Письмо Министерства цифрового развития, связи и массовых коммуникаций РФ от 18 января 2024 г. № П25-1061-ОГ “О рассмотрении обращения”

Письмо Министерства цифрового развития, связи и массовых коммуникаций РФ от 18 января 2024 г. № П25-1061-ОГ
“О рассмотрении обращения”

Министерство цифрового развития, связи и массовых коммуникаций Российской Федерации (далее - Министерство) рассмотрело в пределах своей компетенции Ваши обращения, поступившие в том числе из Министерства юстиции Российской Федерации и зарегистрированные 20 и 26 декабря 2023 г., и сообщает следующее.

В соответствии с пунктом 1 части 1 статьи 6 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (далее - Закон N 152-ФЗ) обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных. Случаи, при которых оператор вправе осуществлять обработку персональных данных без согласия субъекта, прописаны в пунктах 2 - 11 части 1 статьи 6 Закона N 152-ФЗ.

Согласно статье 7 Закона N 152-ФЗ операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

Вместе с тем в соответствии с частью 8 статьи 9 Закона N 152-ФЗ персональные данные могут быть получены оператором от лица, не являющегося субъектом персональных данных, при условии предоставления оператору подтверждения наличия оснований, указанных в пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Закона N 152-ФЗ.

Таким образом, оператор вправе обрабатывать (в том числе передавать) персональные данные без соответствующего согласия только при наличии правовых оснований, установленных законодательством Российской Федерации в области персональных данных.

Дополнительно сообщаем, что в соответствии с частью 2 статьи 9 Закона N 152-ФЗ субъект персональных данных вправе отозвать согласие на обработку персональных данных, в том числе биометрических персональных данных. В случае отзыва согласия оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Закона N 152-ФЗ.

При этом отзыв согласия на обработку персональных данных должен быть направлен непосредственно оператору, которому ранее было дано указанное согласие.

В то же время согласно части 1 статьи 14 Закона N 152-ФЗ субъект персональных данных вправе требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

Указанное требование также должно быть направлено непосредственно оператору, осуществляющему обработку персональных данных.

Также сообщаем, что в соответствии с частью 2 статьи 18 Закона N 152-ФЗ оператор обязан разъяснить субъекту персональных данных юридические последствия отказа от предоставления персональных данных и (или) дачи согласия на их обработку в случаях, когда их предоставление и (или) получение оператором согласия на обработку персональных данных является обязательным в соответствии с федеральным законом.

Вместе с тем считаем возможным отметить, что согласно части 1 статьи 13 Закона N 152-ФЗ, государственные органы, муниципальные органы создают в пределах своих полномочий, установленных в соответствии с федеральными законами, государственные или муниципальные информационные системы персональных данных.

Дополнительно сообщаем, что законодательством Российской Федерации не установлены нормы, обязывающие проходить регистрацию в информационных системах для реализации конституционных прав граждан. Вместе с тем отмечаем, что согласно части 2 статьи 21 Федерального закона от 27 июля 2010 г. N 210-ФЗ "Об организации предоставления государственных и муниципальных услуг" органы государственной власти субъектов Российской Федерации вправе создавать региональные порталы государственных и муниципальных услуг, являющиеся государственными информационными системами субъектов Российской Федерации, обеспечивающими предоставление государственных услуг и муниципальных услуг.

В части обработки биометрических персональных данных считаем возможным отметить следующее.

Персональные данные, характеризующие физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные) и которые используются оператором для установления личности субъекта персональных данных, согласно части 1 статьи 11 Закона N 152-ФЗ могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных, за исключением случаев, предусмотренных частью 2 указанной статьи.

Обработка биометрических персональных данных в целях идентификации и (или) аутентификации физических лиц автоматизированным способом регулируется Федеральным законом от 29 декабря 2022 г. N 572-ФЗ "Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, о внесении изменений в отдельные законодательные акты Российской Федерации и признании утратившими силу отдельных положений законодательных актов Российской Федерации" (далее - Закон N 572-ФЗ).

В соответствии с пунктом 7 статьи 2 Закона N 572-ФЗ идентификацией является совокупность мероприятий по установлению сведений о лице и их проверке, осуществляемых в соответствии с федеральными законами и принимаемыми в соответствии с ними нормативными правовыми актами, и сопоставлению данных сведений с идентификатором.

Аутентификацией согласно пункту 2 статьи 2 Закона N 572-ФЗ является совокупность мероприятий по проверке лица на принадлежность ему идентификаторов посредством сопоставления их со сведениями о лице, которыми располагает лицо, проводящее аутентификацию, и установлению правомерности владения лицом идентификаторами посредством использования аутентифицирующих признаков в рамках процедуры аутентификации, в результате чего лицо считается установленным.

Исходя из указанных определений, результатом идентификации или аутентификации является соответственно установление сведений о лице или установление такого лица.

Положения Закона N 572-ФЗ не распространяются на случаи, при которых обработка биометрических персональных данных не связана с процедурами идентификации и (или) аутентификации физических лиц, а также на отношения, перечисленные в части 2 статьи 1 Закона N 572-ФЗ. В указанных случаях отношения регулируются общими нормами законодательства Российской Федерации в области персональных данных.

Обращаем внимание, что в соответствии с частью 4 статьи 3 Закона N 572-ФЗ в единой биометрической системе размещаются и обрабатываются биометрические персональные данные следующих видов:

- изображение лица человека, полученное с помощью фото-видеоустройств;

- запись голоса человека, полученная с помощью звукозаписывающих устройств.

Таким образом, при обработке биометрических персональных данных необходимо руководствоваться вышеуказанными положениями.

Обращаем Ваше внимание, что, исходя из закрепленного пунктом 6.6 Положения о Министерстве цифрового развития, связи и массовых коммуникаций Российской Федерации, утвержденного постановлением Правительства Российской Федерации от 2 июня 2008 г. N 418, права "давать государственным органам, органам местного самоуправления, юридическим и физическим лицам разъяснения по вопросам, отнесенным к сфере ведения Министерства", настоящее письмо не содержит правовых норм или общих правил, конкретизирующих нормативные предписания, и не является нормативным правовым актом. Данное письмо носит информационно-разъяснительный характер по вопросам компетенции Министерства.