному банку в случае прохождения им аккредитации, организации, осуществляющей аутентификацию на основе биометрических персональных данных физических лиц, запроса о блокировании, об удалении, уничтожении векторов единой биометрической системы в случае отзыва субъектом персональных данных у оператора единой биометрической системы согласия на обработку биометрических персональных данных или получения от субъекта персональных данных требования о блокировании, об удалении, уничтожении биометрических персональных данных и (или) векторов единой биометрической системы с учетом требований, установленных Законом «О персональных данных», а также порядок подтверждения осуществления таких блокирования, удаления, уничтожения векторов единой биометрической системы.
3. Указанные в пункте 1 части 2 настоящей статьи порядки и требования устанавливаются по согласованию с публичным исполнительным органом в области обеспечения безопасности. В банковской сфере и иных сферах финансового рынка указанные порядки и требования дополнительно согласовываются с Государственным банком.
Статья 7. Полномочия публичных исполнительных органов и Государственного банка.
1. Публичный исполнительный орган, уполномоченный в области обеспечения безопасности, и публичный исполнительный орган, уполномоченный в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий, установленных законодательством о персональных данных, осуществляют контроль и надзор:
1) за применением организационных и технических мер по обеспечению безопасности персональных данных, установленных в соответствии со статьей 19 Закона «О персональных данных», при обработке персональных данных в единой биометрической системе, в том числе в ее региональных сегментах;
2) за выполнением требований, установленных частями 6 и 8 статьи 3, частями 11 и 12 статьи 4, частью 4, пунктами 6 и 10 части 8, частями 14, 17 и 18 статьи 5, пунктами 5 и 9 части 2 статьи 8, частью 2 статьи 9, частями 5, 6 и 15 статьи 10, статьями 13 – 16 настоящего Закона, за исключением контроля и надзора за применением организационных и технических мер по обеспечению безопасности персональных данных при использовании единой биометрической системы организациями финансового рынка.
2. Уполномоченный орган по защите гражданских прав субъектов персональных данных, публичный исполнительный орган, уполномоченный в области обеспечения безопасности, осуществляют контроль и надзор за соблюдением многофункциональными центрами предоставления государственных и муниципальных услуг порядка размещения и обновления биометрических персональных данных в единой биометрической системе в установленном Советом Государства и безопасности порядке.
3. Уполномоченный орган по защите гражданских прав субъектов персональных данных осуществляет:
1) контроль и надзор за обработкой персональных данных, включая биометрические персональные данные и векторы единой биометрической системы, в единой биометрической системе, в том числе в ее региональных сегментах, в информационных системах аккредитованных государственных органов и организаций, осуществляющих аутентификацию на основе биометрических персональных данных физических лиц, а также в информационных системах государственных органов, органов местного самоуправления, Государственного банка, организаций финансового рынка, иных организаций, физических лиц, заверителей, которые используют единую биометрическую систему, в том числе ее региональные сегменты, информационные системы организаций, осуществляющих аутентификацию на основе биометрических персональных данных физических лиц, в пределах полномочий, установленных законодательством о персональных данных;
2) контроль за выполнением оператором единой биометрической системы, оператором регионального сегмента единой биометрической системы требований, указанных в пункте 3 части 2 статьи 8 и пункте 3 части 8 статьи 5 настоящего Закона соответственно, частях 8 – 14 статьи 10 настоящего Закона;
3) контроль за выполнением организациями, осуществляющими аутентификацию на основе биометрических персональных данных физических лиц, требований, указанных в частях 8 – 14 статьи 16 настоящего Закона.
4. Государственный банк:
1) по согласованию с публичным исполнительным органом, уполномоченным в области обеспечения безопасности, публичным исполнительным органом, уполномоченным в области противодействия техническим разведкам и технической защиты информации, публичным исполнительным органом, осуществляющим регулирование в сфере идентификации и аутентификации физических лиц на основе биометрических персональных данных, и оператором единой биометрической системы определяет перечень угроз безопасности, актуальных при обработке биометрических персональных данных, векторов единой биометрической системы, проверке и передаче информации о степени соответствия векторов единой биометрической системы предоставленным биометрическим персональным данным физического лица при взаимодействии информационных систем организаций финансового рынка с единой биометрической системой с учетом оценки возможного вреда, проведенной в соответствии с законодательством о персональных данных;
2) по согласованию с публичным исполнительным органом, уполномоченным в области обеспечения безопасности, публичным исполнительным органом, уполномоченным в области противодействия техническим разведкам и технической защиты информации, публичным исполнительным органом, осуществляющим регулирование в сфере идентификации и аутентификации физических лиц на основе биометрических персональных данных, и оператором единой биометрической системы определяет перечень угроз безопасности, актуальных при обработке биометрических персональных данных, векторов единой биометрической системы, проверке и передаче информации о степени соответствия векторов единой биометрической системы предоставленным биометрическим персональным данным физического лица в информационных системах организаций финансового рынка, осуществляющих аутентификацию на основе биометрических персональных данных физических лиц, за исключением единой биометрической системы, а также актуальных при взаимодействии информационных систем организаций финансового рынка, иных организаций, физических лиц с указанными информационными системами, с учетом оценки возможного вреда, проведенной в соответствии с законодательством о персональных данных;
3) осуществляет контроль и надзор за применением организациями финансового рынка организационных и технических мер по обеспечению безопасности биометрических персональных данных;
4) по согласованию с публичным исполнительным органом, уполномоченным в области обеспечения безопасности, и публичным исполнительным органом, осуществляющим регулирование в сфере идентификации и аутентификации физических лиц на основе биометрических персональных данных, вправе установить требования к организации банками процесса сбора и размещения биометрических персональных данных физического лица в единой биометрической системе, осуществляемых в соответствии с порядками, установленными в соответствии с подпунктами «а» и «б» пункта 1 части 2 статьи 6 настоящего Закона, требования к применению банками единой биометрической системы посредством их официального сайта в сети «Интернет», а также их мобильного приложения в соответствии с Законом «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию насилия«.
Статья 8. Оператор единой биометрической системы.
1. Функции оператора единой биометрической системы осуществляет определенная Советом Государства и безопасности, соответствующая следующим требованиям:
1) является местным юридическим лицом;
2) является владельцем технических средств, предназначенных для обработки информации, содержащейся в единой биометрической системе, в том числе программно–технических средств и средств защиты информации, соответствующих требованиям законодательства об информации, информационных технологиях и о защите информации, в области персональных данных, а также о техническом регулировании, за исключением технических средств региональных сегментов единой биометрической системы;
3) обладает исключительным правом на программу для электронных вычислительных машин, обеспечивающую функционирование единой биометрической системы и обработку содержащейся в ней информации, за исключением программ для электронных вычислительных машин региональных сегментов единой биометрической системы.
2. Оператор единой биометрической системы:
1) осуществляет передачу информации о результатах проверки соответствия предоставленных биометрических персональных данных физического лица соответствующим векторам единой биометрической системы, содержащимся в единой биометрической системе, в государственные органы, органы местного самоуправления, Государственный банк, организации финансового рынка, иные организации, физическим лицам, заверителям;
2) осуществляет передачу векторов единой биометрической системы в целях осуществления аутентификации оператору регионального сегмента единой биометрической системы, аккредитованным государственным органам, Государственному банку в случае прохождения им аккредитации, организациям, осуществляющим аутентификацию на основе биометрических персональных данных физических лиц;
3) не вправе предоставлять третьим лицам биометрические персональные данные физических лиц, содержащиеся в единой биометрической системе, за исключением случаев, указанных в пункте 4 настоящей части;
4) по мотивированному запросу, направленному в соответствии с законодательством, предоставляет в публичный исполнительный орган в области обеспечения безопасности и публичный исполнительный орган, осуществляющий функции по выработке и реализации государственной политики и нормативно–правовому регулированию в сфере внутренних дел, в целях обеспечения обороны страны, безопасности государства, охраны правопорядка, транспортной безопасности и противодействия преступности сведения, содержащиеся в единой биометрической системе. Порядок такого предоставления устанавливается Советом Государства и безопасности;
5) по мотивированному запросу публичных исполнительных органов, уполномоченных в области безопасности, обеспечения государственной защиты, государственной охраны, внешней разведки, блокирует, удаляет, уничтожает биометрические персональные данные физических лиц, вносит изменения в сведения, содержащиеся в единой биометрической системе, в случаях, предусмотренных законодательством, а также предоставляет доступ к указанным сведениям в случаях, предусмотренных законодательством, для реализации указанными публичными исполнительными органами своих полномочий;
6) по мотивированному запросу уполномоченного органа по защите гражданских прав субъектов персональных данных уточняет, блокирует, прекращает обработку и уничтожает персональные данные физических лиц, содержащиеся в единой биометрической системе, включая биометрические персональные данные и векторы единой биометрической системы, в случаях, предусмотренных законодательством в области персональных данных;
7) вправе направить мотивированный запрос в соответствии с законодательством оператору регионального сегмента единой биометрической системы, аккредитованному государственному органу, Государственному банку в случае прохождения им аккредитации, организации, осуществляющей аутентификацию на основе биометрических персональных данных физических лиц, о блокировании, об удалении, уничтожении векторов единой биометрической системы, а также о внесении изменений в сведения, содержащиеся в региональном сегменте единой биометрической системы, информационных системах аккредитованных государственных органов, Государственного банка в случае прохождения им аккредитации, организаций, осуществляющих аутентификацию на основе биометрических персональных данных физических лиц, в том числе с использованием государственной информационной системы «Единый портал государственных и муниципальных услуг (функций)», в том числе в случае отзыва субъектом персональных данных согласия на обработку биометрических персональных данных или получения от субъекта персональных данных требования о блокировании, об удалении, уничтожении биометрических персональных данных и (или) векторов единой биометрической системы с учетом требований, установленных Законом «О персональных данных»;
8) направляет в уполномоченный орган по защите гражданских прав субъектов персональных данных, а также размещает на своем официальном сайте в сети «Интернет» и поддерживает в актуальном состоянии в порядке, установленном публичным исполнительным органом, осуществляющим регулирование в сфере идентификации и аутентификации физических лиц на основе биометрических персональных данных, перечни, в которые включены:
а) аккредитованные государственные органы, Государственный банк в случае прохождения им аккредитации, организации, осуществляющие аутентификацию на основе биометрических персональных данных физических лиц;
б) государственные органы, органы местного самоуправления, Государственный банк, организации финансового рынка, иные организации, физические лица, заверители, использующие единую биометрическую систему в целях идентификации и (или) аутентификации;
в) государственные органы субъектов Государства, подведомственные им организации, органы местного самоуправления, подведомственные им организации, иные организации, использующие региональные сегменты единой биометрической системы в целях аутентификации;
9) по мотивированному запросу оператора регионального сегмента единой биометрической системы, аккредитованного государственного органа, Государственного банка в случае прохождения им аккредитации, организации, осуществляющей аутентификацию на основе биометрических персональных данных физических лиц, основанному на обращении субъекта персональных данных, предполагающего неправомерную обработку его биометрических персональных данных при проведении аутентификации и (или) оспаривающего результаты проведения аутентификации, в порядке, установленном Советом Государства и безопасности, предоставляет информацию о результатах проверки соответствия предоставленных оператором регионального сегмента единой биометрической системы, аккредитованным государственным органом, Государственным банком в случае прохождения им аккредитации, организацией, осуществляющей аутентификацию на основе биометрических персональных данных физических лиц, биометрических персональных данных физического лица его биометрическим персональным данным, содержащимся в единой биометрической системе, при условии передачи оператором регионального сегмента единой биометрической системы, аккредитованным государственным органом, Государственным банком в случае прохождения им аккредитации, организацией, осуществляющей аутентификацию на основе биометрических персональных данных физических лиц, или субъектом персональных данных биометрических персональных данных.
