ьи 6 настоящего Федерального закона, по решению Правительства Российской Федерации, принимаемому на основании предложения уполномоченного органа в сфере идентификации и аутентификации физических лиц на основе биометрических персональных данных, согласованного с федеральным органом исполнительной власти в области обеспечения безопасности, федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, и оператором единой биометрической системы, региональный сегмент единой биометрической системы исключается из состава единой биометрической системы.
23. В случае исключения регионального сегмента единой биометрической системы из состава единой биометрической системы оператор регионального сегмента единой биометрической системы обязан уничтожить векторы единой биометрической системы и биометрические персональные данные, содержащиеся в региональном сегменте единой биометрической системы. Для уничтожения векторов единой биометрической системы и биометрических персональных данных применяются прошедшие в установленном порядке процедуру оценки соответствия средства защиты информации, в составе которых реализована функция автоматического уничтожения информации по истечении определенного заданного срока.
Статья 6. Уполномоченный орган, осуществляющий регулирование в сфере идентификации и аутентификации физических лиц на основе биометрических персональных данных
1. Правительство Российской Федерации определяет федеральный орган исполнительной власти, осуществляющий регулирование в сфере идентификации и аутентификации физических лиц на основе биометрических персональных данных.
2. Федеральный орган исполнительной власти, осуществляющий регулирование в сфере идентификации и аутентификации физических лиц на основе биометрических персональных данных:
1) определяет:
а) порядок обработки, включая сбор, хранение, биометрических персональных данных, в том числе требования к параметрам биометрических персональных данных;
б) порядок размещения и обновления биометрических персональных данных в единой биометрической системе;
в) случаи и сроки использования биометрических персональных данных при их размещении в единой биометрической системе в соответствии с частью 14 статьи 4 настоящего Федерального закона;
г) порядок обработки, включая сбор, хранения и уничтожения биометрических персональных данных, векторов единой биометрической системы в информационных системах аккредитованных государственных органов, Центрального банка Российской Федерации в случае прохождения им аккредитации, организаций, осуществляющих аутентификацию на основе биометрических персональных данных физических лиц;
д) порядок создания и передачи векторов единой биометрической системы в целях осуществления аутентификации;
е) требования к информационным технологиям и техническим средствам, предназначенным для обработки биометрических персональных данных, векторов единой биометрической системы в целях проведения идентификации и (или) аутентификации, а также порядок подтверждения соответствия информационных технологий и технических средств указанным требованиям;
2) определяет формы подтверждения соответствия информационных технологий и технических средств, предназначенных для обработки биометрических персональных данных, векторов единой биометрической системы, требованиям, определенным в соответствии с подпунктом "е" пункта 1 настоящей части, и публикует перечень технологий и средств, имеющих подтверждение соответствия. Формы подтверждения соответствия устанавливаются по согласованию с федеральным органом исполнительной власти в области обеспечения безопасности. В банковской сфере и иных сферах финансового рынка указанные требования дополнительно согласовываются с Центральным банком Российской Федерации;
3) в отношении биометрических персональных данных, используемых в соответствии со статьями 5, 9, 10, 14 и 16 настоящего Федерального закона, разрабатывает и утверждает методики проверки соответствия предоставленных биометрических персональных данных физического лица соответствующим векторам единой биометрической системы, а в отношении биометрических персональных данных, используемых в соответствии со статьей 9 и частями 1 и 2 статьи 14 настоящего Федерального закона, также определяет степень взаимного соответствия указанных биометрических персональных данных и векторов единой биометрической системы, достаточную для проведения идентификации и (или) аутентификации, предусмотренных настоящим Федеральным законом. В банковской сфере и иных сферах финансового рынка указанные методики дополнительно согласовываются с Центральным банком Российской Федерации;
4) по согласованию с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, Центральным банком Российской Федерации и оператором единой биометрической системы определяет перечень угроз безопасности, актуальных при обработке биометрических персональных данных, векторов единой биометрической системы, проверке и передаче информации о степени соответствия векторов единой биометрической системы предоставленным биометрическим персональным данным физического лица в единой биометрической системе, а также актуальных при взаимодействии информационных систем государственных органов, органов местного самоуправления, Центрального банка Российской Федерации, организаций, за исключением организаций финансового рынка, индивидуальных предпринимателей, нотариусов с единой биометрической системой, с учетом оценки возможного вреда, проведенной в соответствии с законодательством Российской Федерации о персональных данных;
