Согласно требованиям Правительства Москвы все застройщики, ведущие деятельность в столице, обязаны обеспечивать проход на территории строительных площадок города с помощью Face ID. Данная технология реализуется при помощи использования биометрических систем контроля и управления доступом – так называемых СКУД (или биоСКУД). В статье рассмотрим сложности, с которыми столкнулись застройщики при внедрении Face ID.
Елена Майер
Руководитель направления по защите персональных данных ГК "Самолет"
Несмотря на возрастающий уровень цифровизации в строительстве, внедрение биометрических систем потребовало решения целого ряда нетипичных для отрасли задач, от обеспечения соответствия требованиям ФСТЭК до организации взаимодействия с государственными информационными системами.
Основные сложности внедрения Face ID
В данной статье хотелось подробнее рассмотреть, как мы в "Самолете" подошли к вопросу внедрения биоСКУД, с какими вызовами столкнулись, включая текущую правовую сложность в регулировании, как удается решать проблемы. При этом полагаем, что каждому застройщику необходимо самостоятельно оценивать свою текущую ситуацию при внедрении биоСКУД и обязательно привлекать своего ответственного за организацию обработки персональных данных, а также специалистов информационной безопасности.
Первая сложность
Обработка биометрических персональных данных возможна только в государственных информационных системах. То есть нет никакой другой опции собирать и обрабатывать биометрию каким-либо частным компаниям, даже если они отвечают всем необходимым требованиям с точки зрения информационной безопасности.
Вторая сложность
Услуги по установке биометрических СКУД организуют вендоры, которые имеют соответствующие лицензии и государственную аккредитацию для того, чтобы иметь возможность подключаться к ЕБС и передавать туда данные.
Может ли застройщик самостоятельно подключиться к ЕБС и закупить нужное оборудование для прохода по Face ID? Может. Но для этого необходимо соответствовать целому ряду критериев, которым в полной мере отвечают только специализированные ИТ-компании.
Третья сложность
Привлечение сторонних партнеров так или иначе увеличивает затраты застройщика (впрочем, как и внедрение новых для себя технологий самостоятельно). Но дело не только в деньгах: любое включение в процессы, связанные с обработкой персональных данных (а биометрия относится к персональным данным) третьих лиц, требует соответствующей профессиональной экспертизы застройщика и в процессах правовой оценки оснований такой обработки и выполнения требуемых законодательных ограничений. Естественно, это также увеличивает затраты на привлечение соответствующих квалифицированных специалистов в штат или на аутсорс. Серьезное ужесточение законодательства1 тоже оказывает свое влияние на более внимательное отношение бизнеса к работе с персональными данными.
Какие виды персональных данных чаще всего обрабатывают застройщики?
Обычно это персональные данные, которые можно отнести к категории "иные" или "специальные". Что это значит – иные персональные данные? Это все данные, которые нельзя отнести к другим категориям. Чаще всего бизнес сталкивается с обработкой таких типов персональных данных, как паспортные данные, телефоны и адреса, адреса электронной почты, адреса проживания, необходимые документы для оформления сделок с недвижимостью и оформления заявок на ипотеку (это могут быть данные свидетельств о рождении и браке/разводе, свидетельство о получении материнского капитала, справки с места работы и справки о доходах и т.п.).
В отношении своих работников застройщик обрабатывает также и специальные категории персональных данных, например, при оформлении больничных листов или выделении сотруднику материальной помощи в случае болезни (если это предусмотрено внутренним коллективным договором в компании). До этого момента у застройщиков не возникала необходимость в обязательном порядке использовать биометрию, как правило проход на стройки либо контролировался простым электронным пропуском, либо охранником на контрольно-пропускном пункте (КПП).
