Закон о персональных данных фото

Оглавление:

Штраф за чужое фото: в ЕС вступили в силу новые правила о защите данных

Штраф за чужое фото: в ЕС вступили в силу новые правила о защите данных

В Евросоюзе начали действовать новые правила по защите персональных данных. Они запрещают, в частности, публиковать в Интернете фотографии людей без их согласия. Нарушителям грозят огромные штрафы. По мнению экспертов, новый регламент серьезно усложнит работу журналистов, а также доставит немало проблем пользователям смартфонов, особенно тем, кто любит фотографировать и делать селфи на улице.

В 2015 году в Британии показали реалити-шоу, участникам которого нужно было спрятаться на острове от спецслужб. Никто не смог, так как игрок рано или поздно оставлял электронный след, его тут же брали. Электронный след — это оплата по карточке, выход в Сеть или телефонный звонок. При любом из этих действий наши персональные данные — возраст, адрес, местонахождение — становятся уязвимыми. И если нас не ловят, следовательно, мы просто не нужны.

В 2018 в силу вступил новый регламент Евросоюза о защите данных. К спецслужбам он, крайне вероятно, не относится, но он запрещает компании, ставшей обладателем личных данных клиента, передавать их, публиковать, и просто надоедать клиенту спамом. Примером такого нарушения может служить история, когда администрация лондонского района Челси поделилась с журналистами базой данных домовладельцев. Газета затем предложила уплотнить богачей и подселить на их лишние метры погорельцев высотки Grenfell Tower. Богачи традиционно были против. Администрация по старым законам была наказана на 120 тысяч фунтов, по новым она могла бы потерять 20 миллионов.

В частности, новый закон направлен против такой журналистики. Также он убивает профессию папарацци. Это случилось через 20 лет после того, как сама профессия убила принцессу Диану.

Джеффри Льюис, адвокат: «Носитель биометрической информации, например, Ким Кардашьян, сможет теперь сказать: я не хочу, чтобы мои данные были опубликованы. Я требую, чтобы фотографию удалили, потому что я — владелец этих данных».

На голове мы носим не только шляпу, но и биометрическую информацию. Ее, согласно новым законам, можно также распространять, то есть показывать только с разрешения носителя информации, то есть самого лица.

Джеффри Льюис: «Мое лицо является носителем биометрических данных, но только в том случае, если меня можно идентифицировать по лицу. Я адвокат, мое имя известно, меня легко найти. И вы, записывая это интервью, собираете мои биометрические данные и можете ими делиться только потому, что я вам это разрешаю».

Запрет может распространиться не только на папарацци и журналистов таблоидов, скупающих медицинские справки и интимные снимки, но и на больших фотографов. Георгий Пинхасов представил на выставке в Лондоне работы по теме «Дом», но как только он выходит за пределы своего дома работать, в его кадр попадают люди, не давшие разрешения быть увековеченными им.

Георгий Пинхасов, фотограф: «Честно говоря, я не думаю об этом, потому что это не я их публикую, агентство мое публикует. Моя задача — сделать красивую фотографию. Логично, чтобы ограничения были. Как журналист я хочу, конечно, работать без ограничений, как частное лицо я хочу быть защищенным».

Любой турист, попавший в Евросоюз, может стать ответчиком, но только если в кадр случайно попадет знаменитость, например, Элтон Джон, и турист загрузит фотографию в Сеть и отметит на ней Элтона Джона. Тогда его могут попросить убрать снимок. Меньше риска, если никого не узнавать и не отмечать, теги не ставить, а также если в подписчиках только родная мама.

Рен: «Мы фотографировали в Лондоне таких же туристов, как и мы сами. Что же нам теперь, подходить друг к другу с бумажкой и просить поставить подпись, что мы не против? Это абсурд!»

Но для тех, кто очень боится нарушить, безопаснее всего фотографировать гражданина в костюме Йоды. Или приезжать ночью. Или отдыхать на необитаемом острове, который к тому же не входит в Евросоюз.

Как передает корреспондент Лиза Герсон, новые правила могут осложнить работу тележурналистов в Европе. Съемка гуляющих для репортажа, если воспринимать закон буквально, — это незаконная деятельность. Невозможно же обежать всех людей на улице с обходным листом и у каждого взять письменное разрешение. Теперь в Европе остается надеяться на авось, что никто не пожалуется, и на здравый смысл людей.

