Многие организации оформляют своим сотрудникам и посетителям документы для доступа в служебные помещения с фотографиями, даже не подозревая, что при этом нарушают закон.

Тем не менее, Роскомнадзор и Верховный суд утверждают, что любая личная фотография относится к биометрическим персональным данным. Поэтому для ее использования в документах необходимо получить согласие человека. Иначе — крупный штраф.

Что случилось? Верховный суд РФ определением от 05.03.2018 N 307-КГ18-101 по делу N А42-342/2017 отказал организации в отмене штрафа, назначенного по статье 13.11 КоАП РФ за нарушение требований Федерального закона от 27.07.2006
N 152-ФЗ «О персональных данных». Кроме того, ВС РФ не согласился отменить предписание Управления Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций об устранении нарушения в виде обработки биометрических персональных данных (фотографии) без письменного согласия субъекта персональных данных.

Фото на пропуске относится к персональным данным.

В спорной ситуации организация занималась оказанием услуг населению оздоровительного и спортивного характера, в частности, содержала бассейн. Посетители допускались туда на основании пропусков с фотографиями, как это было прописано в Положении о порядке посещения плавательного бассейна для различных категорий населения, утвержденном председателем Комитета по физической культуре и спорту Мурманской области.

Поскольку при получении от посетителей фотографий для размещения их на пропусках организация не получала от них согласия на обработку персональных данных, Роскомнадзор счел это нарушением и выдал предписание о его устранении, а также привлек организацию к ответственности.

Получение согласия работника — субъекта персональных данных — обязательно

С такой позицией чиновников в итоге согласились суды всех инстанций, включая ВС РФ. Кстати, из этого следует, что раз фотографии являются биометрическими персональными данными, поскольку: характеризуют физиологические и биологические особенности человека, на основе которых можно установить его личность путем сравнения фото и содержащихся на документе фамилии, имени и отчества с лицом предъявителя пропуска, то и их обработку оператор персональных данных всегда должен осуществлять с соблюдением требований пункта 1 статьи 11 Федерального закона N 152-ФЗ, а именно, только после получения согласия субъекта персональных данных.

Реклама

Это требование в равной степени относится к сотрудникам организаций. Поэтому, прежде чем использовать фото на пропусках или для других целей, необходимо получить письменное согласие работника. Такую позицию, как выяснилось, Роскомнадзор доводил до операторов персональных данных еще в 2013 году в Разъяснении «О вопросах отнесения фото- и видеоизображения, дактилоскопических данных и иной информации к биометрическим персональным данным и особенности их обработки».

Видимо, многие организации попросту упустили это из вида. А ведь в этом же разъяснении идет речь о признании персональными данными копий страниц паспорта и других документов, удостоверяющих личность и содержащих фотографии.

Ответственность за использование фото без согласия субъекта персональных данных

Если организация забудет оформить письменное согласие субъекта персональных данных на использование его фото, ее могут привлечь к административной ответственности по статье 13.11 КоАП РФ. Ее нормами предусмотрен административный штраф для нарушителей на сумму от 15 000 до 75 000 рублей.

Кроме того, к ответственности могут привлечь должностных лиц организации, им могут назначить штраф в размере до
20 000 рублей.

Обратите внимание! С 3 июля 2018 года ответственность операторов персональных данных за нарушение законодательства усиливается. Соответствующие поправки в КоАП РФ недавно утвердил Президент России.

Источник: ppt.ru