Биометрические данные. Правила получения и хранения

Начнем с определения. Биометрические данные – это уникальные биологические и физиологические характеристики, которые позволяют установить личность человека.

Согласно письму Роскомнадзора от 10 февраля 2020 года № 08АП-6782 к биометрическим персональным данным относятся:

• фотографическое изображение человека;

• видеоизображение человека;

• дактилоскопические данные;

• радужная оболочка глаза;

• анализы ДНК;

• голос.

На основании статьи 11 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных» для обработки биометрии нужно получить согласие, причем не устное, а в письменной форме, субъекта персональных данных. В нашем случае это будут сотрудники компании. 

Обработка таких данных может осуществляться без письменного согласия: в связи с осуществлением правосудия и исполнением судебных актов; при противодействии терроризму, для транспортной безопасности, при противодействии коррупции и так далее. Как видно, к бизнесу это допущение не относится.

Биометрические данные для бизнеса

Почему мы вообще говорим об обработке биометрических персональных данных? Дело в том, что с развитием высоких технологий появляются все новые способы облегчить жизнь людям и бизнесу, в том числе и при помощи биометрических данных.

Как, например, такая информация может помочь компании? Не нужно запоминать пароли для включения телефона или компьютера, так как можно воспользоваться биометрической блокировкой со встроенным сканером отпечатков пальцев и системой распознавания лиц. 

Сегодня наибольшую популярность получила установка дверей с биометрическими запирающими устройствами. 

В современных офисах все чаще стали устанавливать двери с умными замками. Они открываются по отпечатку пальца или через систему распознавания лиц. Такая пропускная система позволяет работодателю лучше контролировать время, когда сотрудники пришли на работу или когда покинули рабочее место. При этом сами работники при переходе на новую систему пропусков могут больше не волноваться о сохранности пропуска, необходимость в нем просто отпадает. Кроме того, больше не нужно носить с собой ключи. С помощью биометрических данных можно получить доступ в каждое служебное помещение. 

Как уже отмечалось, прежде чем запустить систему, использующую биометрические сведения работников, нужно получить письменное согласие от сотрудников.

Процедура получения согласия

Разделим на этапы процесс получения и обработки биометрических персональных данных работников. 

Сначала нужно уведомить сотрудников об установке нового оборудования, например, дверей, которые будут работать с биометрическими данными. В уведомлении также необходимо указать, что для успешной реализации изменений будут необходимы биометрические сведения .

Далее от каждого работника нужно получить письменное согласие. 

Следующий шаг: внести в локальные нормативные акты соответствующие изменения, так, например, необходимо  дополнить Соглашение об обработке персональных данных пунктом о сборе биометрических сведений. Если вы намерены изменить пропускную систему в компании, то не забудьте скорректировать Правила внутреннего распорядка и разработать новое Положение о контрольно-пропускном режиме.

И последний шаг: ознакомьте сотрудников организации с обновленными локальными нормативными актами под подпись. 

После завершения всех мероприятий работодатель признается оператором персональных данных. Обратите внимание: уведомлять об обработке биометрических данных Роскомнадзор не нужно, поскольку эти сведения используются только в рамках трудовых отношений, об этом говорится в статье 22 Федерального закона «О персональных данных». 

Если сотрудник против

А что делать, если работник против того, чтобы компания обрабатывала его биометрические персональные данные? 

Если только половина работников дали согласие на передачу своих биометрических данных, то работодатель не вправе заставить вторую половину специалистов последовать их примеру.

Нужно ли говорить, что компания не может принуждать работников согласиться на передачу и последующую обработку их персональных данных. При этом отказ сотрудника от передачи сведений не влечет в отношении него никаких негативных последствий. Санкции в отношении сотрудника, выразившего отказ в передаче компании своих биометрических данных, невозможны. 

Компания по-прежнему может внедрить новые инструменты работы, например, ту же новую пропускную систему, правда, пользоваться ею смогут только те сотрудники, которые согласились передать свои данные. Для других специалистов компания должна обеспечить альтернативную пропускную систему.  

Ошибки бизнеса при получение таких данных 

В основном биометрических данные собирают банки для единой биометрической системы в собственных целях, которая в действительности призвана увеличить уровень защиты внесенных в банк активов клиента, например его денег. 

Также биометрические данные часто используются в бизнесе для заключения сделок онлайн. Наиболее широко такая практика распространена в IT­сфере. Модельные агентства также собирают биометрические данные своих сотрудников, например, рост, вес моделей.  

«Самой распространенной проблемой при обработке персональных данных являются нарушения среди работодателей. Некоторые компании не соблюдают законодательство о персональных данных, в организациях отсутствуют локальные нормативные акты, не назначен ответственный, согласия с работников не собраны. При этом очень важно, чтобы эти документы у предприятия были оформлены», -- резюмирует Татьяна Звенигородская, старший юрист компании «Аксор».