Алексей Ветров
Эксперт по защите данных IC-TECH
Фотографии и видеозаписи, на которых можно идентифицировать человека, относятся к биометрическим персональным данным. Их обработка требует особого подхода, закреплённого в ФЗ-152.
Если пользователь сам загружает фото или видео на сайт, это означает, что он осознанно передаёт данные оператору. Однако сам факт загрузки не освобождает компанию от обязанности правильно оформить правовую базу для обработки.
Если пользователь сам загружает фото или видео на сайт, это означает, что он осознанно передаёт данные оператору. Однако сам факт загрузки не освобождает компанию от обязанности правильно оформить правовую базу для обработки.
Когда согласие обязательно
- Если фото/видео будут использоваться только в рамках сервиса (например, для аватара в личном кабинете) — достаточно согласия, которое фиксируется при регистрации и акцепте политики обработки ПДн.
- Если данные будут применяться для дополнительных целей: публикация на сайте, в рекламных материалах, в социальных сетях компании — необходимо отдельное согласие на обработку и распространение биометрических данных.
Обоснование по законодательству
- Ст. 10 ФЗ-152 — биометрические ПДн могут обрабатываться только при наличии письменного согласия субъекта.
- Ст. 6 ФЗ-152 — согласие обязательно, если цели обработки выходят за рамки исполнения договора.
- Рекомендации Роскомнадзора — фото и видео считаются биометрией, даже если это пользователь загрузил их добровольно, и использование для публикации без отдельного согласия считается нарушением.
Практика проверок
Роскомнадзор в ряде кейсов указывал, что компания не может автоматически считать согласие на загрузку равным согласию на публичное размещение. Например, в одной проверке соцсети предписали доработать форму согласия: пользователь загружал фото для профиля, а сервис использовал изображения в рекламных рассылках без отдельного разрешения.
Что важно для компании
- Разделить цели: «для использования в профиле» и «для публикации/рекламы».
- Для второй категории — оформить отдельное согласие (обычно через чекбокс или отдельный пункт формы).
- Хранить доказательства получения согласия (журнал, электронную отметку, логи).
Вывод
Да, согласие нужно. Для технической загрузки фото/видео достаточно акцепта политики, но для любых публичных или рекламных целей необходимо отдельное письменное или электронное согласие на обработку биометрических данных.
Компания ICTech поможет вам подготовить корректные формы согласий на фото и видео, чтобы минимизировать риски претензий со стороны Роскомнадзора.
Хотите защитить себя от проверок и штрафов?
Разработаем полный пакет документации по обработке персональных данных для вашей организации.
