Обработка биометрических данных несовершеннолетних лиц

Согласие на обработку биометрических персональных данных несовершеннолетних лиц. Анализ позиции Минцифры по вопросам обработки биометрических персональных данных несовершеннолетних лиц.

29 марта 2021 г.

Вопрос относительно обработки биометрических персональных данных в отечественной и зарубежной правоприменительной практике поднимался неоднократно. Если сначала была путаница относительно того, какие данные считаются биометрическими персональными данными, то сейчас стоит вопрос о правовом основании обработки таких данных.

Напомним, что согласно ч. 1 ст. 11 Федерального закона «О персональных данных» под биометрическими персональными данными понимаются сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных.

И здесь регулятор высказался весьма однозначно, определив основной признак биометрических персональных данных в возможности оператора персональных данных при их помощи установить личность субъекта.

Вопрос о правовом основании обработки биометрических данных не должен возникать в принципе, поскольку ст. 11 Федерального закона «О персональных данных» содержит исчерпывающий перечень оснований такой обработки. Так, письменное согласие субъекта персональных данных на обработку биометрических персональных данных — универсальное правовое основание для обработки биометрических персональных данных.

Могут ли несовершеннолетние лица давать свое согласие на обработку персональных данных?

Учитывая, что дача согласия на обработку персональных данных является правом субъекта персональных данных, согласно ч. 1 ст. 9 Федерального закона «О персональных данных», то следует исходить из того, с какого момента этим правом субъект может воспользоваться.

По общему правилу, согласно ст. 60 Конституции РФ, в полном объеме осуществлять свои права и обязанности лицо может с 18 лет. Аналогичное положение закреплено в п. 1 ст. 21 Гражданского кодекса РФ, где раскрывая понятие дееспособность, под которой понимается способность лица своими действиями приобретать и осуществлять гражданские права, создавать для себя гражданские обязанности и исполнять их, законодатель указывает на её возникновение в полном объеме по достижении восемнадцатилетнего возраста.

Однако, лица, не достигшие восемнадцатилетнего возраста, также имеют определенный объем прав и обязанностей, предусмотренный законом, в частности в статьях 26 и 28 Гражданского кодекса РФ (далее — ГК РФ). Согласно указанным статьям, лица, не достигшие восемнадцатилетнего возраста, могут заключать сделки и выступать субъектом сделки только в предусмотренных законом случаях.

Так, если дачу согласия на обработку персональных данных рассматривать в качестве односторонней сделки, т.е. как действия гражданина, которые направлены на установление, изменение или прекращение его гражданских прав и обязанностей, и для которых в силу закона достаточно одностороннего выражения воли, то можно сделать следующие выводы:

Данная позиция подтверждается и Министерством цифрового развития, связи и массовых коммуникаций Российской Федерации (ранее Минкомсвязь, далее - Министерство), которое в своих Методических рекомендациях для общеобразовательных организаций по вопросам обработки персональных данных (далее - Рекомендации) указало, что для предоставления согласия на обработку персональных данных ребёнка в письменной форме, достаточно подписи одного из родителей в соответствии с п. 1 ст. 61 Семейного кодекса Российской Федерации.

Однако, рассматривать дачу согласия на обработку персональных данных ребёнком от шести до четырнадцати лет в качестве сделки, разрешенной законом (сделка, направленная на безвозмездное получение выгоды) не совсем корректно, т.к. по смыслу пп. 2 п. 2 ст. 26 ГК РФ, под сделками, направленными на безвозмездное получение выгоды, в первую очередь понимаются сделки дарения, которые предполагают получение несовершеннолетним какой-то материальной ценности. Кроме того, такая сделка должна быть безвозмездной, т.е. получая какую-либо выгоду, несовершеннолетнее лицо не обременяется соответствующими обязанностями. Например, при совершении сделки дарения одаряемое лицо не приобретает обязанностей, оно имеет только права: принять или отказаться от объекта дарения.

Так, принимая пользовательское соглашение на интернет-сайте, которое предполагает обработку персональных данных, ребёнок от шести до четырнадцати лет не просто выражает свое право, но и принимает корреспондирующие обязанности. Следовательно, действительной такую сделку назвать нельзя.