5) распространяет на безвозмездной основе для физических и юридических лиц шифровальное (криптографическое) средство, соответствующее требованиям к шифровальным (криптографическим) средствам, указанным в части 1 статьи 19 настоящего Федерального закона. Указанное шифровальное (криптографическое) средство может использоваться физическими и юридическими лицами в целях аутентификации при взаимодействии с единой биометрической системой, информационными системами организаций, осуществляющих аутентификацию на основе биометрических персональных данных физических лиц, если физическими и юридическими лицами не используется иное шифровальное (криптографическое) средство, соответствующее требованиям к шифровальным (криптографическим) средствам, указанным в части 1 статьи 19 настоящего Федерального закона;
6) по согласованию с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, и оператором единой биометрической системы определяет перечень угроз безопасности, актуальных при обработке биометрических персональных данных, векторов единой биометрической системы, проверке и передаче информации о степени соответствия векторов единой биометрической системы предоставленным биометрическим персональным данным физического лица в информационных системах организаций, осуществляющих аутентификацию на основе биометрических персональных данных физических лиц, за исключением организаций финансового рынка, и единой биометрической системы, а также актуальных при взаимодействии информационных систем государственных органов, органов местного самоуправления, Центрального банка Российской Федерации, организаций, за исключением организаций финансового рынка, индивидуальных предпринимателей, нотариусов с указанными информационными системами, с учетом оценки возможного вреда, проведенной в соответствии с законодательством Российской Федерации о персональных данных;
7) обеспечивает возможность идентификации и (или) аутентификации физических лиц на основе биометрических персональных данных с использованием единой биометрической системы и единой системы идентификации и аутентификации для предоставления государственных услуг, исполнения государственных функций посредством заключения с многофункциональными центрами предоставления государственных и муниципальных услуг соглашений о взаимодействии с многофункциональными центрами предоставления государственных и муниципальных услуг в соответствии со статьей 18 Федерального закона от 27 июля 2010 года № 210-ФЗ "Об организации предоставления государственных и муниципальных услуг";
8) осуществляет аккредитацию государственных органов, указанных в пункте 2 части 2 статьи 14 настоящего Федерального закона, Центрального банка Российской Федерации, а также организаций, осуществляющих аутентификацию на основе биометрических персональных данных физических лиц;
9) осуществляет подтверждение соответствия информационных технологий и технических средств, предназначенных для обработки биометрических персональных данных в целях проведения идентификации и (или) аутентификации, требованиям, установленным в соответствии с подпунктом "е" пункта 1 настоящей части;
10) определяет порядок и сроки направления, в том числе с использованием федеральной государственной информационной системы "Единый портал государственных и муниципальных услуг (функций)", оператору регионального сегмента единой биометрической системы, аккредитованному государственному органу, Центральному банку Российской Федерации в случае прохождения им аккредитации, организации, осуществляющей аутентификацию на основе биометрических персональных данных физических лиц, запроса о блокировании, об удалении, уничтожении векторов единой биометрической системы в случае отзыва субъектом персональных данных у оператора единой биометрической системы согласия на обработку биометрических персональных данных или получения от субъекта персональных данных требования о блокировании, об удалении, уничтожении биометрических персональных данных и (или) векторов единой биометрической системы с учетом требований, установленных Федеральным законом от 27 июля 2006 года № 152-ФЗ "О персональных данных", а также порядок подтверждения осуществления таких блокирования, удаления, уничтожения векторов единой биометрической системы.
3. Указанные в пункте 1 части 2 настоящей статьи порядки и требования устанавливаются по согласованию с федеральным органом исполнительной власти в области обеспечения безопасности. В банковской сфере и иных сферах финансового рынка указанные порядки и требования дополнительно согласовываются с Центральным банком Российской Федерации.
Статья 7. Полномочия федеральных органов исполнительной власти и Центрального банка Российской Федерации
1. Федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности, и федеральный орган исполнительной власти, уполномоченный в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий, установленных законодательством Российской Федерации о персональных данных, осуществляют контроль и надзор:
1) за применением организационных и технических мер по обеспечению безопасности персональных данных, установленных в соответствии со статьей 19 Федерального закона от 27 июля 2006 года № 152-ФЗ "О персональных данных", при обработке персональных данных в единой биометрической системе, в том числе в ее региональных сегментах;
2) за выполнением требований, установленных частями 6 и 8 статьи 3, частями 11 и 12 статьи 4, частью 4, пунктами 6 и 10 части 8, частями 14, 17 и 18 статьи 5, пунктами 5 и 9 части 2 статьи 8, частью 2 статьи 9, частями 5, 6 и 15 статьи 10, статьями 13 - 16 настоящего Федерального закона, за исключением контроля и надзора за применением организационных и технических мер по обеспечению безопасности персональных данных при использовании единой биометрической системы организациями финансового рынка.
2. Уполномоченный орган по защите прав субъектов персональных данных, федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности, осуществляют контроль и надзор за соблюдением многофункциональными центрами предоставления государственных и муниципальных услуг порядка размещения и обновления биометрических персональных данных в единой биометрической системе в установленном Правительством Российской Федерации порядке.
