СКУД и персональные данные

Свершилось!!!
После двух годов боев и объяснений продавил приобретение и установку СКУД в головном предприятии.
СКУД установлен, идет обмен пропусков.
Однако появился головняк с оформление пропусков для посетителей. Если по оформлению пропусков для работников все понятно: при приеме на работу они пишут заявление с согласием обработки их персональных данных и т.д. и т.п., то как быть с посетителями. Уж очень хочется иметь в электронном виде и сведения о посещениях конкретного лица и его персональные данные и фото. Вопрос в том, как это будет согласовываться с законодательством о защите персональных данных? С внутренней документацией по защите ПД на предприятии все в порядке, в том числе прописана возможность обработки ПД сторонних физических лиц (не работников).
По идее при выдаче пропуска посетителю от него нужно брать согласие на обработку его персональных данных. Это с одной стороны. А с другой при немалом потоке посетителей бюро пропусков просто не справится: времязатраты на оформление пропуска примерно на 3-4 минут (и так после сокращения остался только один дежурный бюро пропусков), а это очень много: создатся очередь, посетители начнут нервничать.
У кого как устроена система? Какие риски (особенно финансовые) могут возникнуть в случае выдачи временных пропусков для посетителей без оформления их согласия на обработку ПД (у нас в городе временные пропуска без согласия посетителей на обработку ПД выдаются повсеместно, однако при этом человека при этом фотографируют (по-моему фототают только при выдаче проходки в Смольный - если я не ошибаюсь)? Были ли прецеденты привлечения в подобных случаях предприятия к материальной ответственности со стороны проверяющих органов и самих физ.лиц?

[Vadvas]

У нас разовые пропуска оформляются только при наличии документа удостоверяющего личность и письменном согласии посетителя на обработку его персональных данных, о чём предоставляется его собственноручная подпись в отдельной графе Журнала учёта посетителей....
Фотографирование "разовых" посетителей не производится, достаточно ксерокса паспорта, фотографируются только посетители для выдачи временных пропусков (на определённый период времени)...
Ещё уточню: при выдаче пластиковой карты "временщикам" и разовым посетителям, она программируется только на определённый этаж и турникет на входе она не открывает (это делает сотрудник безопасности после проверки пропуска своей картой)...

[Skyment]

Цитата:

Сообщение от М@льчик

однако при этом человека при этом фотографируют (по-моему фототают только при выдаче проходки в Смольный - если я не ошибаюсь)? Были ли прецеденты привлечения в подобных случаях предприятия к материальной ответственности со стороны проверяющих органов и самих физ.лиц?

Есть определение ВС РФ, что съёмка в общественном месте не является нарушением неприкосновенности личности.
К тому же, если фотофиксация личности является условием доступа и закреплено в НПА организации, то клиент должен дать согласие или гуляет лесом...
Прецедентов по данным случаям нет!

Сегодня только попалось в Консультанете


<Разъяснения> Роскомнадзора

Роскомнадзором разъяснены некоторые вопросы, касающиеся отнесения фото- и видеоизображения, дактилоскопических данных и иной информации к биометрическим персональным данным и особенностей их обработки
Сообщается, что в соответствии с Федеральным законом "О персональных данных" к биометрическим персональным данным относятся сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных.
В этой связи, в частности, разъясняется, что не является биометрическими персональными данными фотографическое изображение, содержащиеся в личном деле работника, а также подпись лица, наличие которой в различных договорных отношениях является обязательным требованием, и почерк, в том числе анализируемый уполномоченными органами в рамках почерковедческой экспертизы.
Не являются биометрическим персональными данными рентгеновские или флюорографические снимки, характеризующие физиологические и биологические особенности человека, и находящиеся в истории болезни (медицинской карте) пациента (бумажной или электронной), поскольку они не используются оператором (медицинским учреждением) для установления личности пациента. Но в случае их передачи по запросу субъектов оперативно-розыскной деятельности, органов следствия и дознания в рамках проводимых ими мероприятий указанные сведения становятся биометрическими персональными данными, поскольку используются операторами - органами следствия и дознания в целях установления личности конкретного лица.
Такая же позиция и с материалами видеосъемки в публичных местах и на охраняемой территории. До передачи их для установления личности снятого человека они не являются биометрическим персональными данными, обработка которых регулируется общими положениями Федерального закона "О персональных данных", поскольку не используются оператором (владельцем видеокамеры или лицом, организовавшим ее эксплуатацию) для установления личности. Однако указанные материалы, используемые органами, осуществляющими оперативно-розыскную деятельность, дознание и следствие в рамках проводимых мероприятий, являются биометрическими персональными данными, в случае, если целью их обработки является установление личности конкретного физического лица.

