Приведенный ниже кейс посвящен актуальному и чувствительному вопросу. Речь идет о возможности использования биометрических персональных данных детей, в том числе для прохода в школу.
Предмет спора: признание незаконным требования Управления Роскомнадзора о прекращении обработки биометрических персональных данных несовершеннолетних и уничтожении этих данных.
Результат: суды признали требование регулятора законным.
Реквизиты: решение от 22.02.2023 Арбитражного суда Кемеровской области, постановление от 17.05.2023 Седьмого арбитражного апелляционного суда, постановление Арбитражного суда Западно-Сибирского округа от 10.10.2023 № Ф04-4141/2023 по делу № А27-10550/2022.
Что относится к биометрическим персональными данными, как их обрабатывать и хранить — найдете в Системе Юрист.
Предыстория
Индивидуальный предприниматель Иванов А.А. заключил с рядом образовательных учреждений Кузбасса договоры возмездного оказания услуг. По этим договорам предприниматель обязался предоставить заказчику доступ к системе «ХРОНОС» посредством сети Интернет, обучить сотрудников заказчика и обеспечить техническую поддержку в ходе работы с данной системой. «ХРОНОС» представляет собой программно-аппаратную платформу (т.е. оборудование и программу ЭВМ), используемую для фиксации времени входа (выхода) в здание (из здания).
Предприниматель также заключил с рядом образовательных учреждений договоры, по которым Иванов А.А. безвозмездно предоставил им в пользование биометрические терминалы распознавания лиц SpeedFace-V5L производителя ZKTeco Co., Ltd.
Внимание Управления Роскомнадзора Кузбасса привлекла поступившая к нему информация об использовании системы контроля и управления доступом (СКУД) с функцией распознавания лиц и обработки биометрических персональных данных.
Как пояснил Управлению сам Иванов А.А., по поручению школ и лицеев он осуществлял обработку биометрических персональных данных несовершеннолетних лиц в автоматическом режиме. Происходило это так: (1) родители передали учебным заведениям фотографии своих детей; (2) фотографии были переведены в цифровой формат и внесены в базу данных; (3) в школах были установлены биометрические терминалы, умеющие распознавать лица; (4) эти терминалы фиксировали вход и выход учащихся в учебные заведения; (5) в ходе такой фиксации в цифровом формате происходила сверка с фотографиями учащихся, находящихся в базе данных; (6) по итогам сверки в автоматическом режиме подавался соответствующий сигнал на устройства для выполнения поставленной задачи (например, о пропуске).
В этой ситуации Управление Роскомнадзора увидело нарушение требований об обработке биометрических персональных данных без согласия (ч. 2 ст. 11 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее - Закон о ПДн)). Предпринимателю предъявлено требование прекратить обработку биометрии несовершеннолетних и уничтожить данные.
ИП Иванов А.А. оспорил требование.
Позиция административного истца
- Требование не основано на законе. Управление ссылается на письмо Минкомсвязи России от 28.08.2020 № ЛБ-С-074-24059 «О методических рекомендациях» (о нем чуть ниже) и другие письма, которые не являются нормативными правовыми актами.
- Законодательство допускает обработку биометрических персональных данных несовершеннолетних с согласия одного из родителей (ч. 1 ст. 9, ч. 1 ст. 11 Закона о ПДн, положений ст. 17, 26, 28 ГК РФ, п. 1 ст. 61 Семейного кодекса РФ). В данном случае такие согласия были получены.
- В данном случае не применима ст. 11 Закона о ПДн. Напомним, что согласно этой статье, обработка биометрии имеет место тогда, когда биометрические данные: (1) характеризуют физиологические и биологические особенности человека, (2) позволяют установить (идентифицировать) личность, (3) используются оператором с применением технических средств для такой идентификации. Однако используемые биометрические терминалы не осуществляли идентификацию личности. Дело в том, что отсканированные фотографии учащихся переведены в цифровой код. Видеоизображения лиц при входе и выходе в здание школы также переводятся в цифровой код. Далее терминал соотносит цифровые коды исходной фотографии и видеофиксации входящих/выходящих лиц. Т.е. терминал не сличает отсканированное фото и видеозапись с камер на входе, а сравнивает только их цифровые коды. При этом результат, который выдает терминал, указывает только на вероятное совпадение данных кодов. Соответственно, по мнению Иванова А.А., данный процесс не является идентификацией личности. Следовательно, отсутствует необходимость получать письменное согласие на обработку биометрических персональных данных.
Некоторые из привлеченных к делу третьих лиц – школ и лицеев – поддержали требования заявителя. Они пояснили, что СКУД с функцией распознавания лиц направлена на безопасность несовершеннолетних.
Позиция Управления Роскомнадзора
Регулятор указал, что в данном случае необходимо согласие в письменной форме, которого не было. Основания обрабатывать биометрию без согласия отсутствовали. Кроме этого, в силу статьи 11 Закона о ПДн, п. 13 Методических рекомендаций, утв. письмом Минкомсвязи России от 28.08.2020 № ЛБ-С-074-24059, обработка биометрии несовершеннолетних лиц не допускается даже с письменного согласия родителей.
Позиция судов
Суды трех инстанций признали законным требование Роскомнадзора.
- Отклонены доводы, что не происходит обработка биометрических персональных данных. То, что биометрические терминалы при сравнении цифровых кодов выдают результат о совпадении лишь с определенной долей вероятности, не означает, что в этом случае не производится идентификация личности.
