1. В составе единой биометрической системы по решению Правительства Российской Федерации, принятому на основании предложения уполномоченного органа в сфере идентификации и аутентификации физических лиц на основе биометрических персональных данных, согласованного с федеральным органом исполнительной власти в области обеспечения безопасности, федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, и оператором единой биометрической системы, могут быть образованы региональные сегменты. Указанное в настоящей части предложение формируется на основании обращения высшего исполнительного органа соответствующего субъекта Российской Федерации.
2. Порядок и сроки рассмотрения предусмотренного частью 1 настоящей статьи обращения и предусмотренных частями 1 и 22 настоящей статьи предложений устанавливаются Правительством Российской Федерации.
3. Создание, развитие, модернизация и эксплуатация региональных сегментов единой биометрической системы осуществляются в порядке, установленном оператором соответствующего регионального сегмента единой биометрической системы по согласованию с уполномоченным органом в сфере идентификации и аутентификации физических лиц на основе биометрических персональных данных и федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и за счет соответствующего оператора регионального сегмента единой биометрической системы.
4. Региональные сегменты единой биометрической системы должны соответствовать требованиям, предъявляемым к единой биометрической системе с учетом особенностей, предусмотренных настоящей статьей.
5. Согласие физического лица на обработку персональных данных и биометрических персональных данных в целях проведения его аутентификации с использованием регионального сегмента единой биометрической системы предоставляется органам государственной власти субъектов Российской Федерации, подведомственным им организациям, органам местного самоуправления, подведомственным им организациям, иным организациям, указанным в частях 15 и 16 настоящей статьи, в соответствии с требованиями части 4 статьи 9 Федерального закона
от 27 июля 2006 года N 152-ФЗ "О персональных данных" и может быть подписано:
1) усиленной неквалифицированной электронной подписью;
2) простой электронной подписью, правом создания (замены) и выдачи ключа которой в порядке, предусмотренном законодательством Российской Федерации в области использования электронных подписей, обладает оператор регионального сегмента единой биометрической системы. Требования к проверке такой электронной подписи при хранении указанного согласия устанавливаются Правительством Российской Федерации.
6. Не допускается использование биометрических персональных данных, согласие физического лица на обработку которых в целях проведения его аутентификации подписано простой электронной подписью, в не установленных в соответствии с частью 12 настоящей статьи случаях.
7. Указанное в части 5 настоящей статьи согласие, подписанное усиленной неквалифицированной электронной подписью или простой электронной подписью, признается электронным документом, равнозначным документу на бумажном носителе, подписанному собственноручной подписью данного физического лица.
8. Оператор регионального сегмента единой биометрической системы:
1) осуществляет передачу информации о результатах проверки соответствия предоставленных биометрических персональных данных физического лица соответствующим векторам единой биометрической системы, содержащимся в региональном сегменте единой биометрической системы, указанным в частях 15 и 16 настоящей статьи органам государственной власти субъектов Российской Федерации, подведомственным им организациям, органам местного самоуправления, подведомственным им организациям, иным организациям, предоставляющим услуги, организация оказания которых регулируется нормативными правовыми актами субъекта Российской Федерации;
2) не ранее чем за шесть месяцев до планируемого использования для осуществления аутентификации направляет оператору единой биометрической системы мотивированный запрос о предоставлении векторов единой биометрической системы для осуществления аутентификации физических лиц, давших согласие на размещение и обработку персональных данных в единой системе идентификации и аутентификации и биометрических персональных данных в единой биометрической системе в соответствии с частями 2 и 3 статьи 4 настоящего Федерального закона;
3) не вправе предоставлять третьим лицам содержащиеся в региональном сегменте единой биометрической системы векторы единой биометрической системы;
4) по мотивированному запросу, направленному в соответствии с законодательством Российской Федерации, предоставляет в федеральный орган исполнительной власти в области обеспечения безопасности и федеральный орган исполнительной власти, осуществляющий функции по выработке и реализации государственной политики и нормативно-правовому регулированию в сфере внутренних дел, в целях обеспечения обороны страны и безопасности государства, охраны правопорядка, транспортной безопасности и противодействия терроризму сведения, содержащиеся в региональном сегменте единой биометрической системы. Порядок такого предоставления устанавливается Правительством Российской Федерации;
