Алексей Ветров
Эксперт по защите данных IC-TECH
Биометрические данные сотрудников (фотоизображения, записи голоса, отпечатки пальцев, системы Face ID и др.) относятся к особой категории персональных данных. Их хранение должно соответствовать как общим требованиям ФЗ-152, так и специальным правилам для биометрии.
Хранить такие данные необходимо только на территории России — это требование закона о локализации. Доступ к биометрии должен быть строго ограничен, с назначением ответственных лиц и ведением журналов. Кроме того, обязательно применение технических мер защиты: шифрование, разграничение прав доступа, аудит действий пользователей.
Обязательно нужно получать письменное согласие сотрудника на обработку его биометрических данных, где указываются цели обработки, срок хранения и порядок отзыва. Без согласия биометрия может храниться только в случаях, прямо установленных законом (например, при прохождении спецпроверок для отдельных должностей).
Хранить такие данные необходимо только на территории России — это требование закона о локализации. Доступ к биометрии должен быть строго ограничен, с назначением ответственных лиц и ведением журналов. Кроме того, обязательно применение технических мер защиты: шифрование, разграничение прав доступа, аудит действий пользователей.
Обязательно нужно получать письменное согласие сотрудника на обработку его биометрических данных, где указываются цели обработки, срок хранения и порядок отзыва. Без согласия биометрия может храниться только в случаях, прямо установленных законом (например, при прохождении спецпроверок для отдельных должностей).
Обоснование по законодательству
- ФЗ-152, ст. 3 — биометрические данные определяются как сведения, позволяющие идентифицировать личность по физиологическим характеристикам.
- ФЗ-152, ст. 10, ч. 2 — обработка биометрических данных возможна только с письменного согласия субъекта или по специальному закону.
- ФЗ-152, ст. 18.1 — персональные данные граждан РФ, включая биометрические, должны храниться в России.
- Постановление Правительства № 1119 — обязывает операторов применять организационные и технические меры защиты.
Практика и разъяснения Роскомнадзора
Роскомнадзор указывает, что биометрические данные требуют повышенной защиты. При проверках особое внимание уделяется тому, как оформлено согласие на их обработку и где физически хранятся базы. Нарушениями признаются хранение биометрии за рубежом, отсутствие актов об уничтожении по окончании сроков и доступ к данным неограниченного круга сотрудников.
Что важно учитывать компаниям
- Хранить биометрию можно только на российских серверах или локальных носителях.
- Обязательно письменное согласие сотрудника.
- Срок хранения должен соответствовать целям, а по окончании данные подлежат уничтожению актом.
- Доступ разрешён только узкому кругу лиц, назначенных приказом.
- Все процессы фиксируются во внутренних документах.
Рекомендации и выводы
Хранение биометрических данных сотрудников требует особого подхода. Чтобы действовать законно, организации нужно:
- Получать письменные согласия сотрудников.
- Разместить базы только в России.
- Обеспечить шифрование и ограничение доступа.
- Вести журналы и акты по работе с биометрией.
- Закрепить порядок обработки и хранения в локальных актах.
Компания ICTech поможет вашей организации выстроить систему безопасного хранения биометрии: разработаем согласия, регламенты и приказы, обеспечим соответствие ФЗ-152.
Хотите защитить себя от проверок и штрафов?
Разработаем полный пакет документации по обработке персональных данных для вашей организации.