За фото на пропуске работника компанию могут оштрафовать до 75 тыс. рублей

Новости по теме

Верховный суд признал фотографию персональными данными. Теперь, чтобы разместить фото на пропуске работников, компании безопаснее брать у них письменное согласие на обработку персональных данных.

Верховный суд согласился с Роскомнадзором, что фотографии относятся к биометрическим персональным данным. Они характеризуют физиологические особенности человека, на основе которых можно установить его личность.

Теперь, чтобы разместить фото работника на пропуске, получите его письменное согласие на обработку персональных данных. Иначе суд может счесть это как нарушение закона о персональных данных и оштрафовать от 15 тыс. до 75 тыс. рублей.

Составить согласие на обработку персональных данных можно в произвольной форме. Как правильно это сделать, читайте в рекомендации экспертов Системы Юрист.

Обзоры последних изменений

Главные изменения в законодательстве в 2018 году
Посмотрите изменения, которые вступают или уже вступили в силу в 2018 году.

Директоров и учредителей станут чаще привлекать по долгам компании
И другие выводы из Обзора практики Верховного суда № 2/2018 от 04.07.2018

Закупки по Закону № 44-ФЗ с 1 июля: все изменения в одной инструкции
С 1 июля все конкурентные закупки можно проводить в электронном виде, правила для закупок в бумажном виде тоже изменились. Законодатели ввели в Закон № 44-ФЗ новые статьи, которые срочно нужно изучить.

Изменения в КоАП РФ в 2018 году
Все поправки в одной таблице.

Срочное сообщение для юриста! В офис пришла полиция

Подпишитесь на журнал «Юрист компании»
всего за 21 912 13 990 рублей .

Конференция ЮрКлуба

Фотография человека = персональные данные?

Alex King 13 Ноя 2010

Коллеги, не сочтите мой вопрос за халявничество.
Законодательство, мягко выражаясь, несовершенно, поэтому интересует мнение людей сталкивавшихся с проблемой на практике.

Итак, является ли фотография человека сама по себе персональными данными в рамках российского законодательства?

При условии, что:
— фото хранится отдельным файлом на неком сайте и доступно всем желающим;
— на сайте отсутствует и не обрабатывается иная информация, относимая ФЗ к персональным данным, только фотографии людей, находящиеся в открытом доступе всем желающим.

Если да, к какому классу ее следует отнести?

не сын юриста 13 Ноя 2010

Cherubael 13 Ноя 2010

Федеральный закон Российской Федерации от 27 июля 2006 г. N 152-ФЗ «О персональных данных»

Статья 3. Основные понятия, используемые в настоящем Федеральном законе

В целях настоящего Федерального закона используются следующие основные понятия:

1) персональные данные — любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация;

так что если на сайте находятся только фотографии, без привязки к конкретным лицам, адресам жительства и местам работы — то к персональным данным их отнести нельзя.

Но размещение таких фотографий представляет собой использование изображения человека — и как указал ув. не сын юриста, следует руководствоваться нормами ст. 152.1 ГК

Alex King 13 Ноя 2010

Cherubael 13 Ноя 2010

Менеджеры считают их вообще – биометрическими данными в смысле закона о ПД.

в целом это не то чтобы неправильно

Статья 11. Биометрические персональные данные

1. Сведения, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность (биометрические персональные данные), могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.

Но фотография сама по себе не даёт возможности установить личность. Для этого она должна быть «привязана» к конкретному человеку и сделана по определённым стандартам. Например, фотография в паспорте или на анкете будет представлять собой персональные данные. А фото прохожего в газете — нет.

Kruzo 13 Ноя 2010

Alex King
персональные данные определяются как любая информация.

ст. 2 закона об информации устанавливает, что информация — сведения (сообщения, данные) независимо от формы их представления;

вряд ли фотографию можно отнести к сведениям.

все же ст. 152.1 — изображение со всеми вытекающими.

Монетка 01 Сен 2014

Господа! хочу обновить эту тему в связи с запросами поступающими из Банка 24.ру (ОАО). Просят предоставить фото руководителя предприятия на фоне здания, где расположен офис и фото непосредственно в офисе. Как это соотносится с защитой персональных данных. Другими словами, как бы их послать поприличнее )) ?

pavelser 01 Сен 2014

Попросите их предоставит обоснование на основании каких документов они требуют такое фото

Монетка 01 Сен 2014

Все просто — ссылка на правила банковского обслуживания в банке 24.ру

Клиент обязуется: 1.2.12. Немедленно предоставлять по запросу Банка документы, необходимые для идентификации

Кто работает с банками, знает: сейчас тема противодействия легализации доходов — хит сезона. Под это дело идут любые запросы и требования.

pavelser 01 Сен 2014

Немедленно предоставлять по запросу Банка документы,

А фото это документ ?

