Татьяна Совина Кадровый аудитор, специалист по защите персданных

Продолжаем разбирать видеонаблюдение

Вчера обсудили базовые правила: где можно и нельзя ставить камеры, почему не нужно брать лишних согласий.

Содержание
Подписывайтесь на телеграм-канал «Совина ПроКадры».

Сегодня — о главном, что вызывает больше всего вопросов: когда видео с камер — это просто персональные данные (ПДн), а когда — биометрия. От этого зависит, какие документы оформлять, кому и как предоставлять доступ, а главное — получать ли специальное согласие.

Определение: согласно ч. 1 ст. 11 № 152-ФЗ, биометрические персональные данные — это «Сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных». То есть это не просто «лицо в кадре», а именно возможность идентифицировать человека.

Результат съёмки: ПДн или биометрия?

Давайте разложим по полочкам. Представьте обычный офис с камерами в коридоре и на входе.

Ситуация 1: Просто ПДн (согласие НЕ нужно). Если ваша цель — общий контроль за производственным процессом, безопасностью и сохранностью имущества, а не идентификация личности. Конкретный пример для понимания: Вы просматриваете запись, видите человека в спецовке и говорите: «Вот Иванов, он вчера уронил деталь». Если вы точно знаете, что это Иванов (по виду его спецодежды, месту нахождения, маршруту), идентификации по лицу не происходит. Это обычные ПДн, которые обрабатываются в рамках трудовых отношений (ст. 86 ТК РФ).

Ситуация 2: Биометрия (нужно письменное согласие). Запись становится биометрическими данными, если ваша цель обработки — установление личности (идентификация) сотрудника или посетителя. Например, если вы:

  • внедряете пропускную систему с распознаванием лиц (используете камеры для Face ID) на проходной. Камера не просто фиксирует факт прохода, а идентифицирует конкретного человека по его физиологическим особенностям;
  • ведёте учёт рабочего времени по видео;
  • привязываете кадры к базе данных сотрудников, чтобы программа сама находила, кто и когда заходил в офис, в ИСПДн и пр.;
  • делаете скриншоты и распечатываете их для «доски нарушителей».

Во всех этих случаях вы используете физиологические особенности (строение лица) для идентификации. А значит, вступает в силу общее правило ч. 1 ст. 11 152-ФЗ — такие данные могут обрабатываться только с письменного согласия.

Роскомнадзор в Письме №62450-02-11/77 от 01.08.2024 подтверждает: видеозапись становится биометрией, когда на её основании можно установить личность человека.

ВАЖНО!
Вывод: Видео считается биометрией только тогда, когда ключевой целью обработки является идентификация по чертам лица для установления личности. Во всех остальных случаях (контроль процесса, безопасности) согласие на биометрию не требуется.

Если видео — биометрия

Пошаговый алгоритм (вы решили внедрить Face ID или видео-учёт рабочего времени). Что нужно сделать?

