Является ли использование пропускной системы обработкой ПДн?

Алексей Ветров

Эксперт по защите данных IC-TECH

Задать вопрос

Да, использование пропускной системы (СКУД) является обработкой персональных данных. Любые сведения, фиксируемые при проходе через систему (ФИО сотрудника, табельный номер, должность, время входа и выхода), позволяют прямо или косвенно идентифицировать человека. Это подпадает под определение персональных данных в соответствии с ФЗ-152.

Когда согласие не требуется:

- если СКУД используется для учёта рабочего времени, обеспечения безопасности и охраны имущества;
- если порядок работы системы закреплён в локальных актах организации, и сотрудники ознакомлены с ним;
- если обработка данных необходима для выполнения трудового договора и обязанностей работодателя.

Когда согласие может понадобиться:

- если данные из СКУД используются для целей, не связанных с трудовыми отношениями (например, публикация информации о посещаемости);
- если доступ к данным получают третьи лица без правового основания.

Обоснование по законодательству

• Ст. 3 ФЗ-152 — сведения о сотруднике (ФИО, время входа/выхода), фиксируемые системой, являются персональными данными.
• Ст. 6 ч. 1 п. 2 ФЗ-152 — согласие не требуется, если обработка необходима для выполнения обязанностей, установленных законом.
• Ст. 86 ТК РФ — работодатель вправе обрабатывать персональные данные работников в рамках трудовых отношений.
• Ст. 88 ТК РФ — работодатель обязан соблюдать конфиденциальность персональных данных.
• Ст. 19 ФЗ-152 — оператор обязан обеспечить защиту данных при их обработке.

Практика и позиция Роскомнадзора

Роскомнадзор подтверждает, что данные, фиксируемые СКУД, относятся к персональным. Организации обязаны документировать правила работы системы и ограничивать доступ к информации.

В одной из проверок было выявлено, что журналы посещаемости велись в электронном виде, но доступ к ним имели лица, не относящиеся к кадровой службе. Роскомнадзор признал это нарушением принципов обработки ПДн и потребовал ограничить круг уполномоченных лиц.

Важный момент для организаций

Факт использования СКУД сам по себе законен, но важно:

• закрепить порядок работы в локальных актах;
• ознакомить сотрудников с правилами под подпись;
• ограничить доступ к базе данных пропускной системы;
• установить сроки хранения и порядок уничтожения информации.

Рекомендации и выводы

Да, использование пропускной системы — это обработка персональных данных. Чтобы избежать нарушений:

1. Пропишите правила работы СКУД в локальных документах.
2. Информируйте сотрудников о целях обработки данных.
3. Храните данные не дольше, чем это необходимо для целей учёта и безопасности.
4. Включите СКУД в перечень информационных систем в комплекте документов по ФЗ-152.

Компания ICTech поможет вашей организации подготовить регламенты по работе с пропускными системами, формы уведомлений и полный пакет документов по ФЗ-152, чтобы обеспечить законность и безопасность обработки.

Хотите защитить себя от проверок и штрафов?

Подготовим документы по 152-ФЗ

Разработаем полный пакет документации по обработке персональных данных для вашей организации.

Заказать

О услуге