Как фиксировать документы посетителей на КПП и не нарушить закон «О персональных данных» N152-ФЗ

Фиксирование документов посетителей на проходной или КПП предприятия должно проводится в соответствии с  федеральным законом "О персональных данных" N152-ФЗ. Нарушение закона может повлечь - штраф до 300 000 рублей, принудительные работы, а также лишение свободы на срок до 4 лет. Рассказываем как фиксировать документы и не нарушить федеральный закон.

Обработка данных на проходных и КПП может быть организована двумя способами.

Первый - с помощью средств автоматизированной обработки
Второй - без использования средств автоматизированной обработки.

Подробно разберем оба. И так как использование средств автоматизации везде и всегда - эта наша цель (т.к. именно они позволяют существенно уменьшить постоянный затраты и количество ошибок), начнем рассматривать именно автоматизированную обработку.

Автоматизированная обработка персональных данных на проходной

Современные СКУД состоит из программно аппаратного комплекса, который позволяет среди прочего сканировать и распознавать документы посетителей предприятия, прикрепляя их к гостевой карте доступа (идентификатору).

С технической точки зрения аппаратная часть контроллеры для СКУД обрабатывает и хранит только базу данных идентификаторов и, таким образом, не затрагивает персональных данных.

Именно в базе данных программного обеспечение для СКУД будут хранится как персональные данные сотрудников так и посетителей

Современные программные комплексы по оформлению гостевых пропусков позволяют автоматизировать процесс ввода данных о посетителе.
Как правило это делает оператор на КПП, для оформления пропуска в организацию он производит сканирование паспорта а иногда и дополнительно фотографирование посетителя.

Эти данные вместе с данными о времени входа и выхода будут хранится в базе данных программного обеспечения.

Автоматизированная регистрация посетителей оператором
Смотрите классический набор оборудования и софта для организации бюро пропусков, там вы увидите список оборудования и программного обеспечения. 

Регистрация посетителей с помощью терминалов самостоятельной регистрации
Терминалы для самостоятельной регистрации — цена от 152 150 рублей
Программное обеспечение для терминалов для самостоятельной регистрации — цена от 2 750 рублей

Необходимо ли согласие на обработку персональных данных от посетителей?

Не вызывает сомнений факт того, что юридическое лицо, осуществляющее сбор персональных данных посетителей является оператором персональных данных (сокращенно - «оператор ПДн»), а соответственно, обязано выполнять требования статьи 18, № 152-ФЗ.

На всякий случай уточним, что закон предусматривает перечень случаев в которых согласие на обработку не требуется, но оформление пропуска на контролируемую территорию не попадает под перечень таких случаев.

Соответственно, согласие должно браться и соответствовать требованиям федерального закона «О персональных данных» N152-ФЗ.

Форма предоставления согласия от посетителя

Закон не регламентирует форму предоставления согласия, если речь не идет об обработке биометрических персональных данных, и лишь указывает:

Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом.

Ключевой момент в этом определении на который следует обратить внимание это то что форма согласия должна позволять оператору подтвердить факт его получения.

Автоматизированная обработка биометрических персональных данных

Краеугольным камнем в вопросе обработки персональных на проходных будет вопрос: - Является ли фотография в паспорте – биометрическими данными или нет?

На основании разъяснений, предоставленных Роскомнадзором еще в 2013 году, «фотографическое изображение и иные сведения, используемые для обеспечения однократного и/или многократного прохода на охраняемую территорию и установления личности гражданина, также относятся к биометрическим персональным данным.

В соответствии с ч. 1 ст. 11 Федерального закона “О персональных данных” обработка биометрических персональных данных в подобных случаях может осуществляться только при наличии согласия в письменной форме субъекта персональных данных».

Таким образом, при необходимости сбора фотоизображений, сканов или ксерокопий паспортов или иных документов, необходимо учитывать требования обработки биометрической информации.
Статья 11 указывает,, что в случае обработки биометрических персональных данных обязательным является письменное согласие. Как мы писали выше в процессе оформления пропуска делается скан копия паспорта или иного документа подтверждающего личность с фотографией, именно фотография является носителем биометрических данных. 