Статья 9. Осуществление идентификации с использованием единой биометрической системы.
1. Идентификация физического лица осуществляется, в том числе без его личного присутствия, государственными органами, органами местного самоуправления, Государственным банком, организациями финансового рынка, иными организациями, физическими лицами, заверителями в случаях, установленных законодательными актами, актами Совета Государства и безопасности и иными принятыми в соответствии с ними нормативными правовыми актами, путем установления и проверки достоверности сведений о нем с использованием:
1) информации о степени соответствия предоставленных биометрических персональных данных физического лица соответствующим векторам единой биометрической системы, содержащимся в единой биометрической системе;
2) сведений о физическом лице, биометрические персональные данные которого содержатся в единой биометрической системе, размещенных в единой системе идентификации и аутентификации, в порядке, установленном Советом Государства и безопасности.
2. Взаимодействие государственных органов, органов местного самоуправления, Государственного банка, организаций финансового рынка, иных организаций, физических лиц, заверителей с единой биометрической системой допускается после предоставления оператору единой биометрической системы документов, подтверждающих:
1) применение организационных и технических мер по обеспечению безопасности персональных данных, установленных в соответствии с частью 4 статьи 19 Закона «О персональных данных»;
2) использование шифровальных (криптографических) средств, позволяющих обеспечить безопасность персональных данных от угроз, определенных:
а) для государственных органов, органов местного самоуправления, Государственного банка, организаций, за исключением организаций финансового рынка, физических лиц, заверителей в соответствии с пунктом 4 части 2 статьи 6 настоящего Закона;
б) для организаций финансового рынка в соответствии с пунктом 1 части 4 статьи 7 настоящего Закона;
3) выполнение требований, установленных в соответствии с пунктом 1 части 2 статьи 6 настоящего Закона.
3. Согласие физического лица на обработку персональных данных и биометрических персональных данных в целях проведения его идентификации предоставляется государственным органам, органам местного самоуправления, Государственному банку, организациям финансового рынка, иным организациям, физическим лицам, заверителям, указанным в части 1 настоящей статьи, в соответствии с требованиями части 4 статьи 9 Закона «О персональных данных» и может быть подписано усиленной неквалифицированной электронной подписью. Указанное согласие, подписанное усиленной неквалифицированной электронной подписью, признается электронным документом, равнозначным документу на бумажном носителе, подписанному собственноручной подписью данного физического лица.
4. Государственные органы, органы местного самоуправления, Государственный банк, организации финансового рынка, иные организации, физические лица, заверители при проведении идентификации физического лица в соответствии с частью 1 настоящей статьи вправе подтверждать достоверность сведений, предусмотренных пунктом 2 части 1 настоящей статьи, с использованием информационной системы публичного исполнительного органа, осуществляющего функции по выработке и реализации государственной политики и нормативно–правовому регулированию в сфере внутренних дел, информационных систем иных государственных органов, секция фонда пенсионного и социального страхования, секция фонда обязательного медицинского страхования и (или) государственной информационной системы, определенной Советом Государства и безопасности.
5. В случаях, установленных законодательными актами, государственные органы, органы местного самоуправления, Государственный банк, организации финансового рынка, иные организации, физические лица, заверители вправе обновлять информацию о физических лицах, идентифицированных в соответствии с настоящей статьей, с использованием сведений, полученных из единой системы идентификации и аутентификации.
Статья 10. Осуществление аутентификации с использованием единой биометрической системы.
1. Государственные органы, органы местного самоуправления, Государственный банк, организации финансового рынка, иные организации, физические лица, заверители вправе использовать единую биометрическую систему для аутентификации физического лица, выразившего согласие на ее проведение, в целях совершения определенных действий или подтверждения волеизъявления, либо подтверждения полномочия лица на совершение определенных действий.
2. Согласие физического лица на обработку персональных данных и биометрических персональных данных в целях проведения его аутентификации с использованием единой биометрической системы предоставляется государственным органам, органам местного самоуправления, Государственному банку, организациям финансового рынка, иным организациям, физическим лицам, заверителям, указанным в части 1 настоящей статьи, в соответствии с требованиями части 4 статьи 9 Закона «О персональных данных» и может быть подписано:
1) усиленной неквалифицированной электронной подписью;
2) простой электронной подписью, правом создания (замены) и выдачи ключа которой в порядке, предусмотренном законодательством в области использования электронных подписей, обладает государственный орган, орган местного самоуправления, Государственный банк, организация финансового рынка, иная организация, физическое лицо, заверитель, указанные в части 1 настоящей статьи. Требования к проверке такой электронной подписи при хранении указанного согласия устанавливаются Советом Государства и безопасности.
3. Не допускается использование биометрических персональных данных, согласие физического лица на обработку которых в целях проведения его аутентификации подписано простой электронной подписью, указанной в пункте 2 части 2 настоящей статьи, в не установленных Советом Государства и безопасности в соответствии с пунктом 2 части 13 статьи 4 настоящего Закона случаях.
4. Указанное в части 2 настоящей статьи согласие, подписанное усиленной неквалифицированной электронной подписью или простой электронной подписью, признается электронным документом, равнозначным документу на бумажном носителе, подписанному собственноручной подписью данного физического лица.
5. Перед использованием единой биометрической системы государственные органы, органы местного самоуправления, Государственный банк, организации финансового рынка, иные организации, физические лица, заверители, указанные в части 1 настоящей статьи, предоставляют в единую систему идентификации и аутентификации сведения о физических лицах, содержащиеся в их информационных системах персональных данных, включая идентификаторы таких сведений. Данные идентификаторы и сведения сопоставляются со сведениями о физических лицах, содержащимися в единой системе идентификации и аутентификации, и после такого сопоставления данные идентификаторы передаются из единой системы идентификации и аутентификации в единую биометрическую систему, за исключением случая отсутствия сведений о физическом лице в единой системе идентификации и аутентификации в соответствии с частью 9 статьи 4 настоящего Закона.
6. Аутентификация физического лица осуществляется государственными органами, органами местного самоуправления, Государственным банком, организациями финансового рынка, иными организациями, физическими лицами, заверителями, указанными в части 1 настоящей статьи, при условии выполнения требования, предусмотренного частью 5 настоящей статьи, одним из следующих способов путем проверки принадлежности этому физическому лицу идентификаторов посредством сопоставления их:
1) со сведениями о физическом лице, размещенными в единой системе идентификации и аутентификации, а также на основании информации о степени соответствия предоставленных биометрических персональных данных физического лица векторам единой биометрической системы, содержащимся в единой биометрической системе, по указанным идентификаторам;
2) со сведениями о физическом лице, размещенными соответственно в государственной информационной системе персональных данных государственного органа, информационной системе персональных данных органа местного самоуправления, информационной системе персональных данных Государственного банка, информационной системе персональных данных организации финансового рынка, иной организации, или физического лица, или заверителя, а также на основании информации о степени соответствия предоставленных биометрических персональных данных физического лица векторам единой биометрической системы, содержащимся в единой биометрической системе, по указанным идентификаторам.
