Биометрия и видеонаблюдение
Биометрия, закон и камеры
Актуальный вопрос объектовой безопасности — это необходимость получения согласий на обработку персональных данных при организации видеонаблюдения. В этой статье мы разберем основные правовые нормы, которые регулируют сбор и обработку персональных данных при организации видеонаблюдения, включая необходимость получения согласий от субъектов данных.
Мы рассмотрим, какие именно правила и требования установлены законодательством в области защиты персональных данных, как правильно организовать процесс видеонаблюдения с точки зрения права, а также возможные последствия за нарушение этих норм.
Особое внимание будет уделено биометрическим данным, их статусу и особенностям обработки, а также практическим рекомендациям для организаций, осуществляющих видеонаблюдение.
Что попадает под биометрию и с чем ее хранят
По вопросу отнесения фото- и видеоизображений гражданина к биометрическим персональным данным обратимся к разъяснениям РКН, основанным на трактовке статьи 11 ФЗ №152 «О персональных данных».
ФЗ №152 Статья 11. Биометрические персональные данные 1. Сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные) и которые используются оператором для установления личности субъекта персональных данных, могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи. |
Эта статья федерального закона определяет три признака биометрии:
Физические и физиологические особенности лиц
Возможность установить по ним личность
Использование оператором персональных данных, для установления личности
Идем дальше. Статья 152.1 ГК РФ говорит о том, что изображение лица (биометрия) может быть использовано без согласия человека в государственных, общественных или публичных интересах. А также если это изображение получено при съемке в публичных местах.
ГК РФ Статья 152.1. Охрана изображения гражданина 1. Обнародование и дальнейшее использование изображения гражданина (в том числе его фотографии, а также видеозаписи или произведения изобразительного искусства, в которых он изображен) допускаются только с согласия этого гражданина… Такое согласие не требуется в случаях, когда: 1) использование изображения осуществляется в государственных, общественных или иных публичных интересах; 2) изображение гражданина получено при съемке, которая проводится в местах, открытых для свободного посещения, или на публичных мероприятиях (собраниях, съездах, конференциях, концертах, представлениях, спортивных соревнованиях и подобных мероприятиях), за исключением случаев, когда такое изображение является основным объектом использования; 3) гражданин позировал за плату. |
Переведем на простой язык. Допустим, вы — человек с камерой в руках. Вы стоите на центральной площади города, доступ на которую никак не ограничен. Вам не могут запретить вести съемку. От вас не будут просить согласия на обработку биометрии прохожих. Точно так же дело обстоит и с камерами видеонаблюдения на площади.
Представим иную ситуацию. Теперь мы находимся в офисном помещении, и доступ в него ограничен пропускным режимом. Все время стоять с камерой в чужом офисе вам очевидно не дадут. Следовательно, появляются правила. Вернемся к статье 152.1 ГК РФ, которая предусматривает наличие согласия на обработку изображения гражданина.
Здесь ключевой для нас момент: эта статья не обязывает получать письменное согласие. Следовательно, таблички «Ведется видеонаблюдение» в помещении будет достаточно для обоснования согласия в форме так называемых конклюдентных действий (часть 2 статьи 158 ГК РФ).
ГК РФ Статья 158. Форма сделок 2. Сделка, которая может быть совершена устно, считается совершенной и в том случае, когда из поведения лица явствует его воля совершить сделку. |
Конклюдентные действия — это действия лица, которые свидетельствуют о его намерении совершить определенное юридически значимое действие или дать согласие с определенными условиями, даже если эти намерения не выражены явно словами или письменно.
Вести видеонаблюдение право имею?
Теперь об основаниях компании для ведения видеонаблюдения. Статья 22 ТК РФ определяет одной из обязанностей работодателя обеспечение безопасности и условий труда. И это как раз вполне подходит нам для обоснования необходимости работы с видеоданными.
Таким образом, для соблюдения правил ведения видеонаблюдения в коммерческом помещении нам нужно учитывать правомерность целей ведения видеонаблюдения, оповещение сотрудников (под роспись с учетом требований части 4 статьи 9 ФЗ №152) и посетителей о его ведении (в форме все тех же конклюдентных действий — то есть при наличии таблички с предупреждением).