Для того чтобы обрабатывать вышеперечисленные категории персональных данных, застройщик, являясь их оператором, должен выполнять требования Федерального закона № 152-ФЗ "О персональных данных" и требования к их защите, установленные нормативным актами ФСБ и ФСТЭК (как правило, этот вопрос регулирует в компании служба информационной безопасности). Установление соответствующего уровня защиты зависит не только от категории, но и от количества персональных данных, от того, данные каких субъектов обрабатывает оператор. Поэтому у каждого застройщика такой уровень может быть разным.
А что биометрия?
Здесь все несколько сложнее. В случае установки на КПП биоСКУД застройщику необходимо:
- выбрать вендора, который поставит ему оборудование и сделает соответствующие настройки, а также будет осуществлять техническую поддержку его работы;
- разработать схему взаимодействия с вендором (покупка оборудования либо аренда);
- определиться с позицией относительно рабочих на стройках. Здесь вопросы в первую очередь могут возникнуть, когда застройщик не нанимает сотрудников к себе в штат, а пользуется услугами подрядчиков, чьи работники и трудятся на стройке. Несмотря на то что застройщик или вендор не осуществляют сбор или хранение биометрических персональных данных напрямую, факт их обработки все равно потребует наличия у оператора правового основания. То есть придерживаться позиции "все московские застройщики обязаны работать с биоСКУД, так как это требование закона" возможно, но нет никакой гарантии, что у отраслевого регулятора не возникнут вопросы в части легитимных правовых оснований;
- определить порядок работы с разовыми посетителями стройки, которым сдавать биометрию не обязательно (водители, курьеры и т.п.). Есть смысл обдумать организацию какой-то зоны погрузки/разгрузки вне территории стройки, чтобы не решать вопрос в части прохода через биоСКУД.
Разумеется, необходимо провести коммуникацию со своими подрядчиками в части сдачи биометрии их работниками, которые непосредственно задействованы на строительных площадках. Если для иностранцев ситуация может быть проще, так как по закону иностранные граждане (помимо граждан Республики Беларусь), которые приезжают в РФ работать, обязаны сдавать биометрию в центрах сдачи биометрии (то есть это как раз установленные непосредственно законом требования, не имеющие отношения к строительным площадкам), то для граждан РФ и Беларуси все сложнее, так как в соответствии с Федеральным законом № 572-ФЗ сдача биометрии для этих категорий лиц не является обязательной. То есть застройщик может требовать проходить на территорию своей строительной площадки через биоСКУД, ссылаясь на требование Правительства Москвы, но у него нет правовых оснований заставить сдавать биометрию, если сдавать ее гражданин не хочет.
Если застройщик на КПП уже использует какоето решение, которое работает с электронными пропусками, необходимо оценить, нужно ли оставлять это решение, возможно ли сделать его интеграцию с биоСКУД и существующей пропускной системой и целесообразно ли это с точки зрения финансовых затрат.
Опыт ГК "Самолет" по интеграции биоСКУД
Например, в ГК Самолет использовалась собственная разработка – система Face ID. Данное решение не работает с биометрическими персональными данными, но позволяет охраннику на КПП определять принадлежность пропуска тому, кто непосредственно проходил через КПП.
После появления необходимости работать с биоСКУД и обсуждения с вендором вариантов были произведены системные настройки и интеграция собственной пропускной системы и СКУД с биометрией. Это не затронуло какиелибо вопросы безопасности для биометрических персональных данных, но позволило продолжать собирать данные для оформления самого пропуска на строительную площадку и выполнить требования Правительства Москвы об использовании биоСКУД для прохода на территорию площадки.
Нужно ли брать согласия с работников подрядчиков, если на строительной площадке начинает использоваться биоСКУД?
Ответ пока остается неоднозначным, но все же во избежание проблем с отраслевым регулятором застройщику лучше обеспечить наличие согласий от работников площадки. При этом необходимо обязательно привлекать своих юристов, так как согласие на обработку биометрических персональных данных должно быть оформлено в обязательной письменной форме, а не в любой произвольной – для этой формы ФЗ № 152 устанавливает определенные требования.