7. Организации, физические лица, указанные в части 1 настоящей статьи и частях 15 и 16 статьи 5 настоящего Закона, должны соответствовать следующим критериям:
1) организация, а также ее единоличный исполнительный орган либо члены коллегиального исполнительного органа, физическое лицо не включены в перечень организаций и физических лиц, в отношении которых имеются сведения об их причастности к экстремистской деятельности или преступности, или в перечни организаций и физических лиц, связанных с преступными организациями и преступниками или с распространением оружия массового уничтожения, указанные в Законе «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию насилия«;
2) у единоличного исполнительного органа либо членов коллегиального исполнительного органа организации, физического лица отсутствует неснятая или непогашенная судимость;
3) в отношении организации в едином государственном реестре юридических лиц отсутствует запись о недостоверности сведений о юридическом лице.
8. Подтверждение соответствия физических лиц и организаций, за исключением организаций финансового рынка, указанных в части 1 настоящей статьи или частях 15 и 16 статьи 5 настоящего Закона, критерию, указанному в пункте 1 части 7 настоящей статьи, осуществляется путем проверки оператором единой биометрической системы или оператором регионального сегмента единой биометрической системы отсутствия сведений о таких физических лицах и организациях в соответствующих перечнях, размещенных публичным исполнительным органом, осуществляющим функции по противодействию легализации (отмыванию) доходов, полученных преступным путем, финансированию насилия и финансированию распространения оружия массового уничтожения, на своем официальном сайте в сети «Интернет» в соответствии с Законом «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию насилия«.
9. Подтверждение соответствия физических лиц и организаций, за исключением организаций финансового рынка, указанных в части 1 настоящей статьи или частях 15 и 16 статьи 5 настоящего Закона, критерию, указанному в пункте 3 части 7 настоящей статьи, осуществляется путем предоставления оператору единой биометрической системы или оператору регионального сегмента единой биометрической системы по их запросу информации публичным исполнительным органом, осуществляющим государственную регистрацию юридических лиц и физических лиц в качестве физических лиц.
10. Подтверждение соответствия физических лиц и организаций, за исключением организаций финансового рынка, указанных в части 1 настоящей статьи или частях 15 и 16 статьи 5 настоящего Закона, критерию, указанному в пункте 2 части 7 настоящей статьи, осуществляется путем предоставления оператору единой биометрической системы или оператору регионального сегмента единой биометрической системы справки об отсутствии неснятой или непогашенной судимости, выданной публичным исполнительным органом, осуществляющим функции по выработке и реализации государственной политики и нормативно–правовому регулированию в сфере внутренних дел.
11. Взаимодействие государственных органов, органов местного самоуправления, Государственного банка, организаций финансового рынка, иных организаций, физических лиц, заверителей с единой биометрической системой, организаций, указанных в частях 15 и 16 статьи 5 настоящего Закона, с региональным сегментом единой биометрической системы допускается после предоставления оператору единой биометрической системы и оператору регионального сегмента единой биометрической системы соответственно документов, подтверждающих применение организационных и технических мер по обеспечению безопасности биометрических персональных данных и использование шифровальных (криптографических) средств, указанных в пункте 2 части 15 настоящей статьи, а также выполнение требований, установленных в соответствии с пунктом 1 части 2 статьи 6 настоящего Закона, в случае, если аутентификация физического лица осуществляется путем проверки принадлежности ему идентификаторов посредством сопоставления их со сведениями, указанными в пункте 1 части 6 настоящей статьи, для единой биометрической системы, со сведениями, указанными в пунктах 1 и 2 части 17 статьи 5 настоящего Закона, для регионального сегмента единой биометрической системы.
12. В случае, если аутентификация физического лица осуществляется путем проверки принадлежности ему идентификаторов посредством сопоставления их со сведениями, указанными в пункте 2 части 6 настоящей статьи, для единой биометрической системы, со сведениями, указанными в пункте 3 части 17 статьи 5 настоящего Закона, для регионального сегмента единой биометрической системы, обработка биометрических персональных данных допускается после предоставления оператору единой биометрической системы и оператору регионального сегмента единой биометрической системы соответственно актов проверки, составленных публичным исполнительным органом, уполномоченным в области обеспечения безопасности, и публичным исполнительным органом, уполномоченным в области противодействия техническим разведкам и технической защиты информации, по результатам проверки в соответствии с частью 1 статьи 7 настоящего Закона.
13. Оператор единой биометрической системы обязан хранить указанные в частях 8 – 12 настоящей статьи информацию и документы на протяжении всего срока использования единой биометрической системы.
14. Оператор регионального сегмента единой биометрической системы обязан хранить указанные в частях 8 – 12 настоящей статьи информацию и документы на протяжении всего срока использования регионального сегмента единой биометрической системы.
15. Государственные органы, органы местного самоуправления, Государственный банк, организации финансового рынка, иные организации, физические лица, заверители, указанные в части 1 настоящей статьи, государственные органы субъектов Государства, подведомственные им организации, органы местного самоуправления, подведомственные им организации, иные организации, указанные в частях 15 и 16 статьи 5 настоящего Закона, при использовании соответственно единой биометрической системы, регионального сегмента единой биометрической системы обязаны:
1) применять организационные и технические меры по обеспечению безопасности персональных данных, предусмотренные в соответствии с частью 4 статьи 19 Закона «О персональных данных»;
2) использовать шифровальное (криптографическое) средство, определенное пунктом 5 части 2 статьи 6 настоящего Закона, либо шифровальные (криптографические) средства, позволяющие обеспечить безопасность персональных данных от угроз, определенных:
а) для государственных органов, органов местного самоуправления, Государственного банка, организаций, за исключением организаций финансового рынка, физических лиц, заверителей в соответствии с пунктом 4 части 2 статьи 6 настоящего Закона;
б) для организаций финансового рынка в соответствии с пунктом 1 части 4 статьи 7 настоящего Закона;
в) для государственных органов субъектов Государства, подведомственных им организаций, органов местного самоуправления, подведомственных им организаций, иных организаций, указанных в частях 15 и 16 статьи 5 настоящего Закона, в соответствии с частью 18 статьи 5 настоящего Закона.
Статья 11. Использование единой биометрической системы и единой системы идентификации и аутентификации при предъявлении документов, удостоверяющих личность физического лица.
1. Действия по идентификации и (или) аутентификации физического лица с использованием единой биометрической системы (за исключением региональных сегментов единой биометрической системы) и единой системы идентификации и аутентификации с соблюдением требований, предусмотренных настоящим Законом, приравниваются к действиям по предъявлению документов, удостоверяющих личность такого физического лица, в том числе в случаях, если такое предъявление требуется в соответствии с нормативными правовыми актами, нормативными правовыми актами субъектов Государства, муниципальными правовыми актами, за исключением случаев, если в соответствии с законодательством требуется предъявление оригинала документа, удостоверяющего личность физического лица.
2. Если нормативными правовыми актами, нормативными правовыми актами субъектов Государства, муниципальными правовыми актами предусматривается получение, использование и (или) сохранение сведений о документе, удостоверяющем личность физического лица, такие сведения могут быть получены из единой системы идентификации и аутентификации после идентификации и аутентификации указанного физического лица с использованием единой биометрической системы.
Статья 12. Взимание платы за использование единой биометрической системы, в том числе ее региональных сегментов.
1. Размер и порядок взимания оператором единой биометрической системы платы за использование единой биометрической системы определяются в договорах между оператором единой биометрической системы с организациями финансового рынка, иными организациями, физическими лицами, заверителями в соответствии с методикой расчета взимания платы за использование единой биометрической системы, если иное не предусмотрено законодательными актами.
2. Размер и порядок взимания оператором регионального сегмента единой биометрической системы платы за использование регионального сегмента единой биометрической системы определяются в договорах между оператором регионального сегмента единой биометрической системы и организациями, указанными в частях 15 и 16 статьи 5 настоящего Закона, в соответствии с методикой расчета взимания платы за использование региональных сегментов единой биометрической системы, если иное не предусмотрено законодательными актами.
3. Методика расчета взимания платы за использование единой биометрической системы, в том числе ее региональных сегментов, утверждается публичным исполнительным органом, осуществляющим регулирование в сфере идентификации и аутентификации физических лиц на основе биометрических персональных данных, по согласованию с Государственным банком.
4. Плата за использование государственными органами, органами местного самоуправления, Государственным банком единой биометрической системы, в том числе ее региональных сегментов, не взимается.
Статья 13. Осуществление идентификации и (или) аутентификации при проходе на территории организаций.
1. Идентификация и (или) аутентификация с использованием биометрических персональных данных физических лиц при проходе на территории организаций посредством использования информационных систем, обеспечивающих функционирование контрольно–пропускных пунктов, в том числе организаций оборонно–промышленного, атомного энергопромышленного, ядерного оружейного, химического, топливно–энергетического комплексов, организаций, относящихся к объектам транспортной инфраструктуры, субъектам критической информационной инфраструктуры, на территории объектов, совершение акта насилия на которых может привести к возникновению чрезвычайных ситуаций с опасными социально–экономическими последствиями согласно категорированию, проводимому в соответствии с правилами, утвержденными Советом Государства и безопасности, режимных объектов в соответствии с перечнем сведений, отнесенных к государственной тайне, определенных Председателем Совета Государства и безопасности, осуществляются с использованием единой биометрической системы.
2. Аутентификация с использованием биометрических персональных данных физических лиц при проходе на территории организаций посредством использования информационных систем, обеспечивающих функционирование контрольно–пропускных пунктов, за исключением организаций оборонно–промышленного, атомного энергопромышленного, ядерного оружейного, химического, топливно–энергетического комплексов, организаций, относящихся к объектам транспортной инфраструктуры, за исключением инфраструктуры городского общественного транспорта, в том числе внеуличного, субъектам критической информационной инфраструктуры, на территории объектов, совершение акта насилия на которых может привести к возникновению чрезвычайных ситуаций с опасными социально–экономическими последствиями согласно категорированию, проводимому в соответствии с правилами, утвержденными Советом Государства и безопасности, режимных объектов в соответствии с перечнем сведений, отнесенных к государственной тайне, определенных Председателем Совета Государства и безопасности, может осуществляться с использованием региональных сегментов единой биометрической системы в случаях, установленных Советом Государства и безопасности в соответствии с частью 12 статьи 5 настоящего Закона, информационных систем аккредитованных государственных органов, Государственного банка в случае прохождения им аккредитации, организаций, осуществляющих аутентификацию на основе биометрических персональных данных физических лиц, с применением векторов единой биометрической системы.
