Алексей Ветров
Эксперт по защите данных IC-TECH
Да, фотография на пропуске является персональными данными.
Согласно ст. 3 Федерального закона № 152-ФЗ, персональные данные — это любая информация, относящаяся прямо или косвенно к определённому или определяемому физическому лицу. Фотография позволяет идентифицировать конкретного человека, поэтому относится к категории персональных данных.
Если фото используется в системе контроля доступа (СКУД) — оно обрабатывается работодателем в рамках исполнения трудового договора и обеспечения безопасности. В этом случае отдельное согласие не требуется. Но если фотография используется как биометрический идентификатор (например, для распознавания лица), то такие данные относятся к биометрическим, и для их обработки необходимо письменное согласие субъекта (ст. 11 152-ФЗ).
Согласно ст. 3 Федерального закона № 152-ФЗ, персональные данные — это любая информация, относящаяся прямо или косвенно к определённому или определяемому физическому лицу. Фотография позволяет идентифицировать конкретного человека, поэтому относится к категории персональных данных.
Если фото используется в системе контроля доступа (СКУД) — оно обрабатывается работодателем в рамках исполнения трудового договора и обеспечения безопасности. В этом случае отдельное согласие не требуется. Но если фотография используется как биометрический идентификатор (например, для распознавания лица), то такие данные относятся к биометрическим, и для их обработки необходимо письменное согласие субъекта (ст. 11 152-ФЗ).
Обоснование по законодательству
- 152-ФЗ «О персональных данных»:
- Ст. 3 — фотоизображение является персональными данными, так как позволяет идентифицировать личность.
- Ст. 6 ч. 1 п. 2 — работодатель вправе обрабатывать ПДн работника для исполнения трудового договора (например, выпуск пропуска).
- Ст. 11 — обработка биометрических персональных данных (включая фото для распознавания лица) допускается только с письменного согласия субъекта.
- Разъяснения Роскомнадзора: обычные фотографии сотрудников относятся к персональным данным, а их использование в системах распознавания лица — это уже обработка биометрических ПДн.
Типичные ошибки организаций
- Считают, что фото для пропуска не является персональными данными и не включают его в перечень обрабатываемых ПДн.
- Используют фотографии сотрудников в маркетинговых целях (на сайте, в соцсетях) без отдельного согласия на распространение ПДн.
- Хранят фото работников после увольнения, хотя цель их обработки (доступ на объект) уже утрачена.
Особенности применения на практике
- Для пропуска с фотографией достаточно правового основания — исполнения трудового договора и обеспечения пропускного режима.
- Если фото используется в СКУД с функцией распознавания лиц — необходимо письменное согласие на обработку биометрических ПДн и уведомление Роскомнадзора.
- Для публикации фото сотрудников (например, «наша команда» на сайте) нужно отдельное согласие на распространение ПДн (ст. 10.1 152-ФЗ).
Рекомендации и выводы
- Фотография на пропуске — это персональные данные, а при использовании для распознавания лица — биометрические персональные данные.
- Для оформления пропуска согласие не требуется, но цель обработки (обеспечение доступа) должна быть зафиксирована в локальных актах.
- Если используется биометрическая система доступа — обязательно получите письменное согласие работников и уведомите Роскомнадзор.
- Для использования фото в иных целях (публикации, реклама, сайт) оформите согласие на распространение ПДн.
Чтобы ваша организация корректно оформила правила обработки фотографий сотрудников и применения СКУД, а также избежала рисков при проверках Роскомнадзора, специалисты ICTech разработают для вас полный пакет документов по обработке персональных данных. Мы подготовим формы согласий, регламенты, политики и инструкции, чтобы ваши бизнес-процессы полностью соответствовали требованиям закона.
Хотите защитить себя от проверок и штрафов?
Разработаем полный пакет документации по обработке персональных данных для вашей организации.
