На сайте организации размещены имена и фотографии сотрудников - попадает ли это под действие закона "О персональных данных"

Предприятие размещает на своем официальном сайте персональные данные работника (фотографию, год рождения, должность) в информационных целях. Необходимо ли в данном случае оформление отдельного от иных согласий субъекта персональных данных на обработку его персональных данных согласия на распространение, следуя норме части 1 ст. 10.1 ФЗ "О персональных данных" и по установленной форме (п. 9 ст. 9 данного ФЗ) форме? Либо данная норма распространяется на иные случаи, когда сам субъект (п. 1.1 ст. 3 данного ФЗ) дает доступ к своим персональным данным, и относится к другим правоотношениям, работой с Единой системой идентификации и аутентификации?

Рассмотрев вопрос, мы пришли к следующему выводу:

Размещение фотографий работников и сопутствующей информации на сайте организации в приведенной ситуации соответствует признакам распространения персональных данных и требует отдельного согласия работников.

Обоснование вывода:

Статьей 10.1 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Закон N 152-ФЗ) установлены особенности обработки персональных данных, разрешенных субъектом персональных данных для распространения, под которыми понимаются персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на подобную обработку в установленном порядке (п. 1.1 ст. 3 Закона N 152-ФЗ). Распространение персональных данных, в свою очередь, представляет собой действия, направленные на раскрытие персональных данных неопределенному кругу лиц (п. 5 ст. 3 Закона N 152-ФЗ).

На наш взгляд, ограничение сферы применения ст. 10.1 Закона N 152-ФЗ только случаями обработки персональных данных, доступ к которым предоставлен самим субъектом персональных данных, противоречило бы смыслу заложенных в эту статью норм. К примеру, как следует из ч. 2 ст. 10.1 Закона N 152-ФЗ, раскрытие персональных данных неопределенному кругу лиц самим субъектом персональных данных является лишь частным случаем из общей сферы применения ст. 10.1 Закона N 152-ФЗ. Поэтому мы полагаем, что ключевым понятием для применения названной статьи является именно распространение персональных данных: если обработка персональных данных заключается в действиях, направленных на раскрытие персональных данных неопределенному кругу лиц, то оператор должен осуществлять такую обработку в соответствии с требованиями ст. 10.1 Закона N 152-ФЗ. Другого порядка обработки персональных данных в форме распространения закон не содержит.

Соответственно, если работодатель собирается разместить фотографии работников в открытом доступе - на корпоративном сайте в сети Интернет (изображения при этом предполагается дополнить справочной информацией, включающей фамилию, имя, отчество сотрудника, год рождения), его действия следует признать распространением персональных данных*(1). Следовательно, организация в описанной ситуации обязана соблюсти требования Закона N 152-ФЗ и получить предварительное согласие сотрудников на распространение их персональных данных, включая фотографическое изображение, неопределенному кругу лиц. Такое согласие должно быть получено по правилам ст. 10.1 Закона N 152-ФЗ. Молчание или бездействие субъекта персональных данных ни при каких обстоятельствах не может считаться согласием на обработку персональных данных, разрешенных субъектом персональных данных для распространения (ч. 8 ст. 10.1 Закона N 152-ФЗ).

Напомним, что с 1 сентября 2021 г. вступает в силу приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 24 февраля 2021 г. N 18, утвердивший требования к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения.

Отметим, что согласно ч. 11 ст. 10.1 Закона N 152-ФЗ установленные субъектом персональных данных запреты на передачу (кроме предоставления доступа), а также на обработку или условия обработки (кроме получения доступа) персональных данных, разрешенных субъектом персональных данных для распространения, не распространяются на случаи обработки персональных данных в государственных, общественных и иных публичных интересах, определенных законодательством Российской Федерации. Обработка персональных данных, необходимая для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей, допускается и без согласия субъекта персональных данных (п. 2 ч. 1 ст. 6 Закона N 152-ФЗ). Таким образом, размещение персональных данных работников на сайте организации не требует предварительного их согласия в том случае, если работодатель обязан законом к размещению таких сведений*(2).

Ответ подготовил:
Эксперт службы Правового консалтинга ГАРАНТ
Прибыткова Мария

Ответ прошел контроль качества

23 августа 2021 г.