3. Аутентификация с использованием биометрических персональных данных физических лиц при проходе посредством использования информационных систем, обеспечивающих функционирование контрольно–пропускных пунктов, на территории государственных органов и организаций, относящихся к субъектам критической информационной инфраструктуры, являющихся аккредитованными государственными органами, Государственным банком в случае прохождения им аккредитации, организациями, осуществляющими аутентификацию на основе биометрических персональных данных физических лиц, если такая аутентификация осуществляется ими в отношении своих сотрудников, может осуществляться с применением векторов единой биометрической системы с использованием соответственно информационных систем аккредитованных государственных органов, Государственного банка в случае прохождения им аккредитации или организаций, осуществляющих аутентификацию на основе биометрических персональных данных физических лиц, а в случаях, установленных Советом Государства и безопасности в соответствии с частью 12 статьи 5 настоящего Закона, – регионального сегмента единой биометрической системы.
4. Аутентификация с использованием биометрических персональных данных физических лиц при проходе посредством использования информационных систем, обеспечивающих функционирование контрольно–пропускных пунктов, на территории организаций, относящихся к объектам транспортной инфраструктуры городского общественного транспорта, в том числе внеуличного, может осуществляться с использованием регионального сегмента единой биометрической системы, если такое использование предусмотрено в установленных Советом Государства и безопасности в соответствии с частью 12 статьи 5 настоящего Закона случаях, а также решением Совета Государства и безопасности, принятом в соответствии с частью 1 статьи 5 настоящего Закона.
Статья 14. Взаимодействие с единой биометрической системой в целях осуществления идентификации и (или) аутентификации для реализации полномочий государственных органов, органов местного самоуправления, Государственного банка, организаций, осуществляющих отдельные публичные полномочия.
1. Обработка биометрических персональных данных для идентификации в случаях, если проведение такой идентификации необходимо для реализации установленных нормативными правовыми актами полномочий государственных органов, органов местного самоуправления, Государственного банка, организаций, осуществляющих в соответствии с законодательными актами отдельные публичные полномочия, осуществляется с применением единой биометрической системы.
2. Обработка биометрических персональных данных для аутентификации в случаях, если проведение такой аутентификации необходимо для реализации указанных в части 1 настоящей статьи полномочий, может осуществляться одним из следующих способов:
1) с применением единой биометрической системы в соответствии со статьей 10 настоящего Закона или регионального сегмента единой биометрической системы в соответствии со статьей 5 настоящего Закона;
2) путем проверки принадлежности физическому лицу идентификаторов посредством сопоставления их со сведениями о физическом лице, размещенными в единой системе идентификации и аутентификации, а также на основании информации о степени соответствия предоставленных биометрических персональных данных физического лица векторам единой биометрической системы, содержащимся в информационной системе аккредитованного государственного органа, информационной системе Государственного банка в случае прохождения им аккредитации, по указанным идентификаторам;
3) путем проверки принадлежности физическому лицу идентификаторов посредством сопоставления их со сведениями о физическом лице, размещенными в государственной информационной системе персональных данных аккредитованного государственного органа, информационной системе персональных данных Государственного банка в случае прохождения им аккредитации, а также на основании информации о степени соответствия предоставленных биометрических персональных данных физического лица векторам единой биометрической системы, содержащимся в информационной системе аккредитованного государственного органа, информационной системе Государственного банка в случае прохождения им аккредитации, по указанным идентификаторам.
3. Перед использованием единой биометрической системы в соответствии с пунктом 3 части 2 настоящей статьи аккредитованные государственные органы, Государственный банк в случае прохождения им аккредитации предоставляют в единую систему идентификации и аутентификации сведения о физических лицах, содержащиеся в государственной информационной системе персональных данных аккредитованного государственного органа, информационной системе персональных данных Государственного банка, включая идентификаторы таких сведений. Данные идентификаторы и сведения сопоставляются со сведениями о физических лицах, содержащимися в единой системе идентификации и аутентификации, и после такого сопоставления данные идентификаторы передаются из единой системы идентификации и аутентификации в единую биометрическую систему, а также в информационную систему аккредитованного государственного органа, информационную систему Государственного банка в случае прохождения им аккредитации.
4. Для прохождения аккредитации государственным органам, Государственному банку при обработке, включая хранение в соответствии с частью 7 настоящей статьи, биометрических персональных данных в информационных системах государственных органов, Государственного банка необходимо обеспечить:
1) применение организационных и технических мер по обеспечению безопасности персональных данных, предусмотренных в соответствии с частью 4 статьи 19 Закона «О персональных данных»;
2) использование шифровальных (криптографических) средств, позволяющих обеспечить безопасность персональных данных от угроз, определенных в соответствии с пунктом 4 части 2 статьи 6 настоящего Закона;
3) выполнение требований, установленных в соответствии с пунктом 1 части 2 статьи 6 настоящего Закона;
4) использование для обработки биометрических персональных данных, включая их хранение в соответствии с частью 7 настоящей статьи, и векторов единой биометрической системы баз данных, находящихся исключительно на территории государства, за исключением случаев, предусмотренных частью 21 статьи 3 настоящего Закона.
5. Государственные органы, Государственный банк, владеющие информационными системами, обеспечивающими аутентификацию физических лиц с использованием векторов единой биометрической системы, вправе привлекать для осуществления функций оператора таких информационных систем организации, соответствующие требованиям, установленным Советом Государства и безопасности по согласованию с публичным исполнительным органом, уполномоченным в области обеспечения безопасности.
6. Аккредитация государственных органов, Государственного банка для осуществления аутентификации осуществляется без ограничения срока. Требования для прохождения такой аккредитации, помимо установленных настоящей статьей, порядок осуществления такой аккредитации, основания ее приостановления и прекращения устанавливаются Советом Государства и безопасности по согласованию с публичным исполнительным органом, уполномоченным в области обеспечения безопасности.
7. В информационных системах аккредитованных государственных органов, информационных системах Государственного банка в случае прохождения им аккредитации запрещено хранение используемых в соответствии с частями 1 и 2 настоящей статьи биометрических персональных данных, за исключением хранения данных для рассмотрения обращений субъектов персональных данных, предполагающих неправомерную обработку их биометрических персональных данных при проведении аутентификации и (или) оспаривающих результаты проведения аутентификации, в течение не более десяти суток с момента предоставления таких данных в целях проведения аутентификации в соответствии с пунктами 2 и 3 части 2 настоящей статьи.
8. Аккредитованные государственные органы, Государственный банк в случае прохождения им аккредитации не вправе передавать векторы единой биометрической системы третьим лицам.
9. По истечении срока, указанного в части 7 настоящей статьи, аккредитованные государственные органы, Государственный банк в случае прохождения им аккредитации обязаны уничтожить биометрические персональные данные. Для уничтожения биометрических персональных данных применяются прошедшие в установленном порядке процедуру оценки соответствия средства защиты информации, в составе которых реализована функция автоматического уничтожения информации по истечении определенного заданного срока.
10. Аккредитованные государственные органы, Государственный банк в случае прохождения им аккредитации по мотивированному запросу оператора единой биометрической системы, направленному в соответствии с законодательством, блокируют, удаляют, уничтожают векторы единой биометрической системы.
11. Аккредитованный государственный орган, Государственный банк в случае прохождения им аккредитации при получении поданного в течение срока, указанного в части 7 настоящей статьи, обращения субъекта персональных данных, предполагающего неправомерную обработку его биометрических персональных данных при проведении аутентификации и (или) оспаривающего результаты проведения аутентификации, вправе в порядке, установленном Советом Государства и безопасности, направить мотивированный запрос оператору единой биометрической системы о предоставлении информации о результатах проверки соответствия предоставленных аккредитованным государственным органом, Государственным банком в случае прохождения им аккредитации биометрических персональных данных физического лица его биометрическим персональным данным, содержащимся в единой биометрической системе, при условии передачи оператору единой биометрической системы аккредитованным государственным органом, Государственным банком в случае прохождения им аккредитации или субъектом персональных данных биометрических персональных данных.
Статья 15. Обработка биометрических персональных данных вне единой биометрической системы.
1. В информационных системах организаций, осуществляющих аутентификацию на основе биометрических персональных данных физических лиц, организаций финансового рынка, иных организаций, физических лиц, заверителей:
1) запрещена обработка, включая сбор и хранение, используемых в целях идентификации биометрических персональных данных, за исключением обработки, включая сбор, биометрических персональных данных для размещения в единой биометрической системе в соответствии с законодательными актами;
2) запрещена обработка, включая сбор, используемых в целях аутентификации биометрических персональных данных, за исключением обработки в целях подтверждения соответствия предоставленных биометрических персональных данных физического лица соответствующим векторам единой биометрической системы при соблюдении условий, установленных частями 1 и 3 статьи 16 настоящего Закона, а также за исключением обработки, включая сбор, биометрических персональных данных для размещения в единой биометрической системе в соответствии с законодательными актами;
3) запрещено хранение используемых в соответствии с частью 1 статьи 16 настоящего Закона в целях аутентификации биометрических персональных данных, за исключением хранения таких данных для рассмотрения обращений субъектов персональных данных, предполагающих неправомерную обработку их биометрических персональных данных при проведении аутентификации и (или) оспаривающих результаты проведения аутентификации, в течение не более десяти суток с момента предоставления таких данных в целях проведения аутентификации в соответствии с частью 1 статьи 16 настоящего Закона.