3. Уполномоченный орган по защите прав субъектов персональных данных осуществляет:
1) контроль и надзор за обработкой персональных данных, включая биометрические персональные данные и векторы единой биометрической системы, в единой биометрической системе, в том числе в ее региональных сегментах, в информационных системах аккредитованных государственных органов и организаций, осуществляющих аутентификацию на основе биометрических персональных данных физических лиц, а также в информационных системах государственных органов, органов местного самоуправления, Центрального банка Российской Федерации, организаций финансового рынка, иных организаций, индивидуальных предпринимателей, нотариусов, которые используют единую биометрическую систему, в том числе ее региональные сегменты, информационные системы организаций, осуществляющих аутентификацию на основе биометрических персональных данных физических лиц, в пределах полномочий, установленных законодательством Российской Федерации о персональных данных;
2) контроль за выполнением оператором единой биометрической системы, оператором регионального сегмента единой биометрической системы требований, указанных в пункте 3 части 2 статьи 8 и пункте 3 части 8 статьи 5 настоящего Федерального закона соответственно, частях 8 - 14 статьи 10 настоящего Федерального закона;
3) контроль за выполнением организациями, осуществляющими аутентификацию на основе биометрических персональных данных физических лиц, требований, указанных в частях 8 - 14 статьи 16 настоящего Федерального закона.
4. Центральный банк Российской Федерации:
1) по согласованию с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, федеральным органом исполнительной власти, осуществляющим регулирование в сфере идентификации и аутентификации физических лиц на основе биометрических персональных данных, и оператором единой биометрической системы определяет перечень угроз безопасности, актуальных при обработке биометрических персональных данных, векторов единой биометрической системы, проверке и передаче информации о степени соответствия векторов единой биометрической системы предоставленным биометрическим персональным данным физического лица при взаимодействии информационных систем организаций финансового рынка с единой биометрической системой с учетом оценки возможного вреда, проведенной в соответствии с законодательством Российской Федерации о персональных данных;
2) по согласованию с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, федеральным органом исполнительной власти, осуществляющим регулирование в сфере идентификации и аутентификации физических лиц на основе биометрических персональных данных, и оператором единой биометрической системы определяет перечень угроз безопасности, актуальных при обработке биометрических персональных данных, векторов единой биометрической системы, проверке и передаче информации о степени соответствия векторов единой биометрической системы предоставленным биометрическим персональным данным физического лица в информационных системах организаций финансового рынка, осуществляющих аутентификацию на основе биометрических персональных данных физических лиц, за исключением единой биометрической системы, а также актуальных при взаимодействии информационных систем организаций финансового рынка, иных организаций, индивидуальных предпринимателей с указанными информационными системами, с учетом оценки возможного вреда, проведенной в соответствии с законодательством Российской Федерации о персональных данных;
3) осуществляет контроль и надзор за применением организациями финансового рынка организационных и технических мер по обеспечению безопасности биометрических персональных данных;
4) по согласованию с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, осуществляющим регулирование в сфере идентификации и аутентификации физических лиц на основе биометрических персональных данных, вправе установить требования к организации банками процесса сбора и размещения биометрических персональных данных физического лица в единой биометрической системе, осуществляемых в соответствии с порядками, установленными в соответствии с подпунктами "а" и "б" пункта 1 части 2 статьи 6 настоящего Федерального закона, требования к применению банками единой биометрической системы посредством их официального сайта в сети "Интернет", а также их мобильного приложения в соответствии с Федеральным законом от 7 августа 2001 года № 115-ФЗ "О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма".
Статья 8. Оператор единой биометрической системы
1. Функции оператора единой биометрической системы осуществляет определенная Правительством Российской Федерации организация, соответствующая следующим требованиям:
1) является российским юридическим лицом;
2) является владельцем технических средств, предназначенных для обработки информации, содержащейся в единой биометрической системе, в том числе программно-технических средств и средств защиты информации, соответствующих требованиям законодательства Российской Федерации об информации, информационных технологиях и о защите информации, в области персональных данных, а также о техническом регулировании, за исключением технических средств региональных сегментов единой биометрической системы;
3) обладает исключительным правом на программу для электронных вычислительных машин, обеспечивающую функционирование единой биометрической системы и обработку содержащейся в ней информации, за исключением программ для электронных вычислительных машин региональных сегментов единой биометрической системы.
2. Оператор единой биометрической системы:
1) осуществляет передачу информации о результатах проверки соответствия предоставленных биометрических персональных данных физического лица соответствующим векторам единой биометрической системы, содержащимся в единой биометрической системе, в государственные органы, органы местного самоуправления, Центральный банк Российской Федерации, организации финансового рынка, иные организации, индивидуальным предпринимателям, нотариусам;
2) осуществляет передачу векторов единой биометрической системы в целях осуществления аутентификации оператору регионального сегмента единой биометрической системы, аккредитованным государственным органам, Центральному банку Российской Федерации в случае прохождения им аккредитации, организациям, осуществляющим аутентификацию на основе биометрических персональных данных физических лиц;
3) не вправе предоставлять третьим лицам биометрические персональные данные физических лиц, содержащиеся в единой биометрической системе, за исключением случаев, указанных в пункте 4 настоящей части;
4) по мотивированному запросу, направленному в соответствии с законодательством Российской Федерации, предоставляет в федеральный орган исполнительной власти в области обеспечения безопасности и федеральный орган исполнительной власти, осуществляющий функции по выработке и реализации государственной политики и нормативно-правовому регулированию в сфер