Федеральный закон «Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, о внесении изменений в отдельные законодательные акты Российской Федерации и признании утратившими силу отдельных положений законодательных актов Российской Федерации» от 29.12.2022 N 572-ФЗ ст 17
Статья 17. Аккредитация организаций, осуществляющих аутентификацию на основе биометрических персональных данных физических лиц
1. Аккредитация организаций, указанных в части 1 статьи 16 настоящего Федерального закона, для осуществления аутентификации осуществляется без ограничения срока. Порядок осуществления такой аккредитации, основания ее приостановления и прекращения устанавливаются Правительством Российской Федерации.
2. Предусмотренная частью 1 настоящей статьи аккредитация организаций осуществляется при условии выполнения ею следующих требований:
1) организация не является иностранным юридическим лицом, а также юридическим лицом, в уставном (складочном) капитале которого доля участия иностранных юридических лиц превышает 49 процентов;
2) минимальный размер собственных средств (капитала) составляет не менее чем 500 миллионов рублей;
3) наличие финансового обеспечения ответственности за убытки, причиненные третьим лицам вследствие их доверия к результату аутентификации на основе биометрических персональных данных, осуществленной организацией, в сумме не менее чем 100 миллионов рублей;
4) использование для обработки биометрических персональных данных и векторов единой биометрической системы баз данных, находящихся исключительно на территории Российской Федерации;
5) подключение (доступ) организации к государственной системе обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации;
6) наличие лицензии на деятельность по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд организации);
7) наличие права собственности или иного вещного права на аппаратные шифровальные (криптографические) средства, используемые для оказания организацией услуг по аутентификации на основе биометрических персональных данных, имеющие подтверждение соответствия требованиям, установленным федеральным органом исполнительной власти в области обеспечения безопасности, и наличие права использования программных шифровальных (криптографических) средств, имеющих подтверждение соответствия требованиям, установленным федеральным органом исполнительной власти в области обеспечения безопасности, на законных основаниях;
8) наличие в штате организации не менее двух работников, непосредственно осуществляющих деятельность по аутентификации на основе биометрических персональных данных, имеющих высшее образование в области информационных технологий или информационной безопасности;
9) соответствие требованиям к деловой репутации единоличного исполнительного органа, а также членов коллегиального исполнительного органа и (или) физических лиц - учредителей (участников) организации, имеющих право распоряжаться более 10 процентами акций (долей), составляющих уставный капитал организации, установленным федеральным органом исполнительной власти, осуществляющим регулирование в сфере идентификации и аутентификации физических лиц на основе биометрических персональных данных и уполномоченным на принятие решения об аккредитации. Настоящее требование не предъявляется к организациям финансового рынка, организациям, в уставном (складочном) капитале которых доля участия Российской Федерации, субъекта Российской Федерации, муниципального образования превышает 50 процентов;
10) в отношении организации в едином государственном реестре юридических лиц отсутствует запись о недостоверности сведений о юридическом лице;
11) соответствие дополнительным требованиям единоличного исполнительного органа:
а) наличие гражданства Российской Федерации;
б) сведения о лице не включены в перечень организаций и физических лиц, в отношении которых имеются сведения об их причастности к экстремистской деятельности или терроризму, или в перечни организаций и физических лиц, связанных с террористическими организациями и террористами или с распространением оружия массового уничтожения, указанные в Федеральном законе от 7 августа 2001 года N 115-ФЗ "О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма";
в) отсутствие у лица неснятой или непогашенной судимости за совершение преступления;
г) лицо не привлекалось в течение пяти лет, предшествующих дню подачи заявления, к уголовной ответственности в соответствии со статьями 183 и 283 Уголовного кодекса Российской Федерации за незаконные получение и разглашение сведений, составляющих государственную, коммерческую, налоговую или банковскую тайну;
12) в отношении организации, претендующей на получение аккредитации, не была досрочно прекращена ее аккредитация в течение трех лет, предшествующих дню подачи заявления;
13) лицо, имеющее право действовать без доверенности от имени организации, претендующей на получение аккредитации, не являлось лицом, имевшим право действовать без доверенности от имени иной организации, осуществляющей аутентификацию на основе биометрических персональных данных физических лиц, аккредитация которой досрочно прекращена в течение трех лет, предшествующих дню подачи заявления.
3. Организации, в отношении которых была прекращена аккредитация в порядке, установленном Правительством Российской Федерации в соответствии с частью 1 настоящей статьи, обязаны уничтожить векторы единой биометрической системы, обрабатываемые в их информационных системах, в течение семи рабочих дней после дня прекращения аккредитации. Для уничтожения векторов единой биометрической системы применяются прошедшие в установленном порядке процедуру оценки соответствия средства защиты информации, в составе которых реализована функция автоматического уничтожения информации по истечении определенного заданного срока.