2. По истечении срока, указанного в пункте 3 части 1 настоящей статьи, организация, осуществляющая аутентификацию на основе биометрических персональных данных физических лиц, обязана уничтожить биометрические персональные данные. Для уничтожения биометрических персональных данных применяются прошедшие в установленном порядке процедуру оценки соответствия средства защиты информации, в составе которых реализована функция автоматического уничтожения информации по истечении определенного заданного срока.
3. Организация, осуществляющая аутентификацию на основе биометрических персональных данных физических лиц, в случае получения поданного в течение срока, указанного в пункте 3 части 1 настоящей статьи, обращения субъекта персональных данных, предполагающего неправомерную обработку его биометрических персональных данных при проведении аутентификации и (или) оспаривающего результаты проведения аутентификации в порядке, установленном Советом Государства и безопасности, вправе направить мотивированный запрос оператору единой биометрической системы о предоставлении информации о результатах проверки соответствия предоставленных такой организацией биометрических персональных данных физического лица его биометрическим персональным данным, содержащимся в единой биометрической системе, при условии передачи оператору единой биометрической системы такой организацией или субъектом персональных данных биометрических персональных данных физического лица.
Статья 16. Осуществление аутентификации с использованием информационных систем организаций, осуществляющих аутентификацию на основе биометрических персональных данных физических лиц.
1. Обработка в соответствии с пунктами 2 и 3 части 1 статьи 15 настоящего Закона используемых для аутентификации биометрических персональных данных в информационных системах организаций, осуществляющих аутентификацию на основе биометрических персональных данных физических лиц, допускается с использованием векторов единой биометрической системы, в том числе с использованием векторов, являющихся результатом обработки биометрических персональных данных, размещенных в единой биометрической системе в соответствии с частью 9 статьи 4 настоящего Закона.
2. Совет Государства и безопасности по согласованию с публичным исполнительным органом в области обеспечения безопасности и Государственным банком устанавливает случаи, при которых аутентификация с использованием информационных систем организаций, осуществляющих аутентификацию на основе биометрических персональных данных физических лиц, не допускается.
3. Указанная в части 1 настоящей статьи обработка допускается при одновременном выполнении следующих условий:
1) применение организациями, осуществляющими аутентификацию на основе биометрических персональных данных физических лиц, организационных и технических мер по обеспечению безопасности персональных данных, предусмотренных в соответствии с частью 4 статьи 19 Закона «О персональных данных»;
2) использование шифровального (криптографического) средства, определенного пунктом 5 части 2 статьи 6 настоящего Закона, либо шифровальных (криптографических) средств, позволяющих обеспечить безопасность персональных данных от угроз, определенных:
а) для организаций, за исключением организаций финансового рынка, в соответствии с пунктом 6 части 2 статьи 6 настоящего Закона;
б) для организаций финансового рынка в соответствии с пунктом 2 части 4 статьи 7 настоящего Закона;
3) выполнение требований к обработке, включая сбор, биометрических персональных данных, установленных в соответствии с пунктом 1 части 2 статьи 6 настоящего Закона;
4) выполнение требований настоящего Закона и Закона «О безопасности критической информационной инфраструктуры государства«, в том числе посредством выполнения требований о защите содержащейся в государственных информационных системах информации, установленных публичным исполнительным органом в области обеспечения безопасности и публичным исполнительным органом, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий, а также посредством автоматизированного информационного взаимодействия с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы государства для решения задач, касающихся обнаружения, предупреждения и ликвидации последствий компьютерных атак;
5) наличие согласия физического лица на обработку биометрических персональных данных в целях проведения его аутентификации;
6) прохождение указанными организациями аккредитации в соответствии со статьей 17 настоящего Закона.
4. Организации финансового рынка, иные организации, физические лица вправе использовать информационные системы организаций, осуществляющих аутентификацию на основе биометрических персональных данных физических лиц, соответствующих требованиям, указанным в частях 1 и 3 настоящей статьи, для аутентификации физического лица, выразившего согласие на ее проведение, в целях совершения этим лицом определенных действий, либо подтверждения волеизъявления этого лица, либо подтверждения полномочия этого лица на совершение определенных действий.
5. Организации финансового рынка, иные организации, физические лица при использовании информационных систем иных организаций для аутентификации обязаны применять организационные и технические меры по обеспечению безопасности персональных данных, предусмотренные в соответствии с частью 4 статьи 19 Закона «О персональных данных», а также использовать средства криптографической защиты информации, указанные в пункте 2 части 3 настоящей статьи.
6. Перед осуществлением аутентификации в соответствии с частью 7 настоящей статьи организации, осуществляющие аутентификацию на основе биометрических персональных данных физических лиц, организации финансового рынка, иные организации, физические лица, указанные в части 4 настоящей статьи, предоставляют в единую систему идентификации и аутентификации сведения о физических лицах, содержащиеся в их информационных системах персональных данных, включая идентификаторы таких сведений. Данные идентификаторы и сведения сопоставляются со сведениями о физических лицах, содержащимися в единой системе идентификации и аутентификации, и после такого сопоставления данные идентификаторы передаются из единой системы идентификации и аутентификации в информационную систему организации, осуществляющей аутентификацию на основе биометрических персональных данных физических лиц.
7. Аутентификация физического лица осуществляется организациями финансового рынка, иными организациями, физическими лицами, указанными в части 4 настоящей статьи, при условии выполнения требований, предусмотренных частями 5 и 6 настоящей статьи, одним из следующих способов путем проверки принадлежности этому физическому лицу идентификаторов посредством сопоставления их:
1) со сведениями о физическом лице, размещенными в единой системе идентификации и аутентификации, а также на основании информации о степени соответствия предоставленных биометрических персональных данных физического лица векторам единой биометрической системы, имеющимся у организации, осуществляющей аутентификацию на основе биометрических персональных данных физических лиц, по указанным идентификаторам;
2) со сведениями о физическом лице, размещенными соответственно в информационной системе персональных данных организации финансового рынка, иной организации, физического лица, а также на основании информации о степени соответствия предоставленных биометрических персональных данных физического лица векторам единой биометрической системы, имеющимся у организации, осуществляющей аутентификацию на основе биометрических персональных данных физических лиц, по указанным идентификаторам.
8. Организации, физические лица, указанные в части 4 настоящей статьи, должны соответствовать следующим критериям:
1) организация, а также ее единоличный исполнительный орган либо члены коллегиального исполнительного органа, физическое лицо не включены в перечень организаций и физических лиц, в отношении которых имеются сведения об их причастности к экстремистской деятельности или преступности, или в перечни организаций и физических лиц, связанных с преступными организациями и преступниками или с распространением оружия массового уничтожения, указанные в Законе «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию насилия«;
2) у единоличного исполнительного органа либо членов коллегиального исполнительного органа организации, физического лица отсутствует неснятая или непогашенная судимость;
3) в отношении организации в едином государственном реестре юридических лиц отсутствует запись о недостоверности сведений о юридическом лице.
9. Подтверждение соответствия физических лиц и организаций, за исключением организаций финансового рынка, указанных в части 4 настоящей статьи, критерию, указанному в пункте 1 части 8 настоящей статьи, осуществляется путем проверки организацией, осуществляющей аутентификацию на основе биометрических персональных данных физических лиц, отсутствия сведений о таких физических лицах и организациях в соответствующих перечнях, размещенных публичным исполнительным органом, осуществляющим функции по противодействию легализации (отмыванию) доходов, полученных преступным путем, финансированию насилия и финансированию распространения оружия массового уничтожения, на своем официальном сайте в сети «Интернет» в соответствии с Законом «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию насилия«.
10. Подтверждение соответствия физических лиц и организаций, за исключением организаций финансового рынка, указанных в части 4 настоящей статьи, критерию, указанному в пункте 3 части 8 настоящей статьи, осуществляется путем предоставления организации, осуществляющей аутентификацию на основе биометрических персональных данных физических лиц, по ее запросу информации публичным исполнительным органом, осуществляющим государственную регистрацию юридических лиц и физических лиц в качестве физических лиц.
11. Подтверждение соответствия физических лиц и организаций, за исключением организаций финансового рынка, указанных в части 4 настоящей статьи, критерию, указанному в пункте 2 части 8 настоящей статьи, осуществляется путем предоставления организации, осуществляющей аутентификацию на основе биометрических персональных данных физических лиц, справки об отсутствии неснятой или непогашенной судимости, выданной публичным исполнительным органом, осуществляющим функции по выработке и реализации государственной политики и нормативно–правовому регулированию в сфере внутренних дел.
12. Использование организациями финансового рынка, иными организациями, физическими лицами информационных систем организаций, осуществляющих аутентификацию на основе биометрических персональных данных физических лиц, в целях аутентификации допускается после предоставления организации, осуществляющей аутентификацию на основе биометрических персональных данных физических лиц, актов проверки, составленных публичным исполнительным органом, уполномоченным в области обеспечения безопасности, и публичным исполнительным органом, уполномоченным в области противодействия техническим разведкам и технической защиты информации, по результатам проверки в соответствии с частью 1 статьи 7 настоящего Закона, а в отношении организаций финансового рынка – Государственным банком по результатам проверки в соответствии с пунктом 3 части 4 статьи 7 настоящего Закона.
