Биометрические данные: согласие работника должно быть!

Биометрия становится все популярнее. Работодатели рассматривают ее применение при организации пропускного режима, как способ сократить расходы, оптимизировать время работников. При этом важно, не нарушить действующее законодательство.

Биометрические данные – это уникальные биологические и физиологические характеристики, которые позволяют установить личность человека.

Что конкретно можно отнести к биометрическим персональным Роскомнадзор назвал в письме от 10 февраля 2020 года № 08АП-6782. К таковым относятся: 

• фото и видеоизображение человека;
• дактилоскопические данные;
• радужная оболочка глаза;
• анализы ДНК;
• голос.

Собирать такие данные можно только с письменного согласия работника (Статья 11 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных»).  

Особые случаи, когда законодательство разрешает получать и обрабатывать персональные данные без согласия их владельцев перечислены в части 2 статьи 11 упомянутого выше Федерального закона № 152-ФЗ. Их не так много и все они связаны с борьбой с преступность, противодействием терроризму, транспортной безопасностью и т.п. Биометрию без согласия владельца можно использовать для:

• изготовления, оформления и контроля обращения документов, удостоверяющих личность;
• оперативно-розыскной, контрразведывательной или разведывательной деятельности;
• обороны страны, обеспечения безопасности государства, реализации внешней политики;
• охраны правопорядка, 
• функционирования государственной системы миграционного учета;
• обеспечения санитарно-эпидемиологического благополучия.

Как бизнес использует биометрические данные 

Такая пропускная система позволяет лучше контролировать рабочее время и организовать ограниченный доступ отдельно в каждое служебное помещение. 

Поэтому, чаще всего бизнес собирает биометрию для организации пропускного режима, а на предприятиях с особым контролем – для фиксации перемещения работников в течение рабочего дня.

Согласие работника на получение его биометрических данных

Прежде чем использовать биометрические данные в компании, нужно получить письменное согласие от сотрудников. 

Сначала нужно уведомить всех работников компании о планируемой установке нового оборудования с биометрическими данными. В уведомлении необходимо указать, для чего конкретно потребуется биометрические персональные сведения и как они будут использоваться.

Параллельно с уведомлением либо до него, нужно внести изменения в локальные нормативные акты. В первую очередь речь идет о Соглашении об обработке персональных данных, которое должно быть в каждой компании.  В этот документ нужно внести пункт о сборе биометрических сведений. 

Затем аналогичные правки нужно внести в Правила внутреннего распорядка. И последний документ, который потребует доработки либо разработки – это Положение о контрольно-пропускном режиме.

После того, как все документы, где упоминается пропускной режим будут отредактированы, с ними нудно ознакомить всех работников под роспись. Это можно сделать с помощью «Листа ознакомления».  

Финальный документ - согласие работника на использование его биометрических персональных данных. Такое согласие должен письменно дать каждый работник. Оформлять этот документ единым листом со списком работников – нельзя.

После приведения в порядок всех локальных документов компании и получения с работников согласий, можно начать работы по внедрению биометрии. 

Уведомлять об обработке биометрических данных Роскомнадзор не нужно, поскольку эти сведения используются только в рамках трудовых отношений, об этом говорится в статье 22 Федерального закона «О персональных данных». 

Если сотрудник против

Если только часть работников подписали письменное согласие на передачу своих биометрических данных, требовать этого же от оставшихся работодатель не вправе. Организация не может принуждать работников подписать подобное согласие. И наказать работника за отказ нельзя. 

Если руководство компании настроено категорично и в любом случае будут внедрять биометрию, такими системами будут пользоваться только те, кто дал согласие.  Остальным нужно предоставить альтернативу.

Требования к использованию биометрических данных

Помимо закона «О персональных данных» нужно учитываться положения Федерального закона № 572-ФЗ «Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных», который вступил в силу с 1 июня 2024 года.

Биометрические данные граждан должны храниться в ГИС «Единая биометрическая система» (ЕБС) для их эффективной защиты. Доступ к ЕБС получат уполномоченные и аккредитованные компании, соответствующие требованиям.

Работать с ГИС ЕБС обязаны далеко не все. Действие данного закона № 572-ФЗ не распространяется на компании, где проверка соответствия биометрических данных работника с его биометрическим данными в системе, не автоматизирована полностью. В проверке участвует представитель компании. Например, при входе офиса работник предъявляет свой пропуск, и охранник самостоятельно сверяет его фото с его внешним видом.

Если на предприятии используется автоматическая идентификация личности работников по биометрическим данным, нужно соблюдать требования Закона №572-ФЗ:

1. Придется установить порядок взаимодействия с ГИС ЕБС.
2. Выбрать устройства и оборудование, подходящие для взаимодействия с ЕБС.
3. Организовать защищенные каналы передачи данных.
4. Вести журналы учета СКЗИ. 

Ответственность за нарушения при работе с персональными данными

Ответственность за неправомерную обработку биометрических персональных данных предусмотрена статьей 13.11 Кодекса об административных правонарушениях: 

• штраф до 700 тыс. руб. за отсутствие письменного согласия на обработку биометрических персональных данных (ч. 2 ст. 13.11 КоАП РФ);
• штраф до 1 млн руб. за нарушение требований в области размещения биометрических персональных данных в ЕБС (ст. 13.11.3 КоАП РФ).

В настоящее время обсуждается ужесточение ответственности, вплоть до уголовной ответственности за неправомерный сбор биометрических сведений.