тел: +7 (343) 228-00-30
КонсультантПлюс в Екатеринбурге и Свердловской области
Местное время 07:26
Консультант Плюс в Екатеринбурге и Свердловской области

Пропускной режим в организации: как не нарушить законодательство о персональных данных

Пропускной режим в организации: как не нарушить законодательство о персональных данных

Введение пропускного режима на предприятии помогает решать разные задачи: обеспечивает безопасность сотрудников, сохранность материальных ценностей, информации, помогает вести контроль и учет рабочего времени.

Для целей пропускного режима (в зависимости от сложности пропускной системы) на предприятиях ведут журналы учета посетителей, устанавливают турникеты, обеспечивающие доступ по пропуску. Кроме того, для организации пропускного режима сотрудников, может применяться биометрическая идентификация.

В журналы, как правило, заносятся сведения о посетителе, которые относятся к его персональным данным (п.1 ст.3 закона № 152-ФЗ "О персональных данных"): фамилия, имя, отчество, данные паспорта.

Пропуск также может содержать персональные данные: фамилию, имя, отчество, дату рождения, данные паспорта, для работника, кроме того, должность, табельный номер и др., а в некоторых случаях и биометрические данные, например, фотографическое изображение.

Следует помнить, что любые действия (операции), совершаемые с персональными данными, с использованием средств автоматизации или без использования таких средств, включая сбор, запись, хранение, использование и т.д. относятся к обработке персональных данных (п.3 ст.3 Закона № 152-ФЗ).

По общему правилу для обработки персональных данных требуется согласие субъекта персональных данных (п.1 ч.1 ст.6 Закона № 152-ФЗ).

Ниже рассмотрим вопросы о том, что нужно учесть и как не нарушить закон "О защите персональных данных", устанавливая пропускной режим на предприятии.

Понятие пропускного режима содержится в абз. 5 ст. 1 Федерального закона от 14.04.1999 N 77-ФЗ "О ведомственной охране" - это порядок, обеспечиваемый совокупностью мероприятий и правил, исключающих возможность бесконтрольного входа (выхода) лиц, въезда (выезда) транспортных средств, вноса (выноса), ввоза (вывоза) имущества на охраняемые объекты и с охраняемых объектов. Схожее определение содержится в п. 7 ст. 1.1 Закона РФ от 11.03.1992 N 2487-1 "О частной детективной и охранной деятельности в РФ"

Порядок введения пропускного режима в организациях законодательством не установлен, следовательно, его введение целесообразно предусмотреть в правилах внутреннего трудового распорядка (для работников) и соответствующем локальном нормативном акте организации. Вводится пропускной режим распоряжением (приказом) руководителя организации. С приказом следует ознакомить всех работников организации, на которых он распространяется. Для посетителей действующие правила следует разместить в доступном для ознакомления месте.

При этом, если организация пропускного режима осуществляется работодателем самостоятельно, согласие на обработку персональных данных не нужно. Это следует из п.1 ст.86 ТК РФ, п/п 5 ч.1 ст.6 Закона "О персональных данных", а так же разъяснений Роскомнадзора, опубликованных на сайте ведомства.

Подобного мнения придерживаются и специалисты Роструда, отвечая на вопрос о возможности ведения электронного пропускного режима с использованием персональных данных работников: "Поскольку работодателя и работника связывают трудовые отношения, для обработки персональных данных, необходимых для обеспечения работодателем личной безопасности работников и обеспечения сохранности имущества, согласия работника не требуется" (Информационный портал Роструда "Онлайнинспекция.рф", вопрос N 72089 от 16.05.2016).

Однако, если пропускной режим осуществляется с привлечением охранных предприятий или сотрудников иных организаций (например, арендодателя), либо с использованием биометрических данных сотрудника (то в силу ст. 88 ТК РФ, п. 3 ст. 6 и ст. 7 Закона N 152-ФЗ, получение согласия работников на обработку персональных данных является обязательным.

Например, вы решили оформить своему сотруднику пропуск на территорию с фотографией. Согласно разъяснениям Минцифры России, фотографическое изображение и иные сведения, используемые для обеспечения однократного и/или многократного прохода на охраняемую территорию и установления личности гражданина, относятся к биометрическим персональным данным (Письмо от 17.07.2020 N ОП-П24-070-19433).

