Является ли биометрия при входе в офис персональными данными?

Алексей Ветров

Эксперт по защите данных IC-TECH

Задать вопрос

Да, биометрические данные, используемые при входе в офис (отпечатки пальцев, скан лица, рисунок вен, радужка глаза и т. д.), являются персональными данными. Более того, они относятся к специальной категории — биометрические персональные данные, так как позволяют однозначно идентифицировать личность по её физиологическим и биологическим особенностям.

Когда биометрия считается ПДн:

- если система доступа фиксирует и хранит биометрические характеристики сотрудника;
- если данные используются для идентификации личности и допускают восстановление связи «биометрия — конкретное лицо»;
- если сведения сопоставляются с ФИО, должностью или иными кадровыми данными.

Когда биометрия может не считаться ПДн:

- если система работает только в режиме «онлайн-сравнения» без хранения образца (например, разовый пропуск по отпечатку без записи в базу). Однако такие системы встречаются редко, и на практике почти всегда биометрия сохраняется в информационной системе.

Обоснование по законодательству

• Ст. 3 ФЗ-152 — персональные данные — любая информация о прямо или косвенно определяемом лице.
• Ст. 10 ФЗ-152 — биометрические персональные данные — сведения о физиологических и биологических особенностях человека, позволяющие установить его личность.
• Ст. 11 ФЗ-152 — обработка биометрических персональных данных возможна только с письменного согласия субъекта, за исключением случаев, предусмотренных законом.
• Ст. 19 ФЗ-152 — оператор обязан обеспечивать защиту ПДн.

Практика и позиция Роскомнадзора

Роскомнадзор прямо относит биометрию, используемую для прохода в офис, к персональным данным. При проверках выявлялись нарушения, когда организации внедряли системы контроля доступа по отпечатку пальца без получения согласий сотрудников и без закрепления порядка обработки данных в локальных актах.

Например, в одной компании система СКУД использовала сканы отпечатков пальцев работников, но согласия на их обработку не оформлялись. Роскомнадзор признал это нарушением ФЗ-152 и обязал компанию привести систему в соответствие.

Важный момент для работодателей

Использование биометрии для прохода в офис возможно только при соблюдении строгих правил:

• нужно получить письменное согласие каждого сотрудника;
• в локальных актах закрепить порядок обработки и хранения биометрии;
• обеспечить высокий уровень защиты таких данных;
• предусмотреть альтернативный способ доступа (например, по карте-пропуску) для сотрудников, которые не согласны сдавать биометрию.

Рекомендации и выводы

Да, биометрия при входе в офис является персональными данными, а именно — биометрическими. Чтобы использовать такие системы законно:

1. Получайте письменное согласие сотрудников на обработку их биометрии.
2. Закрепите порядок работы системы в локальных актах компании.
3. Обеспечьте техническую защиту биометрической базы.
4. Предусмотрите альтернативу для тех, кто не хочет сдавать биометрию.
5. Включите процесс обработки биометрии в комплект документов по ФЗ-152.

Компания ICTech поможет вашей организации подготовить формы согласий и все необходимые документы. Это позволит пройти проверку Роскомнадзора без штрафов и претензий сотрудников.

Хотите защитить себя от проверок и штрафов?

Подготовим документы по 152-ФЗ

Разработаем полный пакет документации по обработке персональных данных для вашей организации.

Заказать

О услуге