Об актуальных изменениях в КС узнаете, став участником программы, разработанной совместно с АО ''СБЕР А". Слушателям, успешно освоившим программу, выдаются удостоверения установленного образца.
(1).jpg)
Программа разработана совместно с АО ''СБЕР А". Слушателям, успешно освоившим программу, выдаются удостоверения установленного образца.
Компания использует систему контроля и управления доступом (СКУД).
В настоящее время доступ организован при помощи магнитного ключа. Планируется перейти на более современное средство - СКУД на основе биометрии лица или отпечатка пальца.
Какие документы необходимы компании для организации работы по обработке биометрии и соблюдения правовых норм? Что необходимо получить от работников: согласие на обработку или какие-то иные документы? Какие документы нужно будет запросить от клиентов компании или иных лиц, которые являются, к примеру, представителями субподрядных организаций и один раз посетили или периодически посещают компанию? Что делать с биометрическими данными после увольнения сотрудника: удалять или продолжать хранение в течение некоторого периода?
Ранее на предприятии существовала практика, при которой в СКУД подгружали фотографию работников при трудоустройстве.
Как правильно должна быть организована работа по обработке фотографии работников? Какая документация должна быть у компании? Какие документы должны быть получены от работников: согласие или иной документ? Что делать с фотографией после увольнения сотрудника: удалить или продолжать хранение в течение определенного периода времени?
Согласно ч. 1 ст. 11 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных" под биометрическими персональными данными понимаются сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных.
То есть это такие характеристики человека, которые остаются неизменными на протяжении всей жизни (дактилоскопические данные, радужная оболочка глаз, ДНК и другие), и которые обрабатываются оператором исключительно в целях идентификации субъекта. Причем оба эти условия должны иметь место в совокупности.
Так, например, фотоизображение очень часто используется для установления личности человека. Однако фотография не всегда обладает свойством биометрических персональных данных. Роскомнадзор неоднократно озвучивал позицию, что к числу биометрических персональных данных относятся только те фотографии, которые созданы с соблюдением ряда требований, установленных специальными стандартами и нормативными актами, в частности, цветное цифровое фотографическое изображение лица в российском паспорте, загранпаспорте, водительском удостоверении, системах биометрической идентификации (смотрите ГОСТ Р ИСО/МЭК 19794-5-2013, утвержденный и введенный в действие приказом Росстандарта от 6 сентября 2013 г. N 987-ст, письмо Роскомнадзора от 29 августа 2022 г. N 08-78032).
Иными словами, Роскомнадзор предлагает считать биометрическими персональными данными изображение лица, которое изготовлено с помощью фотовидеоустройств, зашифровано и предназначено для хранения представлений лица в записи биометрических данных и которое может использоваться и используется для идентификации человека, в том числе и в автоматическом режиме. Однако, на наш взгляд, из ч. 1 ст. 11 Закона N 152-ФЗ такое понимание прямо не следует.
Полагаем, что любая фотография на пропуске, если она предназначена для идентификации работника, также является биометрическими персональными данными. Такого же мнения придерживаются и суды. Так, в одном из дел Арбитражный суд Северо-Западного округа прямо указал, что такие фотографии характеризуют физиологические и биологические особенности человека, на основе которых можно установить его личность путем сравнения фото и содержащихся на документе (пропуске) фамилии, имени и отчества с лицом предъявителя пропуска (постановление Арбитражного суда Северо-Западного округа от 21 ноября 2017 г. N Ф07-11732/17 по делу N А42-342/2017). Верховный Суд РФ впоследствии подтвердил позицию суда нижестоящей инстанции, отметив, что предприятие не получило согласие субъектов на обработку биометрических персональных данных (определение Верховного Суда РФ от 5 марта 2018 г. N 307-КГ18-101 по делу N А42-342/2017). Схожий вывод содержится в постановлении Тринадцатого арбитражного апелляционного суда от 16 августа 2018 г. N 13АП-15087/18, постановлении Седьмого арбитражного апелляционного суда от 17 мая 2023 г. N 07АП-2751/23 по делу N А27-10550/2022.