Материал подготовлен на основе индивидуальной письменной консультации, оказанной в рамках услуги Правовой консалтинг. 


*(1). Согласно нормам п. 1 ст. 3 и ч. 1 ст. 11 Закона N 152-ФЗ персональными данными признается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу, а их обработкой - любое действие (операция) с такими данными. Биометрическими персональными данными признаются сведения, характеризующие физиологические и биологические особенности человека, на основании которых можно установить его личность. На основе приведенных норм можно заключить, что персональные данные (в целях применения Закона N 152-ФЗ) - это всевозможные сведения, с помощью которых можно идентифицировать субъекта персональных данных, что согласуется с положениями ст. 2 Конвенции о защите физических лиц при автоматизированной обработке персональных данных, принятой Советом Европы 28.01.1981.

Обращаем внимание, что из Закона N 152-ФЗ не следует, что персональными данными являются только такие сведения о человеке, которые позволяют его персонифицировать в отрыве от другой информации о нем (либо относящейся к нему). Данный вывод находит прямое подтверждение, в частности, в ч. 1 ст. 8 Закона N 152-ФЗ, причисляющей к персональным данным фамилию, имя, отчество, год и место рождения, адрес человека и др. При этом совершенно очевидно, что сам по себе адрес регистрации по месту жительства (временного пребывания) или, к примеру, абонентский номер, недостаточны для персонификации субъекта. Однако в совокупности с иными данными (в частности, фамилией, именем, отчеством) они позволяют установить личность субъекта персональных данных.

Закон N 152-ФЗ определяет персональные данные достаточно широко и не закрепляет исчерпывающего перечня сведений, относящихся к персональным данным субъекта. Изображение человека, в том числе фотографическое, среди подобных сведений в нем прямо не упомянуто.

В правоприменительной практике получила распространение позиция, высказанная представителями Роскомнадзора, согласно которой фотография человека относится к биометрическим персональным данным при условии, что она используется оператором для установления личности субъекта персональных данных. Эта позиция поддержана представителями Минцифры России и судьями (смотрите письмо Министерства цифрового развития, связи и массовых коммуникаций РФ от 17.07.2020 N ОП-П24-070-19433; кассационное определение СК по административным делам Второго кассационного суда общей юрисдикции от 31.07.2020 по делу N 8а-15200/2020[88а-17020/2020], постановление Арбитражного суда Северо-Западного округа от 21.11.2017 N Ф07-11732/17 по делу N А42-342/2017). Примеров обратного подхода ни в официальных разъяснениях, ни в судебной практике нам обнаружить не удалось. В соответствии с данным подходом, если фотография работника не используется для установления его личности, такая обработка под действие ст. 11 Закона N 152-ФЗ не подпадает.
В то же время не вызывает сомнений, что фотография передает физиологические особенности человека и наряду с иными сведениями о нем может служить идентификации личности. Поэтому действия работодателя (иного лица) в отношении фотографий работников (клиентов и т.п.) при определенных условиях могут быть отнесены к обработке иных (не биометрических) персональных данных. Косвенное подтверждение этому выводу можно обнаружить и в судебной практике (смотрите, к примеру, апелляционное определение СК по гражданским делам Пензенского областного суда от 24.04.2018 по делу N 33-1318/2018).

Так, в рассматриваемой ситуации организация не будет использовать фотографии сотрудников для определения их личности, но предполагает разместить фотографии в открытом доступе - на корпоративном сайте в сети Интернет. Изображения при этом предполагается дополнить справочной информацией, включающей фамилию, имя, отчество сотрудника, год рождения. Учитывая, что при таких обстоятельствах любой посетитель сайта сможет соотнести изображения с прямо определенными субъектами (конкретными работниками), действия работодателя по размещению фотографий работников на сайте организации следует признать распространением персональных данных.

*(2) Примером такого случая являются нормы ч. 3.3 ст. 32 Федерального закона от 12 января 1996 г. N 7-ФЗ "О некоммерческих организациях", п. 10 приложения к Порядку предоставления информации государственным (муниципальным) учреждением, ее размещения на официальном сайте в сети Интернет и ведения указанного сайта (утверждены приказом Минфина РФ от 21 июля 2011 г. N 86н), в силу которых государственные и муниципальные учреждения обязаны размещать на сайте сведения о руководителях учреждений.