Документ предоставлен КонсультантПлюс
Биометрия становится все популярнее. Работодатели рассматривают ее применение при организации пропускного режима как способ сократить расходы, оптимизировать время работников. При этом важно не нарушить действующее законодательство.
Биометрические данные — это уникальные биологические и физиологические характеристики, которые позволяют установить личность человека.
Что конкретно можно отнести к биометрическим данным, Роскомнадзор назвал в Письме от 10.02.2020 N 08АП-6782. К таковым относятся:
— фото- и видеоизображение человека;
— дактилоскопические данные;
— радужная оболочка глаза;
— анализы ДНК;
— голос.
Собирать такие данные можно только с письменного согласия работника (ст. 11 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных»).
Особые случаи, когда законодательство разрешает получать и обрабатывать персональные данные без согласия их владельцев перечислены в ч. 2 ст. 11 упомянутого выше Федерального закона N 152-ФЗ. Их не так много и все они связаны с борьбой с преступностью, противодействием терроризму, транспортной безопасностью и т.п. Биометрию без согласия владельца можно использовать:
— для изготовления, оформления и контроля обращения документов, удостоверяющих личность;
— оперативно-розыскной, контрразведывательной или разведывательной деятельности;
— обороны страны, обеспечения безопасности государства, реализации внешней политики;
— охраны правопорядка;
— функционирования государственной системы миграционного учета;
— обеспечения санитарно-эпидемиологического благополучия.
Как бизнес использует биометрические данные
Такая пропускная система позволяет лучше контролировать рабочее время и организовать ограниченный доступ отдельно в каждое служебное помещение.
Поэтому чаще всего бизнес собирает биометрию для организации пропускного режима, а на предприятиях с особым контролем — для фиксации перемещения работников в течение рабочего дня.
Согласие работника на получение его биометрических данных
Прежде чем использовать биометрические данные в компании, нужно получить письменное согласие от сотрудников. Сначала нужно уведомить всех работников компании о планируемой установке нового оборудования с биометрическими данными. В уведомлении необходимо указать, для чего конкретно потребуются биометрические персональные сведения и как они будут использоваться.
Параллельно с уведомлением либо до него нужно внести изменения в локальные нормативные акты. В первую очередь речь идет о соглашении об обработке персональных данных, которое должно быть в каждой компании. В этот документ нужно внести пункт о сборе биометрических сведений.
Затем аналогичные правки нужно внести в Правила внутреннего распорядка. И последний документ, который потребует доработки либо разработки, — это положение о контрольно-пропускном режиме.
После того как все документы, где упоминается пропускной режим, будут отредактированы, с ними нужно ознакомить всех работников под подпись. Это можно сделать с помощью листа ознакомления.
Примечание. Если компания планирует передать полученные данные третьим лицам, например подрядчику по монтажу пропускной системы, она обязана получить согласие работников и на такие действия. Это другой документ! Положения о распространении сведений не могут быть включены в согласие на обработку и хранение.
Финальный документ — согласие работника на использование его биометрических персональных данных. Такое согласие должен письменно дать каждый работник. Оформлять этот документ единым листом со списком работников нельзя.
После приведения в порядок всех локальных документов компании и получения с работников согласий можно начать работы по внедрению биометрии.
Уведомлять об обработке биометрических данных Роскомнадзор не нужно, поскольку эти сведения используются только в рамках трудовых отношений, об этом говорится в статье 22 Федерального закона «О персональных данных».
Если сотрудник против
Если только часть работников подписали письменное согласие на передачу своих биометрических данных, требовать этого же от оставшихся работодатель не вправе. Организация не может принуждать работников подписать подобное согласие. И наказать работника за отказ нельзя.
Если руководство компании настроено категорично и в любом случае будет внедрять биометрию, такими системами будут пользоваться только те, кто дал согласие. Остальным нужно предоставить альтернативу.
Требования к использованию биометрических данных
Помимо Закона «О персональных данных» нужно учитываться положения Федерального закона N 572-ФЗ «Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных», который вступил в силу с 1 июня 2024 года. Биометрические данные граждан должны храниться в ГИС «Единая биометрическая система» (ЕБС) для их эффективной защиты. Доступ к ЕБС получат уполномоченные и аккредитованные компании, соответствующие требованиям.
Работать с ГИС ЕБС обязаны далеко не все. Действие данного Закона N 572-ФЗ не распространяется на компании, где проверка соответствия биометрических данных работника его биометрическим данным в системе не автоматизирована полностью. В проверке участвует представитель компании. Например, при входе в офис работник предъявляет свой пропуск и охранник самостоятельно сверяет его фото с его внешним видом.
Если на предприятии используется автоматическая идентификация личности работников по биометрическим данным, нужно соблюдать требования Закона N 572-ФЗ:
— придется установить порядок взаимодействия с ГИС ЕБС;
— выбрать устройства и оборудование, подходящие для взаимодействия с ЕБС;
— организовать защищенные каналы передачи данных;
— вести журналы учета СКЗИ.
Ответственность за нарушения при работе с персональными данными
Ответственность за неправомерную обработку биометрических персональных данных предусмотрена ст. 13.11 Кодекса об административных правонарушениях:
— штраф до 700 тысяч рублей за отсутствие письменного согласия на обработку биометрических персональных данных (ч. 2 ст. 13.11 КоАП РФ);
— штраф до одного миллиона рублей за нарушение требований в области размещения биометрических персональных данных в ЕБС (ст. 13.11.3 КоАП РФ).
В настоящее время обсуждается ужесточение ответственности вплоть до уголовной ответственности за неправомерный сбор биометрических сведений.
И.Т. Горин
Инженер по информационной безопасности
ООО «Сток»
Подписано в печать
09.04.2024
Документ в СПС КонсультантПлюс:
Биометрические данные: согласие работника должно быть!
(Горин И.Т.) («Практическая бухгалтерия», 2024, N 4)