Всегда ли фото и видео изображения работников – это биометрия?
В последнее время, проводя кадровые аудиты клиентам, часто встречаю в ПВТР или в Положении об обработке персональных данных работников условие о наличии обработки биометрических данных. Когда я задаю вопрос, в каких случаях и как эту биометрию используют, оказывается, что речь идет о простой фото и видео съемке в офисе.
Так вот, это не является биометрией. Роскомнадзор неоднократно объяснял этот момент и в вебинарах, и в посменных разъяснениях. Одно из них буквально пару дней назад появилось на сайтах с нормативными документами. Позиция регулятора неизменна.
Чтобы фото и видео признать биометрией, нужно выполнение одного из трех пунктов:
1. В каком-либо нормативном акте есть указание, что именно такое фото или видео – это биометрические данные. Пока ни в одном акте нет указания, что фото на бейдже или на почетной доске – это биометрия.
2. Изображение соответствует техническим требованиям ГОСТ Р ИСО/МЭК 19794-5-2013. В нем указаны строгие требования к свету и камере, и используются страшные термины, например, «код антропометрической точки», «бочкообразная дисторсия» и еще масса других таких же. Обычные камеры, снимающие сотрудника, который пачку бумаги из офиса выносит, такой уровень качества изображения не поддерживают.
3. Изображения используются для установления личности работника – идентификации или аутентификации. Это подразумевает, что аппаратными средствами идет сличение живого человека и его изображения, которое уже есть в системе. Например, это происходит, когда вы в московском метро выбираете оплату по биометрии и проходите через специальный турникет. Там стоит камера, которая ловит ваше изображение и проверяет, соответствует ли оно тому, что ранее было загружено в систему.
И тот же алгоритм работает, когда вы используете «оплату улыбкой» от Сбера. Вас заранее сфотографировали, как раз с соблюдением тех требований, что в вышеуказанном ГОСТе есть. Все антропометрические точки поставили – вот машина и может вас распознать среди других людей и определить, что это именно вы.
Ничего подобного в офисе у вас не происходит. Обычно используются среднего уровня качества видео, фото на сайте и на пропуске, но ничего из этого не соответствует требованиям ГОСТа, и уж тем более не используется для идентификации или аутентификации.
При этом, если вы указали обработку биометрических данных в ЛНА, вы должны о ней и в уведомлении на сайте Роскомнадзора сообщить. В результате, к вам будет повышенное внимание. Вы будете обязаны использовать сертифицированные средства шифрования, чтобы обеспечить сохранность биометрических данных.