база знаний

Видеонаблюдение и СКУД: обработка биометрических данных по закону. Требования и штрафы РКН.

Автор:

Юлия Аммосова

Некоторые компании внедряют у себя системы видеонаблюдения или системы контроля доступа (СКУД), которые используют технологию распознания лиц face ID. Подобные технические решения, безусловно, удобны, но сопряжены с рисками: неправильная обработка биометрии или видеофиксация могут привести к штрафу.

В этой статье, мы разберем, как установить видеонаблюдение и внедрить биометрии в компании по закону. Начнем с базы.

Биометрические персональные данные — это информация о физиологических или биологических особенностях человека. Такое определение дает закон «О персональных данных». Особенность этих данных в том, что оператор использует их для цели установить личность конкретного человека.

Ключевой вопрос при установке видеонаблюдения или систем контроля доступа (СКУД) — обрабатываются ли биометрические данные?

Для того, чтобы правильно ответить на этот вопрос, следует понять главное — данные считаются биометрическими только в том случае, если оператор применяет их специально для идентификации личности субъекта персональных данных.

Когда персональные данные не являются биометрическими

Этот принцип находит отражение в конкретных практических ситуациях. Например, если система видеонаблюдения используется исключительно для обеспечения общей безопасности территории (например, потоковое видеонаблюдение без намерения распознать конкретных лиц), то полученные видеозаписи не считаются обработкой биометрических данных. Данную точку зрения поддерживает Роскомнадзор (время на записи 1:18:00).

Когда персональные данные являются биометрическими

Однако ситуация меняется, если система контроля доступа (СКУД) применяет технологию распознавания лиц (face ID) с конкретной целью идентификации личности человека для предоставления ему доступа. В этом случае обработка изображений лица однозначно относится к обработке биометрических персональных данных.

Как обеспечить правомерность обработки биометрических данных

Чтобы обеспечить правомерность обработки биометрических персональных данных при использовании систем, специально предназначенных для идентификации личности (таких как СКУД или видеонаблюдение с функцией распознавания), оператору необходимо выполнить ряд обязательных действий.

Во-первых, биометрические персональные данные должны храниться обособленно от других категорий персональных данных, поскольку цели для этих двух категорий не будут совместимы. Это требует организации их хранения в отдельных, специально выделенных базах данных. Основание — статья 5 Федерального закона «О персональных данных».

Во-вторых, обязательно получить письменное согласие субъекта на обработку его биометрических персональных данных. Данное требование прямо установлено частью 4 статьи 9 Федерального закона «О персональных данных».

В-третьих, оператор обязан обеспечить подключение к государственной информационной системе «Единая биометрическая система» (ГИС ЕБС) и размещать обрабатываемые биометрические персональные данные исключительно в ЕБС. Эта норма регулируется Федеральным законом, специально посвященным вопросам биометрических данных (ст. 4 ФЗ о биометрии) ).

Как обеспечить правомерность потокового видеонаблюдения в офисе (не биометрии)

Отдельные правила применяются к системам видеонаблюдения, развернутым для общих целей безопасности (например, мониторинг офисных помещений без целенаправленной идентификации личности), обработка данных в которых не квалифицируется как работа с биометрией. В этом случае для правомерности обработки необходимо:

Разместить в зоне наблюдения хорошо видимые информационные таблички (текстовые и/или графические), предупреждающие о ведении видеосъемки.
Разработать и утвердить локальный нормативный акт (ЛНА), регламентирующий порядок видеонаблюдения и хранения записей. Это может быть отдельное «Положение о видеонаблюдении» или соответствующий раздел в других ЛНА, предусмотренных главой 14 Трудового кодекса РФ.
Обеспечить письменное ознакомление всех работников, попадающих в зону наблюдения, с содержанием указанного ЛНА под подпись.

Важно отметить, что при соблюдении перечисленных выше трех условий (предупреждение, ЛНА, ознакомление) и при условии хранения видеозаписей на серверах самого работодателя, получение отдельного согласия работников на такую обработку видеоданных не требуется.

Правовое обоснование:

1. Разъяснения РКН 2013 года.

2. Разъяснения РКН 2023 года (время на записи 2:46:30).

Если вам нужна юридическая помощь при внедрении системы видеонаблюдения и разработка ЛНА — оставляйте заявку

Финансовые риски при внедрении систем видеонаблюдения

Нарушение	Штраф (с 30 мая)
Риски обработки биометрии
Обработка биометрии без подключения к ГИС ЕБС	150- 300 тысяч рублей (ч. 1 ст. 13.11 КоАП РФ)
Обработка биометрии без письменного согласия субъекта	300 -700 тысяч рублей (ч. 2 ст. 13.11 КоАП РФ)
Утечка биометрии	15 - 20 миллионов рублей (ч. 17 ст. 13.11 КоАП РФ)
Повторная утечка биометрии	1 - 3 % от оборота выручки за предыдущий год либо за часть выручки текущего года (если в прошлом году не было деятельности), но не менее 25 млн и не более 500 млн (ч. 18 ст. 13.11 КоАП РФ)
Размещение биометрии в ГИС ЕБС с нарушением требований ФЗ о биометрии.	500 тысяч - 1 миллион рублей (ч. 1 ст. 13.11.3 КоАП РФ)
Нарушение обработки биометрии в ЕБС	500 тысяч - 1 миллион рублей (ч. 2 ст. 13.11.3 КоАП РФ)
Непринятие организационных и технических мер по обеспечению безопасности биометрических персональных данных при их обработке в единой биометрической системе	1 - 1,5 миллионов рублей (ч. 3 ст. 13.11.3 КоАП РФ)
Обработка биометрии в информационных системах без аккредитации	1 - 2 миллионов рублей (ч. 4 ст. 13.11.3 КоАП РФ)
Риски потокового видеонаблюдения
Неустановление текстовых/визуальных предупреждений, неинформирование, отсутствие соответствующего ЛНА	30 - 50 тысяч рублей (ст. 5.27 КоАП РФ) 150- 300 тысяч рублей (ч. 1 ст. 13.11 КоАП РФ)