Многие организации оформляют своим сотрудникам и посетителям документы для доступа в служебные помещения с фотографиями, даже не подозревая, что при этом нарушают закон. Тем не менее, Роскомнадзор и Верховный суд утверждают, что любая личная фотография относится к биометрическим персональным данным. Поэтому для ее использования в документах необходимо получить согласие человека. Иначе — крупный штраф.
Что случилось?
Верховный суд РФ определением от 05.03.2018 N 307-КГ18-101 по делу N А42-342/2017 отказал организации в отмене штрафа, назначенного по статье 13.11 КоАП РФ за нарушение требований Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных». Кроме того, ВС РФ не согласился отменить предписание Управления Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций об устранении нарушения в виде обработки биометрических персональных данных (фотографии) без письменного согласия субъекта персональных данных.
Фото на пропуске относится к персональным данным
В спорной ситуации организация занималась оказанием услуг населению оздоровительного и спортивного характера, в частности, содержала бассейн. Посетители допускались туда на основании пропусков с фотографиями, как это было прописано в Положении о порядке посещения плавательного бассейна для различных категорий населения, утвержденном председателем Комитета по физической культуре и спорту Мурманской области. Поскольку при получении от посетителей фотографий для размещения их на пропусках организация не получала от них согласия на обработку персональных данных, Роскомнадзор счел это нарушением и выдал предписание о его устранении, а также привлек организацию к ответственности. С такой позицией чиновников в итоге согласились суды всех инстанций, включая ВС РФ.
Кстати, из этого следует, что раз фотографии являются биометрическими персональными данными, поскольку:
характеризуют физиологические и биологические особенности человека, на основе которых можно установить его личность путем сравнения фото и содержащихся на документе фамилии, имени и отчества с лицом предъявителя пропуска,
то и их обработку оператор персональных данных всегда должен осуществлять с соблюдением требований пункта 1 статьи 11 Федерального закона N 152-ФЗ, а именно, только после получения согласия субъекта персональных данных. Это требование в равной степени относится к сотрудникам организаций. Поэтому, прежде чем использовать фото на пропусках или для других целей, необходимо получить письменное согласие работника.
Такую позицию, как выяснилось, Роскомнадзор доводил до операторов персональных данных еще в 2013 году в Разъяснении «О вопросах отнесения фото- и видеоизображения, дактилоскопических данных и иной информации к биометрическим персональным данным и особенности их обработки». Видимо, многие организации попросту упустили это из вида. А ведь в этом же разъяснении идет речь о признании персональными данными копий страниц паспорта и других документов, удостоверяющих личность и содержащих фотографии.
Ответственность за использование фото без согласия субъекта персональных данных
Если организация забудет оформить письменное согласие субъекта персональных данных на использование его фото, ее могут привлечь к административной ответственности по статье 13.11 КоАП РФ. Ее нормами предусмотрен административный штраф для нарушителей на сумму от 15 000 до 75 000 рублей. Кроме того, к ответственности могут привлечь должностных лиц организации, им могут назначить штраф в размере до 20 000 рублей.
Обратите внимание! С 3 июля 2018 года ответственность операторов персональных данных за нарушение законодательства усиливается. Соответствующие поправки в КоАП РФ недавно утвердил Президент России.