Работодатель намерен разместить фото и фио сотрудников на сайте организации

Добрый день!
Работодатель намерен разместить фото и фио сотрудников на сайте организации, что прописывать в согласии на распространение персональных данных и как будет выглядеть согласие на распространение персональных данных, нужно ли вносить изменения в положение о персональных данных? Нужно ли уведомлять Роскомнадзор и какие цели указывать, если нужно?

Приветствую вас, Алёна, на форуме клерка!

Уведомлять итак нужно, если у вас есть сотрудники, как это сделать еще “вчера” описано в статье на нашем стайте: О чем и как нужно уведомлять Роскомнадзор с 01.09.2022 или какие персональные данные есть у вас

Фотографии сотрудников - биометрические персональные данные, на них оформляется отельное согласие на получение персональных данных (ПД) (что вы будете собирать и обрабатывать), размещение на сайте - это уже распространение и публикация на это нужно еще одно отдельное согласие сотрудника (ст. 10.1 Федерального закона от 27.07.2006 № 152-ФЗ (ред. от 02.07.2021)).
.

Заставить сотрудника нельзя, т.к. это будет уже нарушением сразу нескольких законов.

У предприятия должен быть пакет документов (политика в области защиты персональных данных, дополнительные соглашения к трудовым договорам, согласия, порядок уничтожения ПД и т.д.), он сильно зависит от специфики деятельности, также нужно помнить, что реклама в интернете сейчас тоже должна маркироваться.

Хранение и использование биометрических данных осуществляете с соблюдением особых требований. Кстати, даже фото на пропуска тоже биометрические данные.

Общий порядок хранения биометрических персональных данных

Храниться такие данные могут (п. 10 ст. 3, ч. 10 ст. 19 Закона о персональных данных):
• в информационных системах персональных данных;
• вне таких систем.

Использовать и хранить биометрические персональные данные вне информационных систем персональных данных вы можете только на таких материальных носителях и с применением такой технологии хранения информации, которые обеспечивают защиту этих данных от неправомерного или случайного доступа к ним, их уничтожения, изменения, блокирования, копирования, предоставления, распространения (ч. 10 ст. 19 Закона о персональных данных).

Требования к материальным носителям биометрических персональных данных и технологиям их хранения вне информационных систем установлены Постановлением Правительства РФ от 06.07.2008 № 512 (ред. от 27.12.2012)
“Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных”.

При этом материальный носитель для целей применения указанных Требований - это машиночитаемый носитель информации (в том числе магнитный и электронный) (п. 2 Требований к материальным носителям биометрических персональных данных). Таким образом, на хранение биометрических персональных данных на бумажных носителях эти Требования не распространяются.

Материальный носитель должен обеспечивать в том числе (п. 4 Требований к материальным носителям биометрических персональных данных):
• защиту от несанкционированной повторной и дополнительной записи информации после ее извлечения из информационной системы персональных данных;
• возможность доступа к записанным на материальный носитель биометрическим персональным данным оператору и лицам, уполномоченным в соответствии с законодательством РФ на работу с биометрическими персональными данными;
• возможность идентификации информационной системы персональных данных, в которую была осуществлена запись биометрических персональных данных, а также оператора, осуществившего такую запись;
• невозможность несанкционированного доступа к биометрическим персональным данным, содержащимся на материальном носителе.

Как правило, тип материального носителя вы вправе выбрать сами (п. 7 Требований к материальным носителям биометрических персональных данных).

Это может быть, например, внешний накопитель данных (внешний жесткий диск, карта памяти, внешний SSD-накопитель, USB-накопитель). При этом вы обязаны вести учет количества таких материальных носителей и присваивать каждому носителю свой уникальный идентификационный номер, который позволяет точно определить оператора, осуществившего запись биометрических персональных данных на материальный носитель (п. 8 Требований к материальным носителям биометрических персональных данных).

Технологии хранения биометрических персональных данных, которые вы используете, должны обеспечивать, в частности, применение средств электронной подписи (пп. “б” п. 9 Требований к материальным носителям биометрических персональных данных).

При хранении биометрических персональных данных вне информационных систем персональных данных вы должны обеспечить регистрацию фактов несанкционированной повторной и дополнительной записи информации после ее извлечения из такой системы (п. 11 Требований к материальным носителям биометрических персональных данных).

Явно, выполнение этих требований потребует дополнительных ресурсов.

Цели, которые у вас в бизнесе, пишите то, что реально нужно.