роведения аутентификации, в течение не более десяти суток с момента предоставления таких данных в целях проведения аутентификации в соответствии с частью 1 статьи 16 настоящего Федерального закона.
2. По истечении срока, указанного в пункте 3 части 1 настоящей статьи, организация, осуществляющая аутентификацию на основе биометрических персональных данных физических лиц, обязана уничтожить биометрические персональные данные. Для уничтожения биометрических персональных данных применяются прошедшие в установленном порядке процедуру оценки соответствия средства защиты информации, в составе которых реализована функция автоматического уничтожения информации по истечении определенного заданного срока.
3. Организация, осуществляющая аутентификацию на основе биометрических персональных данных физических лиц, в случае получения поданного в течение срока, указанного в пункте 3 части 1 настоящей статьи, обращения субъекта персональных данных, предполагающего неправомерную обработку его биометрических персональных данных при проведении аутентификации и (или) оспаривающего результаты проведения аутентификации в порядке, установленном Правительством Российской Федерации, вправе направить мотивированный запрос оператору единой биометрической системы о предоставлении информации о результатах проверки соответствия предоставленных такой организацией биометрических персональных данных физического лица его биометрическим персональным данным, содержащимся в единой биометрической системе, при условии передачи оператору единой биометрической системы такой организацией или субъектом персональных данных биометрических персональных данных физического лица.
Статья 16. Осуществление аутентификации с использованием информационных систем организаций, осуществляющих аутентификацию на основе биометрических персональных данных физических лиц
1. Обработка в соответствии с пунктами 2 и 3 части 1 статьи 15 настоящего Федерального закона используемых для аутентификации биометрических персональных данных в информационных системах организаций, осуществляющих аутентификацию на основе биометрических персональных данных физических лиц, допускается с использованием векторов единой биометрической системы, в том числе с использованием векторов, являющихся результатом обработки биометрических персональных данных, размещенных в единой биометрической системе в соответствии с частью 9 статьи 4 настоящего Федерального закона.
2. Правительство Российской Федерации по согласованию с федеральным органом исполнительной власти в области обеспечения безопасности и Центральным банком Российской Федерации устанавливает случаи, при которых аутентификация с использованием информационных систем организаций, осуществляющих аутентификацию на основе биометрических персональных данных физических лиц, не допускается.
3. Указанная в части 1 настоящей статьи обработка допускается при одновременном выполнении следующих условий:
1) применение организациями, осуществляющими аутентификацию на основе биометрических персональных данных физических лиц, организационных и технических мер по обеспечению безопасности персональных данных, предусмотренных в соответствии с частью 4 статьи 19 Федерального закона от 27 июля 2006 года № 152-ФЗ "О персональных данных";
2) использование шифровального (криптографического) средства, определенного пунктом 5 части 2 статьи 6 настоящего Федерального закона, либо шифровальных (криптографических) средств, позволяющих обеспечить безопасность персональных данных от угроз, определенных:
а) для организаций, за исключением организаций финансового рынка, в соответствии с пунктом 6 части 2 статьи 6 настоящего Федерального закона;
б) для организаций финансового рынка в соответствии с пунктом 2 части 4 статьи 7 настоящего Федерального закона;
3) выполнение требований к обработке, включая сбор, биометрических персональных данных, установленных в соответствии с пунктом 1 части 2 статьи 6 настоящего Федерального закона;
4) выполнение требований настоящего Федерального закона и Федерального закона от 26 июля 2017 года № 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации", в том числе посредством выполнения требований о защите содержащейся в государственных информационных системах информации, установленных федеральным органом исполнительной власти в области обеспечения безопасности и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий, а также посредством автоматизированного информационного взаимодействия с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации для решения задач, касающихся обнаружения, предупреждения и ликвидации последствий компьютерных атак;
5) наличие согласия физического лица на обработку биометрических персональных данных в целях проведения его аутентификации;
6) прохождение указанными организациями аккредитации в соответствии со статьей 17 настоящего Федерального закона.
4. Организации финансового рынка, иные организации, индивидуальные предприниматели вправе использовать информационные системы организаций, осуществляющих аутентификацию на основе биометрических персональных данных физических лиц, соответствующих требованиям, указанным в частях 1 и 3 настоящей статьи, для аутентификации физического лица, выразившего согласие на ее проведение, в целях совершения этим лицом определенных действий, либо подтверждения волеизъявления этого лица, либо подтверждения полномочия этого лица на совершение определенных действий.
5. Организации финансового рынка, иные организации, индивидуальные предприниматели при использовании информационных систем иных организаций для аутентификации обязаны применять организационные и технические меры по обеспечению безопасности персональных данных, предусмотренные в соответствии с частью 4 статьи 19 Федерального закона от 27 июля 2006 года № 152-ФЗ "О персональных данных", а также использовать средства криптографической защиты информации, указанные в пункте 2 части 3 настоящей статьи.