Стоит отметить, что давая согласие на обработку персональных данных, субъект может и принимать на себя некоторые обязанности, например:

Согласие на обработку биометрических персональных данных несовершеннолетнего лица

В ранее указанных Рекомендациях Министерство указало на тот факт, что обработка биометрических персональных данных несовершеннолетних лиц с письменного согласия законного представителя субъекта персональных данных на обработку его биометрических персональных данных не допускается, поскольку такое основание не предусмотрено действующим законодательством в области персональных данных. В таком случае, если оператор персональных данных осуществляет обработку биометрических персональных данных несовершеннолетних лиц, то ему необходимо принять меры по прекращению такой обработки.

При этом, без согласия субъекта персональных данных, в том числе несовершеннолетнего лица, обработка его биометрических персональных данных допустима в случаях, предусмотренных ч. 2 ст. 11 Федерального закона «О персональных данных»:

Это утверждение Министерства нельзя считать верным из-за того, что законодательство в области персональных данных не содержит прямого указания на недопустимость такой обработки. Вероятно авторы рекомендаций руководствовались отсутствием у большинства операторов персональных данных причин для обработки биометрических персональных данных несовершеннолетних лиц.

Организации, в том числе образовательные, всё чаще используют видеонаблюдение или распознавание отпечатков пальцев посетителей для пропуска на территорию. По мнению Министерства, такая обработка не подпадает под действие Федерального закона «О персональных данных», что позволяет говорить об отсутствии правовых оснований для обработки биометрических персональных данных. Обоснованием приведенной позиции является то, что поскольку отпечатки пальцев человека являются биометрическими персональными данными, то они могут обрабатываться только в случаях, установленных Федеральным законом «О государственной дактилоскопической регистрации в Российской Федерации».

Здесь стоит обратить внимание на тот факт, что положения Федерального закона «О государственной дактилоскопической регистрации в Российской Федерации» не запрещают проведение добровольной дактилоскопической регистрации, которая не является государственной дактилоскопической регистрацией. Следовательно, вышеуказанный довод Министерства не является обоснованным.

Кроме того, в своих разъяснениях от 30 августа 2013 г. Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций, обратила внимание, что если целью обработки биометрических сведений в системах биометрической идентификации является установление личности конкретного лица, а также тот факт, что данная информация, содержащаяся в шаблоне, характеризует физиологические и биологические особенности субъекта персональных данных, то она относится к биометрическим персональным данным, обработка которых должна осуществляться в соответствии со ст. 11 Федерального закона «О персональных данных», а также Федеральным законом от 25.07.1998 № 128-ФЗ «О государственной дактилоскопической регистрации в Российской Федерации».

Таким образом, в случаях обработки биометрических персональных данных несовершеннолетнего лица, которые не подпадают под указанные в ч. 2 ст. 11 Федерального закона «О персональных данных», оператор персональных данных может выбрать один из возможных вариантов поведения:

1. не относить полученные данные несовершеннолетнего лица к биометрическим персональным данным, поскольку отсутствует цель установления личности конкретного лица

Здесь важно понимать, что такая позиция требует аргументированного обоснования, в том числе с учетом судебной и правоприменительной практики. Подспорьем в этом вопросе послужат решение Савеловского районного суда г. Москвы №2а-577/19 от 06 ноября 2019 года и апелляционное определение судебной коллегии по административным делам Московского городского суда №2а-577/2019 от 30 января 2020 года .

2. относить полученные данные несовершеннолетнего лица к биометрическим персональным данным

Прежде чем руководствоваться общими положениями законодательства, а именно: получать ли от лица в возрасте от четырнадцати до восемнадцати лет согласие в письменной форме на обработку его биометрических персональных данных, заверенное его законным представителем, или получать ли письменное согласие законных представителей несовершеннолетних лиц не достигших четырнадцати лет на обработку персональных данных биометрических персональных данных, оператору необходимо оценить риски возможных нарушений с учетом Методических рекомендаций для общеобразовательных организаций по вопросам обработки персональных данных.

Лента сообщений в удобном формате: