Алексей Ветров
Эксперт по защите данных IC-TECH
Если в организации ведётся видеонаблюдение, это обязательно отражается в уведомлении в Роскомнадзор. Нужно указать:
1. Категории субъектов
сотрудники организации;
посетители помещений (клиенты, гости).
2. Категории данных
«биометрические персональные данные (изображение лица, полученное с видеозаписи)»;
при необходимости — иные данные, фиксируемые системой (например, ФИО посетителя при пропускном режиме).
3.Цели обработки
обеспечение безопасности сотрудников и имущества;
организация пропускного и внутриобъектового режима;
предотвращение правонарушений и несанкционированного доступа.
4. Основание обработки
согласие субъектов ПДн (например, работников — через внутренний приказ и согласие при приёме на работу);
требования закона (например, для банков, охраняемых объектов).
5. Место хранения
сервер или видеорегистратор, где хранятся записи (с указанием адреса);
если данные пишутся в облако — важно, чтобы дата-центр находился в РФ.
6. Меры защиты
ограничение доступа к архиву видеозаписей;
пароли и журналы учёта;
шифрование каналов передачи;
ограничение сроков хранения.
1. Категории субъектов
сотрудники организации;
посетители помещений (клиенты, гости).
2. Категории данных
«биометрические персональные данные (изображение лица, полученное с видеозаписи)»;
при необходимости — иные данные, фиксируемые системой (например, ФИО посетителя при пропускном режиме).
3.Цели обработки
обеспечение безопасности сотрудников и имущества;
организация пропускного и внутриобъектового режима;
предотвращение правонарушений и несанкционированного доступа.
4. Основание обработки
согласие субъектов ПДн (например, работников — через внутренний приказ и согласие при приёме на работу);
требования закона (например, для банков, охраняемых объектов).
5. Место хранения
сервер или видеорегистратор, где хранятся записи (с указанием адреса);
если данные пишутся в облако — важно, чтобы дата-центр находился в РФ.
6. Меры защиты
ограничение доступа к архиву видеозаписей;
пароли и журналы учёта;
шифрование каналов передачи;
ограничение сроков хранения.
Обоснование по законодательству
- ФЗ-152, ст. 11: биометрические ПДн (изображение лица) можно обрабатывать только с согласия субъекта или по закону.
- ФЗ-152, ст. 22: уведомление должно содержать сведения о категориях данных, целях, основаниях и месте хранения.
- ФЗ-152, ст. 5: данные должны храниться не дольше, чем этого требуют цели обработки.
Пример формулировки для уведомления
«Категории субъектов: сотрудники организации, посетители.
Категории ПДн: биометрические персональные данные (изображения с камер видеонаблюдения).
Цели обработки: обеспечение безопасности, организация пропускного и внутриобъектового режима.
Основание: согласие субъектов ПДн, требования законодательства РФ.
Место хранения: видеорегистратор на территории организации (г. Москва, ул. …).
Меры защиты: ограничение доступа, пароли, шифрование каналов, хранение не более 30 суток.»
Пример из практики
Компания установила камеры в офисе и на складе. В уведомлении указали сотрудников и посетителей как субъектов, а также прописали, что хранение осуществляется на сервере в офисе. При проверке Роскомнадзор подтвердил корректность формулировок.
Рекомендации и выводы
- Всегда указывайте видеонаблюдение в уведомлении, если оно есть.
- Храните записи ограниченное время (например, 30 дней).
- Получите письменное согласие работников на видеонаблюдение.
- Разместите таблички «Ведётся видеонаблюдение» — это тоже требование закона.
Нет времени разбираться в нюансах?
Услуга под ключ: подготовим, заполним и подадим уведомление в Роскомнадзор без ошибок, с учётом требований 2025 года.