5) по требованию физического лица блокирует или уничтожает его биометрические персональные данные, векторы единой биометрической системы с учетом требований, установленных Федеральным законом
от 27 июля 2006 года N 152-ФЗ "О персональных данных";
6) по мотивированному запросу федеральных органов исполнительной власти, уполномоченных в области безопасности, деятельности войск национальной гвардии Российской Федерации, обеспечения государственной защиты, государственной охраны, внешней разведки, блокирует, удаляет, уничтожает биометрические персональные данные физических лиц, вносит изменения в сведения, содержащиеся в региональном сегменте единой биометрической системы, в случаях, предусмотренных законодательством Российской Федерации, а также предоставляет доступ к таким сведениям в случаях, предусмотренных законодательством Российской Федерации, для реализации указанными федеральными органами исполнительной власти своих полномочий;
7) по мотивированному запросу уполномоченного органа по защите прав субъектов персональных данных уточняет, блокирует, прекращает обработку и уничтожает персональные данные физических лиц, содержащиеся в региональном сегменте единой биометрической системы, включая биометрические персональные данные, векторы единой биометрической системы, в случаях, предусмотренных законодательством Российской Федерации в области персональных данных;
8) направляет перечень органов государственной власти субъектов Российской Федерации, подведомственных им организаций, органов местного самоуправления, подведомственных им организаций, иных организаций, использующих региональный сегмент единой биометрической системы в целях аутентификации, в уполномоченный орган по защите прав субъектов персональных данных, предоставляет указанный перечень оператору единой биометрической системы для размещения на его официальном сайте в информационно-телекоммуникационной сети "Интернет" и обеспечивает поддержание его в актуальном состоянии;
9) по мотивированному запросу органов государственной власти субъектов Российской Федерации, подведомственных им организаций, органов местного самоуправления, подведомственных им организаций, иных организаций, использующих региональный сегмент единой биометрической системы в соответствии с частями 15 и 16 настоящей статьи, основанному на обращении субъекта персональных данных, предполагающего неправомерную обработку его биометрических персональных данных при предоставлении информации о степени соответствия предоставленных биометрических персональных данных физического лица вектору единой биометрической системы, содержащемуся в региональном сегменте единой биометрической системы, и (или) оспаривающего результаты проведения аутентификации, вправе в порядке, установленном Правительством Российской Федерации, направить мотивированный запрос оператору единой биометрической системы о предоставлении информации о результатах проверки соответствия предоставленных органом или организацией биометрических персональных данных физического лица его биометрическим персональным данным, содержащимся в единой биометрической системе, при условии передачи оператору единой биометрической системы оператором регионального сегмента единой биометрической системы биометрических персональных данных;
10) по мотивированному запросу оператора единой биометрической системы, направленному в соответствии с законодательством Российской Федерации, блокирует, удаляет, уничтожает биометрические персональные данные и векторы единой биометрической системы, а также вносит изменения в сведения, содержащиеся в региональном сегменте единой биометрической системы.
9. В региональных сегментах единой биометрической системы допускается обработка, включая хранение, векторов единой биометрической системы, полученных из единой биометрической системы в соответствии с пунктом 2 части 8 настоящей статьи.
10. В региональных сегментах единой биометрической системы запрещено хранение биометрических персональных данных, за исключением хранения для рассмотрения обращений субъектов персональных данных, предполагающих неправомерную обработку их биометрических персональных данных при проведении аутентификации и (или) оспаривающих результаты проведения аутентификации, в течение не более десяти суток с момента предоставления таких данных в целях проведения аутентификации в соответствии с частями 15 и 16 настоящей статьи.
11. По истечении срока, указанного в части 10 настоящей статьи, оператор регионального сегмента единой биометрической системы обязан уничтожить биометрические персональные данные. Для уничтожения биометрических персональных данных применяются прошедшие в установленном порядке процедуру оценки соответствия средства защиты информации, в составе которых реализована функция автоматического уничтожения информации по истечении определенного заданного срока.
