С 1 января 2022 года вступит в силу поcтановление о государственном контроле аккредитованных организаций, использующих идентификацию и аутентификацию на основе биометрических персональных данных.
Суть постановления
Постановление № 1729 от 11.10.2021 определяет порядок контроля организаций, осуществляющих идентификацию, на соответствие требованиям статьи 141 (Применение информационных технологий в целях идентификации физических лиц) федерального закона «Об информации, информационных технологиях и о защите информации».
Аккредитованные организации, осуществляющие идентификацию, будут разделены на группы тяжести («А», «Б», «В») с учетом последствий при несоблюдении требований законодательства:
- к категории А (высокая тяжесть) объекты контроля, осуществляющие деятельность по идентификации (аутентификации) людей с использованием личных персональных данных или оказывающим услуги в этой области;
- к категории Б (средняя) относят объекты, которые с использованием персональных биометрических данных осуществляют только аутентификацию, либо оказывают услуги в этой области;
- к категории В (низкая) относятся объекты, использующие биометрию для аутентификации в системах контроля управления доступом – для входа на охраняемую территорию и выхода с нее.
В зависимости от присвоенной категории будет осуществляться тот или иной уровень госконтроля. Эта обязанность возлагается на Минцифры РФ.
Напомним, что в 2021 году вступил в силу закон, регулирующий функционирование систем идентификации на основе биометрических персональных данных. Один из пунктов закона – идентификация и аутентификация с использованием биометрических персональных данных физических лиц допускается только для организаций, которые соответствуют установленным требованиям. Для обеспечения соответствия организаций таким требованиям вводится аккредитация, которая будет осуществляться федеральным органом исполнительной власти, осуществляющим регулирование в сфере идентификации граждан РФ на основе биометрических персональных данных.
Перечень аккредитованных контролируемых лиц будет опубликован на официальном сайте Минцифры.
Как будут контролировать
При контроле будут применять систему оценки и управления рисками. Объектам контроля присвоят высокую, среднюю или низкую категории риска, согласно критериям, указанным в приложении к положению о контроле.
Проверка объектов, исходя из категории риска, будет проходить:
- для объектов с высоким риском – раз в 2 года: инспекционный визит, или выездная, или документальная проверка;
- для объектов со средним риском – раз в 2,5 года: инспекционный визит, или выездная проверка, или документарная проверка;
- для объектов с низким риском – раз в 3 года: документальная проверка.
Для профилактики рисков предусмотрены следующие меры:
- информирование;
- обобщение правоприменительной практики;
- объявление предостережения;
- консультирование;
- профилактический визит – в обязательном порядке для всех организаций, которые только начинают свою деятельность по аутентификации и идентификации, а также для организаций, которые относятся к категории с высоким риском.
Государственный контроль будет проводиться по календарному плану, согласованному с прокуратурой. Способы контроля:
- наблюдение за исполнением обязательных требований;
- инспекционный визит;
- документарная проверка;
- выездная проверка.
Срок выездной проверки будет составлять десять дней. Для фиксирования нарушений при проверке могут использоваться фото, аудио и видеосъемка. По результату проверок составляется акт. Результаты фото, аудио и видеосъемки прикладываются к акту.
По итогам проверки организация имеет право на обжалование результатов.
