Видеонаблюдение и персональные данные: 152-ФЗ и РКН

Поставили камеру — стали оператором персональных данных. Звучит резко, но это так. Изображение человека, по которому его можно узнать, — это персональные данные, а тот, кто решает, зачем и как их обрабатывать, попадает под 152-ФЗ со всеми обязанностями.

Разберу с точки зрения закона и Роскомнадзора: когда видеонаблюдение и персональные данные становятся одной темой, что обязан делать оператор, чем грозит нарушение и как упростить себе жизнь через локальное хранение.

Когда видеозапись — это персональные данные

Персональные данные (статья 3 152-ФЗ) — любая информация, относящаяся к определённому или определяемому физическому лицу.

Изображение человека подпадает под это, когда по записи его можно идентифицировать:

• видно лицо, и человека реально узнать;
• кадр привязан к ФИО, должности, пропуску;
• запись сопоставима с другими данными (табель, СКУД).

Если в кадре безликая толпа на улице издалека и никто конкретно не определяется — формально персональных данных может и не быть. Но как только камера висит на проходной, в офисе, в магазине и фиксирует узнаваемые лица — это обработка персональных данных, и режим 152-ФЗ включается полностью.

Отдельно отмечу: обычное распознаваемое лицо ещё не биометрия. Биометрия появляется, когда лицо обрабатывают именно для идентификации по шаблону, — и тогда нужно согласие на обработку биометрических данных. Для обычной же съёмки достаточно режима оператора, о котором ниже.

Кто такой оператор и что он обязан

Оператор — лицо, которое организует и (или) осуществляет обработку данных и определяет её цели. Поставили камеры на своей территории под свои задачи — вы оператор. Обязанности:

1. Уведомить Роскомнадзор о намерении обрабатывать персональные данные (статья 22 152-ФЗ). После реформы практически любая системная обработка требует уведомления РКН и попадания в реестр операторов.
2. Принять Политику обработки персональных данных и опубликовать её — для публичных зон документ должен быть доступен (на сайте, на стенде).
3. Уведомлять субъектов — таблички «ведётся видеонаблюдение», информирование работников.
4. Определить цели и сроки хранения — хранить ровно столько, сколько нужно для цели, потом удалять.
5. Обеспечить защиту — ограничить доступ к архиву, вести учёт лиц с доступом, защитить от утечки.
6. Назначить ответственного за организацию обработки персональных данных.
7. Реагировать на запросы субъектов и на инциденты — об утечке оператор обязан уведомить РКН в сжатые сроки.

Это не разовая бумага, а режим. Камеры работают постоянно — значит и обязанности постоянные.

Чем грозит нарушение

Раньше штрафы за персональные данные были символическими. После ужесточения КоАП (статья 13.11) — уже нет. Ориентиры по актуальным санкциям:

• обработка без правового основания — для юрлиц штрафы исчисляются сотнями тысяч рублей за каждый эпизод;
• обработка специальных/биометрических данных без согласия — суммы выше, до миллионов;
• неуведомление РКН и нарушение порядка — отдельные составы со своими штрафами;
• утечка персональных данных — отдельная тяжёлая ответственность с оборотными штрафами при крупных инцидентах и повторности.

Добавьте к этому предписания об устранении, приостановку обработки и иски субъектов о компенсации морального вреда. Для бизнеса с десятками камер цена небрежности становится вполне материальной.

Где хранить: локализация и on-premise

Статья 18 152-ФЗ требует: запись, систематизация, накопление, хранение, уточнение и извлечение персональных данных граждан РФ ведутся с использованием баз данных, расположенных на территории России. Это правило локализации.

Для видеонаблюдения это означает: архив с узнаваемыми лицами должен физически храниться в РФ. Иностранное облако, куда «утекает» поток с камер, — прямой риск.

Отсюда практичный ход — on-premise, то есть хранение и обработка на собственном оборудовании внутри периметра компании:

• данные не покидают контур организации — вопрос локализации снимается сам собой;
• проще разграничить доступ и доказать защищённость;
• нет зависимости от стороннего облачного провайдера и его юрисдикции;
• для биометрии это вообще предпочтительный режим — шаблоны лиц не уходят наружу.

То есть локальная обработка — не только про технологию, но и про соответствие закону. Меньше точек, где данные могут «утечь» за пределы РФ, — меньше юридических рисков. Сравнение схем хранения — в материале облачное видеонаблюдение.

Чек-лист соответствия для бизнеса с камерами

Пройдитесь по списку — это и есть минимальный набор, который спросит проверяющий:

• определена правомерная цель видеонаблюдения, она зафиксирована письменно;
• подано уведомление в Роскомнадзор, компания в реестре операторов;
• принята и опубликована Политика обработки персональных данных;
• размещены таблички «ведётся видеонаблюдение», работники уведомлены;
• работники ознакомлены под подпись с локальным актом о видеонаблюдении;
• задан срок хранения архива, настроено автоудаление;
• доступ к архиву ограничен, ведётся учёт лиц с доступом;
• архив хранится в РФ (локализация соблюдена), желательно on-premise;
• назначен ответственный за обработку персональных данных;
• есть порядок реагирования на запросы субъектов и на утечки;
• если есть распознавание лиц — собрано отдельное письменное согласие.

Два последних пункта — частые провалы. Распознавание лиц добавляет режим биометрии (про согласие — отдельный материал), а трудовая сторона вопроса — кого, как и под какую подпись уведомлять — подробно разобрана в статье видеонаблюдение на рабочем месте.

Резюме: камера — это не «железо на стене», а обработка персональных данных с конкретными обязанностями оператора. Закройте уведомление РКН, Политику, сроки, защиту и локализацию — и проверка из угрозы превращается в формальность. Оставите пробелы — каждый из них имеет свою цену в КоАП.