четверг, 4 августа 2011 г.

Биометрия, персональные данные и фотография


В предыдущем посте на тему биометрии я рассматривал биометрические ПДн в разрезе использования их оператором для установления личности и необходимости получения согласия на их использование в соответствии с ч. 1 ст. 11 152-ФЗ. Наиболее проблемной областью в большинстве случаев является использование фотографии, и в ходе долгих и плодотворных дискуссий большинство участников склонилось к мнению, что в 99,9% случаев ее использование не служит целью установить личность субъекта. Вот только одним 152-ФЗ законодательство в области ПДн не ограничивается, и как я ни ждал, что кто-нибудь вспомнит про остальное - увы, тщетно. Так что придется напомнить самому :)


Дискуссию о том, является ли фотография биометрическими ПДн, можно вести бесконечно, и к окончательному выводу мы, увы, не придем. В этом абзаце предположим, что все же не является, но уж ПДн-то является точно, иначе к чему все эти обсуждения? Итак, фотография - это ПДн. Достаньте пожалуйста пропуск (у кого есть) и посмотрите на него: эй, привет, угрюма! Хмурый стандартный "фас" гражданина портретной ориентации. Но раз это персональные данные то, возможно, их нужно защищать, ну, или, по крайней мере, получать согласие на их обработку? Вбейте в поисковике фразу "охрана изображение гражданина" и найдете следующее:

Статья 152.1 Гражданского Кодекса РФ: Охрана изображения гражданина
Обнародование и дальнейшее использование изображения гражданина (в том числе его фотографии, а также видеозаписи или произведения изобразительного искусства, в которых он изображен) допускаются только с согласия этого гражданина. После смерти гражданина его изображение может использоваться только с согласия детей и пережившего супруга, а при их отсутствии - с согласия родителей. Такое согласие не требуется в случаях, когда:
1) использование изображения осуществляется в государственных, общественных или иных публичных интересах;
2) изображение гражданина получено при съемке, которая проводится в местах, открытых для свободного посещения, или на публичных мероприятиях (собраниях, съездах, конференциях, концертах, представлениях, спортивных соревнованиях и подобных мероприятиях), за исключением случаев, когда такое изображение является основным объектом использования;
3) гражданин позировал за плату.

Вот тебе раз! В самом 152-ФЗ про это ничего не сказано, а в ГК РФ, да еще в статье с аналогичным номером - явно указано: "с согласия". Что же получается - если мы развешиваем фото на доске почета или размещаем на корпоративном портале, то согласие не нужно, а вот в случае со СКУД или пропусками? Увы, но если в компании используются карточки-пропуска или СКУД, то совсем не важно, биометрия это или не биометрия: согласие на обработку фотографий получать все равно надо. Более того, утверждение относительно того, что для порталов и досок почета согласие не нужно - так же неверно, поскольку такие ресурсы относятся к общедоступным источникам ПДн, и значит, в соответствии со ст. 8 152-ФЗ, с субъекта необходимо взять ПИСЬМЕННОЕ согласие! Так что, дорогие друзья, выход один: обрабатываете фотографии - берите согласие.

Но согласие взять - не такая большая проблема: не за это биометрию не любят операторы. Давайте предположим, что фотография - это биометрические ПДн. Как уже было совершенно справедливо отмечено, биометрические ПДн остаются такими вне зависимости от того, с какой целью они используются. То есть ЛЮБАЯ фотография - хоть на пропуске, хоть на доске почета - будет "биометрией". Помните постановление правительства за номером 512, где указаны требования к материальным носителям биометрических ПДн? Вы помните, ЧТО это за требования? Отлично. Теперь давайте представим, что в целях мотивации персонала дирекция по кадрам сфотографировала момент награждения генеральным директором лучших сотрудников почетными медалями и решила эти фотографии распечатать и в рамочке вручить награжденным. Вполне корпоративный момент, выполняет его сам оператор. И вот специалист для передачи в типографию извлекает из своего ПК эти фотографии на флешку и... тут же обязан применить к этой флешке все требования ПП-512! Именно по этой причине между операторами и регуляторами идут ожесточенные споры относительно признания или не признания фотографии биометрическими ПДн: требования совершенно неадекватные.