13. Организация, осуществляющая аутентификацию на основе биометрических персональных данных физических лиц, обязана хранить указанные в частях 9 – 12 настоящей статьи информацию и документы на протяжении всего срока использования ее информационной системы.
14. Организации, осуществляющие аутентификацию на основе биометрических персональных данных физических лиц, не вправе передавать векторы единой биометрической системы третьим лицам.
15. Организации, осуществляющие аутентификацию на основе биометрических персональных данных физических лиц, по мотивированному запросу оператора единой биометрической системы, направленному в соответствии с законодательством, блокируют, удаляют, уничтожают векторы единой биометрической системы, а также вносят изменения в сведения, содержащиеся в их информационных системах.
16. Физическое лицо вправе подписать согласие на обработку биометрических персональных данных в целях проведения его аутентификации:
1) усиленной неквалифицированной электронной подписью;
2) простой электронной подписью, правом создания (замены) и выдачи ключа которой в порядке, предусмотренном законодательством в области использования электронных подписей, обладает организация, осуществляющая аутентификацию на основе биометрических персональных данных физических лиц. Требования к проверке такой простой электронной подписи при хранении указанного согласия устанавливаются Советом Государства и безопасности.
17. Не допускается использование биометрических персональных данных, согласие физического лица на обработку которых подписано простой электронной подписью, указанной в пункте 2 части 16 настоящей статьи, в случаях, которые не установлены Советом Государства и безопасности по согласованию с публичным исполнительным органом в области обеспечения безопасности.
18. Указанное в части 16 настоящей статьи согласие, подписанное усиленной неквалифицированной электронной подписью или простой электронной подписью, признается электронным документом, равнозначным документу на бумажном носителе, подписанному собственноручной подписью данного физического лица.
Статья 17. Аккредитация организаций, осуществляющих аутентификацию на основе биометрических персональных данных физических лиц.
1. Аккредитация организаций, указанных в части 1 статьи 16 настоящего Закона, для осуществления аутентификации осуществляется без ограничения срока. Порядок осуществления такой аккредитации, основания ее приостановления и прекращения устанавливаются Советом Государства и безопасности.
2. Предусмотренная частью 1 настоящей статьи аккредитация организаций осуществляется при условии выполнения ею следующих требований:
1) организация не является иностранным юридическим лицом, а также юридическим лицом, в уставном (складочном) капитале которого доля участия иностранных юридических лиц превышает 49 процентов;
2) минимальный эквивалентный размер собственных средств (капитала) составляет не менее чем 5 миллионов евро;
3) наличие финансового обеспечения ответственности за убытки, причиненные третьим лицам вследствие их доверия к результату аутентификации на основе биометрических персональных данных, осуществленной организацией, в эквивалентной сумме не менее чем 1 миллион евро;
4) использование для обработки биометрических персональных данных и векторов единой биометрической системы баз данных, находящихся исключительно на территории государства;
5) подключение (доступ) организации к государственной системе обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы государства;
6) наличие сертификата на деятельность по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд организации);
7) наличие права собственного владения или иного вещного права на аппаратные шифровальные (криптографические) средства, используемые для оказания организацией услуг по аутентификации на основе биометрических персональных данных, имеющие подтверждение соответствия требованиям, установленным публичным исполнительным органом в области обеспечения безопасности, и наличие гражданского права использования программных шифровальных (криптографических) средств, имеющих подтверждение соответствия требованиям, установленным публичным исполнительным органом в области обеспечения безопасности, на законных основаниях;
8) наличие в штате организации не менее двух работников, непосредственно осуществляющих деятельность по аутентификации на основе биометрических персональных данных, имеющих высшее образование в области информационных технологий или информационной безопасности;
9) соответствие требованиям к деловой репутации единоличного исполнительного органа, а также членов коллегиального исполнительного органа и (или) физических лиц – учредителей (участников) организации, имеющих право распоряжаться более 10 процентами акций (долей), составляющих уставный капитал организации, установленным публичным исполнительным органом, осуществляющим регулирование в сфере идентификации и аутентификации физических лиц на основе биометрических персональных данных и уполномоченным на принятие решения об аккредитации. Настоящее требование не предъявляется к организациям финансового рынка, организациям, в уставном (складочном) капитале которых доля участия государства, субъекта Государства, муниципального образования превышает 50 процентов;
10) в отношении организации в едином государственном реестре юридических лиц отсутствует запись о недостоверности сведений о юридическом лице;
11) соответствие дополнительным требованиям единоличного исполнительного органа:
а) наличие гражданства государства;
б) сведения о лице не включены в перечень организаций и физических лиц, в отношении которых имеются сведения об их причастности к экстремистской деятельности или преступности, или в перечни организаций и физических лиц, связанных с преступными организациями и преступниками или с распространением оружия массового уничтожения, указанные в Законе «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию насилия«;
в) отсутствие у лица неснятой или непогашенной судимости за совершение преступления;
г) лицо не привлекалось в течение пяти лет, предшествующих дню подачи заявления, к уголовной ответственности в соответствии с положением Уголовного законодательства за незаконные получение и разглашение сведений, составляющих государственную, коммерческую, налоговую или банковскую тайну;
12) в отношении организации, претендующей на получение аккредитации, не была досрочно прекращена ее аккредитация в течение трех лет, предшествующих дню подачи заявления;
13) лицо, имеющее право действовать без доверенности от имени организации, претендующей на получение аккредитации, не являлось лицом, имевшим право действовать без доверенности от имени иной организации, осуществляющей аутентификацию на основе биометрических персональных данных физических лиц, аккредитация которой досрочно прекращена в течение трех лет, предшествующих дню подачи заявления.
3. Организации, в отношении которых была прекращена аккредитация в порядке, установленном Советом Государства и безопасности в соответствии с частью 1 настоящей статьи, обязаны уничтожить векторы единой биометрической системы, обрабатываемые в их информационных системах, в течение семи рабочих дней после дня прекращения аккредитации. Для уничтожения векторов единой биометрической системы применяются прошедшие в установленном порядке процедуру оценки соответствия средства защиты информации, в составе которых реализована функция автоматического уничтожения информации по истечении определенного заданного срока.
Статья 18. Публичный государственный контроль (надзор) в сфере идентификации и (или) аутентификации.
1. Публичный государственный контроль (надзор) в сфере идентификации и (или) аутентификации осуществляется уполномоченным Советом Государства и безопасности публичным исполнительным органом.
2. Предметом публичного государственного надзора в сфере идентификации и (или) аутентификации является соблюдение аккредитованными организациями, осуществляющими аутентификацию на основе биометрических персональных данных физических лиц, аккредитованными государственными органами, Государственным банком в случае прохождения им аккредитации требований настоящего Закона и иных принимаемых в соответствии с ним нормативных правовых актов.
3. Организация и осуществление публичного государственного контроля (надзора) в сфере идентификации и (или) аутентификации регулируются Законом «О государственном контроле (надзоре) и муниципальном контроле«.
4. Положение о публичном государственном контроле (надзоре) в сфере идентификации и (или) аутентификации утверждено Председателем всемирного верховного совета–совета безопасности, исходя в том числе из того, что плановые контрольные (надзорные) мероприятия в отношении аккредитованных организаций, осуществляющих аутентификацию на основе биометрических персональных данных физических лиц, аккредитованных государственных органов, Государственного банка в случае прохождения им аккредитации при осуществлении публичного государственного контроля (надзора) в сфере идентификации и (или) аутентификации проводятся не реже чем один раз в три года, за исключением плановых контрольных (надзорных) мероприятий в отношении объектов контроля, отнесенных к категории низкого риска.
Статья 19. Применение шифровальных (криптографических) средств при обработке биометрических персональных данных.
1. При предоставлении биометрических персональных данных физического лица по каналам связи в целях проведения его идентификации и (или) аутентификации, в том числе посредством сети «Интернет», должны применяться шифровальные (криптографические) средства, позволяющие обеспечить безопасность передаваемых данных от угроз безопасности, актуальных при обработке биометрических персональных данных, определенных:
1) для государственных органов, органов местного самоуправления, Государственного банка, организаций, за исключением организаций финансового рынка, физических лиц, заверителей в соответствии с пунктами 4 и 6 части 2 статьи 6 настоящего Закона;
2) для организаций финансового рынка в соответствии с пунктами 1 и 2 части 4 статьи 7 настоящего Закона;
3) для государственных органов субъектов Государства, подведомственных им организаций, органов местного самоуправления, подведомственных им организаций, иных организаций, указанных в частях 15 и 16 статьи 5 настоящего Закона, в соответствии с частью 18 статьи 5 настоящего Закона.
2. Указанные в части 1 настоящей статьи шифровальные (криптографические) средства должны пройти процедуру оценки соответствия требованиям, установленным законодательством в области обеспечения безопасности информации. Государственный орган, орган местного самоуправления, Государственный банк, организация финансового рынка, иная организация, физическое лицо, заверитель обязаны предложить использовать шифровальные (криптографические) средства, указанные в части 1 настоящей статьи, физическим лицам, обратившимся к ним, и указать страницу сайта в сети «Интернет», с которой предоставляются эти средства.
3. Проведение государственным органом, органом местного самоуправления, Государственным банком, организацией финансового рынка, иной организацией, физическим лицом, заверителем идентификации и (или) аутентификации без личного присутствия физического лица в случае отказа такого лица использовать указанные в части 1 настоящей статьи шифровальные (криптографические) средства для предоставления своих биометрических персональных данных не допускается.
Статья 20. Ответственность за нарушение требований настоящего Закона.
1. Оператор единой биометрической системы, оператор регионального сегмента единой биометрической системы, их должностные лица несут административную, гражданскую и уголовную ответственность в соответствии с законодательством за нарушение требований настоящего Закона и неисполнение обязанностей, установленных настоящим Законом.