Как выбрать вендора?
Самое важное, что необходимо учесть: работа с биометрическими персональными данными и подключение к ЕБС (Единой биометрической системе) подлежит обязательному лицензированию. То есть не каждая организация вправе оказывать соответствующие услуги и обеспечивать безопасность данных даже при наличии у нее соответствующего оборудования. Поэтому в первую очередь рекомендуем убедиться, что либо сам вендор, с которым застройщик заключает договор, либо его поставщик обладают необходимыми разрешениями. Например, и у подрядчика, с которым мы взаимодействовали, и у нас был криптошлюз.
Важно также учесть, что криптошлюз, который использует организация-вендор, должен находиться на балансе именно той организации, которой принадлежит сама СКУД. Только в этом случае вендор несет за него ответственность и должен обеспечивать его соответствие необходимым требованиям.
Что делать, если работник (гражданин РФ) отказывается сдавать биометрию?
Такая ситуация возможна, потому что, как было отмечено выше, для граждан РФ и РБ сдача биометрии в ГИС ЕБС является добровольной (во всяком случае, на сегодняшний день).
В этом случае необходимо привлекать юристов по трудовым спорам и разъяснять работнику последствия отказа от сдачи биометрии. Требование обеспечивать проход на строительные площадки через биоСКУД для московских застройщиков является обязательным, и если работнику для осуществления своей трудовой функции необходимо посещать строительную площадку, он может потерять возможность эту функцию осуществлять. В любом случае здесь необходимо действовать осмотрительно, чтобы и не нарушить законные права работника, и соблюдать требования к застройщикам со стороны органов власти.
Ответственность застройщика
Какая ответственность у застройщика за нарушение требования обеспечить проход на строительные площадки только с использованием Face ID?
Этот вопрос волнует всех московских застройщиков, тем не менее на сегодня он еще остается дискуссионным. С одной стороны, действующие законы содержат немало санкционных мер с достаточно широкой вариативностью применения, например неисполнение требований государственного органа влечет административную ответственность согласно КоАП РФ. С другой – прямо предусмотренных мер ответственности конкретно за данное требование действующее законодательство сейчас не содержит. Поэтому мнения практикующих юристов расходятся.
Полагаем, со своей стороны, что необходимо подходить осмотрительно к этому вопросу и, безусловно, прикладывать все необходимые усилия для выполнения требований, так как речь идет не только об обязанности застройщика исполнять предписания госорганов, но и об обеспечении безопасности на строительных площадках. Применение данной системы хотя и несет c собой, к сожалению, дополнительные расходы для строительного бизнеса, все же нацелено и на то, чтобы работа на площадке была более прозрачной, как и контроль за сотрудниками стройки.
Важен диалог
Любые изменения, которые влекут за собой первоначальное усложнение и удорожание работ, вызывают негатив, и это вполне ожидаемо. И вопрос, что здесь важнее, контроль и потенциальный порядок или минимизация расходов, для компаний остается открытым, потому что в данном случае цели государства и бизнеса могут не совпадать.
Как бы ни складывалась дальше ситуация на рынке в стройотрасли, застройщикам так или иначе необходимо озвучивать государству свои потребности и опасения, поэтому важен диалог между государством и бизнесом. Не привлекать к себе внимание на ближнем горизонте развития событий кажется безопасной стратегией, но впоследствии может привести к тому, что исправить текущую ситуацию будет все сложнее.
1 С декабря 2024 г. введена в действие новая статья Уголовного кодекса РФ – 272.1, предусматривающая ответственность вплоть до лишения свободы за незаконную обработку персональных данных, а с 30 мая 2025 г. введены в действие так называемые оборотные штрафы, сумма которых может достигать 500 млн руб. за случаи повторных утечек персональных данных у операторов персональных данных.
Иллюстрация к статье сгенерирована @gigachat_bot