Соглашаются с этим и сотрудники прокуратуры (смотрите разъяснение прокурора Пензенской области от 7 июня 2017 г. "С 1 июля 2017 года вступает в силу Федеральный закон от 07.02.2017 N 13-ФЗ "О внесении изменений в Кодекс Российской Федерации об административных правонарушениях", ужесточающий ответственность за нарушения в области обработки персональных данных граждан").
Таким образом, фотографические изображения граждан, содержащиеся в системе контроля и управления доступом (СКУД)*(1), будут являться биометрическими персональными данными, т.к. они характеризуют физиологические и биологические особенности изображения человека, зафиксированы техническими средствами и зашифрованы в СКУД, позволяют в автоматическом режиме идентифицировать его личность. Поскольку подобная обработка биометрических персональных данных действующим законодательством не предусмотрена, то правовым основанием такой обработки будет согласие в письменной форме субъекта персональных данных, содержание которого должно соответствовать требованиям ч. 4 ст. 9 Закона N 152-ФЗ (ч. 1 ст. 11 Закона N 152-ФЗ, письмо Минцифры от 17 июля 2020 г. N ОП-П24-070-19433).
Равным образом отпечатки пальцев человека являются биометрическими персональными данными (дактилоскопической информацией).
Так, согласно ст. 1 Федерального закона от 25 июля 1998 г. N 128-ФЗ "О государственной дактилоскопической регистрации в Российской Федерации" (далее - Закон N 128-ФЗ) государственная дактилоскопическая регистрация - деятельность, осуществляемая органами исполнительной власти по получению, учету, хранению, классификации и выдаче дактилоскопической информации, установлению или подтверждению личности человека. Дактилоскопическая информация - биометрические персональные данные об особенностях строения папиллярных узоров пальцев и (или) ладоней рук человека, позволяющие установить его личность.
Законом N 128-ФЗ определены виды и порядок проведения дактилоскопической регистрации. Как обращает внимание Минцифры России, обработка дактилоскопических данных в случаях, отличных от перечисленных в Законе N 128-ФЗ, действующим законодательством не предусмотрена (смотрите письмо Минцифры России от 17 июля 2020 г. N ОП-П24-070-19433).
Следовательно, дактилоскопическая регистрации для осуществления однократного и (или) многократного пропуска на территорию организации возможна исключительно с письменного согласия субъекта персональных данных. То есть во всех случаях, не подпадающих под указанные в ч. 2 ст. 11 Закона N 152-ФЗ исключения, необходимо получение от субъекта личного согласия в письменной форме на обработку его биометрических персональных данных, соответствующего требованиям ч. 4 ст. 9 Закона N 152-ФЗ. Несоблюдение письменной формы согласия или его несоответствие составу сведений, включаемых в согласие в письменной форме субъекта персональных данных на обработку его персональных данных, образует состав административного правонарушения, предусмотренного ч. 2 ст. 13.11 КоАП РФ.
Кроме того, работодатель должен разработать и утвердить локальный акт, регламентирующий пропускной режим в организации*(2), и ознакомить с ним под подпись каждого работника (смотрите ст. 86, 87, 88 ТК РФ, п. 2 ч. 1 ст. 18.1 Закона N 152-ФЗ). Полагаем, что соответствующие изменения необходимо внести и в правила внутреннего трудового распорядка (смотрите, например, определение СК по гражданским делам Седьмого кассационного суда общей юрисдикции от 25 июля 2023 г. по делу N 8Г-8738/2023[88-10266/2023], определение СК по гражданским делам Второго кассационного суда общей юрисдикции от 27 сентября 2022 г. по делу N 8Г-18776/2022[88-18656/2022], апелляционное определение СК по гражданским делам Московского областного суда от 23 октября 2024 г. по делу N 33-37742/2024, апелляционное определение СК по гражданским делам Воронежского областного суда от 23 августа 2022 г. по делу N 33-4797/2022, апелляционное определение СК по гражданским делам Московского городского суда от 15 июня 2022 г. по делу N 33-16145/2022, решение Химкинского городского суда Московской области от 18 декабря 2023 г. по делу N 2-7369/2023, решение Левобережного районного суда г. Воронежа Воронежской области от 24 февраля 2022 г. по делу N 2-28/2022, решение Останкинского районного суда г. Москвы от 28 октября 2021 г. по делу N 02-3821/2021).