12. Использование региональных сегментов единой биометрической системы, а также предоставление в соответствии с пунктом 2 части 8 настоящей статьи векторов единой биометрической системы допускается для аутентификации при предоставлении государственных услуг органами исполнительной власти субъекта Российской Федерации, предоставлении муниципальных услуг, а также при предоставлении иных услуг организациями, если оказание таких услуг регулируется нормативными правовыми актами субъекта Российской Федерации. Правительство Российской Федерации по согласованию с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и высшим исполнительным органом соответствующего субъекта Российской Федерации устанавливает случаи использования соответствующего регионального сегмента единой биометрической системы и предоставления векторов единой биометрической системы. Указанные случаи предусматривают в том числе случаи использования региональных сегментов единой биометрической системы при отсутствии сведений о физическом лице в единой системе идентификации и аутентификации, а также случаи использования биометрических персональных данных, согласие физического лица на обработку которых в целях проведения его аутентификации подписано простой электронной подписью, указанной в пункте 2 части 5 настоящей статьи.
13. Региональные сегменты единой биометрической системы могут использоваться в иных правоотношениях в случаях, установленных федеральными законами и принимаемыми в соответствии с ними нормативными правовыми актами.
14. Перед использованием регионального сегмента единой биометрической системы органы государственной власти субъектов Российской Федерации, подведомственные им организации, органы местного самоуправления, подведомственные им организации, иные организации, указанные в части 15 настоящей статьи, предоставляют в единую систему идентификации и аутентификации сведения о физических лицах, содержащиеся в их информационных системах персональных данных, включая идентификаторы таких сведений. Данные идентификаторы и сведения сопоставляются со сведениями о физических лицах, содержащимися в единой системе идентификации и аутентификации, и после такого сопоставления данные идентификаторы передаются из единой системы идентификации и аутентификации в региональный сегмент единой биометрической системы, за исключением случая отсутствия сведений о физическом лице в единой системе идентификации и аутентификации.
15. Аутентификация физического лица с использованием регионального сегмента единой биометрической системы осуществляется органами государственной власти соответствующего субъекта Российской Федерации, подведомственными им организациями, органами местного самоуправления данного субъекта Российской Федерации, подведомственными им организациями, иными организациями, предоставляющими услуги, организация оказания которых регулируется нормативными правовыми актами субъекта Российской Федерации, которые имеют место нахождения на территории данного субъекта Российской Федерации.
16. Использование в целях аутентификации регионального сегмента единой биометрической системы на территории иного субъекта Российской Федерации возможно только организациями, оказывающими услуги по перевозке пассажиров, в случаях, предусмотренных пунктом 9 статьи
95 Кодекса внутреннего водного транспорта Российской Федерации, статьей 93.1 Федерального закона
от 10 января 2003 года N 18-ФЗ "Устав железнодорожного транспорта Российской Федерации", частью 25 статьи 20 Федерального закона
от 8 ноября 2007 года N 259-ФЗ "Устав автомобильного транспорта и городского наземного электрического транспорта", частью 7 статьи 12 Федерального закона
от 29 декабря 2017 года N 442-ФЗ "О внеуличном транспорте и о внесении изменений в отдельные законодательные акты Российской Федерации".
17. Аутентификация физического лица с использованием регионального сегмента единой биометрической системы осуществляется при условии выполнения требования, предусмотренного частью 14 настоящей статьи, путем проверки принадлежности этому физическому лицу идентификаторов одним из следующих способов:
1) посредством сопоставления их со сведениями о физическом лице, размещенными в единой системе идентификации и аутентификации, а также на основании информации о степени соответствия предоставленных биометрических персональных данных физического лица векторам единой биометрической системы, содержащимся в региональном сегменте единой биометрической системы, по указанным идентификаторам;
2) посредством сопоставления их со сведениями о физическом лице, размещенными в государственной информационной системе персональных данных органа государственной власти соответствующего субъекта Российской Федерации, если такая государственная информационная система в установленном Правительством Российской Федерации порядке обеспечивает взаимодействие с единой системой идентификации и аутентификации, при условии совпадения сведений о физическом лице в указанных информационных системах, а также на основании информации о степени соответствия предоставленных биометрических персональных данных физического лица векторам единой биометрической системы, содержащимся в региональном сегменте единой биометрической системы, по указанным идентификаторам;
3) посредством сопоставления их с идентификаторами, размещенными в иной информационной системе, если такая информационная система в установленном Правительством Российской Федерации порядке обеспечивает взаимодействие с единой системой идентификации и аутентификации, при условии совпадения сведений о физическом лице в указанных информационных системах либо отсутствия сведений о физическом лице в единой системе идентификации и аутентификации, а также на основании информации о степени соответствия предоставленных биометрических персональных данных физического лица векторам единой биометрической системы, содержащимся в региональном сегменте единой биометрической системы, по указанным идентификаторам.