Получается, если при оформлении гостевого пропуска вы используете фотографию посетителя, единственная, форма предоставления согласия - письменная форма за личной подписью.
Законодатель определил какие сведения должны содержаться в письменной форме подтверждения согласия в статья 9 пункт 4.

Автоматизированная обработка персональных данных (кроме биометрических)

На проходной может быть организован сбор всех данных о посетителе кроме биометрических, в данном случае речь идет о сканировании и сохранении фотографии.

Если на объекте организовано видеонаблюдение то получить фото или видеоизображение посетителя не составит труда. Так как у вас будут зафиксированы дата и время прохода.
Поэтому с точки зрения безопасности, отказ от сканирования фотографии не несет существенных рисков.

В тоже время, отказ от сканирования фотографии позволит вам избежать обязательного получения письменного согласия от каждого посетителя на обработку персональных данных. Что может существенно ускорить оформление гостевого пропуска для посетителей. Во многих случаях это время может быть критически важным.

Не следует забывать что даже автоматизированная обработка организованная без биометрических персональных данных не избавляет вас от получения согласия посетителя, причем в форме позволяющей подтвердить факт его получения.

Однако форм позволяющих подтвердить согласие, может быть немало, например это и информирование оператором, такое информирование должно быть записано системой видеонаблюдения с обязательной записью звука.

Так и текст оферты информирующий о том, что проходя через турникет посетитель предоставляет согласие на обработку персональных данных.

Передача информации

При наличии любой информационной системы персональных данных (а система, установленная для оператора, собирающего информацию о посетителях на КПП относится именно к таким) существует некий штат сотрудников или внешних подрядчиков, которым могут быть доступны собранные персональные данные.

Это, как минимум, непосредственно операторы, осуществляющие ввод и корректировку информации на КПП и сотрудники технической поддержки, ответственные за поддержание работоспособности информационной системы.

Если вместо штатной технической поддержки организация привлекает внешнего подрядчика, в согласии на обработку персональных данных обязательно должен быть пункт о передаче ПДн третьим лицам ( ФЗ №152 ст. 6 п. 3). Поскольку согласно ФЗ №152 ст. 6 п. 5, всю ответственность за обработку собранных ПДн несет оператор, со стороны организации оператора также было бы правильно заключить со всеми своими подрядчиками, которые могут получить доступ к ПДн, договор о конфиденциальности.

В таком Договоре имеет смысл прописать основные пункты политики неразглашения конфиденциальной информации, ставшей доступной в связи с взаимодействием во исполнение договорных обязательств.

Отзыв согласия на обработку персональных данных

В случае, когда субъект ПДн отзывает согласие на обработку ПДн, Оператор обязан прекратить обработку ПДн. Для данного случая это означает, что оператор прекращает обработку персональных данных, оставляя лишь данные о посещении
Субъектом защищаемых помещений оператора. Последние данные лишь хранятся оператором установленный срок в соответствии с архивным законодательством.

Законом оговорены случаи, когда обработка ПДн может быть продолжена и после отзыва физическим лицом Согласия ( ФЗ №152 ст. 9 п. 2).

Не автоматизированная обработка персональных данных на проходной

Неавтоматизированная обработка персональных данных не попадает под требования ФЗ №152, а значит и под штрафные санкции которые могут быть применены к организации.

Тем не менее, существует Постановление Правительства № 687 от 15.09.2008 г. (с корректировками от 2014 года). О порядке не автоматизированной обработки персональных данных, для однократного пропуска физических лиц на территорию организации.

Не автоматизированная обработка ПДн должна осуществляться соответственно требованиям данного Постановления.

Из постановления следует 3 основных требования:

•  Должен быть установлен перечень лиц осуществляющих обработку персональных данных либо имеющих к ним доступ.
• Необходимо обеспечивать раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях.
• При хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ.

Ну, и самое важное — ваше мнение

Ничто так сильно не мотивирует меня писать новые статьи как ваша оценка, если оценка хорошая я пилю статьи дальше, если отрицательная думаю, как улучшить эту статью. Но, без вашей оценки, у меня нет самого ценного для меня - обратной связи от вас. Не сочтите за труд, выберете от 1 до 5 звезд, я старался.