Биометрические персональные данные сотрудников: что к ним относится, как с ними работать

Биометрические персональные данные сотрудников — это физиологические данные физического лица. К ним относят в частности, фото, радужную оболочку глаза и прочие физиологические характеристики человека. Передавать данные можно только после получения согласия от сотрудника, но есть случаи, когда такое согласие не требуется. Смотрите, что относится к биометрическим персданным и скачивайте инструкцию как с ними работать.

Когда работаете с персональными данными сотрудников, соблюдайте утвержденный порядок получения, передачи, хранения и уничтожения персданных. В Системе Главбух узнаете, какие документы оформить, чтобы работать с персональными данными, и как накажут компанию и должностных лиц за ошибки в работе с персданными. Итак, подробно о том, как работать с персональными данными сотрудников.

Понятие биометрические персональные данные и их особенности

Прежде чем перейти к рассмотрению вопроса о биометрических персональных данных, приведем основные термины.

Персональные (личностные) данные — информация, которая прямо или косвенно относится к определенному или определяемому физическому лицу (субъекту ПД) (п. 1 ч. 1 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ).

Субъект персональных данных — физическое лицо, которого можно прямо или косвенно определить с помощью персональных данных.

Оператор персональных данных — это государственный или муниципальный орган, юридическое или физическое лицо, которые самостоятельно или совместно с другими лицами организуют, осуществляют обработку личностных данных, а также определяют её цели; состав ПД, подлежащих обработке; а также действия (операции), совершаемые с ними (п. 2 ч. 1 ст. 3 Закона № 152-ФЗ).

Биометрические персональные данные — это сведения, характеризующие физиологические и биологические особенности человека, на основании которых можно установить его личность.

Такие данные работодатель может использовать, чтобы установить личность работника или иного лица. При обработке персональных данных нужно подать в Роскомнадзор уведомление.

Что такое биометрия и биометрические персональные данные

Что относится к биометрическим данным? Итак, К биометрическим персональным данным относятся физиологические и биологические характеристики человека.

Физиологические характеристики человека:

• дактилоскопические данные;
• радужная оболочка глаз;
• анализы ДНК;
• рост;
• вес и др;

Также к биометрическим персональным данным относят фотографию, видеозапись.

Важно! Обработка такого типа личностных данных направлена на установление личности конкретного лица (абз. 2 «Разъяснений по вопросам отнесения фото-, видеоизображений, дактилоскопических данных и иной информации к биометрическим персональным данным и особенностей их обработки» от 30.08.2013 (Роспотребнадзор), далее – Разъяснения).

Закон по общему правилу запрещает обрабатывать ПД, включая биометрические данные, из общедоступных источников получения информации без согласия их субъекта (Федеральный закон от 30.12.2020 № 519-ФЗ). Исключения – в части 2 статьи 11 Закона № 152-ФЗ. Правила использования изображения человека – в статье 152.1 ГК РФ

Важно! Федеральный закон от 30.11.2024 № 420-ФЗ ужесточит наказание операторов персональных данных за нарушения. Один из самых больших новых штрафов - за утечку биометрических персональных данных. Он составит для организации 15 млн. – 20 млн. рублей.

Обработка биометрических персональных данных: случаи использования 

Биометрические персональные данные обрабатываются в следующих случаях:

1. прямое требование законодательства РФ — когда необходимо использовать данные;

2. иные случаи (по своему усмотрению), с соблюдением установленной законом процедуры обработки персональных данных.

Наиболее распространенным случаем использования биометрических данных является использование СКУД (системы контроля управления доступа).

Приведем простой пример. Проход на территорию работодателя. Фотографии посетителей организации, содержащиеся в СКУД, будут биометрическими персональными данными. Ведь именно они и характеризуют физиологические и биологические особенности человека, позволяют установить, принадлежит ли данному лицу предъявляемый СКУД пропуск, на основе которого можно установить его личность путем сравнения фото с лицом предъявителя пропуска и указываемых владельцем пропуска Ф. И. О. с указанными в СКУД. То же самое касается и иных сведений, в частности, отпечатков пальцев, рисунка сетчатки глаз и прочее.

