menu
+7 (495) 777-66-90
Продукты
Продукты
Privacy Box
Privacy Check
close
Menu
02
База знаний
05
Документы
События
Услуги
01
Защита персональных данных по 152-ФЗ
Защита критической информационной инфраструктуры (КИИ) по 187-ФЗ
Ежемесячная поддержка и аутсорсинг функции ответственного
Защита от утечек
Международное privacy: GDPR, CCPA, Казахстан, ОАЭ, Беларусь
О нас
04
О компании
Наши реквизиты
Что о нас говорят
Лицензии и награды
Вакансии
2024
Web design by Jekyll&Hyde
Web development by Ivan Romanov
Контакты
Москва,
ул. Земляной Вал, 8, SOK Земляной Вал
Youtube
telegram
VC
ОСТАВИТЬ ЗАЯВКУ
+7 (499) 372-06-52
info@b-152.ru
phone
e-mail:
info@b-152.ru
Облачная безопасность
Обучение
03
Курс DPO
Контакты
Курс "Персональные данные. Старт"
Защита данных по требованиям ЦБ

Фотография как персональные данные: когда привычное становится объектом правового регулирования

лонгриды
13.01.2023
11/09/25
Б-152
Лонгриды
События /
Фотография как ПДн: когда привычное становится объектом правового регулирования
Большинство людей воспринимает фотографии как часть повседневной работы — иллюстрации на сайте, снимки с мероприятий, бейджи сотрудников. Однако, с точки зрения закона это не просто изображение.
Фотография может представлять собой персональные данные, а значит, ее использование подчиняется требованиям Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных». Несоблюдение этих требований может привести к административной ответственности и в буквальном смысле обернуться для компании убытками.
Когда фотография становится персональными данными
Почему это не формальность, а юридическая обязанность
Содержание
А если на фотографии строится идентификация? Тогда это уже биометрия
Что это означает на практике?
Что произойдет, если проигнорировать эти требования?
Что можно и нужно сделать
Кто отвечает за фото в компании: зона ответственности по ролям
Резюме
Когда фотография становится персональными данными
Почему это не формальность, а юридическая обязанность
Содержание
А если на фотографии строится идентификация? Тогда это уже биометрия
Что это означает на практике?
Что произойдет, если проигнорировать эти требования?
Что можно и нужно сделать
Кто отвечает за фото в компании: зона ответственности по ролям
Резюме

Когда фотография становится персональными данными

Согласно пункту 1 статьи 3 Закона № 152‑ФЗ, под персональными данными понимается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу.
Если по изображению можно установить личность человека, то речь идет о персональных данных. Классический пример: фотография, на которой видны лицо, индивидуальные черты внешности, рабочий бейдж, подпись или даже имя в описании снимка.
Примеры, когда фото — это уже персональные данные:
  • Снимок сотрудника в разделе «О компании» на сайте с именем или должностью.
  • Фото клиента в кейсе или отзыве, где указаны его имя и род деятельности.
  • Изображения посетителей, попавшие под автоматическую обработку системой видеонаблюдения с функцией распознавания лиц.
  • Фотографии, сделанные для оформления пропуска, анкеты при приеме на работу, личной карточки или служебного удостоверения.
Если изображенный человек узнаваем, и фото используется в бизнес-процессах (например, публикуется в интернете, хранится в CRM, передаётся подрядчику), вы обязаны соблюдать требования обработки персональных данных.

Почему это не формальность, а юридическая обязанность

Некоторые компании ошибочно полагают, что размещение фото на сайте или использование снимков внутри компании является обычной практикой и не требует специальных процедур. Однако закон не делает исключений: любое использование персональных данных должно происходить на законных основаниях.
Это означает, что оператор (компания или ИП, осуществляющий обработку ПДн) обязан:
1. Обосновать правомерность обработки — в частности, получить согласие субъекта (например, письменное или электронное согласие на размещение фото на сайте), либо иметь иное основание из статьи 6 Закона № 152‑ФЗ (например, заключение трудового договора, необходимость исполнения договора по инициативе субъекта и т. д.). Согласие должно быть конкретным, информированным и добровольным, а также оформлено надлежащим образом.
2. Обеспечить безопасность фото как персональных данных — в том числе при их хранении в электронных системах (например, в корпоративной CMS или в облаке), если изображение связано с ФИО, должностью или иными сведениями. Это требует оценки уровня защищенности, внедрения организационных и технических мер, а в ряде случаев и оформления ИСПДн и ее паспортизации.
3. Не передавать фото третьим лицам без основания — например, нельзя просто так переслать снимки подрядчику (например, дизайнеру или SMM-агентству), если у вас нет соответствующего договора поручения с требованиями по конфиденциальности. Размещение фото в соцсетях, публичный доступ к ним — все это также является распространением персональных данных и требует отдельного согласия.

