Алексей Ветров
Эксперт по защите данных IC-TECH
Записи видеонаблюдения, на которых можно идентифицировать человека, относятся к персональным данным, а в ряде случаев — к биометрическим (если используется распознавание лиц). Это значит, что их хранение регулируется ФЗ-152 и должно быть организовано по тем же правилам, что и другие категории ПДн.
Хранить такие записи необходимо на серверах, расположенных в России, с применением технических и организационных мер защиты. Важно установить сроки хранения: видеозаписи не могут храниться дольше, чем это требуется для целей, ради которых они собирались (например, обеспечение безопасности, контроль доступа). После истечения срока они должны быть уничтожены или обезличены.
Хранить такие записи необходимо на серверах, расположенных в России, с применением технических и организационных мер защиты. Важно установить сроки хранения: видеозаписи не могут храниться дольше, чем это требуется для целей, ради которых они собирались (например, обеспечение безопасности, контроль доступа). После истечения срока они должны быть уничтожены или обезличены.
Обоснование по законодательству
- ФЗ-152, ст. 3 — видеозапись относится к персональным данным, если позволяет идентифицировать субъекта.
- ФЗ-152, ст. 5 — хранение данных допускается только до достижения целей обработки.
- ФЗ-152, ст. 18.1 — данные должны храниться на территории РФ.
- Постановление Правительства № 1119 — устанавливает меры защиты информации в ИСПДн.
- ФЗ-152, ст. 10 — биометрические данные (например, распознавание лиц) требуют отдельного согласия.
Практика и позиция Роскомнадзора
Роскомнадзор в своих проверках обращает внимание на то, как хранятся видеозаписи. Если записи хранятся на серверах без защиты (например, доступ есть у посторонних лиц) или дольше заявленного срока, это признаётся нарушением. В ряде случаев предписывается вести журналы доступа к архивам видеозаписей и оформлять приказы о назначении ответственных.
Что важно учитывать компаниям
- Определить сроки хранения видеозаписей и закрепить их во внутренних документах.
- Обеспечить хранение только на территории России.
- Ограничить доступ к записям, назначить ответственного.
- Использовать шифрование и технические средства защиты.
- Уничтожать записи по окончании срока хранения актом об уничтожении.
Рекомендации и выводы
Да, записи видеонаблюдения сотрудников — это персональные данные, а иногда и биометрические. Чтобы действовать в рамках закона:
- Получите согласие на видеонаблюдение и, при необходимости, на биометрическую обработку.
- Храните записи только в России, с защитой от несанкционированного доступа.
- Утвердите сроки и порядок хранения во внутренних документах.
- Ведите учёт доступа и уничтожения записей.
Компания ICTech разработает для вашей организации полный пакет документов по работе с видеонаблюдением: согласия, регламенты хранения и уничтожения, а также внутренние приказы. Это позволит компании законно использовать камеры и избежать претензий Роскомнадзора.
Хотите защитить себя от проверок и штрафов?
Разработаем полный пакет документации по обработке персональных данных для вашей организации.