Условие для использования биометрических персональных персданных

Чтобы использовать биометрические персональные данные, нужно получить от работника (или иного лица, чьи данные обрабатываются) письменного согласия на обработку таких данных.

Важно! Согласие не потребуется только в случае, если работодатель обрабатывает биометрические персональные данные в целях исполнения требований закона или решения суда.

Как составить согласие на обработку персональных данных

В согласии указывают:

• какие биометрические персональные данные использует работодатель;

• с какой целью проводят обработку;

• что предполагается с данными сведениями делать;

Если работник согласен на данные условия, он предоставляет указанное согласие в письменном виде, после чего работодатель вправе обрабатывать указанные сведения в объеме и на условиях, указанных в согласии. Когда согласие на обработку персональных данных не потребуется смотрите в Системе Главбух.

Важно! Работник имеет право отказать в выдаче такого согласия, а уже выданное работодателю согласие может быть в любое время отозвано работником. Работодатель не сможет обрабатывать указанные сведения о работнике. 

Образец согласия на обработку персональных данных

Посмотреть образец

Штрафы за неисполнение требований по обработке персональных данных

Ответственность, предусмотренную ч. 2 ст. 13.11 КоАП РФ:

• штраф для должностных лиц — от 100 000 до 300 000 рублей;
• штраф для юридических лиц — от 300 000 до 700 000 рублей.

За повторное нарушение — 1,5 миллионов рублей.

Как же себя обезопасить от нежелательных штрафов (денежку ведь никто не имеет удовольствия оставлять)?

Ну, во-первых, соблюдение базисных требований. Во-вторых, выполнение и иных общих требований, которые касаются защиты персональных данных работника от неправомерного доступа к ним. Что же входит в категорию неузнанности? Вот:

• обеспечение надлежащей защиты информационных систем, где хранятся данные о работнике;

• обеспечение надлежащей защиты физических источников персональных данных (документов, флеш-накопителей и т.д.);

• разработка необходимых локальных (местных) актов в части обеспечения безопасности персональных данных. Как составить Положение о работе с персональными данными сотрудников смотрите в Системе Главбух;

• назначение ответственного за организацию обработки персональных данных в компании;

• уведомление в Роскомнадзор по обработке персональных данных в компании;

Важно! Федеральные законы № 420-ФЗ и № 421-ФЗ от 30.11.2024 вносят изменения в Административный и Уголовный кодекс. С 30 мая 2025 года Роскомнадзор будет штрафовать за утечку персональных данных виновных должностных лиц на сумму до 2 миллионов рублей, а компании на сумму до 3 процентов выручки.

Что изменилось в работе с персональными данными

Рассмотрим основные изменения в Федеральном законе № 266-ФЗ.

Изменение 1. Нельзя обрабатывать биометрию без согласия субъекта ПД, а также – понуждать к его даче. По общему правилу сдать биометрию работник (соискатель, контрагент) может только по своему желанию. Работодатель (наниматель, контрагент) в свою очередь не вправе обязать его это сделать. Кроме того, оператор по общему правилу не может обрабатывать биометрические персональные данные без согласия их субъекта (ч. 3 ст. 11 Федерального закона № 152-ФЗ).

Изменение 2. Обязательность в уведомлении Роскомнадзора об обработке биометрических данных.

Важно! Уведомление не направляют только в таких случаях (п. 8 ч. 2 ст. 22 Закона № 152-ФЗ):

1. оператор обрабатывает данные без автоматизации (к примеру, компания с численностью до 20 человек);

2. содержание личностных данных в информационных системах по защите безопасности государства и общественного порядка;

3. использование личностных данных по закону о транспортной безопасности.