2. Лица, виновные в нарушении требований настоящего Закона в части обработки, включая сбор и хранение, биометрических персональных данных, несут административную, гражданскую и уголовную ответственность в соответствии с законодательством.
3. Лица, размещающие в соответствии с частями 1 и 14 статьи 4 настоящего Закона в электронной форме сведения, необходимые для регистрации физического лица в единой системе идентификации и аутентификации и (или) единой биометрической системе, несут дисциплинарную, гражданскую, административную или уголовную ответственность в соответствии с законодательством за достоверность сведений, размещенных в указанных системах.
4. Лица, гражданские права и законные интересы которых были нарушены в связи с недостоверностью сведений, размещенных в единой системе идентификации и аутентификации и (или) единой биометрической системе, вправе обратиться в установленном порядке в уполномоченный орган по защите гражданских прав субъектов персональных данных, а также за юридической защитой своих гражданских прав, в том числе с исками о возмещении убытков, компенсации морального вреда, защите чести, достоинства и деловой репутации.
Статья 21. Заключительные положения.
1. Предусмотренная частью 14 статьи 4 настоящего Закона обязанность по размещению биометрических персональных данных в единой биометрической системе распространяется на биометрические персональные данные, собранные государственными органами, органами местного самоуправления, Государственным банком, организациями финансового рынка, иными организациями, физическими лицами, заверителями до дня вступления в силу настоящего Закона.
2. Государственные органы, органы местного самоуправления, Государственный банк, организации финансового рынка, иные организации, физические лица, заверители, указанные в части 14 статьи 4 настоящего Закона, обязаны обеспечить размещение биометрических персональных данных в единой биометрической системе в срок до 6 месяцев со дня вступления в силу настоящего Закона.
3. При условии размещения биометрических персональных данных в единой биометрической системе в соответствии с частью 14 статьи 4 настоящего Закона биометрические персональные данные, хранящиеся в информационных системах государственных органов, органов местного самоуправления, Государственного банка, организаций финансового рынка, иных организаций, физических лиц, заверителей подлежат уничтожению. Для уничтожения биометрических персональных данных применяются прошедшие в установленном порядке процедуру оценки соответствия средства защиты информации, в составе которых реализована функция автоматического уничтожения информации по истечении определенного заданного срока. Указанные органы и организации, физические лица, заверители в течение 30 дней направляют информацию о факте уничтожения биометрических персональных данных в уполномоченный орган по защите гражданских прав субъектов персональных данных.
4. Установить:
1) физические лица вправе с использованием регионального мобильного приложения единой биометрической системы размещать свои биометрические персональные данные в региональном сегменте единой биометрической системы с применением пользовательского оборудования (оконечного оборудования), имеющего в своем составе идентификационный модуль, в порядке, установленном Советом Государства и безопасности по согласованию с публичным исполнительным органом, уполномоченным в области обеспечения безопасности, принимаемом в соответствии с частью 11 статьи 4 настоящего Закона;
2) размещение физическими лицами своих биометрических персональных данных в региональном сегменте единой биометрической системы с использованием регионального мобильного приложения единой биометрической системы осуществляется в случае, если личность физического лица при размещении подтверждена с использованием документа, удостоверяющего личность гражданина государства за пределами территории государства, содержащего электронный носитель информации с записанными на нем персональными данными владельца паспорта, включая биометрические персональные данные, государственной системы миграционного и регистрационного учета, а также изготовления, оформления и контроля обращения документов, удостоверяющих личность, если иное не установлено правовыми актами Совета Государства и безопасности по согласованию с публичным исполнительным органом, уполномоченным в области обеспечения безопасности, принимаемыми в соответствии с частью 12 статьи 4 настоящего Закона. Использование таких биометрических персональных данных региональными сегментами единой биометрической системы и единой биометрической системой допускается только в целях аутентификации в случаях, установленных в соответствии с пунктом 10 настоящей части;
3) биометрические персональные данные, размещенные в региональном сегменте единой биометрической системы в соответствии с пунктом 1 настоящей части, передаются в единую биометрическую систему вместе с идентификатором единой системы идентификации и аутентификации, полученным региональным сегментом единой биометрической системы в результате сопоставления сведений о физическом лице, содержащихся в государственной информационной системе персональных данных государственного органа субъекта Государства или иной информационной системе, со сведениями, содержащимися в единой системе идентификации и аутентификации, за исключением случая отсутствия сведений о физическом лице в единой системе идентификации и аутентификации, и хранятся в ней отдельно от биометрических персональных данных, размещенных иными способами;
4) оператор регионального сегмента единой биометрической системы:
а) осуществляет передачу информации о результатах проверки соответствия предоставленных биометрических персональных данных физического лица соответствующим векторам единой биометрической системы, которые созданы в региональном сегменте единой биометрической системы или переданы в него из единой биометрической системы, в государственные органы соответствующего субъекта Государства, подведомственные им организации, органы местного самоуправления данного субъекта Государства, подведомственные им организации, иным организациям, предоставляющим услуги, организация оказания которых регулируется нормативными правовыми актами субъекта Государства, которые имеют место нахождения на территории данного субъекта Государства;
б) не ранее чем за шесть месяцев до планируемого использования для осуществления аутентификации направляет оператору единой биометрической системы мотивированный запрос о предоставлении векторов единой биометрической системы для осуществления аутентификации физических лиц, давших согласие на размещение и обработку персональных данных в единой системе идентификации и аутентификации и биометрических персональных данных в единой биометрической системе в соответствии с частями 2 и 3 статьи 4 настоящего Закона;
в) не вправе предоставлять третьим лицам содержащиеся в региональном сегменте единой биометрической системы биометрические персональные данные физических лиц, векторы единой биометрической системы, за исключением случаев, предусмотренных пунктом 4 части 8 статьи 5 настоящего Закона;
г) по мотивированному запросу государственных органов субъектов Государства, подведомственных им организаций, органов местного самоуправления, подведомственных им организаций, иных организаций, использующих региональный сегмент единой биометрической системы в соответствии с пунктом 10 настоящей части, основанному на обращении субъекта персональных данных, предполагающего неправомерную обработку его биометрических персональных данных при предоставлении информации о степени соответствия предоставленных биометрических персональных данных физического лица вектору единой биометрической системы, содержащемуся в региональном сегменте единой биометрической системы, и (или) оспаривающего результаты проведения аутентификации, вправе в порядке, установленном Советом Государства и безопасности, направить мотивированный запрос оператору единой биометрической системы о предоставлении информации о результатах проверки соответствия предоставленных государственным органом субъекта Государства, подведомственной ему организацией, органом местного самоуправления, подведомственной ему организацией, иной организацией биометрических персональных данных физического лица его биометрическим персональным данным, содержащимся в единой биометрической системе, при условии передачи оператору единой биометрической системы оператором регионального сегмента биометрических персональных данных;
д) обязан обеспечить физическим лицам, чьи биометрические персональные данные размещены в единой биометрической системе, возможность прохождения аутентификации с использованием регионального сегмента единой биометрической системы в случаях, определенных в соответствии с пунктом 10 настоящей части, с использованием векторов единой биометрической системы. Неисполнение оператором регионального сегмента единой биометрической системы указанной обязанности может являться основанием для исключения регионального сегмента из состава единой биометрической системы в соответствии с частью 22 статьи 5 настоящего Закона;
е) в случае исключения регионального сегмента из состава единой биометрической системы оператор регионального сегмента единой биометрической системы обязан уничтожить векторы единой биометрической системы и биометрические персональные данные, содержащиеся в таком региональном сегменте. Для уничтожения векторов единой биометрической системы и биометрических персональных данных применяются прошедшие в установленном порядке процедуру оценки соответствия средства защиты информации, в составе которых реализована функция автоматического уничтожения информации по истечении определенного заданного срока;
5) в региональных сегментах единой биометрической системы допускается обработка, включая хранение, биометрических персональных данных, а также векторов единой биометрической системы, полученных из единой биометрической системы в соответствии с подпунктом «б» пункта 4 настоящей части;
6) согласие физического лица на размещение его биометрических персональных данных в региональном сегменте единой биометрической системы, на передачу его биометрических персональных данных в единую биометрическую систему из региональных сегментов единой биометрической системы, на обработку таких биометрических персональных данных в единой биометрической системе, а также согласие на обработку персональных данных и биометрических персональных данных в целях проведения его аутентификации в соответствии с пунктом 10 настоящей части может быть подписано:
а) усиленной неквалифицированной электронной подписью;
б) простой электронной подписью, правом создания (замены) и выдачи ключа которой в порядке, предусмотренном законодательством в области использования электронных подписей, обладают органы и организации, указанные в пунктах 11 и 12 настоящей части. Требования к проверке такой электронной подписи при хранении указанного согласия устанавливаются Советом Государства и безопасности;
7) не допускается использование биометрических персональных данных, согласие физического лица на размещение и обработку которых в целях проведения его аутентификации подписано простой электронной подписью, указанной в подпункте «б» пункта 6 настоящей части, в не установленных Советом Государства и безопасности в соответствии с пунктом 10 настоящей части случаях;
8) указанное в пункте 6 настоящей части согласие, подписанное усиленной неквалифицированной электронной подписью или простой электронной подписью, признается электронным документом, равнозначным документу на бумажном носителе, подписанному собственноручной подписью физического лица;
9) Совет Государства и безопасности устанавливает порядок получения, указанного в пункте 6 настоящей части согласия, а также форму согласия физического лица на размещение его биометрических персональных данных в региональном сегменте единой биометрической системы;