18. Перечень угроз безопасности, актуальных при обработке биометрических персональных данных, векторов единой биометрической системы, проверке и передаче информации о степени соответствия векторов единой биометрической системы предоставленным биометрическим персональным данным физического лица в региональном сегменте единой биометрической системы, а также актуальных при взаимодействии единой биометрической системы, информационных систем органов государственной власти субъектов Российской Федерации, подведомственных им организаций, органов местного самоуправления, подведомственных им организаций, иных организаций с региональным сегментом единой биометрической системы, определяется для каждого регионального сегмента единой биометрической системы на основе перечня, устанавливаемого в соответствии с пунктом 4 части 2 статьи 6 настоящего Федерального закона, федеральным органом исполнительной власти, осуществляющим регулирование в сфере идентификации и аутентификации физических лиц на основе биометрических персональных данных, по согласованию с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, и оператором единой биометрической системы с учетом оценки возможного вреда, проведенной в соответствии с законодательством Российской Федерации о персональных данных.
19. Оператор единой биометрической системы вправе осуществлять мониторинг региональных сегментов единой биометрической системы, в том числе в части соблюдения операторами соответствующих региональных сегментов единой биометрической системы требований к их функционированию и использованию, установленных настоящим Федеральным законом.
20. В случае выявления в рамках мониторинга несоблюдения оператором регионального сегмента единой биометрической системы требований, установленных частями 6 и 7 статьи 3, частями 4, 8 - 13, 15 - 18 настоящей статьи, статьей 19 настоящего Федерального закона, и (или) требований, установленных в соответствии с частью 3 статьи 3, пунктами 1 и 3 части 2 статьи 6 настоящего Федерального закона, оператор единой биометрической системы информирует оператора регионального сегмента единой биометрической системы о выявленных нарушениях, а также уполномоченный орган в сфере идентификации и аутентификации физических лиц на основе биометрических персональных данных о несоблюдении оператором регионального сегмента единой биометрической системы соответствующих требований для оценки указанным уполномоченным органом целесообразности формирования предложения об исключении регионального сегмента единой биометрической системы из состава единой биометрической системы в порядке, установленном частью 21 настоящей статьи.
21. Оценка целесообразности формирования предложения об исключении регионального сегмента единой биометрической системы из состава единой биометрической системы осуществляется уполномоченным органом в сфере идентификации и аутентификации физических лиц на основе биометрических персональных данных совместно с федеральным органом исполнительной власти в области обеспечения безопасности, федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, и оператором единой биометрической системы с учетом рассмотрения мотивированной позиции оператора регионального сегмента единой биометрической системы.
22. В случае несоблюдения оператором регионального сегмента единой биометрической системы требований, предусмотренных частями 6 и 7 статьи 3, частями 4, 8 - 13, 15 - 18 настоящей статьи, статьей 19 настоящего Федерального закона, а также требований, установленных в соответствии с частью 3 статьи 3, пунктами 1 и 3 части 2 статьи 6 настоящего Федерального закона, по решению Правительства Российской Федерации, принимаемому на основании предложения уполномоченного органа в сфере идентификации и аутентификации физических лиц на основе биометрических персональных данных, согласованного с федеральным органом исполнительной власти в области обеспечения безопасности, федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, и оператором единой биометрической системы, региональный сегмент единой биометрической системы исключается из состава единой биометрической системы.
23. В случае исключения регионального сегмента единой биометрической системы из состава единой биометрической системы оператор регионального сегмента единой биометрической системы обязан уничтожить векторы единой биометрической системы и биометрические персональные данные, содержащиеся в региональном сегменте единой биометрической системы. Для уничтожения векторов единой биометрической системы и биометрических персональных данных применяются прошедшие в установленном порядке процедуру оценки соответствия средства защиты информации, в составе которых реализована функция автоматического уничтожения информации по истечении определенного заданного срока.