Не можете конечно им еще отписать, что вы с удовольствием заключите с банком лицензионный договор на использование фото, за 1 000 000 рублей ))

Antiprav 01 Сен 2014

У вас есть в штате фотограф?

Монетка 02 Сен 2014

Увы. фотографа нет. И директор утверждает, что он не фотогеничный. Но шутки шутками, а движения по счету могут приостановить за непредоставление доков по запросу. А потом вести дискуссии является ли фото документом можно долго. Ну что ж, спасибо откликнувшимся. Думала, может кто-то уже получал такие «письма счастья». Удачи, коллеги и подбирайте свои удачные фотки — пригодится в скором времени. ))

Justys 02 Сен 2014

как бы их послать поприличнее?

С творчеством Райкина знакомы? Про колеса и насосы. Дурочку запускайте. Фотографа в штате нет, фотоаппарат сломался, снимок не получается, директор не любит фотографироваться — убегает. Дождь, снег, град, ураган, нападение зомби.

А можно в штат взять юриста, который будет остроумно и грамотно, со ссылками на НПА, отвечать на такой бред.

Например о том, что почему такое требование банка не предусмотрено теми ссылками на нормы права/пункты договора, которые они приводят в обоснование своих требований.

Antiprav 02 Сен 2014

С таким бредом сложно бороться. Ибо сначала «перекроют» кислород.

(вообще, банки борзеют. )

odysseus 03 Сен 2014

так что если на сайте находятся только фотографии, без привязки к конкретным лицам, адресам жительства и местам работы — то к персональным данным их отнести нельзя.

спорное кстати утверждение, тут именно, что привязка к конкретным «лицам» (в буквальном так сказать смысле).

Немедленно предоставлять по запросу Банка документы, необходимые для идентификации Клиента и соблюдения требований действующего законодательства РФ о противодействии 23 легализации (отмыванию) доходов

а эти правила не раскрывают нам содержание понятия «документ» относительно его употребления в этих правилах? Паспортные данные (серия, №, т.д.) не достаточно??

mrOb 03 Сен 2014

Немедленно предоставлять по запросу Банка документы, необходимые для идентификации Клиента и соблюдения требований действующего законодательства РФ о противодействии 23 легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма.

Идентификацию клиента проводится по тем или иным документам (паспорт, решения/протоколы, выписка и пр.). Фото-та тут причем?

Ибо сначала «перекроют» кислород.

+1. Риски бы оценить сначала, а потом слать.

Eisenfaust 03 Сен 2014

Коллеги, не сочтите мой вопрос за халявничество.
Законодательство, мягко выражаясь, несовершенно, поэтому интересует мнение людей сталкивавшихся с проблемой на практике.

Итак, является ли фотография человека сама по себе персональными данными в рамках российского законодательства?

При условии, что:
— фото хранится отдельным файлом на неком сайте и доступно всем желающим;
— на сайте отсутствует и не обрабатывается иная информация, относимая ФЗ к персональным данным, только фотографии людей, находящиеся в открытом доступе всем желающим.

Если да, к какому классу ее следует отнести?

С одной стороны, сама по себе фотография не позволяет идентифицировать человека. Как и написанные на заборе слова «Иванов Иван Иванович».

С другой, Шерлок Холмс, сука, по шляпе человека идентифицировал.

Персональные данные: как работать по закону?

Персональные данные в организации есть всегда. Порой работодатель даже не представляет, как много информации о сотрудниках обрабатывается с нарушением закона. Как правильно организовать работу с персональными данными, как составить внутренние документы, что можно упустить, а что учесть обязательно? Читайте консультацию-памятку от эксперта трудового права Анны Никурадзе.

Ошибки в работе с персональными данными чаще всего случаются по незнанию, а не из-за попытки обойти нормативные требования. Вот самый распространенный пример: будущий работник подает пакет документов по списку, куда входит ИНН или справка о составе семьи. Принимая такие документы, работодатели не берут согласия на их обработку, поскольку думают, что в этом нет необходимости, чем невольно нарушают закон. Но если вы вооружены достаточными знаниями, административных рисков можно избежать.