А если на фотографии строится идентификация? Тогда это уже биометрия

Важно понимать: не каждое изображение — это биометрические персональные данные.
По официальной позиции Роскомнадзора от 09.03.2022 № 9267‑12/78, фото не считаются биометрией, если не используются в целях автоматизированной идентификации личности. То есть сам по себе снимок на бейдже, в личном деле, в пропускной анкете или даже в разделе «О команде» на сайте — это персональные данные, но не биометрические.
Однако все меняется, если компания применяет систему видеонаблюдения с функцией распознавания лиц или иную технологию, при которой фото или видеопоток автоматически сопоставляется с конкретным человеком с целью идентификации. В этом случае речь уже идет о биометрических ПДн, а к ним предъявляются отдельные, более жесткие требования.

Что это означает на практике?

Собирать биометрические персональные данные (БПД) имеют право только ограниченные операторы и только для целей, предусмотренных законом. При этом сами БПД в виде исходных фото или записей не хранятся у оператора на постоянной основе, а вносятся в Единую биометрическую систему (ЕБС), оператором которой является назначенная Правительством Р Ф организация — АО «Центр Биометрических Технологий».
Сбор БПД осуществляется лично и только с использованием сертифицированных устройств, одобренных ФСТЭК и ФСБ. По видеосвязи (ВКС) собрать биометрию нельзя; присланная фотография «как на паспорт» также не подходит. При сборе данные преобразуются в математические векторы и передаются в ЕБС через защищенный канал связи.
Точка доступа для сбора БПД должна соответствовать ряду требований:
  • использование защищенных каналов связи и подключений только к шлюзу ЕБС;
  • полный контроль доступа к оборудованию;
  • отсутствие доступа в интернет с устройств, на которых производится сбор;
  • техническая и физическая защита средств сбора.
Если компания осуществляет сбор БПД (например, фото или видео для распознавания лица), она обязана:
  1. Получить согласие на обработку БПД — письменное, информированное и добровольное, с указанием цели биометрической идентификации (ч. 1 ст. 11 152-ФЗ). Это не «галочка» в общем согласии на ПДн, а отдельная процедура.
  2. Уведомить Роскомнадзор о начале обработки БПД до начала их сбора. В уведомлении обязательно указать, что обрабатываются именно биометрические персональные данные, и прописать цель, правовое основание, категории данных, меры защиты и перечень лиц с доступом.
  3. Применять специальные меры защиты при сборе: использовать сертифицированное ПО и оборудование, обеспечивать шифрование каналов, разграничение прав доступа, регистрацию действий пользователей и защиту помещений, где ведется сбор.
Для IT-директоров, системных администраторов и DPO ключевой акцент здесь — требования к системам, через которые происходит сбор биометрии. Любая ошибка в архитектуре или нарушенная цепочка защиты может привести к утечке, причем в случае с БПД последствия и санкции будут максимальными.

Что произойдет, если проигнорировать эти требования?