Цитата:

Сообщение от Рафаил 174

Такая же позиция и с материалами видеосъемки в публичных местах и на охраняемой территории. До передачи их для установления личности снятого человека они не являются биометрическим персональными данными, обработка которых регулируется общими положениями Федерального закона "О персональных данных", поскольку не используются оператором (владельцем видеокамеры или лицом, организовавшим ее эксплуатацию) для установления личности.

Что-то я совсем запутался. Это что получается, мое предприятие не является оператором персональных данных коли съемка людей осуществляется на охраняемой территории предприятия?
А как же тогда цель фотографирования - визуальная идентификация (установление личности посетителя/работника охранником) при проходе/выходе на/с территорию/ии? Разве по этому признаку фото не относится к биометрическим персональным данным?
Хотя с другой стороны от посетителя получаются такие персональные данные как Ф.И.О. для установления его личности. Получается в любом случае необходимо брать согласия на обработку ПД.
Интересно, а можно ли считать согласием на обработку персональных данных субъекта добровольное предоставление таких данных этим субъектом? Так, мысли вслух.

---------- Ответ добавлен в 13:17 ----------Предыдущий ответ был в 13:11 ----------

Цитата:

Сообщение от Vadvas

.... письменном согласии посетителя на обработку его персональных данных, о чём предоставляется его собственноручная подпись в отдельной графе Журнала учёта посетителей....

Скорее всего таких прецедентов не было, но если чисто теоретически предположить, что посетитель будет предъявлять к Вам иск, предметом которго будет являться незаконная (без его согласия) обработка его персональных данных, как Вы докажете, что он давал такое согласие? Ведь посетитель может заявить, что расписывался за разовый пропуск, а отнюдь не за дачу согласия на обработку ПД.

[Vadvas]

Прецедентов действительно не было....
Данная графа заполняется собственноручно посетителем - "согласен", Ф.И.О., роспись.... места вполне хватает, так как в основной графе расписываются паспортные данные, что какбэ подразумевает большое пространство...
Как вариант можете заранее заготовить отдельные бланки, только если посетителей много, то с хранением этой макулатуру будут проблемы....
Можно проще - разовый пропуск из нескольких частей, то есть расписался в отрывном таллоне с текстом согласия, а затем оторвал сам пропуск и вперёд....
Ну а в суде заявить всё, что угодно можно, ссылаясь на "добросовестно заблуждался"....

[Маринарио]

Цитата:

Сообщение от М@льчик

Свершилось!!!
После двух годов боев и объяснений продавил приобретение и установку СКУД в головном предприятии.
СКУД установлен, идет обмен пропусков.
Однако появился головняк с оформление пропусков для посетителей. Если по оформлению пропусков для работников все понятно: при приеме на работу они пишут заявление с согласием обработки их персональных данных и т.д. и т.п., то как быть с посетителями. Уж очень хочется иметь в электронном виде и сведения о посещениях конкретного лица и его персональные данные и фото. Вопрос в том, как это будет согласовываться с законодательством о защите персональных данных? С внутренней документацией по защите ПД на предприятии все в порядке, в том числе прописана возможность обработки ПД сторонних физических лиц (не работников).
По идее при выдаче пропуска посетителю от него нужно брать согласие на обработку его персональных данных. Это с одной стороны. А с другой при немалом потоке посетителей бюро пропусков просто не справится: времязатраты на оформление пропуска примерно на 3-4 минут (и так после сокращения остался только один дежурный бюро пропусков), а это очень много: создатся очередь, посетители начнут нервничать.
У кого как устроена система? Какие риски (особенно финансовые) могут возникнуть в случае выдачи временных пропусков для посетителей без оформления их согласия на обработку ПД (у нас в городе временные пропуска без согласия посетителей на обработку ПД выдаются повсеместно, однако при этом человека при этом фотографируют (по-моему фототают только при выдаче проходки в Смольный - если я не ошибаюсь)? Были ли прецеденты привлечения в подобных случаях предприятия к материальной ответственности со стороны проверяющих органов и самих физ.лиц?