Изменение 3. Возможность поручения обработки другому лицу (включая иностранное). Однако существуют условия. Оператор может поручать обработку ПД (в том числе – и биометрию) другому лицу. Для этого нужно:

• согласие субъекта;

• договор с лицом, которому передается обработка;

• перечень ПД в поручении;

• документы и иная информация, которые предоставляются по запросу (в том числе до обработки) и подтверждают принятие мер и соблюдение требований закона в целях исполнения поручения оператора.

При этом на поручителя перекладывают все обязанности по защите ПД как на оператора.

Важно! Иностранные лица могут обрабатывать персональные данные с 1 сентября 2022 на основании согласия гражданина России (ч. 1.1 ст. 1 Закона № 152-ФЗ).

При передаче ПД иностранному лицу ответственность перед их субъектом – солидарная. Поэтому за нарушения при обработке переданных иностранным юридическим и физическим лицом можно привлечь к ответственности и оператора (работодателя) (ч. 6 ст. 6 Закона № 152-ФЗ).

Изменение 4. Сокращение сроков на предоставление информации о работе с ПД. Закон 266-ФЗ сократил сроки, в течение которых оператор должен предоставить субъекту ПД информацию об их обработке (запрос и предоставление): 10 рабочих дней вместо 30.

Изменение 5. Установление новых правил прекращения обработки ПД по обращению их субъекта. Оператор должен исполнить требование субъекта ПД о прекращении их обработки в срок 10 рабочих дней с даты получения обращения. Такой срок можно продлить, но не более чем на пять рабочих дней.

Изменение 6. Введение новых условий обработки биометрических персональных данных. Биометрию, как правило, обрабатывают с согласия субъекта ПД (работника, соискателя и др.). Согласия на обработку и распространения биометрии, как и общие согласия для работы с ПД, должны быть предметными и однозначными, а не только сознательными, конкретными и информированными (ст. 9 Закона № 152-ФЗ). Эти требования относятся к условиям согласия (ч. 1 ст. 9 Закона № 152-ФЗ):

• цель обработки персональных данных;

• перечень ПД, на обработку которых дается согласие их субъекта;

• наименование или фамилия, имя, отчество и адрес лица, которое осуществляет обработку ПД по поручению оператора (если она поручена такому лицу);

• перечень действий с ПД, на совершение которых дается согласие, а также – общее описание способов обработки ПД, которые использует оператор;

• срок, в течение которого действует согласие субъекта ПД и способу его отзыва.

Важно! В тексте согласий избегайте неопределенных и общих формулировок. Их положения должны соответствовать требованиям закона:

• сведения о субъекте и операторе нужно указывать точно;

• цель, категории, перечень ПД, условия их обработки (распространения) определяют конкретно;

• срок согласия должен совпадает с требованиями закона об архивном деле;

При этом период действия согласия на распространение может быть определен наступлением какого-либо события, а не датой или периодом времени (ч. 13 ст. 10.1 Закона № 152-ФЗ).

Все положения согласий нужно разъяснить субъекту ПД до их подписания, чтобы он действовал осознанно и информировано (ст. ст. 9, 10.1, 18 и 22 Закона № 152-ФЗ). Когда субъект ПД отказывается предоставить обязательные персданные, нужно разъяснить последствия отказа от предоставления ПД и (или) согласия на их обработку (ч. 2 ст. 18 Закона № 152-ФЗ).

Важно! С 30 мая 2025 года изменятся правила работы с персональными данными. За их нарушения предусмотрены повышенные штрафы - до 500 миллионов рублей.

Важно! Фотография сотрудника является биометрическими персональными данными и требует письменного согласия на обработку и хранение в личном деле. Если такого согласия нет, это нарушение, за которое компанию оштрафуют. Информация размещена на официальном портале Роструда онлайнинспекция.рф.

Онлайн-помощник от «Актион 360»

Ответы на все вопросы по налоговым изменениям вы найдете в корпоративной справочно-образовательной системе «Актион 360». Просто задайте свой вопрос в поисковой строке и узнайте, как поступить именно в вашей ситуации. Разъяснения дают авторитеты в своей области – судьи, специалисты Минфина и ФНС.

Задать вопрос