Напомним, что с лета 2025 г. застройщики должны осуществлять пропуск на стройплощадках г. Москвы через БПДн СКУД. Подробнее рассказали в канале https://t.me/privacyexpert/1777.
Помимо вопросов, связанных с необходимостью оформления письменных согласий на обработку биометрических персональных данных для пропуска, открытым остается вопрос и о согласии по ч. 3 ст. 6 152-ФЗ в случае привлечения подрядчика, который обеспечивает установку и обслуживание СКУД на стройплощадках.
Вопросы Минцифры России и Роскомнадзору
1. Относится ли деятельность привлекаемого застройщиком третьего лица по обеспечению функционирования и установки биометрических СКУД к деятельности по противодействию терроризму и повышению антитеррористической защищенности на строительных площадках, предусмотренных НПА г. Москвы?
2. Может ли осуществляться застройщиком и привлекаемым им третьим лицом обработка биометрических персональных данных, включая поручение обработки этому третьему лицу, и передачу в соответствующие ГИС города Москвы, без согласия субъекта персональных данных в связи с обеспечением функционирования и установки биометрических СКУД на КПП строительных площадок (в целях противодействия терроризму и повышения антитеррористической защищенности) в соответствии с НПА города Москвы?
Ответ Роскомнадзора в части согласий на обработку биометрических персональных данных
Согласно ч. 1 ст. 11 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее - Закон) обработка биометрических персональных данных допускается при наличии согласия в письменной форме субъекта персональных данных, за исключением случаев, предусмотренных ч. 2 ст. 11 Закона.
При этом, согласно ч. 2 ст. 11 Закона обработка биометрических персональных данных может осуществляться без согласия субъекта персональных данных в связи с реализацией международных договоров Российской Федерации о реадмиссии, в связи с осуществлением правосудия и исполнением судебных актов, в связи с проведением обязательной государственной дактилоскопической регистрации, обязательной государственной геномной регистрации, а также в случаях, предусмотренных законодательством Российской Федерации об обороне, о безопасности, о противодействии терроризму, о транспортной безопасности, о противодействии коррупции, об оперативно-разыскной деятельности, о государственной службе, уголовно-процессуальным, уголовно-исполнительным законодательством Российской Федерации, законодательством Российской Федерации о порядке выезда из Российской Федерации и въезда в Российскую Федерацию, о гражданстве Российской Федерации, о правовом положении иностранных граждан в Российской Федерации, о миграционном учете иностранных граждан и лиц без гражданства в Российской Федерации, законодательством Российской Федерации о нотариате.
В соответствии с 2.2.16 постановления Правительства Москвы от 19.05.2015 № 299 «Об утверждении Правил проведения земляных работ, установки временных ограждений, размещения временных объектов в городе Москве» в подготовительный период до начала основных работ необходимо в соответствии с проектом проведения (производства) работ осуществить следующие мероприятия по обустройству места проведения работ по установлении биометрических систем контроля и управления доступом с использованием изображения лица человека, получаемого с помощью фотовидеоустройств, на всех контрольно-пропускных пунктах строительных площадок на территории города Москвы.
Согласно п. 2.3 распоряжения Департамента информационных технологий г. Москвы, Департамента градостроительной политики г. Москвы от 27.06.2025 № 64-16-307/25/22 «Об утверждении Порядка функционирования и установки биометрических систем контроля и управления доступом на контрольно-пропускных пунктах строительных площадок и Технических требований к биометрическим системам контроля и управления доступом, устанавливаемым на контрольно-пропускных пунктах строительных площадок», утвержденных в соответствии с решением Антитеррористической комиссии города Москвы от 30.04.2025 г. в целях повышения антитеррористической защищенности на строительных площадках (далее – Распоряжение) передача информации из биометрических СКУД осуществляется после заключения соответствующего соглашения о передаче данных с биометрических СКУД на контрольно-пропускных пунктах строительных площадок в городе Москве в государственные информационные системы и ресурсы города Москвы по форме согласно приложению 1 к настоящему Порядку.
Разделом 3 Распоряжения установлены требования к составу, формату и способу передачи данных.
Таким образом, в рассматриваемом случае обработка биометрических персональных данных, при наличии условий, предусмотренных действующим законодательством Российской Федерации о противодействии терроризму, и в объёме, предусмотренном соответствующим действующим законодательством Российской Федерации, не будет требовать дополнительного получения согласия на обработку персональных данных.
Относительно обработки персональных данных третьим лицом, действующим на основании договора поручения на обработку персональных данных сообщаем, что в соответствии с ч. 3 ст. 6 Закона оператор вправе поручить обработку персональных другому лицу с согласия субъекта персональных данных, на основании заключаемого с этим лицом договора, если иное не предусмотрено федеральным законом (далее – поручение).
При этом согласие субъекта на обработку персональных данных в рассматриваемом случае не требуется, если поручение обработки персональных данных третьему лицу прямо предусмотрено положениями законодательства Российской Федерации. В иных случаях обработка персональных данных субъектов по поручению оператора может осуществляться третьим лицом с согласия указанных субъектов персональных данных и на основании договора-поручения.