Для начала разберемся, какие сведения о работниках считаются персональными данными: любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Такое определение дано в п. 1 ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» (далее Закон N 152-ФЗ):

То есть, к персональным данным относят:

  • фамилию, имя, отчество, дату и место рождения;
  • сведения об образовании (в том числе послевузовском профессиональном) — номера дипломов, названия образовательных организаций, квалификацию, присвоенную гражданину, ученую степень и пр.;
  • семейное, социальное и имущественное положение работника;
  • профессию и места работы;
  • любые документы, которые содержат вышеперечисленные данные;
  • документы, содержащие сведения о членах семьи и иных третьих лицах;

Кроме этого, персональные данные содержатся в документах, обязательно предъявляемых при трудоустройстве. Их перечень указан в ст. 65 Трудового кодекса РФ и эта статья позволяет работодателю принимать и обрабатывать перечисленные в ней документы без предварительного согласия.

Некоторые работодатели (видимо, по старой привычке) до сих пор требуют фото для вклеивания в личную карточку Т2, однако не спрашивают официального согласия работника. Есть мнение, что фотография не относится к персональным данным, но с этим можно поспорить. Ведь законодатель говорит, что персональными данными считаются любые сведения , позволяющие идентифицировать определенного человека, даже без использования его имени, фамилии и даты рождения. Таким образом, если специалист запрашивает фото работника, об этом обязательно надо упомянуть в письменном согласии на обработку персональных данных, с указанием целей обработки.

Возможно, прочитав предыдущие утверждения, вы сделали вывод, что персональные данные — это вся информация, которую человек предоставляет о себе, и обрабатывать ее можно только с его письменного разрешения.

Однако мы помним, что законодатель все же идет навстречу оператору и оговаривает возможность не брать согласие на обработку сведений, перечисленных в ст. 65 ТК РФ. Но в этот список не входят справки о составе семьи, ИНН, справки о состояния здоровья.

Так, в момент приема на работу некоторые компании запрашивают ИНН сотрудника, поскольку он понадобится для отчетности и закон периодически требует включать их в отчетные формы. Для того чтобы оформить человека на должность, и в дальнейшем поддерживать с ним трудовые отношения, ИНН не требуется. Поэтому если организации все-таки нужны эти данные, обязательно следует получить письменное согласие работнику.

Что еще должен делать работодатель при обработке персональных данных?

Согласно п. 7 ст. 86 Трудового кодекса РФ, работодатель обязан обеспечить за счет своих средств защиту персональных данных работника от неправомерного использования или утраты, а также выполнять установленный законом порядок их использования и хранения.

Исходя из указанных требований, работодатель издает локальный нормативный акт, регулирующий вопросы хранения и использования персональных данных, а также обеспечивающий защиту последних от неправомерного использования или утраты. Этот документ должен содержать:

  • описание внешнего и внутреннего доступа к персональным данным;
  • перечень лиц, которым предоставлен такой доступ;
  • ответственность за разглашение сведений;
  • порядок работы с персональными данными;
  • регламент защиты персональных данных (включая защиту от третьих лиц).

С соответствующими положениями и своими правами работники должны ознакомиться под роспись.

Обычно в организации таким локальным нормативным актом признается отдельное Положение о защите персональных данных. Структура его может быть следующей:

1) «Общие положения» – в данном разделе прописываются общие моменты, цели создания документа и сфера его распространения;

2) «Основные понятия» – указываются используемые определения;

3) «Перечень персональных данных и цели обработки» – здесь перечисляется, какие сведения могут быть использованы оператором

4) «Обработка персональных данных» – в этом разделе следует указать, какие условия должны быть соблюдены при обработке персональных данных работника;

5) «Передача персональных данных» – тут необходимо отразить порядок передачи персональных данных работников внутри организации, а также сторонним лицам и государственным органам;

6) «Доступ к персональным данным» — в указанном разделе будет прописан порядок доступа к персональным данным – внешний (передача информации третьим лицам) и внутренний (обработка персональных данных внутри компании);

7) «Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных» — здесь будет расписана дисциплинарная и материальная ответственность лиц, работающих с персональными данными;

8) «Угрозы безопасности» – в этом разделе описывается модель и степень угрозы, а также что предпринимается для защиты персональных данных;

8) «Заключительные положения» – сюда включаются положения о вступлении в силу акта, длительность его действия, и порядок его изменения.