- Получение цифрового кода путем обработки фотографии является обработкой персональных данных. Фотография характеризует физиологические и биологические особенности человека. Сопоставление изображения лица с цифровым кодом позволяет произвести идентификацию несовершеннолетнего с теми персональными данными, которые имеются у оператора (включая ФИО). Следовательно, в данном случае происходит установление личности несовершеннолетнего. Таким образом, это является обработкой биометрических персональных данных, которая должна осуществляться с соблюдением ст. 11 Закона о ПДн. При этом Управление сослалось в поддержку своей позиции на определение Верховного Суда РФ от 05.03.2018 № 307-КГ18-101 по делу № А42-342/2017 (использование фотографий для создания цифрового кода подпадает под понятие обработки персональных данных).
- Из текста полученных согласий законных представителей на обработку персональных данных их несовершеннолетних детей следует, что согласия:
-
- давались лишь в отношении следующей информации: фамилия и имя, наименование образовательного учреждения, номер класса, фотография ребенка при входе/выходе в/из здания образовательного учреждения в целях исполнения договора возмездного оказания услуг;
- предоставлены, помимо прочего, на осуществление любых действий с персональными данными, предусмотренными законом. Однако из буквального их содержания не следовало, что согласия даны именно на обработку биометрических персональных данных;
- не содержат указания на биометрические персональные данные как самостоятельную категорию персональных данных.
По мнению судов, такие согласия не дают право Иванову А.А. обрабатывать биометрию учащихся.
Во-первых, в нарушение приказа Роскомнадзора от 24.02.2021 № 18 согласия не содержали указания на биометрию как на самостоятельную категорию персональных данных.
Во-вторых, в согласиях отсутствовали конкретные сведения об ИП Иванове А.А. и его адресе как лица, осуществляющего обработку персональных данных по поручению образовательных учреждений, хотя такие сведения должны были содержаться в силу ст. 9 Закона о ПДн.
В-третьих, вопреки требованиям той же статьи закона согласия не содержали исчерпывающего перечня действий с персональными данными.
Таким образом, имеющиеся согласия на обработку фотографий не могли рассматриваться как достаточное основание для обработки биометрических персональных данных детей.
В то же время стоит отметить, что суд в решении Арбитражного суда Кемеровской области от 22.02.2023 не принял ссылки Управления Роскомнадзора на правовую позицию, изложенную в письмах Минцифры России от 17.07.2020 № ОП-П24-070-19433, Роскомнадзора от 10.02.2020 № 08АП-6782 и в п. 13 Методических рекомендаций, утв. письмом Минкомсвязи России от 28.08.2020 № ЛБ-С-074-24059. Поясним, что в данных ненормативных актах была высказана позиция, согласно которой законодательством РФ не предусмотрены условия обработки биометрических персональных данных несовершеннолетних, что исключает наличие оснований для осуществления такой обработки образовательными учреждениями даже с согласия законных представителей. Суд указал, что эти акты не являются нормативно-правовыми и не носят обязательного характера для неограниченного круга лиц. При этом прямой запрет на использование биометрических персональных данных несовершеннолетних Законом о ПДн не установлен.
Комментарий авторов
Один из вопросов, затронутых рассмотренным делом, касался легитимности обработки биометрических персональных данных несовершеннолетних, в том числе с согласия их законных представителей.
В период спорных отношений регуляторы (Минцифры и Роскомнадзор) придерживались отрицательного подхода. По их мнению, исходя из ст. 11 Закона о ПДн, письменное согласие на обработку именно биометрических данных может быть дано только самим субъектом лично (т.е. самим ребенком), тогда как делегирование права предоставления согласия в указанном случае законом не предусмотрено.
В то же время в судебной практике встречалась и другая позиция, которая основывалась на толковании ст. 11 Закона о ПДн в системном единстве с ч.ч. 1, 6 ст. 9 того же закона. Согласно этому подходу, закон не исключает возможности получения согласия на обработку биометрических персональных данных несовершеннолетних от их законных представителей. См., например, постановление Седьмого кассационного суда общей юрисдикции от 24.07.2020 № 16-2185/2020, решение Стерлитамакского городского суда Республики Башкортостан от 26.04.2023 по делу № 12-390/2023, решение Дзержинского районного суда города Перми от 06.11.2020 по делу № 12-360/2020.
Отсутствие единообразного подхода у регуляторов и судов к вопросу о возможности обработки биометрии несовершеннолетних на основании согласия также отчасти обусловлено отсутствием в Законе о ПДн норм, регулирующих обработку персональных данных лиц с ограниченной дееспособностью (в том числе несовершеннолетних).
В рассмотренном кейсе суды не поддержали отрицательный подход Роскомнадзора. В то же время они указали на недостатки текста согласий, выданных родителями учащихся. Такие недостатки не позволили признать согласия законным основанием для обработки биометрии несовершеннолетних.
Необходимо отметить, что спорные отношения и указанный выше подход регуляторов сложились до принятия Федерального закона от 29.12.2022 № 572-ФЗ «Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, о внесении изменений в отдельные законодательные акты Российской Федерации и признании утратившими силу отдельных положений законодательных актов Российской Федерации». В ч. 19 ст. 3 этого закона предусматривается, что согласие на обработку биометрических персональных данных несовершеннолетних дается их законными представителями.
Пока сложно сказать, как изменится теперь подход контролирующих органов и судов по данному вопросу, а равно как будет соотноситься указанная норма с положениями Закона о ПДн. Между тем рассмотренный казус убеждает в том, что контролирующие органы и суды скрупулезно исследуют документы, опосредующие обработку персональных данных. Недостатки соответствующих документов способны доставить массу проблем операторам.