Вы на портале
Персональные данные

Прием посетителей — и снова персональные данные

В организации ведется бумажный журнал учета посещений (для посторонних лиц). Распространяется ли законодательство о защите персональных данных на ведение такого журнала? И если да, то как обрабатывать персональные данные посетителей правильно?

Грубинова Екатерина
Грубинова Екатерина

Директор ООО «РЕСОЛВА Диджитал»

4963 Shape 1 copy 6Created with Avocode.

В соответствии со ст. 2 Закона Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных» (далее — Закон) ведение журнала посещений, будь то в бумажном или в электронном виде, подпадает под регулирование законодательства о защите персональных данных (далее — ПД).

В поисках правового основания

Обработка ПД возможна только с согласия субъектов персональных данных (далее — субъекты), за исключением случаев, перечисленных в ст. 6 Закона. Этот перечень случаев, по нашему мнению, сформулирован исчерпывающим образом и расширительному толкованию не подлежит. Так, например, обработка ПД может осуществляться без согласия гражданина при получении ПД оператором на основании договора, заключенного (заключаемого) с субъектом, в целях совершения действий, установленных этим договором; при обработке ПД, когда они указаны в документе, адресованном оператору и подписанном субъектом, в соответствии с содержанием такого документа; если это необходимо в случаях выполнения обязанностей (полномочий), предусмотренных законодательными актами, и т.д. (ст. 6 Закона).

Справочно.
В рамках обработки персональных данных при организации пропускного режима допустимо обрабатывать данные паспорта (и, соответственно, просить гражданина предъявить паспорт), поскольку паспорт является основным документом, удостоверяющим личность гражданина.

Организация пропускного режима на территорию обычно регламентирована локальным правовым актом оператора. При этом в некоторых случаях требование организации пропускного режима может быть предусмотрено и законодательным актом. Так, в литературе встречается мнение, что, хотя для учреждений образования отдельных НПА, регламентирующих организацию пропускного режима, нет, данный режим является обязательным как элемент создания безопасных условий при организации образовательного процесса (подп. 4.5 п. 4 ст. 20 Кодекса Республики Беларусь об образовании). Полагаем, что для целей организации санитарной безопасности, промышленной безопасности, соблюдения требований по охране труда доступ на территорию организации может быть органичен. И для этих целей в организации может устанавливаться пропускной режим, в рамках которого будут фиксироваться ПД субъекта и время посещения им определенных территорий.

Рекомендация.
В ЛПА, регламентирующем пропускной режим, должно быть четко зафиксировано основание его установления, предусмотренное законодательными актами.

Хотя в отношении некоторых объектов организация пропускного режима опирается на требования, предусмотренные законодательными актами, зачастую введение пропускного режима — это инициатива именно организации, администрация которой выбрала именно такой способ обеспечения безопасности своих работников и сохранности принадлежащего ей имущества. А это значит, что, если на территории определенной организации пропускной режим установлен не на основании требований законодательного акта, обрабатывать персональные данные без согласия субъекта не представляется возможным.

Согласия нет. Пропустить?

Если организация обязана заручиться согласием субъекта на обработку данных при учете посещений и организации пропускного режима, можно ли отказать субъекту в доступе на территорию организации, если субъект отказывается дать такое согласие? Этот вопрос носит дискуссионный характер. В соответствии с п. 1 ст. 5 Закона согласие субъекта должно быть свободным, то есть невынужденным. Однако если субъект, не давший своего согласия на обработку его ПД, теряет возможность попасть на территорию организации, ему, возможно, придется дать такое согласие вопреки своему желанию. В результате такой признак согласия, как свобода, становится несоблюденным, а само согласие — недействительным. Таким образом, субъект должен иметь возможность посещения «классического» офиса без каких-либо препятствий. При этом фиксация его ПД в журнале посещений может осуществляться только с его согласия.

4963 Shape 1 copy 6Created with Avocode.