Как защитить персональные данные сотрудников

Работодатель обязан создать все условия для защиты персональных данных: систему, которая обеспечивает конфиденциальность, недоступность, а также целостность и безопасность информации в процессе деятельности компании.

Закон предусматривает внутреннюю и внешнюю защиту.

  • Для обеспечения внешней защиты персональных данных работников компания может, например, ввести пропускной режим для посетителей и использовать программно-технический комплекс защиты информации на электронных носителях.
  • Для обеспечения внутренней защиты персональных данных компания может установить регламент состава работников, чьи функциональные обязанности требуют доступа к персональным данным других работников. При этом следует избирательно и обоснованно распределить документы и информацию, содержащую персональные данные, между лицами, уполномоченными на работу с такими данными, и оборудовать рабочие места таким образом, чтобы не было возможности беспрепятственно проникнуть и «подсмотреть» информацию, и так далее.

Комплекс защитных мер зависит от уровня угрозы безопасности. Чем уровень выше, тем больше действий необходимо предпринимать.

Выделяют три типа угроз, которые создают актуальную опасность несанкционированного доступа к персональным данным при их обработке в информационной системе. Тип угрозы, характерный для информационной системы, работодатель определяет самостоятельно. Исходя из этого, применяется один из четырех уровней защиты.

Состав и содержание мер по обеспечению безопасности персональных данных для каждого уровня защиты определены Приказом ФСТЭК России от 18.02.2013 N 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».

Обеспечение достойного уровня безопасности включает множество различных требований, которые надо строго соблюдать.

Так, чтобы обеспечить минимальный (четвертый) уровень защиты персональных данных работников, необходимо:

  • обезопасить от неконтролируемого проникновения помещения, в которых установлена информационная система;
  • обеспечить сохранность носителей персональных данных;
  • защитить информацию с помощью средств, прошедших процедуру оценки соответствия;
  • издать приказ (распоряжение) в произвольной форме с перечнем работников, имеющих в силу трудовых обязанностей доступ к персональным данным в информационной системе.

Персональные данные потенциальных сотрудников: как поступать с кандидатами

Еще один интересный вопрос связан с персональными данными соискателей: какие действия разрешены работодателю, когда люди приходят на собеседования?

Резюме считается общедоступной информацией, и при его использовании не нужно письменное согласие. Но если соискатель заполняет анкету с указанием личных данных и специалист службы персонала снимает копии с документов (паспорт, диплом и т.п.), письменное согласие брать обязательно.

В заключение хотелось бы подчеркнуть, что работа с персональными данными — это высочайший уровень ответственности. Не стоит пренебрегать правилами и недооценивать важность получения согласия и формирования защиты. Кроме того помните, что сейчас трудовая инспекция особенно строго следит за соблюдением трудового законодательства довольно тщательно и не упускает ни одну из нормативных сфер. Один короткий документ, полученный от работника или кандидата, обезопасит вас от административной ответственности.

Анна Никурадзе, старший юрист Департамента трудового права Института профессионального кадровика

Условия, при которых фото- или видео- изображения относятся к биометрическим персональным данным

Роскомнадзор дал разъяснения по вопросам отнесения персональных данных к биометрическим и их обработки

В соответствии с ч. 1 ст. 11 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» (далее – Закон о персональных данных) к биометрическим персональным данным относятся сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются для установления личности субъекта персональных данных.

К биометрическим персональным данным относятся: физиологические данные (дактилоскопические данные, радужная оболочка глаз, анализы ДНК, рост, вес и другие), а также иные физиологические или биологические характеристики человека, в том числе изображение человека (фотография и видеозапись).

Обработка этих данных проводится в целях установления личности субъекта, а также с его письменного согласия, за исключением случаев, предусмотренных ч.2 ст 11 Закона о персональных данных.

Роскомнадзор приводит примеры, когда фото- и видео — изображения используют для установления личности, а именно:

1) цветное цифровое фотографическое изображение лица владельца документа, удостоверяющего личность, является биометрическими персональными данными владельца документа. Это регламентировано постановлением Правительства Российской Федерации от 4 марта 2010 г. N 125 .

2) фотографическое изображение и иные сведения, используемые для обеспечения однократного и/или многократного прохода на охраняемую территорию и установления личности гражданина, также относятся к биометрическим персональным данным.

