Вопрос:
Что относится к биометрическим персональным данным? Для фотографии сотрудника на рабочий пропуск требуется согласие на обработку таких данных?
Ответ:
1. Согласно ч. 1 ст. 11 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" (далее – Закон о персональных данных), биометрическими персональными данными являются сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных.
Как следует из Письма Минцифры России от 17.07.2020 N ОП-П24-070-19433 "О рассмотрении обращения", фотографические изображения посетителей организации, содержащиеся в системе контроля управления доступа (СКУД), будут являться биометрическими персональными данными, поскольку они характеризуют физиологические и биологические особенности человека, позволяют установить, принадлежит ли данному лицу предъявляемый СКУД пропуск, на основе которого можно установить его личность путем сравнения фото с лицом предъявителя пропуска и указываемых владельцем пропуска фамилии, имени и отчества с указанными в СКУД.
Таким образом, фотографическое изображение и иные сведения, используемые для обеспечения однократного и/или многократного прохода на охраняемую территорию и установления личности гражданина, относятся к биометрическим персональным данным.
2. Да, согласие на обработку биометрических персональных данных требуется.
Так, по ч. 1 ст. 11 Закона о персональных данных, биометрические персональные данные могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных, за исключением случаев, предусмотренных ч. 2 данной статьи.
А в соответствии с ч. 2 ст. 11 Закона о персональных данных, обработка биометрических персональных данных может осуществляться без согласия субъекта персональных данных в связи с реализацией международных договоров Российской Федерации о реадмиссии, в связи с осуществлением правосудия и исполнением судебных актов, в связи с проведением обязательной государственной дактилоскопической регистрации, обязательной государственной геномной регистрации, а также в случаях, предусмотренных законодательством Российской Федерации об обороне, о безопасности, о противодействии терроризму, о транспортной безопасности, о противодействии коррупции, об оперативно-разыскной деятельности, о государственной службе, уголовно-исполнительным законодательством Российской Федерации, законодательством Российской Федерации о порядке выезда из Российской Федерации и въезда в Российскую Федерацию, о гражданстве Российской Федерации, законодательством Российской Федерации о нотариате.
Как видим, в указанные случаи не входит обработка биометрических персональных данных для пропуска сотрудника с фотографией. Следовательно, согласие на такую обработку получить надо.
В Законе о персональных данных не содержится требование оформлять отдельное согласие субъекта персональных данных на обработку его биометрических персональных данных. Специальных требований к содержанию согласия на обработку биометрических персональных данных законодательством РФ также не предусмотрено. Такое согласие должно соответствовать общим требованиям, предъявляемым к согласию на обработку персональных данных, указанным в ст. 9 Закона о персональных данных.
Вы можете оформить по своему усмотрению:
· одно общее согласие на обработку всех персональных данных работника (включая биометрические). В этом случае рекомендуем прямо указать, что согласие дается также на обработку биометрических персональных данных, и привести перечень этих данных;
Пример формулировки перечня персональных данных в согласии на их обработку:
"Перечень моих персональных данных, на обработку которых я даю согласие: данные о фамилии, имени, отчестве, гражданстве, поле, возрасте, дате и месте рождения, номере основного документа, удостоверяющего личность, дате выдачи указанного документа и выдавшем его органе, адресе регистрации по месту жительства, адресе фактического проживания, идентификационном номере налогоплательщика, страховом номере индивидуального лицевого счета, номере телефона, адресе электронной почты; биометрические персональные данные: фотографическое изображение, видеоизображение, данные о голосе".
· отдельное согласие на обработку биометрических персональных данных работника, в котором должно быть прямо указано, что оно дается на обработку биометрических персональных данных, и также должен быть приведен перечень данных, на обработку которых дается согласие.
Пример формулировки перечня биометрических персональных данных в согласии на их обработку:
"Перечень моих биометрических персональных данных, на обработку которых я даю согласие: фотографическое изображение, видеоизображение, данные о голосе".
Обоснование:
5.1. Нужно ли получать согласие на обработку биометрических данных
Если вы обрабатываете биометрические персональные данные, то, как правило, вам нужно получить согласие гражданина на это (ч. 1 ст. 11 Закона о персональных данных). Например, это требуется, если вы фотографируете своих клиентов, чтобы оформить им пропуск (Письмо Минцифры России от 17.07.2020 N ОП-П24-070-19433).
Согласие требуется, если обработку производите именно вы. Если же, например, гражданин оплачивает ваш товар с использованием сканера отпечатков пальцев на своем смартфоне, согласие получать не нужно, поскольку вы непосредственно не обрабатываете его биометрические данные.
Обратите внимание, что под биометрическими данными понимаются только такие сведения, которые вы используете для установления личности гражданина. Так, не являются достаточными для установления личности сведения об отдельных физиологических признаках гражданина (например, только о его весе или росте).
Готовое решение: В каком порядке должна осуществляться обработка персональных данных физлиц
Дополнительные материалы:
Типовая ситуация: Обработка персональных данных работников: требования, документы, штрафы
Готовое решение: Какие существуют требования к обработке персональных данных работников организации
Ответ подготовлен с использованием материалов СПС «КонсультантПлюс».
Представленная информация носит справочный характер, окончательное решение принимается самостоятельно.
