Персональные данные. Отвечаем на вопросы
Согласие на обработку: Нужно ли брать отдельное согласие сотрудника на передачу данных при покупки билетов и брони отелей?
Федеральный закон №152-ФЗ «О персональных данных» разрешает обработку персональных данных, если это необходимо для заключения и исполнения трудового договора. Поскольку покупка билетов и бронь гостиницы связаны с выполнением служебных поручений, эта обработка является законной и не требует отдельного согласия сотрудника.
- Проверьте правильность описания целей обработки персональных данных в общем согласии, получаемом при заключении трудового договора.
- По желанию, для повышения прозрачности и комфорта сотрудников, можно добавить пункт о предоставлении данных для покупки билетов и бронирования гостиниц в тексте стандартного согласия на обработку персональных данных.
Таким образом, специальное согласие на покупку билетов и бронирование гостиниц не требуется, если речь идет о служебных поездках и вся необходимая информация уже предоставлена в рамках трудового договора.
В каких случаях фотография относится к биометрическим персональным данным, а в каких к просто персональным данным?
Фотография может относиться либо к простым персональным данным, либо к биометрическим персональным данным в зависимости от целей её обработки и особенностей содержания снимка.
Простые персональные данные:
- Фотографии, используемые исключительно для идентификации личности, такие как фотографии сотрудников в корпоративных документах, студентов в учебных заведениях или клиентов банков. Такие снимки используются преимущественно для визуального сопоставления и подтверждения личности человека визуально.
- Изображения общего характера, которые не содержат специфической информации о внешности, физиологических особенностях или уникальных характеристиках конкретного лица.
Примеры:
- Фото сотрудника в корпоративном удостоверении,
- Фотороботы для криминалистики,
- Аватарки пользователей социальных сетей,
- Семейные фотографии личного архива.
Биометрические персональные данные:
Биометрическими признаются персональные данные, полученные в результате измерений физических характеристик тела человека и предназначенные для автоматической идентификации и аутентификации конкретной личности. К таким характеристикам относятся:
- Глаза (сетчатка глаза),
- Лицевые особенности (формы носа, губ, расстояние между глазами и прочие признаки),
- Отпечатки пальцев,
- Голосовые характеристики,
- ДНК-анализ.
При обработке фотографий в качестве биометрических данных речь идет именно о конкретных измерениях и параметрах, позволяющих автоматически распознавать личность:
Например, технологии Face ID или аналогичные системы используют фотографии лиц для измерения расстояний между ключевыми элементами (глазами, носом, ртом и др.) и построения цифровой модели лица, пригодной для автоматического сравнения и идентификации.
Почему согласие берется даже там, где оно формально не обязательно?
1. Дополнительная юридическая защита оператора.
Несмотря на наличие оснований для обработки персональных данных без согласия субъекта согласно статье 6 Федерального закона №152-ФЗ («О персональных данных»), практика показывает, что операторы предпочитают получать дополнительное согласование, чтобы минимизировать юридические риски. Даже если ситуация позволяет обойтись без согласия, наличие письменного документа снижает вероятность претензий и споров.
2. Подтверждение законности действий.
Получение согласия фиксирует намерение субъекта предоставить свои личные данные добровольно и осознанно. Это особенно важно в ситуациях, когда возникают сомнения относительно правомерности действий оператора.
3. Защита прав субъектов персональных данных.
Оператору проще заранее заручиться поддержкой субъекта, чем впоследствии доказывать законность своей деятельности. Согласие помогает избежать возможных судебных разбирательств и административных штрафов.
Когда говорится, что получение согласия «невозможно», это обычно связано с чрезвычайными ситуациями, такими как медицинская помощь в экстренных условиях, спасательные операции или ситуации угрозы жизни и здоровью, когда субъект физически не способен выразить свое мнение.
Если оператор действует в рамках законных исключений (таких как необходимость защиты жизни и здоровья), он обязан соблюдать строгие правила обработки данных и уведомлять компетентные органы, если такое предусмотрено законом.