К биометрическим персональным данным не относятся:

1) ксерокопии документа, удостоверяющего личность;

2) сканирование паспорта для подтверждения осуществления определенных действий конкретным лицом (например, заключение договора на оказание услуг, в том числе банковских, медицинских и т.п.) без проведения процедур идентификации (установления личности);

3) рентгеновские или флюорографические снимки, характеризующие физиологические и биологические особенности человека и находящиеся в истории болезни (медицинской карте) пациента (не имеет значения, бумажной или электронной);

4) материалы видеосъемки в публичных местах и на охраняемой территории. Посетители указанных публичных мест должны заранее предупреждаться администрацией о возможной фото-, видеосъемке соответствующими текстовыми и/или графическими предупреждениями. При соблюдении указанных условий согласие субъектов на проведение указанных мероприятии не требуется.

5) фотографическое изображение, содержащееся в личном деле работника, а также подпись лица, наличие которой в различных договорных отношениях является обязательным требованием, и почерк, в том числе анализируемый уполномоченными органами в рамках почерковедческой экспертизы. Все они не могут рассматриваться как биометрические персональные данные, поскольку действия с использованием указанных данных направлены на подтверждение их принадлежности конкретному физическому лицу, чья личность уже определена и чьи персональные данные уже имеются в распоряжении оператора.

С полным текстом можно ознакомиться у нас на сайте.

Разъяснения Роскомнадзора об отнесении фото и видеоизображений, а также данных отпечатков пальцев к биометрическим персональным данным

Главные вкладки

Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций разъясняет вопросы отнесения фото- и видео- изображения, дактилоскопических данных и иной информации к биометрическим персональным данным и особенности их обработки. Разъяснения подготовлены по результатам совместного обсуждения с представителями экспертного сообщества: А.В. Лукацким, Емельянниковым М.Ю., Волковым А.Н., Токаренко А.В.

В соответствии с ч. 1 ст. 11 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» к биометрическим персональным данным относятся сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных.

Соответственно, в контексте Федерального закона «О персональных данных» отнесение сведений персонального характера к биометрическим персональным данным и их последующая обработка должны рассматриваться в рамках проводимых оператором мероприятий, направленных на установление личности конкретного лица, если иное не предусмотрено федеральными законами и принятыми на их основе нормативными правовыми актами.

Обработка биометрических персональных данных может осуществляться только при наличии согласия в письменной форме субъекта персональных данных, за исключением случаев, предусмотренных ч. 2 ст. 11 Федерального закона «О персональных данных, предусматривающей исключения, связанные с реализацией международных договоров Российской Федерации о реадмиссии, в связи с осуществлением правосудия и исполнением судебных актов, а также в случаях, предусмотренных законодательством Российской Федерации об обороне, о безопасности, о противодействии терроризму, о транспортной безопасности, о противодействии коррупции, об оперативно-розыскной деятельности, о государственной службе, уголовно-исполнительным законодательством Российской Федерации, законодательством Российской Федерации о порядке выезда из Российской Федерации и въезда в Российскую Федерацию.

Исходя из определения, установленного Федеральным законом «О персональных данных» к биометрическим персональным данным относятся физиологические данные (дактилоскопические данные, радужная оболочка глаз, анализы ДНК, рост, вес и другие), а также иные физиологические или биологические характеристики человека, в том числе изображение человека (фотография и видеозапись), которые позволяют установить его личность и используются оператором для установления личности субъекта.

По существу обработки фото- или видеоизображения субъекта персональных данных и распространения на указанную деятельность положений ст. 11 Федерального закона «О персональных данных» необходимо отметить следующее.

В соответствии со ст. 152.1 Гражданского кодекса Российской Федерации обнародование и дальнейшее использование изображения гражданина (в том числе его фотографии, а также видеозаписи или произведения изобразительного искусства, в которых он изображен) допускаются только с согласия этого гражданина. После смерти гражданина его изображение может использоваться только с согласия его законных представителей (супруги, дети, родители). Такое согласие не требуется в случаях, когда:

1) использование изображения осуществляется в государственных, общественных или иных публичных интересах.

(Согласно п. 25 постановления Пленума Верховного Суда Российской Федерации от 15 июня 2010 г. №16 к общественным интересам следует относить не любой интерес, проявляемый аудиторией, а, например, потребность общества в обнаружении и раскрытии угрозы демократическому правовому государству и гражданскому обществу, общественной безопасности, окружающей среде.