У нас действует одновременно и заполнение анкет с фотографированием, и возможность прохода "по списку" (например, на совещание с многочисленными участниками из дочерних компаний).
Список при этом подается по форме ФИО, No паспорта, название организации, должность, время посещения (единое для всех, упомянутых в списке). Список подается обычно за сутки до мероприятия (иногда - утром в день мероприятия), подписывается руководителем подразделения, организующего совещание.

А так, да, часто очередь случается, наблюдаю со стороны при выходе на перекуры. При чем, несмотря на достаточное количество сотрудниц на бюро пропусков.

---------- Ответ добавлен в 19:03 ----------Предыдущий ответ был в 19:00 ----------

И-таки, да, как и пишет коллега vadvas, бланки выдаются при обращении за пропуском (при этом заявка на пропуск подана на человека принимающим подразделением заблаговременно).
В нижней части бланка проставляется роспись под согласием на обработку.
Вместе с тем, там же указано, что имеешь право в последующем отозвать данное согласие при желании в соответствии с действующим законодательством.

---------- Ответ добавлен в 19:13 ----------Предыдущий ответ был в 19:03 ----------

И, естественно, если ты один раз заполнил такой бланк <и в дальнейшем не отзывал согласие (но обычно никто не отзывает)>, то при последующих оформлениях разовых пропусков тебя лишь находят в базе на бюро пропусков и выписывают пропуск без всякого оформления нового согласия (по паспорту или другому доку, удостоверяющему личность).

* В бланке, если мне не изменяет память, об этом также сказано (что данные будут храниться в организации), а сотрудники бюро пропусков устно разъясняют такое "преимущество". Тем, кто приходит часто, это удобно. Они поэтому особо не гундят.

---------- Ответ добавлен в 19:15 ----------Предыдущий ответ был в 19:13 ----------

Цитата:

Сообщение от Vadvas

... только если посетителей много, то с хранением этой макулатуру будут проблемы...

А в чём проблема со сканированием такого согласия с подписью?
И затем - хранение в электронном виде.

---------- Ответ добавлен в 19:18 ----------Предыдущий ответ был в 19:15 ----------

Цитата:

Сообщение от М@льчик

Интересно, а можно ли считать согласием на обработку персональных данных субъекта добровольное предоставление таких данных этим субъектом?

НЕТ.

Цитата:

4. В случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью.

[Vadvas]

Маринарио, проблем со сканированием нет технически, но увы в случае обжаловпния требуется реальная бумага....

[Маринарио]

Цитата:

Сообщение от Vadvas

Маринарио, проблем со сканированием нет технически, но увы в случае обжаловпния требуется реальная бумага....

Во-первых, часто ли вы встречали обжалования по данному сюжету?
Боюсь, что прецеденты если и есть, то они единичны.
Надо быть ослом, чтобы с нашей судебной системой ввязываться в тяжбу с организацией, которой ты сам дал согласие письменное.
Во-вторых, тот, кто дает согласие не должен знать, что вы не храните в бумажном виде оставленное им на бумаге письменное согласие.
В-третьих, согласно ФЗ, © "Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных ... возлагается на оператора."
Таким образом, имхо, даже если и будет обжалование (его вероятность равна 0,0001% по причинам, указанным выше), вам <как оператору> надо лишь суметь доказать получение его согласия. Делайте цветные сканы, прилагайте фото с камер (чтобы визуально можно было бы идентифицировать, что это именно ваше конкретное помещение), стоящих у окошка вашего бюро пропусков (у нас мини-камеры <стоят прямо на "подоконниках" у операторов на бюро пропусков, выписывающих сами пропуска> после заполнения бланка согласия сразу и фотографируют).
Не думаю, что это смертельная проблема.

