Является ли осмотр паспорта, в котором указаны ФИО и фотоизображение, для идентификации физического лица при пропускном режиме обработкой персональных данных?

Главное

Мы считаем, что действия охранника по осмотру паспортных данных граждан (посетителей или работников организации) является обработкой персональных данных, под которой понимаются любые действия (операции) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (п. 3 ст. 3 Закона N 152-ФЗ).

По общему правилу, сформулированному в ст. 6 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных", обработка персональных данных возможна только с согласия субъектов персональных данных, за исключением случаев, перечисленных в п.п. 2-11 ч. 1 ст. 6 Закона N 152-ФЗ. Отметим, что данный перечень сформулирован исчерпывающим образом и расширительному толкованию не подлежит. Так, например, обработка персональных данных может осуществляться без согласия гражданина, если это необходимо для осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных (п. 7 ч. 1 ст. 6 Закона N 152-ФЗ). Полагаем, что организация пропускного режима на территорию организации может быть обусловлена целями обеспечения безопасности оператора, то есть его законными интересами, а потому согласие субъектов персональных данных в такой ситуации не требуется. При этом порядок пропуска на территорию организации должен быть регламентирован локальным актом оператора (п. 2 ч. 1 ст. 18.1 Закона N 152-ФЗ).

Обоснование

Обработка персональных данных - это любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Исходя из приведенного определения, одним из видов обработки законодатель называет использование персональных данных - действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц (п. 5 ст. 3 Закона N 152-ФЗ).

В рассматриваемом случае такими действиями, на наш взгляд, следует считать принятие решения охранником о допуске или недопуске физического лица на территорию организации. При отсутствии у субъекта документа, удостоверяющего личность, охранник на основании локального акта организации, должностной инструкции вправе отказать такому лицу в посещении охраняемого объекта.

Таким образом, решение охранника может повлечь неблагоприятные последствия как для самого посетителя (работника), так и для других лиц, которые заинтересованы в том, чтобы эти граждане прибыли в назначенное время в эту организацию.

На этом основании полагаем, что охранник совместно с другими работниками участвует в обработке персональных данных, даже если сам он непосредственно пропуска не оформляет и сведения о посетителях нигде не фиксирует.