Передача персональных данных в СКУД на контрольно-пропускных пунктах строительных площадок в городе Москве в адрес государственных информационных систем, в порядке, предусмотренном Распоряжением, в рассматриваемом случае не потребует согласия на обработку персональных данных.
Одновременно информируем, что в соответствии с абзацем шестым пункта 1 Положения о Министерстве цифрового развития, связи и массовых коммуникаций Российской Федерации, утвержденного постановлением Правительства Российской Федерации от 02.06.2008 № 418, федеральным органом исполнительной власти, осуществляющим регулирование в сфере идентификации и аутентификации физических лиц на основе биометрических персональных данных, является Министерство цифрового развития, связи и массовых коммуникаций Российской Федерации.
Отметим, что прямого указания в НПА города Москвы возможности привлечения подрядчиков для исполнения обязанностей застройщика по биометрическим СКУД не предусмотрено. В этой связи, исходя из содержания ответа (позиция РКН), согласие на обработку биометрических персональных данных в связи с привлечением "обработчика" должно собираться. А вот для последующей передачи в соответствующие ГИС города Москвы согласие не нужно.
Ответ Минцифры России по вопросам применения биометрических СКУД на строительных площадках г. Москвы
1. Согласно части 1 статьи 11 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее – Закон № 152) биометрические персональные данные, которые используются оператором для установления личности субъекта персональных данных, могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных, за исключением случаев, предусмотренных частью 2 указанной статьи.
При этом обработка биометрических персональных данных в целях идентификации и (или) аутентификации физических лиц автоматизированным способом регулируется Федеральным законом от 29 декабря 2022 г. № 572-ФЗ «Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, о внесении изменений в отдельные законодательные акты Российской Федерации и признании утратившими силу отдельных положений законодательных актов Российской Федерации» (далее – Закон № 572).
Действие Закона № 572 не распространяется на отношения, возникающие при осуществлении идентификации и (или) аутентификации с использованием биометрических персональных данных физических лиц, которые определены частью 2 статьи 1 указанного федерального закона.
Так, действие подпункта «б» пункта 1 части 2 статьи 1 Закона № 572 распространяется на отношения, возникающие при осуществлении идентификации и (или) аутентификации с использованием биометрических персональных данных физических лиц, если такие процессы осуществляются уполномоченными на то органом или организацией непосредственно в целях обороны страны, обеспечения безопасности государства и охраны правопорядка, а также реализации внешней политики.
Таким образом, полагаем, что деятельность привлекаемого застройщиком третьего лица по обеспечению функционирования и установки систем контроля и управления доступом с использованием биометрических персональных данных, не относится к исключениям, перечисленным в части 2 статьи 1 Закона № 572.
2. Отношения, складывающиеся в связи с осуществлением идентификации и (или) аутентификации с использованием биометрических персональных данных физических лиц при проходе на территории организаций, регулируются статьей 13 Закона № 572.
В соответствии с частью 1 статьи 13 Закона № 572 для целей идентификации и (или) аутентификации с использованием биометрических персональных данных физических лиц при проходе на территории организаций, перечисленных в части 1 статьи 13 Закона № 572, посредством использования информационных систем, обеспечивающих функционирование контрольно-пропускных пунктов, может использоваться исключительно единая биометрическая система.
Организации, не относящиеся к организациям, перечисленным в части 1 статьи 13 Закона № 572, для осуществления аутентификации с использованием биометрических персональных данных физических лиц при проходе на территории таких организаций могут использовать как единую биометрическую систему, так и региональные сегменты единой биометрической системы в случаях, установленных Правительством Российской Федерации в соответствии с частью 12 статьи 5 Закона № 572, информационные системы аккредитованных государственных органов, Центрального банка Российской Федерации (в случае прохождения им аккредитации), аккредитованных организаций, осуществляющих аутентификацию на основе биометрических персональных данных физических лиц с применением векторов единой биометрической системы.
При этом согласно части 1 статьи 4 Закона № 572 размещение биометрических персональных данных физических лиц в единой биометрической системе осуществляется исключительно с согласия таких лиц. Дальнейшее использование биометрических персональных данных физического лица также допускается исключительно при наличии соответствующего согласия такого физического лица в соответствии с частью 5 статьи 5, частью 3 статьи 9, частью 1 статьи 10, пунктом 5 части 3 и частью 4 статьи 16, пунктом 6 части 6 статьи 26 Закона № 572.
Таким образом, если организация не относится к исключениям, на которые в соответствии с частью 2 статьи 1 Закона № 572 не распространяется указанный федеральный закон, а также осуществляет обработку биометрических персональных данных, соответствующих всем видам или только одному из видов, размещаемых в единой биометрической системе (изображение лица человека, полученное с помощью фотовидеоустройств, запись голоса человека, полученная с помощью звукозаписывающих устройств), в целях идентификации и (или) аутентификации, то соблюдение такой организацией положений указанного федерального закона является обязательным.
