Все это — онлайн, с заботой о вас и по отличным ценам.
Надо ли брать в этом случае согласие с работника?
Добрый день! В коммерческой организации используется СКУД с проходом по карточкам. В базе скуд хранятся изображения сотрудников. Изображения делаются при помощи web камеры без соблюдения требовании ГОСТ Р ИСО/МЭК 19794-5-2013. Охранник по факту у нас не сверяет человека, проходящего, и фото в системе, но если допустим он стал это делать. Будет ли считаться это обработкой БПДн? Надо ли брать в этом случае согласие с работника?
В коммерческой организации используется СКУД с проходом по карточкам. В базе скуд хранятся изображения сотрудников.
Здравствуйте
Просто изображение- не всегда является именно биометрией.
НО- при этом в любом случае идет обработка персональных данных.
Федеральный закон от 27.07.2006 N 152-ФЗ
«О персональных данных»
Статья 3. Основные понятия, используемые в настоящем Федеральном законе
В целях настоящего Федерального закона используются следующие основные понятия:
1) персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
3) обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение,использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
Здравствуйте.
Будет ли считаться это обработкой БПДн?
Полагаю будет
Определяющим фактором является цель использования фото. Если изображение в СКУД используется для идентификации личности (установления «кто это?» или подтверждения, что карту приложил именно владелец), оно признается биометрическими данными.
Тот факт, что фото сделано на веб-камеру без соблюдения ГОСТ Р ИСО/МЭК 19794-5-2013, не освобождает организацию от соблюдения закона о персональных данных.
Нарушение стандартов качества съемки лишь означает, что данные собраны некорректно с технической точки зрения, но юридически они остаются биометрией, если оператор использует их для распознавания лица.
Надо ли брать в этом случае согласие с работника?
Нужно.
Обработка биометрии в коммерческих организациях регулируется ст. 11 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
Дмитрий, добрый день.
В коммерческой организации используется СКУД с проходом по карточкам. В базе скуд хранятся изображения сотрудников.
Т.е. как понимаю контроль осуществляется не на основании биометрических данных человека, а на основании информации о владельце карточки. Где контроль осуществляется путем приложения карты к считывателю информации.
В таком случае нет оснований говорить об обработке биометрических персональных данных. Если при использовании карты осуществляется аутентификация владельца карты по внешним критериям, путем сравнения личности держателя карты — то есть основания говорить об обработке биометрических данных.
Во втором случае, такого рода обработка под общие исключения из ст. 11 ФЗ «О персональных данных» не подпадает. Согласно позиции Минцифры, изложенной в <Письме> Минцифры России от 17.07.2020 N ОП-П24-070-19433 «О рассмотрении обращения»
фотографическое изображение и иные сведения, используемые для обеспечения однократного и/или многократного прохода на охраняемую территорию и установления личности гражданина, также относятся к биометрическим персональным данным.
В качестве одного из оснований обработки биометрических персональных данных установлено наличие согласия в письменной форме субъекта персональных данных.
законодательством Российской Федерации не предусмотрены случаи, предполагающие обработку биометрических персональных данных в целях установления личности для осуществления пропускного режима
Таким образом, для целей обработки биометрических персональных данных, когда проход на территорию организации осуществляется на основании считывания внешности работника — предполагает получение его согласия.
Исходя из ст. 10 ФЗ от 29.12.2022 N 572-ФЗ полагаю, что организация вправе не подключаться к единой биометрической системе. В законе говориться о праве использования единой биометрической системы для аутентификации физического лица, выразившего согласие на ее проведение.
Здравствуйте Дмитрий.
Согласие работника в общем порядке касающееся его персональных данных, должно браться ещё при трудоустройстве на работу и оформление с ним трудовых отношений.
Общие положения об этом закрепляет ТК РФ Статья 86. Общие требования при обработке персональных данных работника и гарантии их защиты, можете ознакомиться полностью по следующей ссылке -https://www.consultant.ru/document/cons_doc_LAW_34683/01f6157ff985b3cbbb50eb88fa6e26f30202532a/
Из статьи следует:
1) обработка персональных данных работника может осуществляться исключительно в целях обеспечения ....
3) все персональные данные работника следует получать у него самого.
Далее я продолжу в следующем ответе ниже.
С учётом моего ответа выше далее:
Также работодателю следует принять соответствующий внутренний локальный нормативный акт регулирующий указанный в вопросе порядок утвердив его приказом, ознакомить с ним работников под роспись.
ТК РФ Статья 8. Локальные нормативные акты, содержащие нормы трудового права.
Из статьи следует:
Работодатели, за исключением работодателей — физических лиц, не являющихся индивидуальными предпринимателями,принимают локальные нормативные акты, содержащие нормы трудового права (далее — локальные нормативные акты), в пределах своей компетенции в соответствии с трудовым законодательством и иными нормативными правовыми актами, содержащими нормы трудового права, коллективными договорами, соглашениями.-https://www.consultant.ru/document/cons_doc_LAW_34683/c3aa977f4da67be89baf817897b74530882cca55/
ТК РФ Статья 22. Основные права и обязанности работодателя.
Из статьи следует:
Работодатель обязан:
знакомить работников под роспись с принимаемыми локальными нормативными актами, непосредственно связанными с их трудовой деятельностью;-https://www.consultant.ru/document/cons_doc_LAW_34683/98b31fb9ec68d01fefb5bb66cad3bfa2c9705789/
Федеральный закон от 27.07.2006 N 152-ФЗ «О персональных данных» Статья 18.1. Меры, направленные на обеспечение выполнения оператором обязанностей, предусмотренных настоящим Федеральным законом, можете ознакомиться полностью по следующей ссылке-https://www.consultant.ru/document/cons_doc_LAW_61801/eeeebe22bf738fd65bb66b95cc278911ae2525ee/
Из статьи следует:
2) издание оператором, являющимся юридическим лицом, документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, определяющих для каждой цели обработки персональных данных категории и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, способы, сроки их обработки и хранения,....
Во вложении к ответу образцы.
Далее я продолжу в следующем ответе ниже.
С учётом моих ответов выше далее:
При этом, следует учитывать то, что обязательным условием является письменное согласие работника, оно должно быть конкретным, предметным и информированным, Федеральный закон от 27.07.2006 N 152-ФЗ «О персональных данных» Статья 11. Биометрические персональные данные, можете ознакомиться полностью по следующей ссылке-https://www.consultant.ru/document/cons_doc_LAW_61801/7336c78762a98b5f4f698b8c3800dca1111acc16/
Из статьи следует:
1. Сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные) и которые используются оператором для установления личности субъекта персональных данных, могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных,.....
Во вложении к ответу образец.
Далее я продолжу в следующем ответе ниже.
Согласие на обработку берется в любом случае.
Если же вы точно знаете, что речь о биометрии, то
при этом такая форма согласия установлена
Распоряжение Правительства РФ от 30.06.2018 N 1322-р
<Об утверждении формы согласия на размещение и обработку персональных данных в единой системе идентификации и аутентификации и биометрических персональных данных в единой биометрической системе, в том числе на передачу векторов единой биометрической системы>