ФЗ №152 Статья 9. Согласие субъекта персональных данных на обработку его персональных данных 4. В случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью. |
Теперь о главном. Все перечисленное выше не предусматривает цели в виде идентификации посетителей. Такую задачу можно возложить на сотрудников охраны. Но если вы собираетесь использовать ту или иную систему для идентификации физлиц по их изображению, здесь и встает вопрос об обработке биометрических персональных данных.
Это важный момент, так как изображение человека считается биометрическими персональными данными, если оно используется для установления конкретной личности. И согласно статье 86 ТК РФ это предполагает соблюдение общих требований, а также правомерность целей их обработки. Например, легальными целями для обработки биометрических данных являются обеспечение личной безопасности сотрудников, контроль качества выполняемой работы и обеспечение сохранности имущества.
ТК РФ Статья 86. Общие требования при обработке персональных данных работника и гарантии их защиты В целях обеспечения прав и свобод человека и гражданина работодатель и его представители при обработке персональных данных работника обязаны соблюдать следующие общие требования: 1) обработка персональных данных работника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, получении образования и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества; |
А поскольку мы уже обрабатываем персональные данные, то в нашем отношении действуют и требования статьи 9 ФЗ №152 о получении согласия лица на обработку его персональных данных, а также статьи 19 ФЗ №152 о мерах по обеспечению их безопасности. Для организации эти требования означают, что необходимо строго соблюдать правила обработки персональных данных, включая изображения сотрудников, то есть получать согласие на такую обработку, четко определять и обосновывать ее цели, а также обеспечивать безопасность данных.
ФЗ №152 Статья 19. Меры по обеспечению безопасности персональных данных при их обработке 1. Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных. |
Наконец, с 29.12.2022 года сфера обработки биометрии стала регулироваться еще одним законом. Это ФЗ №572 «Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных». Согласно ему вся автоматизированная обработка биометрии должна осуществляться централизованно через ЕБС (Единую Биометрическую Систему). Причем практически полностью запрещена обработка именно биометрии — все операции с биометрическими данными должны осуществляться через ЕБС.
На практике это означает, что организации не могут самостоятельно собирать или обрабатывать биометрическую информацию, что может потребовать пересмотра бизнес-процессов. Также важно будет провести аудит текущих процессов и обеспечить их соответствие новым требованиям.
Исключением является деятельность сертифицированных компаний, которые передают в ЕБС биометрические данные. Но на своей стороне они — как и любые другие организации — их обработку осуществлять не могут. Что происходит дальше? В ЕБС происходит оцифровка биометрических данных, в результате которых формируется вектор — закодированное описание идентификатора биометрии. И вся последующая идентификация лица уже будет заключаться в запросе самой сертифицированной организацией данных из ЕБС.
То есть по сути ЕБС полностью берет на себя функциональность автоматической идентификации лиц, поскольку является единственным легальным хранилищем биометрии. Здесь важно отметить и то, что действие ФЗ №572 не распространяется на обработку биометрических данных в рамках оперативно-розыскной деятельности, разведки и контрразведки, обороны, обеспечения безопасности и санитарно-эпидемиологического благополучия, миграционного, регистрационного и иных видов учета. Что в свою очередь также необходимо учитывать при организации бизнес-процессов.
Что мы имеем в сухом остатке?
1. Ограничений на ведение видеозаписи в публичных местах нет.
2. При ведении видеозаписи в служебных помещениях вы должны открыто размещать камеры, а также вывешивать уведомление о ведении видеонаблюдения. Видеонаблюдение в раздевалках, душевых, примерочных, гостиничных номерах и медицинских кабинетах, естественно, недопустимо.
3. Сотрудники компании должны быть уведомлены локальным актом о ведении видеонаблюдения в целях их безопасности, соблюдения условий труда и сохранности имущества.
4. Идентификация лиц в системах видеонаблюдения в автоматическом режиме допускается только через ЕБС. Организациям запрещено регистрировать биометрические персональные данные в собственных системах.