[Vadvas]

Цитата:

Сообщение от Маринарио

Во-первых, часто ли вы встречали обжалования по данному сюжету?
Боюсь, что прецеденты если и есть, то они единичны.
Надо быть ослом, чтобы с нашей судебной системой ввязываться в тяжбу с организацией, которой ты сам дал согласие письменное.
Во-вторых, тот, кто дает согласие не должен знать, что вы не храните в бумажном виде оставленное им на бумаге письменное согласие.
В-третьих, согласно ФЗ, © "Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных ... возлагается на оператора."
Таким образом, имхо, даже если и будет обжалование (его вероятность равна 0,0001% по причинам, указанным выше), вам <как оператору> надо лишь суметь доказать получение его согласия. Делайте цветные сканы, прилагайте фото с камер (чтобы визуально можно было бы идентифицировать, что это именно ваше конкретное помещение), стоящих у окошка вашего бюро пропусков (у нас мини-камеры <стоят прямо на "подоконниках" у операторов на бюро пропусков, выписывающих сами пропуска> после заполнения бланка согласия сразу и фотографируют).
Не думаю, что это смертельная проблема.

Полностью согласен.... но , увы и на "гражданке" перестраховщиков достаточно...

[Маринарио]

Цитата:

Сообщение от Vadvas

Полностью согласен.... но , увы и на "гражданке" перестраховщиков достаточно...

С этим полностью согласен.

Ради интереса на неделе постараюсь узнать, хранят ли наши "в бумаге" или нет. Они и проверки/аудиты всевозможные прошли, и <в интересах освоения максимально возможных деньжат, выделяемых на чрезмерную безопасность> соблюдают ВСЕ мыслимые и немыслимые требования контролирующих органов.
Но, судя по ежедневно проходящему через бюро пропусков потоку людей, им надо было бы иметь свой собственный отдельный архив для хранения сшитых в дела всех подписанных посетителями "согласий" на обработку...

Цитата:

Сообщение от Маринарио

Во-первых, часто ли вы встречали обжалования по данному сюжету?
Боюсь, что прецеденты если и есть, то они единичны.

Так может быть вообще нет смысла заморачиваться с получением согласия на обработку персональных данных, коли прецедентов практически нет?
Кстати никто так и не ответил каковы финансовые риски за незаконную обработку персональных данных. Существует ли за енто дело административная либо уголовная ответственность? Ежели ее нет, так и не за чем заморачиваться с разрешениями.

[Маринарио]

Цитата:

Сообщение от М@льчик

Так может быть вообще нет смысла заморачиваться с получением согласия на обработку персональных данных, коли прецедентов практически нет?

Дык, если хочешь создать прецедент - не заморачивайся
Это ж несложно. Ввести систему.
А бумаги копить-смотри уж сам: надо иль нет.

Цитата:

Сообщение от М@льчик

Кстати никто так и не ответил каковы финансовые риски за незаконную обработку персональных данных. Существует ли за енто дело административная либо уголовная ответственность? Ежели ее нет, так и не за чем заморачиваться с разрешениями.

Цитата:

Ответственность за незаконную обработку персональных данных может быть ужесточена

Роскомнадзор предлагает усилить ответственность за незаконную обработку персональных данных. Сейчас такое нарушение Федерального закона от 27.07.06 № 152-ФЗ «О персональных данных» (далее – закон № 152-ФЗ) карается небольшими штрафами, но, согласно проекту, нарушителям придется заплатить до 2 процентов от годового дохода.
Сейчас за обработку персональных данных без согласия гражданина физические лица и компании платят штраф до 10. тыс. рублей (ст. 13.11 КоАП РФ). Законопроект увеличивает его до 1 – 2 тыс. рублей для физлиц, 5 – 7 тыс. рублей для должностных лиц. и 30 - 50 тыс. рублей для юридических лиц. К списку нарушителей добавлены еще индивидуальные предприниматели (штраф - 15 – 20 тыс. рублей). Кроме того, Роскомнадзор предлагает ввести оборотные штрафы для предпринимателей и компаний: 0,5 - 2 процентов от совокупного дохода за прошлый год (но есть минимальные суммы) в зависимости от статьи КоАП РФ.
Источник: проект Федерального закона «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях»

Добавлю свои 5 копеек...
По 152-ФЗ после достижения целей обработки - персональные данные должны быть уничтожены (обезличены). Если это разовый посетитель, то фактически после оставления им территории. Если же целью обработки этих ПДн не было что то другое!?
За гражданином, согласно закону остается право запросить оператора как и для чего обрабатывались его ПДн и, что с ними произошло, ну допустим, через неделю...
Конечно, это кажется несколько нелепым, но законом такое предусмотрено. Если зол на контору - есть повод устроить через прокуратуру и т.д. маленький шухер... Во всяком случае мне о таких прецедентах рассказывали.
Замечу это не было связано с пропускной системой.