Алексей Ветров
Эксперт по защите данных IC-TECH
Да, согласие обязательно. Система Face ID использует данные лица человека для идентификации — это биометрические персональные данные. В соответствии с ФЗ-152 обработка биометрии допускается только при наличии письменного согласия субъекта персональных данных. Исключения (например, использование в государственных целях по отдельным законам) в корпоративной практике не применяются.
Когда согласие нужно всегда:
- при использовании Face ID для контроля доступа в офис;
- при учёте рабочего времени сотрудников через распознавание лица;
- при предоставлении доступа к корпоративным системам через Face ID.
Когда согласие может не потребоваться:
только если использование Face ID прямо установлено федеральным законом (например, в сфере госуслуг или безопасности), что для бизнеса практически не встречается.
Когда согласие нужно всегда:
- при использовании Face ID для контроля доступа в офис;
- при учёте рабочего времени сотрудников через распознавание лица;
- при предоставлении доступа к корпоративным системам через Face ID.
Когда согласие может не потребоваться:
только если использование Face ID прямо установлено федеральным законом (например, в сфере госуслуг или безопасности), что для бизнеса практически не встречается.
Обоснование по законодательству
- Ст. 3 ФЗ-152 — биометрические данные — сведения, характеризующие физиологические особенности человека, используемые для идентификации личности.
- Ст. 11 ФЗ-152 — обработка биометрических ПДн допускается только с письменного согласия субъекта.
- Ст. 9 ФЗ-152 — согласие должно быть конкретным, информированным и сознательным.
- Ст. 19 ФЗ-152 — оператор обязан обеспечить особые меры защиты биометрических данных.
Практика и позиция Роскомнадзора
Роскомнадзор подчёркивает: обработка биометрии без согласия субъекта — одно из самых серьёзных нарушений. В практике встречались случаи, когда компании внедряли Face ID для входа сотрудников без оформления согласий. По итогам проверок такие организации обязали:
- прекратить обработку данных;
- уничтожить уже собранные биометрические данные;
- оформить письменные согласия и доработать локальные акты.
Важный момент для работодателей
Система Face ID может использоваться только при условии:
- получения письменного согласия каждого сотрудника;
- наличия альтернативы (например, доступ по карте или пропуску) для тех, кто не дал согласие;
- включения Face ID в перечень информационных систем персональных данных и применения дополнительных мер защиты.
Рекомендации и выводы
Да, согласие обязательно. Чтобы использовать Face ID законно:
- Подготовьте форму письменного согласия на обработку биометрических ПДн.
- Укажите в согласии конкретные цели: контроль доступа, учёт рабочего времени и т. д.
- Обеспечьте альтернативный способ идентификации для сотрудников, которые не дали согласие.
- Разработайте регламент работы системы и включите её в комплект документов по ФЗ-152.
Компания ICTech подготовит для вашей организации формы согласий на обработку биометрии, регламенты работы Face ID и полный пакет документов по ФЗ-152, чтобы ваша система контроля была законной и защищённой.
Хотите защитить себя от проверок и штрафов?
Разработаем полный пакет документации по обработке персональных данных для вашей организации.