К таким интересам, к примеру, относится информация, связанная с исполнением своих функций должностными лицами и общественными деятелями. Соответственно, сообщение подробностей частной жизни лица, не занимающегося какой-либо публичной деятельностью, под данное исключение не подпадает).

2) изображение гражданина получено при съемке, которая проводится в местах, открытых для свободного посещения, или на публичных мероприятиях (собраниях, съездах, конференциях, концертах, представлениях, спортивных соревнованиях и подобных мероприятиях), за исключением случаев, когда такое изображение является основным объектом использования;

3) гражданин позировал за плату.

Исходя из смысла указанной статьи, опубликование, в том числе редакцией СМИ, фотографического изображения в случаях, предусмотренных ст. 152.1 Гражданского кодекса Российской Федерации, а также полученного из общедоступных источников не требует соблюдения условий, связанных с получением письменного согласия субъекта персональных данных.

Существуют положения нормативных правовых актов, прямо относящих фотографическое изображение к биометрическим персональным данным.

Согласно пункту 6 Перечня персональных данных, записываемых на электронные носители информации, содержащиеся в основных документах, удостоверяющих личность гражданина Российской Федерации, по которым граждане Российской Федерации осуществляют выезд из Российской Федерации и въезд в Российскую Федерацию, утвержденного постановлением Правительства Российской Федерации 4 марта 2010 г. № 125, цветное цифровое фотографическое изображение лица владельца документа является биометрическими персональными данными владельца документа.

В тоже время, необходимо принимать во внимание цель, которую преследует оператор при осуществлении действий, связанных с обработкой персональных данных, в том числе фотографического изображения, содержащихся в паспорте.

В случае, если они используются оператором для установления личности субъекта персональных данных (в том числе в случае проведения такой процедуры представителями операторов, имеющими полномочия на установление личности владельца паспорта), то данная обработка должна осуществляться в строгом соответствии со ст. 11 Федерального закона «О персональных данных».

Аналогичная ситуация с фотографическими изображениями сотрудников, посетителей государственных и муниципальных органов, предприятий (организации), содержащимися в системе контроля управления доступа (СКУД), которые являются биометрическими персональными данными, поскольку характеризуют физиологические и биологические особенности человека, позволяющие установить, принадлежит ли данному лицу предъявляемый СКУД пропуск, на основе которых можно установить его личность путем сравнения фото с лицом предъявителя пропуска и указываемых владельцем пропуска фамилии, имени и отчества с указанными в СКУД, и эти данные используются оператором для установления личности субъекта персональных данных в случае сомнения в том, что пропуск предъявляется его действительным владельцем.

Таким образом, фотографическое изображение и иные сведения, используемые для обеспечения однократного и/или многократного прохода на охраняемую территорию и установления личности гражданина, также относятся к биометрическим персональным данным.

В соответствии с ч. 1 ст. 11 Федерального закона «О персональных данных» обработка биометрических персональных данных в подобных случаях может осуществляться только при наличии согласия в письменной форме субъекта персональных данных.

В иных случаях, когда сканирование паспорта осуществляется оператором для подтверждения осуществления определенных действий конкретным лицом (например, заключение договора на оказание услуг, в том числе банковских, медицинских и т.п.) без проведения процедур идентификации (установления личности), данные действия не могут считаться обработкой биометрических персональных данных и ст. 11 Федерального закона «О персональных данных» не регулируются. Соответственно, обработка сведений, в данных случаях, осуществляется в соответствии с общими требованиями, установленными Федеральным законом «О персональных данных».

Аналогичный подход следует применять при осуществлении ксерокопирования документа, удостоверяющего личность.

Также не является биометрическими персональными данными фотографическое изображение, содержащиеся в личном деле работника, а также подпись лица, наличие которой в различных договорных отношениях является обязательным требованием, и почерк, в том числе анализируемый уполномоченными органами в рамках почерковедческой экспертизы. Все они не могут рассматриваться как биометрические персональные данные, поскольку действия с использованием указанных данных направлены на подтверждение их принадлежности конкретному физическому лицу, чья личность уже определена и чьи персональные данные уже имеются в распоряжении оператора.

Не являются биометрическим персональными данными рентгеновские или флюорографические снимки, характеризующие физиологические и биологические особенности человека, и находящиеся в истории болезни (медицинской карте) пациента (не имеет значения, бумажной или электронной), поскольку они не используются оператором (медицинским учреждением) для установления личности пациента. Но в случае их передачи по запросу субъектов оперативно-розыскной деятельности, органов следствия и дознания в рамках проводимых ими мероприятий указанные сведения становятся биометрическими персональными данными, поскольку используются операторами — органами следствия и дознания в целях установления личности конкретного лица.