6. Перед осуществлением аутентификации в соответствии с частью 7 настоящей статьи организации, осуществляющие аутентификацию на основе биометрических персональных данных физических лиц, организации финансового рынка, иные организации, индивидуальные предприниматели, указанные в части 4 настоящей статьи, предоставляют в единую систему идентификации и аутентификации сведения о физических лицах, содержащиеся в их информационных системах персональных данных, включая идентификаторы таких сведений. Данные идентификаторы и сведения сопоставляются со сведениями о физических лицах, содержащимися в единой системе идентификации и аутентификации, и после такого сопоставления данные идентификаторы передаются из единой системы идентификации и аутентификации в информационную систему организации, осуществляющей аутентификацию на основе биометрических персональных данных физических лиц.
7. Аутентификация физического лица осуществляется организациями финансового рынка, иными организациями, индивидуальными предпринимателями, указанными в части 4 настоящей статьи, при условии выполнения требований, предусмотренных частями 5 и 6 настоящей статьи, одним из следующих способов путем проверки принадлежности этому физическому лицу идентификаторов посредством сопоставления их:
1) со сведениями о физическом лице, размещенными в единой системе идентификации и аутентификации, а также на основании информации о степени соответствия предоставленных биометрических персональных данных физического лица векторам единой биометрической системы, имеющимся у организации, осуществляющей аутентификацию на основе биометрических персональных данных физических лиц, по указанным идентификаторам;
2) со сведениями о физическом лице, размещенными соответственно в информационной системе персональных данных организации финансового рынка, иной организации, индивидуального предпринимателя, а также на основании информации о степени соответствия предоставленных биометрических персональных данных физического лица векторам единой биометрической системы, имеющимся у организации, осуществляющей аутентификацию на основе биометрических персональных данных физических лиц, по указанным идентификаторам.
8. Организации, индивидуальные предприниматели, указанные в части 4 настоящей статьи, должны соответствовать следующим критериям:
1) организация, а также ее единоличный исполнительный орган либо члены коллегиального исполнительного органа, индивидуальный предприниматель не включены в перечень организаций и физических лиц, в отношении которых имеются сведения об их причастности к экстремистской деятельности или терроризму, или в перечни организаций и физических лиц, связанных с террористическими организациями и террористами или с распространением оружия массового уничтожения, указанные в Федеральном законе от 7 августа 2001 года № 115-ФЗ "О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма";
2) у единоличного исполнительного органа либо членов коллегиального исполнительного органа организации, индивидуального предпринимателя отсутствует неснятая или непогашенная судимость;
3) в отношении организации в едином государственном реестре юридических лиц отсутствует запись о недостоверности сведений о юридическом лице.
9. Подтверждение соответствия индивидуальных предпринимателей и организаций, за исключением организаций финансового рынка, указанных в части 4 настоящей статьи, критерию, указанному в пункте 1 части 8 настоящей статьи, осуществляется путем проверки организацией, осуществляющей аутентификацию на основе биометрических персональных данных физических лиц, отсутствия сведений о таких индивидуальных предпринимателях и организациях в соответствующих перечнях, размещенных федеральным органом исполнительной власти, осуществляющим функции по противодействию легализации (отмыванию) доходов, полученных преступным путем, финансированию терроризма и финансированию распространения оружия массового уничтожения, на своем официальном сайте в сети "Интернет" в соответствии с Федеральным законом от 7 августа 2001 года № 115-ФЗ "О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма".
10. Подтверждение соответствия индивидуальных предпринимателей и организаций, за исключением организаций финансового рынка, указанных в части 4 настоящей статьи, критерию, указанному в пункте 3 части 8 настоящей статьи, осуществляется путем предоставления организации, осуществляющей аутентификацию на основе биометрических персональных данных физических лиц, по ее запросу информации федеральным органом исполнительной власти, осуществляющим государственную регистрацию юридических лиц и физических лиц в качестве индивидуальных предпринимателей.
11. Подтверждение соответствия индивидуальных предпринимателей и организаций, за исключением организаций финансового рынка, указанных в части 4 настоящей статьи, критерию, указанному в пункте 2 части 8 настоящей статьи, осуществляется путем предоставления организации, осуществляющей аутентификацию на основе биометрических персональных данных физических лиц, справки об отсутствии неснятой или непогашенной судимости, выданной федеральным органом исполнительной власти, осуществляющим функции по выработке и реализации государственной политики и нормативно-правовому регулированию в сфере внутренних дел.
12. Использование организациями финансового рынка, иными организациями, индивидуальными предпринимателями информационных систем организаций, осуществляющих аутентификацию на основе биометрических персональных данных физических лиц, в целях аутентификации допускается после предоставления организации, осуществляющей аутентификацию на основе биометрических персональных данных физических лиц, актов проверки, составленных федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, по результатам проверки в соответствии с частью 1 статьи 7 настоящего Федерального закона, а в отношении организаций финансового рынка - Центральным банком Российской Федерации по результатам проверки в соответствии с пунктом 3 части 4 статьи 7 настоящего Федерального закона.
13. Организация, осуществляющая аутентификацию на основе биометрических персональных данных физических лиц, обязана хранить указанные в частях 9 - 12 настоящей статьи информацию и документы на протяжении всего срока использования ее информационной системы.