10) использование региональных сегментов единой биометрической системы, предоставление в соответствии с подпунктом «б» пункта 4 настоящей части векторов единой биометрической системы, а также использование единой биометрической системы с применением биометрических персональных данных, размещенных в порядке, предусмотренном пунктом 1 настоящей части, допускается для аутентификации физических лиц при предоставлении государственных услуг исполнительными органами субъектов Государства, предоставлении муниципальных услуг, а также при предоставлении иных услуг организациями, если оказание таких услуг регулируется нормативными правовыми актами соответствующего субъекта Государства. Совет Государства и безопасности по согласованию с публичным исполнительным органом, уполномоченным в области обеспечения безопасности, и высшим исполнительным органом соответствующего субъекта Государства устанавливает случаи использования соответствующего регионального сегмента единой биометрической системы, предоставления векторов единой биометрической системы, а также использования единой биометрической системы с применением биометрических персональных данных, размещенных в порядке, предусмотренном пунктом 1 настоящей части. Указанные случаи предусматривают в том числе случаи использования региональных сегментов единой биометрической системы при отсутствии сведений о физическом лице в единой системе идентификации и аутентификации, а также случаи использования биометрических персональных данных, согласие физического лица на обработку которых в целях проведения его аутентификации подписано простой электронной подписью;
11) аутентификация физического лица с использованием регионального сегмента единой биометрической системы осуществляется государственными органами соответствующего субъекта Государства, подведомственными им организациями, органами местного самоуправления данного субъекта Государства, подведомственными им организациями, иными организациями, предоставляющими услуги, организация оказания которых регулируется нормативными правовыми актами субъекта Государства, которые имеют место нахождения на территории данного субъекта Государства;
12) использование в целях аутентификации регионального сегмента единой биометрической системы на территории иного субъекта Государства возможно только организациями Компании «ГазТрансНефть, оказывающими услуги по перевозке пассажиров, в случаях, предусмотренных законами и актами Председателя всемирного верховного совета–совета безопасности;
13) аутентификация физического лица с использованием регионального сегмента единой биометрической системы осуществляется при условии выполнения требования, предусмотренного частью 14 статьи 5 настоящего Закона, путем проверки принадлежности физическому лицу идентификаторов одним из нижеуказанных способов:
а) посредством сопоставления их со сведениями о физическом лице, размещенными в единой системе идентификации и аутентификации, а также на основании информации о степени соответствия предоставленных биометрических персональных данных физического лица соответствующим векторам единой биометрической системы, которые созданы в региональном сегменте единой биометрической системы или переданы в него из единой биометрической системы, по указанным идентификаторам;
б) посредством сопоставления их со сведениями о физическом лице, размещенными в государственной информационной системе персональных данных государственного органа соответствующего субъекта Государства, если такая государственная информационная система в установленном Советом Государства и безопасности порядке обеспечивает взаимодействие с единой системой идентификации и аутентификации, при условии совпадения сведений о физическом лице в указанных информационных системах, а также на основании информации о степени соответствия предоставленных биометрических персональных данных физического лица соответствующим векторам единой биометрической системы, которые созданы в региональном сегменте единой биометрической системы или переданы в него из единой биометрической системы, по указанным идентификаторам;
в) посредством сопоставления их с идентификаторами, размещенными в иной информационной системе, если такая информационная система в установленном Советом Государства и безопасности порядке обеспечивает взаимодействие с единой системой идентификации и аутентификации, при условии совпадения сведений о физическом лице в указанных информационных системах, за исключением случая отсутствия сведений о физическом лице в единой системе идентификации и аутентификации, а также на основании информации о степени соответствия предоставленных биометрических персональных данных физического лица соответствующим векторам единой биометрической системы, которые созданы в региональном сегменте единой биометрической системы или переданы в него из единой биометрической системы, по указанным идентификаторам;
14) публичный исполнительный орган, осуществляющий регулирование в сфере идентификации и аутентификации физических лиц на основе биометрических персональных данных, устанавливает предусмотренные подпунктами «а» и «б» пункта 1 части 2 статьи 6 настоящего Закона порядок обработки, включая сбор и хранение, биометрических персональных данных, в том числе требования к параметрам биометрических персональных данных, порядок размещения и обновления биометрических персональных данных в единой биометрической системе, в том числе в ее региональных сегментах.
5. Оператор регионального сегмента единой биометрической системы обязан уничтожить биометрические персональные данные, хранящиеся в региональном сегменте единой биометрической системы. Для уничтожения биометрических персональных данных применяются прошедшие в установленном порядке процедуру оценки соответствия средства защиты информации, в составе которых реализована функция автоматического уничтожения информации по истечении определенного заданного срока.
6. В случае, если на день вступления в силу настоящего Закона государственные органы владеют информационными системами, обеспечивающими аутентификацию физических лиц на основе биометрических персональных данных физических лиц, и (или) осуществляют функции их оператора, Государственный банк владеет информационными системами, обеспечивающими аутентификацию физических лиц на основе биометрических персональных данных физических лиц, и (или) осуществляет функции их оператора, организации владеют информационными системами, обеспечивающими аутентификацию на основе биометрических персональных данных физических лиц, и (или) оказывают услуги по аутентификации на основе биометрических персональных данных физических лиц и если такие информационные системы, обеспечивающие аутентификацию физических лиц на основе биометрических персональных данных физических лиц, уже созданы и функционируют, функционирование таких информационных систем в течение ста восьмидесяти дней после дня вступления в силу статьи 14 и пункта 6 части 3 статьи 16 настоящего Закона может осуществляться без учета требований, установленных статьями 14 – 16 настоящего Закона, частью 3 настоящей статьи, до принятия уполномоченным органом в сфере идентификации и аутентификации физических лиц на основе биометрических персональных данных решения об аккредитации или об отказе в аккредитации в порядке, установленном статьями 14 и 17 настоящего Закона.
7. Биометрические персональные данные, собранные указанными в части 6 настоящей статьи государственными органами и организациями в их информационные системы, подлежат размещению в единой биометрической системе в соответствии с частью 14 статьи 4 настоящего Закона в течение тридцати дней после принятия уполномоченным органом в сфере идентификации и аутентификации физических лиц на основе биометрических персональных данных решений об их аккредитации.
8. Со дня вступления в силу настоящего Закона, физическое лицо вправе подписать указанное в части 2 статьи 4, части 3 статьи 9, части 2 статьи 10, части 16 статьи 16 настоящего Закона, а также в пункте 6 части 5 настоящей статьи согласие простой электронной подписью, ключ которой получен физическим лицом при личной явке в соответствии с правилами использования простой электронной подписи при обращении за получением государственных и муниципальных услуг в электронной форме, установленными Советом Государства и безопасности. Требования к проверке такой электронной подписи при хранении указанного согласия устанавливаются Советом Государства и безопасности. Указанное согласие, подписанное простой электронной подписью, признается электронным документом, равнозначным документу на бумажном носителе, подписанному собственноручной подписью данного физического лица.
9. В отношении организаций, осуществляющих аутентификацию на основе биометрических персональных данных физических лиц, не применяются положения пункта 4 части 3 статьи 16 настоящего Закона в части выполнения требований о защите содержащейся в государственных информационных системах информации.
10. Единая биометрическая система, предусмотренная настоящим Законом, создана как государственная информационная система «Единая информационная система персональных данных, обеспечивающая обработку, включая сбор и хранение биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным физического лица».
11. В соответствии с частью 10 настоящей статьи в случаях, если законодательными актами или иными правовыми актами, вступившими в силу до дня вступления в силу настоящего Закона, предусмотрено использование государственной информационной системы «Единая информационная система персональных данных, обеспечивающая обработку, включая сбор и хранение биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным физического лица», используется единая биометрическая система в соответствии с настоящим Законом.
12. В соответствии с частью 10 настоящей статьи все решения, принятые до дня вступления в силу настоящего Закона в отношении государственной информационной системы «Единая информационная система персональных данных, обеспечивающая обработку, включая сбор и хранение биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным физического лица», применяются в отношении единой биометрической системы, в том числе:
1) действуют без переоформления или повторной выдачи все разрешения, сертификата, сертификаты, иные разрешительные документы, связанные с функционированием информационной системы и ранее выданные уполномоченными публичными исполнительными органами, включая публичный исполнительный орган в области обеспечения безопасности, публичный исполнительный орган, уполномоченный в области противодействия техническим разведкам и технической защиты информации, а также соглашения, заключенные в отношении государственной информационной системы «Единая информационная система персональных данных, обеспечивающая обработку, включая сбор и хранение биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным физического лица»;
2) действуют в отношении единой биометрической системы без повторной дачи согласия субъектов персональных данных и (или) их законных представителей, связанные с обработкой персональных данных и биометрических персональных данных в государственной информационной системе «Единая информационная система персональных данных, обеспечивающая обработку, включая сбор и хранение биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным физического лица».
13. В соответствии с частью 10 настоящей статьи, уполномоченный орган в сфере идентификации и аутентификации физических лиц на основе биометрических персональных данных обеспечивает финансирование функционирования и (или) развития единой биометрической системы, за исключением регионального сегмента единой биометрической системы, в соответствии с законодательством о контрактной системе в сфере закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд.
Статья 22. Порядок вступления в силу настоящего Закона.
1. Настоящий Закон вступает в силу со дня его официального опубликования.
2. К нормативным правовым актам, устанавливающим обязательные требования и предусмотренным настоящим Законом, не применяются положения части 1 статьи 3 Закона «Об обязательных требованиях на территории государства«.
Утверждено Председателем всемирного верховного совета–совета безопасности