Сколько можно хранить ПД?
Данные можно хранить только до тех пор, пока они нужны для достижения целей обработки (ч. 7 ст. 5 Федерального закона от 27.07.2006 № 152-ФЗ, далее — Закон № 152-ФЗ). Исключения возможны, если срок хранения предусмотрен федеральным законом или договором, стороной которого является субъект ПД. Как только цель достигнута, данные нужно уничтожить или обезличить в течение 30 дней (ч. 4 ст. 21 Закона № 152-ФЗ).Для работодателей действуют дополнительные требования: при хранении документов с ПД сотрудников нужно учитывать сроки, установленные законодательством по архивному делу (ст. 22.1 Федерального закона от 22.10.2004 № 125-ФЗ, приказ Росархива от 20.12.2019 № 236).
Можно ли использовать фотографии сотрудников для входа в офис или учета рабочего времени?
Фотографии, видеозаписи, записи голоса и отпечатки пальцев относятся к биометрическим данным, так как позволяют установить личность человека (ч. 1 ст. 11 Закона № 152-ФЗ). Чаще всего такие данные применяют в системах контроля доступа, например, когда проход в офис осуществляется по фото.
Компания может проводить биометрию, но только при соблюдении ряда строгих условий. Первое из них: сотрудник дал письменное согласие (ч. 1 ст. 11 Закона № 152-ФЗ). Причем просто формулировки «Согласен на обработку» недостаточно. Согласие должно содержать:
- перечень конкретных биометрических данных, которые будут использоваться;
- цель обработки — например, контроль доступа в офис;
- перечень действий с данными: хранение, сравнение, передача и т. д.;
- описание способов обработки.
Особое ограничение касается отпечатков пальцев. Закон прямо запрещает использовать их для обычной проверки доступа или учета времени, потому что обработка таких данных разрешена только в рамках дактилоскопической регистрации, а это уже компетенция МВД (Федеральный закон от 25.07.1998 № 128-ФЗ).
Важно: сотрудник имеет право не давать согласие или отозвать его в любой момент (ч. 2, 4 ст. 9 Закона № 152-ФЗ). В этом случае работодатель обязан предоставить альтернативу — например, пропуск или иной способ доступа.
Не могут отказаться от обработки биометрических данных только госслужащие и граждане, участвующие в уголовном производстве.
Полная версия статьи доступна подписчикам журнала «Финансовый директор».
