Новости и аналитика Правовые консультации Гражданское право Чтобы зайти на территорию предприятия от любого посетителя служба безопасности требует паспорт для снятии копии и делает фотографию посетителя. Посетитель удостоверение личности предъявляет, но не согласен на фотографирование и снятия скана паспорта и согласие на обработку персональных данных не дает. Обязательно ли получение согласия на обработку персональных данных от посетителя в этом случае? Может ли предприятие отказать в доступе на территорию предприятия посетителям в случае, если посетитель согласие на обработку персональных данные не дает?

Чтобы зайти на территорию предприятия от любого посетителя служба безопасности требует паспорт для снятии копии и делает фотографию посетителя. Посетитель удостоверение личности предъявляет, но не согласен на фотографирование и снятия скана паспорта и согласие на обработку персональных данных не дает. Обязательно ли получение согласия на обработку персональных данных от посетителя в этом случае? Может ли предприятие отказать в доступе на территорию предприятия посетителям в случае, если посетитель согласие на обработку персональных данные не дает?

По общему правилу, сформулированному в ст. 6 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Закон N 152-ФЗ), обработка персональных данных возможна только с согласия субъектов персональных данных, за исключением случаев, перечисленных в п.п. 2-11 ч. 1 ст. 6 Закона N 152-ФЗ. Отметим, что данный перечень сформулирован исчерпывающим образом и расширительному толкованию не подлежит. Так, например, обработка персональных данных может осуществляться без согласия гражданина, если это необходимо для осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных (п. 7 ч. 1 ст. 6 Закона N 152-ФЗ). Полагаем, что организация пропускного режима на территорию организации может быть обусловлена целями обеспечения безопасности оператора, то есть его законными интересами. При этом порядок пропуска на территорию организации должен быть регламентирован локальным актом оператора (п. 2 ч. 1 ст. 18.1 Закона N 152-ФЗ).
Отметим, что само по себе истребование паспорта посетителя для идентификации его личности при оформлении пропуска не противоречит действующему законодательству, поскольку паспорт является основным документом, удостоверяющим личность гражданина РФ на российской территории (п. 1 Положения о паспорте гражданина Российской Федерации, утвержденного постановлением Правительства РФ от 08.07.1997 N 828). Однако ксерокопирование паспорта при оформлении пропуска, наш взгляд, может осуществляться только с согласия гражданина, поскольку данные действия никак не связаны с обеспечением безопасности оператора, а потому избыточны по отношению к заявленным целям обработки (ч. 5 ст. 5 Закона N 152-ФЗ), что недопустимо. В отсутствие волеизъявления гражданина сотрудник оператора может вручную занести паспортные данные посетителя в журнал регистрации посетителей (см. также п. 8 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденного постановлением Правительства РФ от 15.09.2008 N 687). Аналогичный вывод содержится, в частности, в апелляционном определении Московского городского суда от 18.06.2015 N 33-20949/15. При этом возражение посетителя против ксерокопирования паспорта не может являться основанием для отказа в допуске на территорию оператора, т. к. защищая свои интересы, в том числе и посредством организации пропускного режима, оператор не может нарушать права и свободы иных лиц.
Относительно фотографирования посетителя при оформлении пропуска отметим следующее. По смыслу ч. 1 ст. 11 Закона N 152-ФЗ, фотоизображение физического лица, используемое для обеспечения однократного или многократного прохода на охраняемую территорию и установления личности гражданина, относится к биометрическим персональным данным, и обработка биометрических персональных данных в подобных случаях может осуществляться только при наличии согласия в письменной форме субъекта персональных данных*(3) (см. разъяснения Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 30 августа 2013 г. "Разъяснения по вопросам отнесения фото-, видеоизображений, дактилоскопических данных и иной информации к биометрическим персональным данным и особенностей их обработки").
Обработка персональных данных в отсутствие письменного согласия субъекта в случаях, когда это предусмотрено законодательством РФ, влечет наложение административного штрафа на должностных лиц - от десяти тысяч до двадцати тысяч рублей; на юридических лиц - от пятнадцати тысяч до семидесяти пяти тысяч рублей (ч. 2 ст. 13.11 КоАП РФ).

Ответ подготовил:
Эксперт службы Правового консалтинга ГАРАНТ
Амирова Лариса

Ответ прошел контроль качества

10 октября 2019 г.

Материал подготовлен на основе индивидуальной письменной консультации, оказанной в рамках услуги Правовой консалтинг. 

-------------------------------------------------------------------------
*(1) Обработкой персональных данных является любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (п. 3 ст. 3 Закона N 152-ФЗ).
*(2) Согласно п. 1 ст. 3 Закона N 152-ФЗ персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
*(3) Требования к содержанию согласия субъекта персональных данных изложены в ч. 4 ст. 9 Закона N 152-ФЗ.