Даже у тех компаний и предпринимателей, которые ответственно подходят к вопросу организации работы с ПДн, нередко возникают трудности с пониманием того, что конкретно регулятор понимает под этим термином. Определение есть в самом начале ФЗ-152 — в соответствии с ним, это все без исключения сведения, используя которые можно провести идентификацию личности. Если с ФИО, отпечатками пальцев, адресом и т.д. все более-менее ясно, то со снимками и видеозаписями не все так просто. Нет точного разъяснения, относится ли фотография к персональным данным, поэтому приходится вникать в нормативно-правовые тонкости каждого конкретного случая, чтобы установить факт неправомерности или, наоборот, правомерности действий оператора. Если вы не квалифицированный юрист и не знаете специфики законодательной базы в сфере ПДн, то найти ответ будет нелегко.
Как правило, необходимость установления, является ли снимок конфиденциальной информацией о гражданине, возникает:
- при составлении Политики конфиденциальности;
- при определении потребности в получении согласия на сбор, хранение и использование фото;
- при поступлении заявления от субъекта с требованием уничтожить изображения в электронном или бумажном варианте;
- когда предстоит понять, какие меры защиты применять в отношении таких сведений, кому из персонала давать к ним доступ и т.д.;
- при участии в судебных разбирательствах;
- в случае поступления уведомлений о наложении штрафных санкций Роскомнадзором или другими контролирующими органами;
- на этапе модернизации ИСПДн;
- при установлении возможности продолжения обработки ПДн после отзыва согласия.
Можно ли назвать все фото персональными данными?
Практически сразу после вступления в силу ФЗ-152 у операторов возникли трудности с классификацией снимков, и по мере технического прогресса проблема стала еще более актуальной. Из пояснения Роскомнадзора можно понять, что фотография — это персональные данные только в том случае, если по ней можно узнать точно её обладателя. Поэтому нельзя причислять к ПДн рентгеновские снимки, результаты КТ, МРТ или флюорографии, а также копии паспорта, которые предоставляются банку, МФО или другой организации при заключении договоров.
Если речь идет о видеосъемке в кафе, магазинах, на улицах и в прочих общественных местах, то она не классифицируется как ПДн, но может перейти в категорию биометрических данных, если будет на предусмотренных законом основаниях передана в компетентные госструктуры. То есть получать согласие у всех прохожих на запись не нужно, но как только материалы попадают в прокуратуру, МВД и другие уполномоченные идентифицировать граждан органы, они меняют категорию.
Особую группу составляют изображения на судебных пропусках — их Верховный Суд однозначно определяет как биометрические ПДн, соответственно, без получения согласия на обработку в таком случае не обойтись.
В каких случаях фотография работника, клиента относится к категории персональных данных?
Снимок человека может в зависимости от ситуации являться или не являться ПДн. Чтобы фото считалось персональными данными, оно должно обеспечивать возможность установления личности изображенного на нем гражданина. Причем не имеет значения, каким образом будет производиться идентификация — путем визуального осмотра и сравнения либо с применением специальных технических средств и программного обеспечения. Под это определение попадают пропуски в школу либо на предприятие, снимки для заграничных паспортов и т.д. Запрашивать согласие перед сбором, хранением и выполнением других операций нужно будет в том случае, если информацию можно по ряду признаков отнести к биометрическим ПДн. Но тут есть исключения, к примеру, разрешение субъекта не нужно при:
- проведении поисково-розыскных мероприятий;
- выполнении мер противодействия террористическим атакам;
- реализации государственных оборонных целей;
- исполнении обязательств России как участника подписанного международного соглашения;
- проведении судебных разбирательств.
Выясняя, что является персональными данными, операторы нередко забывают не только о фотографиях, но также о национальности, семейном положении, трудовом стаже, воинском звании и т.д. Если говорить о биометрии, то к ней помимо изображения лиц относятся:
- результаты ДНК исследований;
- рисунок радужной оболочки глаза;
- отпечатки пальцев;
- рост и масса тела;
- параметры лица, конечностей;
- иные биологические или физиологические особенности личности, включая те, что отображены на видео либо фото.
В России с завидной регулярностью возникают споры относительно того, нужно ли получать согласие на обработку фото с идентифицирующим документом. Снимок просят предоставить в основном при заключении виртуальных сделок либо совершении финансовых операций в Интернете, например, во время пополнения электронного кошелька, оформления микрокредита. Также подобная практика распространена в компаниях, которым приходится нанимать временный персонал. Цель такого запроса от оператора — подтвердить достоверность указанных в анкете или предоставленных иным способом сведений. Роскомнадзор не отслеживает все подобные случаи, но субъект ПДн вправе подать оформленную должным образом жалобу на фирму, если полагает, что переданная информация недостаточно хорошо защищена. Контролирующий орган проведет проверку и обяжет ИП либо юридическое лицо исправить нарушения.
Когда фотография не относится к персональным данным?
Избежать организационных, юридических и технических проблем, связанных с ограничением использования ПДн, в частности, не просить у гражданина согласие на проведение обработки, можно, если видео или фотоизображение:
- Сделано в местах общественного пользования, таких как театр, ресторан, городская площадь, остановка автобуса, вокзал и т.д. Запрашивать согласие придется только, если сделанные кадры будут использованы для получения прибыли.
- Применяется для реализации интересов государства и общества либо при достижении политических целей. Так, СМИ не обязаны каждый раз перед публикацией фото политиков получать у них разрешение, а вот если речь идет о размещении в газете либо на сайте снимка чужого ребенка, то согласие получать нужно в обязательном порядке.
- Получено во время оплачиваемой фотосессии.
Единого правила в отношении фотографий нет, поэтому нужно тщательно анализировать каждую ситуацию и с учетом существующих норм и исключений принимать решение о получении согласия и выборе подходящих мер информационной безопасности.