Нужно ли согласие на установку системы контроля доступа по пропускам?

Алексей Ветров

Эксперт по защите данных IC-TECH

Задать вопрос

Использование системы контроля доступа (СКУД) по пропускам действительно связано с обработкой персональных данных работников и посетителей, так как в системе фиксируются ФИО, должность, номер пропуска, время входа и выхода, а иногда и дополнительные идентификаторы (фото, биометрия).

Согласие на такую обработку персональных данных обычно не требуется, потому что у организации есть законное основание — исполнение трудового договора и обязанность обеспечить безопасность работников и имущества (ст. 6 ч. 1 п. 2 и п. 7 152-ФЗ). Работодатель обязан вести учёт рабочего времени и контролировать доступ на объект, поэтому обработка этих данных правомерна без согласия.

Исключение — если в системе используется биометрия (отпечатки пальцев, скан лица, радужки глаза). Для обработки биометрических данных согласие субъекта обязательно в соответствии со ст. 11 152-ФЗ, и при этом такое согласие должно быть оформлено в письменной форме.

Обоснование по законодательству

• 152-ФЗ «О персональных данных»:
  • Ст. 6 ч. 1 п. 2 — обработка возможна без согласия, если она необходима для исполнения трудового договора.
  • Ст. 6 ч. 1 п. 7 — обработка возможна без согласия, если она необходима для осуществления прав и законных интересов оператора (например, обеспечение безопасности), при условии, что не нарушаются права субъекта.
  • Ст. 11 ч. 2 — биометрические персональные данные обрабатываются только с согласия субъекта.
• Трудовой кодекс РФ:
  • Ст. 91 — работодатель обязан вести учёт времени, фактически отработанного работником.

Типичные ошибки организаций

• Не информируют сотрудников о том, какие данные собираются системой СКУД и в каких целях.
• Используют биометрию без получения письменного согласия работников.
• Не включают СКУД в локальные нормативные акты по защите ПДн.
• Не прописывают сроки хранения и порядок уничтожения данных СКУД.

Особенности применения на практике

• При использовании обычных пропусков (магнитных карт, QR-кодов) достаточно отразить порядок обработки ПДн в политике и локальных актах.
• Работников и посетителей необходимо ознакомить с тем, какие данные собираются и как они используются.
• Если используется биометрия — обязательно письменное согласие, а также уведомление Роскомнадзора об обработке биометрических ПДн.
• Данные системы должны храниться ограниченный срок, достаточный для целей безопасности и учёта рабочего времени.

Рекомендации и выводы

1. Для обычных пропусков согласие на обработку ПДн не требуется, достаточно правового основания в законе.
2. Обязательно уведомите сотрудников и посетителей о том, какие данные фиксируются системой СКУД и в каких целях.
3. Если используется биометрия — получите письменное согласие работников и уведомите Роскомнадзор.
4. Включите правила использования СКУД и порядок обработки данных в локальные нормативные акты и политику по ПДн.

Если вы хотите быть уверены, что ваша организация правильно оформляет использование систем контроля доступа, учитывает требования к биометрии и документально защищена от претензий Роскомнадзора, компания ICTech разработает для вас полный пакет документов по защите персональных данных. В нём будут готовые формы согласий, локальные акты, инструкции для сотрудников и регламенты по работе с СКУД. Это позволит законно использовать систему, избежать штрафов и при этом обеспечить безопасность бизнеса.

Хотите защитить себя от проверок и штрафов?

Подготовим документы по 152-ФЗ

Разработаем полный пакет документации по обработке персональных данных для вашей организации.

Заказать

О услуге