Биометрия, закон и камеры
Актуальный вопрос объектовой безопасности — это необходимость получения согласий на обработку персональных данных при организации видеонаблюдения. В этой статье мы разберем основные правовые нормы, которые регулируют сбор и обработку персональных данных при организации видеонаблюдения, включая необходимость получения согласий от субъектов данных.Мы рассмотрим, какие именно правила и требования установлены законодательством в области защиты персональных данных, как правильно организовать процесс видеонаблюдения с точки зрения права, а также возможные последствия за нарушение этих норм.
Особое внимание будет уделено биометрическим данным, их статусу и особенностям обработки, а также практическим рекомендациям для организаций, осуществляющих видеонаблюдение.
Что попадает под биометрию и с чем ее хранят
По вопросу отнесения фото- и видеоизображений гражданина к биометрическим персональным данным обратимся к разъяснениям РКН, основанным на трактовке статьи 11 ФЗ №152 «О персональных данных».
1. Сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные) и которые используются оператором для установления личности субъекта персональных данных, могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи. |
- Физические и физиологические особенности лиц
- Возможность установить по ним личность
- Использование оператором персональных данных, для установления личности
Переведем на простой язык. Допустим, вы — человек с камерой в руках. Вы стоите на центральной площади города, доступ на которую никак не ограничен. Вам не могут запретить вести съемку. От вас не будут просить согласия на обработку биометрии прохожих. Точно так же дело обстоит и с камерами видеонаблюдения на площади.
Представим иную ситуацию. Теперь мы находимся в офисном помещении, и доступ в него ограничен пропускным режимом. Все время стоять с камерой в чужом офисе вам очевидно не дадут. Следовательно, появляются правила. Вернемся к статье 152.1 ГК РФ, которая предусматривает наличие согласия на обработку изображения гражданина.
Здесь ключевой для нас момент: эта статья не обязывает получать письменное согласие. Следовательно, таблички «Ведется видеонаблюдение» в помещении будет достаточно для обоснования согласия в форме так называемых конклюдентных действий (часть 2 статьи 158 ГК РФ).
2. Сделка, которая может быть совершена устно, считается совершенной и в том случае, когда из поведения лица явствует его воля совершить сделку. |
Конклюдентные действия — это действия лица, которые свидетельствуют о его намерении совершить определенное юридически значимое действие или дать согласие с определенными условиями, даже если эти намерения не выражены явно словами или письменно.
Вести видеонаблюдение право имею?
Теперь об основаниях компании для ведения видеонаблюдения. Статья 22 ТК РФ определяет одной из обязанностей работодателя обеспечение безопасности и условий труда. И это как раз вполне подходит нам для обоснования необходимости работы с видеоданными.
Таким образом, для соблюдения правил ведения видеонаблюдения в коммерческом помещении нам нужно учитывать правомерность целей ведения видеонаблюдения, оповещение сотрудников (под роспись с учетом требований части 4 статьи 9 ФЗ №152) и посетителей о его ведении (в форме все тех же конклюдентных действий — то есть при наличии таблички с предупреждением).
4. В случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью. |
Это важный момент, так как изображение человека считается биометрическими персональными данными, если оно используется для установления конкретной личности. И согласно статье 86 ТК РФ это предполагает соблюдение общих требований, а также правомерность целей их обработки. Например, легальными целями для обработки биометрических данных являются обеспечение личной безопасности сотрудников, контроль качества выполняемой работы и обеспечение сохранности имущества.
В целях обеспечения прав и свобод человека и гражданина работодатель и его представители при обработке персональных данных работника обязаны соблюдать следующие общие требования: 1) обработка персональных данных работника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, получении образования и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества; |
1. Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных. |
Наконец, с 29.12.2022 года сфера обработки биометрии стала регулироваться еще одним законом. Это «Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных». Согласно ему вся автоматизированная обработка биометрии должна осуществляться централизованно через ЕБС (Единую Биометрическую Систему). Причем практически полностью запрещена обработка именно биометрии — все операции с биометрическими данными должны осуществляться через ЕБС.
На практике это означает, что организации не могут самостоятельно собирать или обрабатывать биометрическую информацию, что может потребовать пересмотра бизнес-процессов. Также важно будет провести аудит текущих процессов и обеспечить их соответствие новым требованиям.
Исключением является деятельность сертифицированных компаний, которые передают в ЕБС биометрические данные. Но на своей стороне они — как и любые другие организации — их обработку осуществлять не могут. Что происходит дальше? В ЕБС происходит оцифровка биометрических данных, в результате которых формируется вектор — закодированное описание идентификатора биометрии. И вся последующая идентификация лица уже будет заключаться в запросе самой сертифицированной организацией данных из ЕБС.
То есть по сути ЕБС полностью берет на себя функциональность автоматической идентификации лиц, поскольку является единственным легальным хранилищем биометрии. Здесь важно отметить и то, что действие ФЗ №572 не распространяется на обработку биометрических данных в рамках оперативно-розыскной деятельности, разведки и контрразведки, обороны, обеспечения безопасности и санитарно-эпидемиологического благополучия, миграционного, регистрационного и иных видов учета. Что в свою очередь также необходимо учитывать при организации бизнес-процессов.
Что мы имеем в сухом остатке?
- Ограничений на ведение видеозаписи в публичных местах нет.
- При ведении видеозаписи в служебных помещениях вы должны открыто размещать камеры, а также вывешивать уведомление о ведении видеонаблюдения. Видеонаблюдение в раздевалках, душевых, примерочных, гостиничных номерах и медицинских кабинетах, естественно, недопустимо.
- Сотрудники компании должны быть уведомлены локальным актом о ведении видеонаблюдения в целях их безопасности, соблюдения условий труда и сохранности имущества.
- Идентификация лиц в системах видеонаблюдения в автоматическом режиме допускается только через ЕБС. Организациям запрещено регистрировать биометрические персональные данные в собственных системах.