Аналогичная позиция и с материалами видеосъемки в публичных местах и на охраняемой территории. До передачи их для установления личности снятого человека они не являются биометрическим персональными данными, обработка которых регулируется общими положениями Федерального закона «О персональных данных», поскольку не используются оператором (владельцем видеокамеры или лицом, организовавшим ее эксплуатацию) для установления личности. Однако, указанные материалы, используемые органами, осуществляющими оперативно-розыскную деятельность, дознание и следствие в рамках проводимых мероприятий, являются биометрическими персональными данными, в случае, если целью их обработки является установление личности конкретного физического лица.

Необходимо отметить, что при ведении видеонаблюдения в рабочих помещениях оператора с целью фиксации возможных действий противоправного характера согласно ст. 74 Трудового кодекса Российской Федерации работники должны быть уведомлены об изменении условий трудового договора по причинам, связанным с изменением организационных или технологических условий труда (введением видеонаблюдения), под роспись.

Вместе с тем, посетители указанных публичных мест должны заранее предупреждаться их администрацией о возможной фото-, видеосъемке, соответствующими текстовыми и/или графическими предупреждениями. При соблюдении указанных условий согласие субъектов на проведение указанных мероприятии не требуется.

Видеонаблюдение может осуществляться только для конкретных и заранее определенных целей. Эти цели должны быть обусловлены соответствующими нормативными правовыми актами, устанавливающими правовые основания видеонаблюдения (видеосъемки).

Кроме того, необходимо отдельно отметить случаи открытого наблюдения, которое ведется в целях обеспечения прав пациентов, клиентов, потребителей при осуществлении тех или иных услуг населению (например, медицинских или по производству продуктов питания), путем установления видеокамер направленных на рабочие места сотрудников с целью осуществления контроля качества предоставляемых услуг.

В целях установления дополнительных гарантий соблюдения прав как потребителей (пациентов, клиентов), а также самих работников и сотрудников должны быть приняты внутренние документы, которыми должны быть предусмотрены порядок и сроки хранения видеозаписей, а также ответственные лица, имеющие доступ к системе видеонаблюдения. Также необходимо предусмотреть возможность информирования о системе видеонаблюдения путем размещения информационных табличек в зонах видимости камер.

Вместе с тем, если в результате опубликования фотографий или видеозаписи, возникает реальная угроза жизни и здоровью гражданина, либо ему наносятся моральные страдания, то на основании его мотивированного обращения распространение (демонстрация) данной информации должно быть прекращено.

Наличие согласия на обработку персональных данных либо иных законных оснований (договор) также необходимо в случае использования изображения гражданина в рекламных целях.

Соблюдение указанных условий должно осуществляться средствами массовой информации на этапе предоставления заказчиком соответствующих материалов.

По существу отнесения к биометрическим персональным данным дактилоскопической информации, а также их обработки в биометрических системах идентификации, построенных на использовании в качестве идентификаторов информации об особенностях строения папиллярных узоров пальцев рук человека (дактилоскопической информации), необходимо учитывать следующее.

Обработка дактилоскопической информации в системе биометрической идентификации осуществляется путем преобразования изображения папиллярных узоров на промежуточной поверхности в цифровую форму и размещения полученных данных в базе данных в виде биометрического информационного шаблона.

Принимая во внимание, что целью обработки указанных сведений в системах биометрической идентификации является установление личности конкретного лица, а также тот факт, что данная информация, содержащаяся в шаблоне, характеризует физиологические и биологические особенности человека – субъекта персональных данных, то она относится к биометрическим персональным данным, обработка которых должна осуществляться в соответствии со ст. 11 Федерального закона «О персональных данных», а также Федеральным законом от 25.07.1998 № 128-ФЗ «О государственной дактилоскопической регистрации в Российской Федерации».

Ввиду изложенного, во всех случаях, не подпадающих под указанные в ч. 2 ст. 11 Федерального закона «О персональных данных», для использования дактилоскопической информации в системах идентификации, контроля и управления доступом необходимо получение от субъекта или его представителя согласия в письменной форме на обработку его биометрических персональных данных по правилам, установленным ч. 4 ст. 9 Федерального закона «О персональных данных».