14. Организации, осуществляющие аутентификацию на основе биометрических персональных данных физических лиц, не вправе передавать векторы единой биометрической системы третьим лицам.
15. Организации, осуществляющие аутентификацию на основе биометрических персональных данных физических лиц, по мотивированному запросу оператора единой биометрической системы, направленному в соответствии с законодательством Российской Федерации, блокируют, удаляют, уничтожают векторы единой биометрической системы, а также вносят изменения в сведения, содержащиеся в их информационных системах.
16. Физическое лицо вправе подписать согласие на обработку биометрических персональных данных в целях проведения его аутентификации:
1) усиленной неквалифицированной электронной подписью;
2) простой электронной подписью, правом создания (замены) и выдачи ключа которой в порядке, предусмотренном законодательством Российской Федерации в области использования электронных подписей, обладает организация, осуществляющая аутентификацию на основе биометрических персональных данных физических лиц. Требования к проверке такой простой электронной подписи при хранении указанного согласия устанавливаются Правительством Российской Федерации.
17. Не допускается использование биометрических персональных данных, согласие физического лица на обработку которых подписано простой электронной подписью, указанной в пункте 2 части 16 настоящей статьи, в случаях, которые не установлены Правительством Российской Федерации по согласованию с федеральным органом исполнительной власти в области обеспечения безопасности.
18. Указанное в части 16 настоящей статьи согласие, подписанное усиленной неквалифицированной электронной подписью или простой электронной подписью, признается электронным документом, равнозначным документу на бумажном носителе, подписанному собственноручной подписью данного физического лица.
Статья 17. Аккредитация организаций, осуществляющих аутентификацию на основе биометрических персональных данных физических лиц
1. Аккредитация организаций, указанных в части 1 статьи 16 настоящего Федерального закона, для осуществления аутентификации осуществляется без ограничения срока. Порядок осуществления такой аккредитации, основания ее приостановления и прекращения устанавливаются Правительством Российской Федерации.
2. Предусмотренная частью 1 настоящей статьи аккредитация организаций осуществляется при условии выполнения ею следующих требований:
1) организация не является иностранным юридическим лицом, а также юридическим лицом, в уставном (складочном) капитале которого доля участия иностранных юридических лиц превышает 49 процентов;
2) минимальный размер собственных средств (капитала) составляет не менее чем 500 миллионов рублей;
3) наличие финансового обеспечения ответственности за убытки, причиненные третьим лицам вследствие их доверия к результату аутентификации на основе биометрических персональных данных, осуществленной организацией, в сумме не менее чем 100 миллионов рублей;
4) использование для обработки биометрических персональных данных и векторов единой биометрической системы баз данных, находящихся исключительно на территории Российской Федерации;
5) подключение (доступ) организации к государственной системе обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации;
6) наличие лицензии на деятельность по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд организации);
7) наличие права собственности или иного вещного права на аппаратные шифровальные (криптографические) средства, используемые для оказания организацией услуг по аутентификации на основе биометрических персональных данных, имеющие подтверждение соответствия требованиям, установленным федеральным органом исполнительной власти в области обеспечения безопасности, и наличие права использования программных шифровальных (криптографических) средств, имеющих подтверждение соответствия требованиям, установленным федеральным органом исполнительной власти в области обеспечения безопасности, на законных основаниях;
8) наличие в штате организации не менее двух работников, непосредственно осуществляющих деятельность по аутентификации на основе биометрических персональных данных, имеющих высшее образование в области информационных технологий или информационной безопасности;
9) соответствие требованиям к деловой репутации единоличного исполнительного органа, а также членов коллегиального исполнительного органа и (или) физических лиц - учредителей (участников) организации, имеющих право распоряжаться более 10 процентами акций (долей), составляющих уставный капитал организации, установленным федеральным органом исполнительной власти, осуществляющим регулирование в сфере идентификации и аутентификации физических лиц на основе биометрических персональных данных и уполномоченным на принятие решения об аккредитации. Настоящее требование не предъявляется к организациям финансового рынка, организациям, в уставном (складочном) капитале которых доля участия Российской Федерации, субъекта Российской Федерации, муниципального образования превышает 50 процентов;
10) в отношении организации в едином государственном реестре юридических лиц отсутствует запись о недостоверности сведений о юридическом лице;
11) соответствие дополнительным требованиям единоличного исполнительного органа:
а) наличие гражданства Российской Федерации;
б) сведения о лице не включены в перечень организаций и физических лиц, в отношении которых имеются сведения об их причастности к экстремистской деятельности или терроризму, или в перечни организаций и физических лиц, связанных с террористическими организациями и террористами или с распространением оружия массового уничтожения, указанные в Федеральном законе от 7 августа 2001 года № 115-ФЗ "О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма";
в) отсутствие у лица неснятой или непогашенной судимости за совершение преступления;
г) лицо не привлекалось в течение пяти лет, предшествующих дню подачи заявления, к уголовной ответственности в соответствии со статьями 183 и 283 Уголовного кодекса Российской Федерации за незаконные получение и разглашение сведений, составляющих государственную, коммерческую, налоговую или банковскую тайну;
12) в отношении