Следовательно, во-первых, необходимо получить письменное согласие работника на обработку биометрических персональных данных. Согласие работника должно быть конкретным и информированным, т.е. содержать информацию об объеме обрабатываемых персональных данных, о целях и способах обработки персональных данных (ч. 5 ст. 5, ч.1,4 ст.9 Закона N 152-ФЗ).

Пример письменного согласия:

Я, Иванов Иван Иванович, адрес регистрации: г. Екатеринбург, ул.8 Марта,97-15, паспорт 65 12 234152, выдан ГУ МВД России по Свердловской области, в соответствии с ч.1, ч.4 ст.9, ч.1 ст.11 Закона № 152-ФЗ "О персональных данных" с целью оформления пропуска, обеспечивающего доступ на территорию работодателя по адресу: г. Екатеринбург, ул. Ломоносова, 25, даю согласие ООО «Защита» на автоматизированную обработку моих персональных данных, в том числе биометрических персональных данных: размещение моего фотоизображения на пропуске.
Перечень моих персональных данных, на обработку которых я даю согласие:
- фотографическое изображение.
Я ознакомлен с тем, что согласие на обработку персональных данных действует с даты подписания до 31 декабря 2025 г. и может быть отозвано на основании письменного заявления в произвольной форме.

25.06.2023 года
подпись ФИО

Во-вторых, в договоре с исполнителем предусмотрите, что полученные данные могут быть использованы исключительно в целях изготовления пропусков, а также то, что в отношении этих данных исполнитель обязан соблюдать режим секретности.

Кроме того, рекомендуем запросить у исполнителя копию приказа о назначении лица, ответственного за организацию обработки персональных данных, и копию локального акта о порядке хранения, обработки персональных данных физических лиц. Это следует из п. п.1,2,3 ч.1 ст.18.1, ч.1, п.8 ч.2 ст.19, ч.1, п.1 ч.4 ст.22.1 Закона N 152-ФЗ: исполнитель, получивший персональные данные о физическом лице по договору оказания услуг, обязан принять меры по обеспечению безопасности таких персональных данных, в том числе утвердить локальный акт по вопросам обработки персональных данных лиц, не являющихся работниками данной организации, назначить ответственное лицо.

Другой пример. Работодатель принял решение осуществлять допуск на территорию предприятия, в том числе для фиксации времени прихода и ухода, используя отпечаток пальца работника.

Вопрос о правомерности осуществления работодателями дактилоскопической регистрации в целях контроля за соблюдением работниками правил внутреннего трудового распорядка в настоящее время прямо законодательством не регламентируется.

Специалисты Роструда расходятся во мнении. Одни считают, что "обработка биометрических персональных данных, к которым относятся отпечатки пальцев, допускается с письменного согласия работников" (информационный портал Роструда "Онлайнинспекция.рф", вопрос N 62841 от 08.12.2015).

Другие, ссылаясь на Федеральный закон от 25.07.1998 N 128-ФЗ "О государственной дактилоскопической регистрации в РФ", считают, что ни работодателю, ни нанятой им организации не предоставлено право снимать отпечатки пальцев работников для целей организации пропускного режима на предприятии.

На это указывает и Министерство цифрового развития, связи и массовых коммуникаций РФ в своем письме от 28.08.2020 N ЛБ-С-074-24059 "О методических рекомендациях": "Отпечатки пальцев человека являются биометрическими персональными данными (дактилоскопической информацией), обработка которых осуществляется только в случаях, установленных Федеральным законом от 25.07.1998 N 128-ФЗ "О государственной дактилоскопической регистрации в РФ", которым четко определены виды и порядок проведения дактилоскопической регистрации. Обработка указанных данных в иных случаях действующим законодательством не предусмотрена".

Суды допускают использование биометрических данных при осуществлении пропускного режима. Однако немногочисленная судебная практика связана с использованием биометрических данных работников в случаях, прямо установленных нормами права, в целях обеспечения безопасности (см. решение Димитровградского городского суда Ульяновской области от 30.01.2023 по делу N 2-205/2023, определение Седьмого кассационного суда общей юрисдикции от 06.09.2022 по делу N 88-13416/2022).

