ГрамотаИБ ГрамотаИБ

Видеонаблюдение и персональные данные: что требует закон

Когда видеонаблюдение становится обработкой персональных данных и даже биометрии, на каком основании его можно вести, как информировать людей (таблички), сколько хранить записи и кому давать доступ. Отдельно — распознавание лиц как биометрия. Что оформить и типичные ошибки.

Камеры стоят почти везде — в магазинах, офисах, салонах, подъездах. Как только на записи можно узнать конкретного человека, это уже обработка персональных данных, а распознавание лиц — ещё и биометрия с особым режимом. Разберём, что требует закон от того, кто ведёт видеонаблюдение.

Когда это обработка ПДн

Если по видеозаписи можно установить личность (узнаваемое изображение человека), это персональные данные, и на оператора распространяется 152-ФЗ. А если система автоматически распознаёт людей по лицу для идентификации — это уже обработка биометрических ПДнПерсональные данные — Любая информация, относящаяся к прямо или косвенно определённому физическому лицу (субъекту ПДн). (статья 11 152-ФЗ) с повышенными требованиями, включая, как правило, письменное согласие. Обычная же съёмка без автоматической идентификации биометрией не считается.

На каком основании можно вести

Для охраны имущества и обеспечения безопасности видеонаблюдение в нежилых помещениях и на территории чаще всего ведут без отдельного согласия — на основании законных интересов оператора или требований закона. Для работников основанием служит трудовое законодательство, но их нужно письменно уведомить о видеоконтроле. Скрытое наблюдение по общему правилу недопустимо.

Информирование и таблички

Людей нужно заранее информировать о видеонаблюдении: таблички и предупреждающие знаки «Ведётся видеонаблюдение» на входе и в зоне съёмки, а также сведения в политике обработки ПДн (цель, кто оператор). Это базовое требование прозрачности обработки.

Сроки хранения и доступ

Записи хранят не дольше, чем нужно для заявленной цели (часто это разумный короткий срок — например, до 30–60 дней, если иное не предусмотрено), затем удаляют. Доступ к архиву ограничивают кругом ответственных лиц; запись с камер — это тоже ИСПДнИнформационная система персональных данных — Совокупность персональных данных в базах данных и обеспечивающих их обработку информационных технологий и технических средств. со своими мерами защиты.

Что оформить

  • Приказ о вводе видеонаблюдения с указанием целей, зон и сроков хранения.
  • Информирование: таблички и раздел в политике обработки ПДн; уведомление работников под подпись.
  • Для распознавания лиц — отдельное письменное согласие и альтернатива; см. биометрию.

Типичные ошибки

  • Нет информирования. Камеры есть, табличек и сведений в политике нет.
  • Распознавание лиц без согласия. Биометрическую идентификацию ведут как обычное наблюдение.
  • Бессрочное хранение и открытый доступ. Записи лежат годами, доступ к ним есть у кого угодно.

Главное

Видеонаблюдение, на котором узнаваемы люди, — это обработка персональных данных, а распознавание лиц — биометрия со строгим режимом. Вести наблюдение можно на законном основании (безопасность, трудовые отношения), но обязательно информировать людей табличками и политикой, ограничивать сроки хранения и доступ, а для распознавания лиц брать письменное согласие. ГрамотаИБ помогает оформить документы под видеонаблюдение и определить меры защиты — попробовать можно в сервисе.

Попробовать ГрамотаИБ

Читайте также

Все по теме «Персональные данные и Роскомнадзор» →

Школа собирает данные родителей через Яндекс Форму: насколько это законно

Школы всё чаще собирают анкеты родителей через онлайн-формы (Яндекс Формы, Google Формы). Разбираем, законно ли это по 152-ФЗ: почему школа здесь оператор, а сервис форм — обработчик, чем Яндекс Формы выгодно отличаются от зарубежных по локализации, что обязательно должно быть в самой форме (ссылка на политику, согласие, минимизация полей) и как не собрать лишнего. Рекомендации и типичные ошибки.

Как вести школьный чат и не нарушить 152-ФЗ

Родительские и классные чаты переполнены персональными данными: ФИО и телефоны, фотографии детей, оценки, сведения о здоровье. Разбираем, кто здесь оператор и применяется ли 152-ФЗ (личные нужды против официального чата школы), что категорически нельзя публиковать без согласия (фото детей, диагнозы, успеваемость, чужие контакты) и как вести чат аккуратно, чтобы не нарушить права других.

Персональные данные в школе и детском саду: согласие родителей и требования

Как образовательной организации (школе, детскому саду) законно обрабатывать персональные данные детей и родителей: когда основанием служит закон об образовании, а когда нужно согласие законного представителя, как быть с данными о здоровье и фотографиями, что оформить и какие ошибки ведут к претензиям.

Cookie и баннер согласия на сайте: что требует российский закон

Нужен ли на сайте баннер согласия на cookie по российскому закону, являются ли cookie персональными данными, чем требования 152-ФЗ отличаются от европейского GDPR, что писать в баннере и политике и почему важны иностранные счётчики и локализация. Практический разбор для владельцев сайтов.