Составление согласия на обработку биометрических персональных данных: отпечатки пальцев, рисунок вен, фотографии

Согласие на обработку биометрических персональных данных для контроля доступа и учёта рабочего времени

Анализ ситуации

Вы, как работодатель, планируете обрабатывать биометрические персональные данные сотрудников (отпечатки пальцев, рисунок вен ладоней, фотографии) для целей контроля доступа в офис и учёта рабочего времени. Такая обработка требует получения специального письменного согласия от каждого сотрудника, поскольку биометрические данные относятся к специальной категории с особым правовым режимом.

Применимые правовые нормы и обязательные требования

1. Правовая основа и обязательность письменной формы согласия

"Сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные) ... могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи." (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 11, часть 1)

"В случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных." (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 9, часть 4)

Таким образом, для обработки биометрических данных вы обязаны получить от каждого сотрудника письменное согласие.

2. Обязательные реквизиты и содержание согласия

Закон прямо устанавливает перечень информации, которая должна быть включена в письменное согласие. Вот обязательные пункты, которые вы должны предусмотреть:

• Данные субъекта (сотрудника):

  "фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;" (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 9, часть 4, пункт 1)

• Данные оператора (работодателя):

  "наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;" (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 9, часть 4, пункт 3)

• Конкретная цель обработки:

  "цель обработки персональных данных;" (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 9, часть 4, пункт 4)

• Перечень обрабатываемых данных:

  "перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;" (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 9, часть 4, пункт 5) В вашем случае необходимо детально перечислить: отпечатки пальцев, рисунок вен ладоней, фотографии (с указанием, что это цифровые изображения).

• Перечень действий и способы обработки:

  "перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;" (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 9, часть 4, пункт 7) Следует указать: сбор, запись, систематизацию, накопление, хранение, использование, блокирование, удаление, уничтожение (и другие применимые действия), с использованием средств автоматизации (СКУД).

• Срок действия согласия и способ его отзыва:

  "срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;" (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 9, часть 4, пункт 8) Важно указать, что согласие действует до его отзыва, а также прописать порядок отзыва (например, подача письменного заявления).

• Срок хранения данных: Указывая срок хранения (5 лет), вы должны руководствоваться принципом:

  "Хранение персональных данных должно осуществляться ... не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом..." (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 5, часть 7) Необходимо обосновать, что 5 лет — это необходимый срок для достижения заявленных целей (например, для учёта рабочего времени и возможных проверок).

• Передача данных третьим лицам: Если вы привлекаете стороннюю организацию для обслуживания системы, вы обязаны указать её в согласии:

  "наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;" (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 9, часть 4, пункт 6)

• Собственноручная подпись и дата:

  "подпись субъекта персональных данных." (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 9, часть 4, пункт 9)

3. Тонкости оформления

• Нотариальное заверение: Не требуется. Достаточно простой письменной формы с собственноручной подписью сотрудника. Это прямо следует из цитированной выше статьи 9, которая говорит о согласии в письменной форме, но не требует его нотариального удостоверения.
• Отдельный документ: Согласие должно быть оформлено отдельным документом, а не быть частью трудового договора или приложения к нему. Закон обязывает оформлять его отдельно от иных документов.
• Информирование: Указание в самом согласии всех перечисленных выше сведений (целей, состава данных, прав субъекта) является способом информирования сотрудника. Таким образом, сам документ выполняет две функции: информирование и получение согласия.

4. Права сотрудника и последствия для работодателя

Согласие должно учитывать права сотрудника, включая право на отзыв согласия. Работодатель обязан соблюдать конфиденциальность данных:

"Операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных..." (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 7)

Отсутствие согласия или его ненадлежащее оформление является нарушением закона и влечёт административную, гражданско-правовую и дисциплинарную ответственность.

Выводы и рекомендации

1. Составьте документ, который включает все без исключения обязательные реквизиты, перечисленные в статье 9 закона о персональных данных.
2. Конкретизируйте каждый пункт: цели ("контроль доступа в офис", "учёт рабочего времени"), список биометрических данных, способы обработки, срок хранения (5 лет с обоснованием), порядок отзыва согласия.
3. Не включайте это согласие в трудовой договор. Оформите его как самостоятельный документ.
4. Не заверяйте согласие у нотариуса. Достаточно подписи сотрудника.
5. Если привлекаете стороннего подрядчика для обработки данных, обязательно укажите его наименование и адрес в тексте согласия.
6. Не делайте обработку биометрических данных обязательной. У сотрудника должна быть альтернатива (например, пропускная карта или журнал учёта), если он откажется давать согласие.
7. Дополнительно рекомендуем:
   • Издать локальный нормативный акт (Положение) об обработке персональных данных, включив в него раздел о биометрических данных.
   • Ознакомить сотрудников с этим Положением под подпись.
   • Вести реестр (журнал) полученных согласий.

Для разработки окончательной редакции документа и локальных актов, а также для минимизации правовых рисков, рекомендуется обратиться к адвокату, специализирующемуся на трудовом праве и защите персональных данных.