Нужно ли согласие на контроль доступа по магнитным картам?

Алексей Ветров

Эксперт по защите данных IC-TECH

Задать вопрос

Нет, согласие не требуется, если система контроля доступа (СКУД) используется работодателем для обеспечения безопасности, учёта рабочего времени и выполнения обязанностей по трудовому законодательству. Данные, которые фиксируются при проходе по магнитным картам (ФИО, табельный номер, время входа/выхода), относятся к персональным данным, а значит их обработка подпадает под действие ФЗ-152. Однако основанием для такой обработки является закон и трудовой договор, а не согласие.

Когда согласие не нужно:

- при использовании СКУД для учёта рабочего времени сотрудников;
- при обеспечении пропускного режима и охраны имущества;
- если порядок работы СКУД закреплён в локальных актах, а сотрудники ознакомлены с ним.

Когда согласие может понадобиться:

- если данные из СКУД используются для иных целей, например, публикации информации о посещаемости;
- если обработка выходит за рамки трудовых отношений (например, передача информации о проходах сотрудника сторонним организациям без правового основания).

Обоснование по законодательству

• Ст. 3 ФЗ-152 — сведения о сотруднике, фиксируемые системой контроля доступа, являются персональными данными.
• Ст. 6 ч. 1 п. 2 ФЗ-152 — согласие не требуется, если обработка необходима для выполнения обязанностей, установленных законом.
• Ст. 86 ТК РФ — работодатель вправе обрабатывать персональные данные работников в рамках трудовых отношений.
• Ст. 88 ТК РФ — работодатель обязан соблюдать конфиденциальность персональных данных.
• Ст. 19 ФЗ-152 — оператор обязан обеспечить защиту персональных данных.

Практика и позиция Роскомнадзора

Роскомнадзор разъясняет: данные СКУД являются персональными, и их обработка должна соответствовать требованиям ФЗ-152. Нарушения фиксируются, если:

• система собирает избыточные данные (например, личные телефоны или фотографии без необходимости);
• работники не уведомлены о правилах работы системы;
• отсутствуют меры защиты информации в базе СКУД.

Пример: в одном учреждении журналы прохода сотрудников велись на бумаге и были доступны третьим лицам. Роскомнадзор обязал компанию ограничить доступ и внести изменения в локальные акты.

Важный момент для организаций

СКУД — это инструмент обработки ПДн, и работа с ней должна быть документально закреплена. Необходимо прописать правила в локальных актах, определить ответственных, регламентировать сроки хранения данных и порядок их уничтожения.

Рекомендации и выводы

Нет, согласие сотрудников на использование магнитных карт не требуется, но порядок работы с СКУД должен соответствовать ФЗ-152. Чтобы исключить нарушения:

1. Закрепите правила работы СКУД в локальных актах.
2. Ознакомьте сотрудников с этими документами под подпись.
3. Храните данные о проходах ограниченный срок, достаточный для целей контроля.
4. Включите СКУД в перечень информационных систем в комплекте документов по ФЗ-152.

Компания ICTech поможет вашей организации оформить правила использования СКУД, подготовить пакет документов и привести процесс контроля доступа в полное соответствие с ФЗ-152.

Хотите защитить себя от проверок и штрафов?

Подготовим документы по 152-ФЗ

Разработаем полный пакет документации по обработке персональных данных для вашей организации.

Заказать

О услуге