  1. Прописываем в ЛНА (в Положении о видеонаблюдении):
    • цель обработки — прямо указать: «идентификация работников при проходе на территорию» или «учёт рабочего времени с использованием системы распознавания лиц»;
    • категории субъектов — на кого распространяется обработка (работники, посетители, контрагенты);
    • перечень биометрических данных — что именно собираете (изображение лица);
    • сроки хранения — сколько храните записи с биометрией;
    • порядок уничтожения — как удаляете по истечении срока.
  2. Составляем письменное согласие. Согласие на обработку биометрии оформляется отдельным документом. В нём нужно указать:
    • ФИО, адрес и паспортные данные субъекта;
    • наименование и адрес Оператора (рекомендую еще указать ИНН);
    • цель обработки (идентификация/учёт времени);
    • перечень биометрических данных (изображение лица) и просто ПДн;
    • наименование и адрес, ИНН Обработчика (если поручаете обработку видеоматериал третьему лицу);
    • способ обработки (автоматизированная);
    • перечень действий;
    • срок действия согласия (например, на время трудовых отношений);
    • право на отзыв согласия.
  3. Защищаем ПДн и биометрию: организационные и технические меры. Закон требует обеспечить безопасность ПДн. Для этого нужно принять организационные и технические меры, предусмотренные Приказом ФСТЭК России №21 от 18.02.2013 (для ИСПДн):
    • назначить ответственного за обработку ПДн;
    • ограничить доступ к системе видеонаблюдения — определить, кто имеет право просматривать архив, выгружать записи;
    • проводить инструктаж сотрудников, работающих с видео;
    • вести журнал учёта обращений к записям (кто, когда, зачем смотрел);
    • парольная защита доступа к серверу и архиву;
    • разграничение прав пользователей (администратор, оператор, наблюдатель);
    • шифрование каналов передачи видео;
    • фиксация всех действий в системе (логирование: кто и когда просматривал архив, копировал записи);
    • хранение записей ограниченный срок (обычно 14–30 дней);
    • регулярное резервное копирование и контроль целостности.
ВАЖНО!
Перечень конкретных мер зависит от уровня защищённости ИСПДн. Но базовые требования одинаковы для всех — ограничить доступ и контролировать действия.

Вносим изменения в Политику и уведомление РКН

Если вы переходите от обычного видеонаблюдения к обработке биометрии, обязательно:

  1. Актуализируйте Политику обработки ПДн — включите в неё раздел о биометрии (цели, категории субъектов, меры защиты).
  2. Подайте изменения в уведомление РКН, если цель обработки или категория данных изменились (ч. 7 ст. 22 №152-ФЗ).
  3. Ознакомьте работников с обновлённой Политикой под подпись.

Уведомление в РКН подается до начала обработки (ч. 1 ст. 22 №152-ФЗ). Если вы уже подали уведомление, а теперь внедряете биометрию — подаёте изменения в РКН в порядке ч. 7 ст. 22 №152-ФЗ (до 15 числа месяца следующего после внедрения обработки биометрии). В уведомлении/ информационном письме нужно прямо указать цель обработки и категорию субъектов.

ВАЖНО!
От категории ПДн зависят (могут меняться) ранее описанные меры защиты ПДн, внесите дополнение и по этой части в раздел, посвященный безопасности ПДн по ст. 18.1 и 19 № 152-ФЗ.

Посетители: где размещать информацию о видеонаблюдении и как информировать. Положение о видеонаблюдении — локальный акт, обязательный для всех, кто попадает в объективы камер.

В Положении обязательно пропишите: «Настоящее Положение распространяется на работников, посетителей и иных лиц, находящихся на территории организации».

Где разместить для всеобщего ознакомления?

У вас не получится взять подпись у каждого случайного посетителя. Поэтому закон требует размещения информационных табличек (знаков) в зонах видимости камер.

Табличка должна быть заметной, понятной, например: «Внимание! На территории ведется видеонаблюдение». Этого достаточно, чтобы посетитель был уведомлён. Отдельное согласие с посетителя требовать не нужно, так как съемка ведётся в целях безопасности, а не для идентификации.

Резюме по видеонаблюдению:

  1. Биометрия — только когда цель идентификация по лицу. Для общего контроля согласие не нужно.
  2. Посетителей информируем табличками — отдельного согласия не требуется.
  3. Запретные зоны (туалеты, раздевалки, комнаты отдыха) — нельзя ставить камеры никогда, даже с согласия. Это прямое нарушение Конституции РФ и прав человека.
Правовые документы

Федеральный закон от 27.07.2006 N 152-ФЗ

Статья 86 ТК РФ. Общие требования при обработке персональных данных работника и гарантии их защиты

Эксперт с 20-летним опытом в кадровом консалтинге, 5 из которых — специализация по персданным. Провела 300+ аудитов. Автор курсов и спикер. Основатель онлайн-школы «Совина ПроКадры».