1. В информационных системах организаций, осуществляющих аутентификацию на основе биометрических персональных данных физических лиц, организаций финансового рынка, иных организаций, индивидуальных предпринимателей, нотариусов:
1) запрещена обработка, включая сбор и хранение, используемых в целях идентификации биометрических персональных данных, за исключением обработки, включая сбор, биометрических персональных данных для размещения в единой биометрической системе в соответствии с федеральными законами;
2) запрещена обработка, включая сбор, используемых в целях аутентификации биометрических персональных данных, за исключением обработки в целях подтверждения соответствия предоставленных биометрических персональных данных физического лица соответствующим векторам единой биометрической системы при соблюдении условий, установленных частями 1 и 3 статьи 16 настоящего Федерального закона, а также за исключением обработки, включая сбор, биометрических персональных данных для размещения в единой биометрической системе в соответствии с федеральными законами;
3) запрещено хранение используемых в соответствии с частью 1 статьи 16 настоящего Федерального закона в целях аутентификации биометрических персональных данных, за исключением хранения таких данных для рассмотрения обращений субъектов персональных данных, предполагающих неправомерную обработку их биометрических персональных данных при проведении аутентификации и (или) оспаривающих результаты проведения аутентификации, в течение не более десяти суток с момента предоставления таких данных в целях проведения аутентификации в соответствии с частью 1 статьи 16 настоящего Федерального закона.
2. По истечении срока, указанного в пункте 3 части 1 настоящей статьи, организация, осуществляющая аутентификацию на основе биометрических персональных данных физических лиц, обязана уничтожить биометрические персональные данные. Для уничтожения биометрических персональных данных применяются прошедшие в установленном порядке процедуру оценки соответствия средства защиты информации, в составе которых реализована функция автоматического уничтожения информации по истечении определенного заданного срока.
3. Организация, осуществляющая аутентификацию на основе биометрических персональных данных физических лиц, в случае получения поданного в течение срока, указанного в пункте 3 части 1 настоящей статьи, обращения субъекта персональных данных, предполагающего неправомерную обработку его биометрических персональных данных при проведении аутентификации и (или) оспаривающего результаты проведения аутентификации в порядке, установленном Правительством Российской Федерации, вправе направить мотивированный запрос оператору единой биометрической системы о предоставлении информации о результатах проверки соответствия предоставленных такой организацией биометрических персональных данных физического лица его биометрическим персональным данным, содержащимся в единой биометрической системе, при условии передачи оператору единой биометрической системы такой организацией или субъектом персональных данных биометрических персональных данных физического лица.