Что же нас ждет впереди? А впереди - пункт 3 части 3 статьи 19 152-ФЗ, в котором говорится, что требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных должны устанавливаться правительством с учетом возможного вреда субъекту, объема и содержания обрабатываемых ПДн, вида деятельности, при осуществлении которого обрабатываются ПДн и актуальности угроз безопасности. Насколько хорошо правительство справится с этой задачей - покажет недалекое будущее. Так что, как говорится, ждем-с

15 комментариев :

  1. Анонимный4.8.11

    no comments...
    Надоело мусолить одно и то же. Время и правоприменительная практика покажет кто прав.
    Одно знаю точно - если оператор, в случае признания проверяющим фото биометрией, не станет добиваться справедливости в суде, то именно биометрией его фото и останутся...
    Дубняк Сергей.

    ОтветитьУдалить
  2. А что делать - кому щас легко? :)

    ОтветитьУдалить
  3. Статья 152.1 ГК не указывает форму согласия и обычно субъект САМ приносит фото на пропуск или позирует перед web камерой вполне осознавая ЗАЧЕМ происходит действо.
    А вот со 152-ФЗ и ПИСЬМЕННЫМ согласием - это да косяк.

    ОтветитьУдалить
  4. ГК не указывает. Зато 152-ФЗ требует его доказать. Так что...

    ОтветитьУдалить
  5. Я вот только одно не пойму, ведь в новой редакции закона мы получили связку "и" - "физиологические и биологические". Если до этого и вправду были сомнения относительно фотографии и является ли она биометрией, то откуда эти сомнения теперь? - разве в фотографии содержатся биологические особенности?

    ОтветитьУдалить
  6. Насчет биологических... По фотографии видно, что на ней изображен человек (это биологический вид), мужчина (пол), китаец (раса). Так что увы, но "биологические особенности" здесь только расстраивают.

    ОтветитьУдалить
  7. Анонимный5.8.11

    152.1 ГК РФ не применяется к фото на пропуске сотрудников, что не говорите. Для исков об использовании изображения в рекламных целях - пожалуйста, для исков в неправомерном использовании изображении левыми конторами - имеется.
    Всего то нужно при приеме на работу давать всем сотрудникам подписать соглашение, в которое добавить цель и "фотография" в перечне ПДн.

    ОтветитьУдалить
  8. ГК не делает никаких разграничений - Вы в каком НПА посмотрели, что не применяется? Насчет согласия - согласен :)

    ОтветитьУдалить
  9. Анонимный5.8.11

    Я исходил из правоприменительной практики и здравого смысла

    ОтветитьУдалить
  10. Так это юридические вопросы, а у юристов - сами знаете, какой здравый смысл.

    ОтветитьУдалить
  11. Анонимный5.8.11

    Алексей, " что в 99,9% случаев ее использование не служит целью установить личность субъекта", а как быть с 0,01 %? И как вы процент посчитали? )
    Про пропуск - мне кажется, что раз человек подписал трудовой договор, принял все регламентирующие его работу внутренние документы организации, в которых, в том числе должно быть написано про пропускной режим и пропуск в частности, то тем самым он выразил свое согласие
    Дмитрий

    ОтветитьУдалить
  12. >bial комментирует...
    Я вот только одно не пойму, ведь в новой редакции закона мы получили связку "и" - "физиологические и биологические".

    "И" как перечисление. Биологические добавились т.к.:
    //ФЗ №242-ФЗ "О государственной геномной регистрации в Российской Федерации"
    3) геномная информация - персональные данные, включающие кодированную информацию об определенных фрагментах дезоксирибонуклеиновой кислоты физического лица или неопознанного трупа, НЕ характеризующих их физиологические особенности;//

    ОтветитьУдалить
  13. Анонимный5.8.11

    На каждую гайку должен быть свой болт.
    Предлагается следующая мера:
    Ученые из Израиля и Швейцарии обнаружили мутацию, которая вызывает отсутствие кожного рисунка на пальцах, сообщает Science. Международной группой генетиков руководил Эли Шпрехер (Eli Sprecher) из Тель-Авивского медицинского центра имени Сураски (Tel Aviv Sourasky Medical Center).

    Полностью:
    http://medportal.ru/mednovosti/news/2011/08/05/noprints/

    ОтветитьУдалить
  14. And_j8.8.11

    Разве на фотографии с вручением наград возможно сопоставить изображение личности с её персональными данными? Может на фото вообще не он?

    ОтветитьУдалить
  15. Конечно можно - коллеги по цеху сопоставят однозначно.

    ОтветитьУдалить