Индивидуальный предприниматель (ИП) осуществлял обработку биометрических персональных данных несовершеннолетних лиц, обучающихся в образовательных учреждениях, путем оказания услуг с использованием системы контроля и управления доступом с функцией распознавания лиц (система «ХРОНОС»).
Постановлением Управления Роскомнадзора по Кемеровской области и Кузбассу от 29.03.2022 такая обработка признавалась незаконной, а ИП было направлено требование о её прекращении. ИП был осуществлен демонтаж биометрических терминалов, ранее установленных в образовательных учреждениях, осуществлено уничтожение биометрических персональных данных несовершеннолетних.
ИП обратился в суд с иском о признании недействительным ненормативного акта Роскомнадзора. В качестве третьих лиц были привлечены 20 вышеуказанных образовательных учреждений. Суд не стал отменять акт Роскомнадзора, но мотивировочная часть судебного решения оказалась весьма занятной:
- Суд отклонил доводы ИП о том, что при использовании системы «ХРОНОС» не происходит обработка биометрических персональных данных, поскольку при обработке биометрическими терминалами цифрового кода получаемого из фотоизображения несовершеннолетнего при входе и выходе из здания, аналитические алгоритмы могут выявить совпадение кодов исходного и анализируемого видеоизображения, лишь с определенной долей вероятности, то есть идентификация личности не производится;
- Сопоставление изображения лица с цифровым кодом позволяет произвести его идентификацию с теми персональными данными, которые имеются в образовательном учреждении и предоставлены оператору (включая фамилию, имя, отчество), то есть направлено на установление личности субъекта персональных данных. Получение цифрового кода путем обработки фотографий, характеризующей физиологические и биологические особенности человека (относящейся к биометрическим персональным данным), является обработкой персональных данных. Использование фотографий для создания цифрового кода подпадает под понятие обработки персональных данных (Определение Верховного Суда РФ от 05.03.2018 № 307-КГ18-101 по делу № А42-342/2017);
- Согласия родителей были предоставлены на обработку их персональных данных и персональных данных их несовершеннолетних детей путем осуществления любых необходимых действий, включая обезличивание и распространение. Из буквального содержания согласия, не следует, что родителем дано согласие именно на обработку биометрических персональных данных. Приказом Роскомнадзора от 24.02.2021 № 18 установлено, что согласие на обработку персональных данных должно содержать категории и перечень персональных данных, на обработку которых дается согласие субъекта персональных данных. В данном случае представленные согласия не содержат указания на категорию персональных данных - биометрические персональные данные. Таким образом, обработка ИП биометрических персональных данных не соответствует требованиям ч.4 ст.9 и ч.2 ст.11 152-ФЗ;
- Ссылка Управления Роскомнадзора на правовую позицию, изложенную в письме Минцифры России от 17.07.2020 № ОП-П24-070-19433, "О рассмотрении обращения", письме Роскомнадзора от 10.02.2020 № 08АП-6782 "О направлении информации по протоколу совещания", пункте 13 Методических рекомендаций, утв. письмом Минкомсвязи России от 28.08.2020 № ЛБ-С-074-24059, относительно возможности использования биометрических персональных только согласия самого субъекта, подлежит отклонению. Указанные акты не являются нормативно-правовыми и не носят обязательного характера для неограниченного круга лиц. При этом прямой запрет на использование биометрических персональных данных несовершеннолетних 152-ФЗ не установлен. Вместе с тем данное обстоятельство не привело к принятию незаконного требования.
Использован источник.