Так же из судебной практики следует, что в случае отказа работника от использования его биометрических данных, работодатель обязан обеспечить использование альтернативной пропускной системы. При этом работник не может быть привлечен к дисциплинарной ответственности за нарушение трудовой дисциплины (см. Определение Второго кассационного суда общей юрисдикции от 01.11.2022 по делу N 8Г-24079/2022).

Как быть, если пропуск оформляется на лицо, который не является работником организации. Все зависит от того, какой объем данных на посетителя запрашивается на пропускном пункте.

Например, если охранник визуально ознакомился с данными паспорта, записал в журнал фамилию, имя, отчество посетителя, то такие действия не требуют получения согласия, так как в соответствии с законом не относятся к обработке персональных данных.

Это связано с позицией Роскомнадзора. По мнению ведомства, "ФИО наряду со многими другими способами используются для идентификации отдельного человека среди других. По своей природе это составной ключ, идентификатор, основанный на комбинациях трех параметров фамилии, имени и отчества, на самом деле не идентифицирующий человека однозначно, а лишь сильно сокращающий выборку из тех, кому они могут принадлежать". То есть, без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных невозможно.

Если же в журнал, кроме фамилии, имени и отчества заносятся данные паспорта, требуется согласие на обработку персональных данных.

Данное правило не распространяется на случаи обработки персональных данных для достижения общественно значимых целей, например обеспечения безопасности сотрудников суда и его посетителей.

Из судебного решения: установленный Положением порядок прохода лиц в здание Верховного Суда РФ является мерой, направленной, на достижение, в том числе, общественно значимых целей, а именно: обеспечение безопасности как сотрудников суда, так и его посетителей, и не ограничивает право граждан на доступ к правосудию и не может рассматриваться в качестве ограничения принципа публичности судебного разбирательства, а содержание и объем сведений, подлежащих обработке при оформлении разового пропуска посетителю Верховного Суда, соответствуют целям обработки персональных данных, предусмотренным законодательством Российской Федерации и направленным на организацию и соблюдение надлежащего порядка в судебном заседании и на обеспечение безопасности участников процесса, сотрудников и посетителей суда (см. Апелляционное определение Московского городского суда от 18.06.2015).

Организациям, осуществляющим пропускной режим без использования средств автоматизации, рекомендуем обратить внимание на Положение об особенностях обработки персональных данных, утв. Постановлением Правительства РФ от 15.09.2008 N 687.

В соответствии с п.8 названного Положения, при ведении журналов (реестров, книг), содержащих персональные данные, необходимые для однократного пропуска лица на территорию, на которой находится оператор, необходимость ведения такого журнала должна быть предусмотрена актом оператора. В акте должны содержаться:

  • сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации,
  • способы фиксации и состав информации, запрашиваемой у субъектов персональных данных,
  • перечень лиц (поименно или по должностям), имеющих доступ к материальным носителям и ответственных за ведение и сохранность журнала (реестра, книги),
  • сроки обработки персональных данных,
  • а также сведения о порядке пропуска субъекта персональных данных на территорию, на которой находится оператор, без подтверждения подлинности персональных данных, сообщенных субъектом персональных данных.

Лица, виновные в нарушении положений законодательства Российской Федерации в области персональных данных, могут быть привлечены к гражданско-правовой (возмещение убытков, морального вреда), административной (ст.ст.13.11, 13.12., 13.13, 13.14 КоАП РФ) и уголовной ответственности (ст.ст. 137, 140, 272 УК РФ) в порядке, установленном федеральными законами.

С уважением,
Специалисты Линии консультаций

Статью подготовила:
Барышникова Ю.А.
Юрист -эксперт Линии консультаций;

Проверила
Новосёлова С.Л.
Руководитель Линии консультаций
21.07.2023

КонсультантПлюс Сервис О компании
Консультант Плюс в Екатеринбурге и Свердловской области
Компания осуществляет деятельность в области информационных технологий
Включена в Реестр аккредитованных организаций, осуществляющих деятельность в области ИТ-технологий
Информация на сайте не является публичной офертой
Описание системы Обучение работе Контакты Политика конфиденциальности
Купить систему Консультации специалистов Вакансии
Соглашение об обработке
персональных данных
Отзывы клиентов Бюллетень пользователя Поиск по сайту