При этом подчеркнем, что предоставление биометрических персональных данных не может быть обязательным, за исключением случаев, прямо перечисленных в ч. 2 ст. 11 Закона N 152-ФЗ. Соответственно, в случае отказа работника дать согласие на обработку биометрических персональных данных работодатель обязан обеспечить ему альтернативные способы прохода на территорию организации, что также должно быть отражено в локальном акте.
Частью 7 ст. 5 Закона N 152-ФЗ определено, что хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное также не предусмотрено федеральным законом.
При достижении цели обработки персональных данных оператор обязан прекратить обработку персональных данных или обеспечить ее прекращение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и уничтожить персональные данные*(3) или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий 30 дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между оператором и субъектом персональных данных либо, если оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных указанным Законом или другими федеральными законами (ч. 4 ст. 21 Закона N 152-ФЗ).
Исходя из положений ч. 1 ст. 18.1 Закона N 152-ФЗ, сроки обработки и хранения персональных данных, порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований в отношении каждой цели обработки должны найти отражение в локальных актах оператора по вопросам обработки персональных данных.
Полагаем, что в случае увольнения работника его биометрические данные, подлежат уничтожению, т.к. необходимость хранения этой информации отпадает, а федеральным законом подобная обработка не предусмотрена.
Обратим также внимание, что фотография работника, содержащаяся в личном деле работника, не является биометрическими персональными, поскольку действия с использованием фотографии в данном случае не направлены на подтверждение их принадлежности конкретному физическому лицу, чья личность уже определена и чьи персональные данные уже имеются в распоряжении оператора (смотрите письмо Минцифры России от 28.08.2020 N ЛБ-С-074-24059). Однако это не исключает соблюдения общих требований, установленных Законом N 152-ФЗ.
Рекомендуем также ознакомиться с материалами:
- Примерный перечень документов, необходимых оператору персональных данных в соответствии с требованиями законодательства в сфере защиты персональных данных (подготовлено экспертами компании ГАРАНТ);
- Список документов, которые могут быть запрошены в ходе проверки Роскомнадзором соблюдения обязательных требований в области персональных данных (подготовлено экспертами компании ГАРАНТ).
Ответ подготовил:
Эксперт службы Правового консалтинга ГАРАНТ
Амирова Лариса
Ответ прошел контроль качества
22 декабря 2025 г.
Материал подготовлен на основе индивидуальной письменной консультации, оказанной в рамках услуги Правовой консалтинг.
-------------------------------------------------------------------------
*(1) По определению из ГОСТ Р 51241-2008 СКУД представляет собой совокупность программно-аппаратных технических средств контроля и средств управления, имеющих целью ограничение и регистрацию входа-выхода объектов (людей, транспорта) на заданной территории через "точки прохода" и действующих как единая сеть в целях предотвращения криминального проникновения, контроля доступа и защиты от нарушителей, учета времени прохода сотрудников и организации зон с разным уровнем доступа.
*(2) Смотрите, например, Примерную форму положения об организации пропускного режима с применением оборудования по распознаванию биометрических данных (декабрь 2025 г.).
*(3) Смотрите Требования к подтверждению уничтожения персональных данных, установленные приказом Роскомнадзора от 28 декабря 2022 г. N 179.