Обработка фотографии, собранной без законного основания, уже является нарушением законодательства о персональных данных. Но особенно важно учитывать нюансы, если речь идет о распространении таких данных.
Для целей 152-ФЗ распространением считается предоставление доступа к персональным данным неограниченному кругу лиц. Это значит, что:
  • Разместить фото на внутреннем корпоративном портале, доступном только авторизованным сотрудникам, — не будет распространением.
  • А вот оставить возможность для пользователей приложения добавлять фотографии, которые могут видеть любые посетители без регистрации, — это уже распространение.
Для распространения персональных данных, включая фотографии, требуется отдельное согласие, отличное от обычного согласия на обработку ПДн (ст. 10.1 152-ФЗ). Оно должно быть оформлено самостоятельно, с четким указанием, что данные разрешены для распространения, и с возможностью установить ограничения (например, запрет на передачу третьим лицам или на использование в рекламных целях).
Игнорирование этих требований влечет административную ответственность, а при работе с чувствительными категориями данных еще и повышенные санкции. Для бизнеса это не только штрафы, но и репутационные потери, особенно в случае утечек или жалоб пользователей, которые не давали согласия на публичный доступ к своим данным.
Если фото используется в рабочих целях без согласия или вне рамок допустимого договора, это неправомерная обработка персональных данных. Последствия:
  • За незаконное размещение изображения субъекта ПДн (например, фото сотрудника на сайте или клиента в соцсетях) предусмотрен штраф до 300 000 рублей для компании — по ч. 1 ст. 13.11 КоАП РФ.
  • В случае утечки изображений, если они позволяют идентифицировать от 10 000 человек и более — сумма штрафа может составлять от 3 до 5 миллионов рублей (ч. 12 ст. 13.11 КоАП РФ)
  • Если утечка затронула биометрические данные — например, фото из системы распознавания лиц — штраф увеличивается до 15−20 миллионов рублей
  • А если подобное нарушение уже случалось ранее, и оператор повторно допустил утечку, возможно применение санкций до 3% годовой выручки, но не менее 20 миллионов рублей (ч. 15 и 18 ст. 13.11 КоАП РФ)
Причем штраф не всегда самая большая угроза. Проверку может инициировать любой субъект персональных данных: сотрудник, клиент, партнер. Достаточно жалобы в Роскомнадзор, и ваша организация должна быть готова подтвердить, что:
  • согласие на фото или биометрию получено и документально оформлено,
  • ИТ-среда защищена,
  • договоры с подрядчиками оформлены корректно,
  • уведомление в Роскомнадзор направлено.

Что можно и нужно сделать

Вне зависимости от вашей должности, вот базовый план действий, который защитит и людей, и компанию:
1. Пересмотрите, где в компании используются фотографии
  • Внутренние документы, CRM, ERP
  • Сайт и соцсети
  • Презентации, рекламные макеты, отчеты
  • Видеонаблюдение и пропускные системы
2. Убедитесь, что есть правовое основание
  • Подавляющее большинство случаев требует специального основания для обработки — согласия субъекта персональных данных (СОПД). Особенно это критично при размещении фотографий в открытых источниках, где без согласия никак.
  • Для внутренних целей, таких как организация пропускного режима или ведение личных дел, можно опираться на законный интерес или СОПД. Однако важно понимать: для оформления пропуска фото действительно необходимо, а вот для личного дела — нет. В любом случае, если вы включаете фото в состав обрабатываемых данных, нужно подавать уведомление в Роскомнадзор.
3. Подрядчики = зона риска
Если вы передаете фотографии подрядчику, будь то агентство, SMM-команда или фрилансер, оформите с ним поручение на обработку персональных данных в соответствии с ч. 3 ст. 6 152-ФЗ.
4. Объясните правила команде
  • Всем, кто имеет дело с фото: HR, маркетингу, PR, фотографам.
  • Подготовьте шаблоны согласий и чек-лист для публикаций.
В поручении необходимо:
  • указать конкретные цели обработки;
  • прописать перечень передаваемых данных (например, фотоизображения сотрудников или клиентов);
  • обозначить сроки обработки и условия уничтожения данных;
  • установить запрет на распространение данных без отдельного согласия субъекта;
  • закрепить обязанность соблюдать меры защиты, в том числе технические и организационные.
Идеальный вариант — если подрядчик публично размещает на своем сайте или в ином доступном месте информацию о наличии запретов и условий обработки персональных данных, разрешенных субъектом для распространения. Такой текст должен содержать:
  • перечень категорий данных, которые подрядчик обрабатывает;
  • сведения о запретах и ограничениях на их использование;
  • указание, что обработка ведется строго в рамках поручения и в интересах заказчика;
  • контактную информацию для реализации прав субъектов ПДн.
Такой подход не только снижает риск претензий к вам как к оператору, но и помогает продемонстрировать регулятору, что вы обеспечили контроль за подрядчиком на уровне, предусмотренном законом.

Кто отвечает за фото в компании: зона ответственности по ролям

Обработкой фотографий занимается не одно подразделение. Снимок может пройти через HR, ИТ, маркетинг, внешнего подрядчика и попасть в публичный доступ. А значит, ошибка на любом этапе станет риском для всей организации. Важно понимать, кто за что отвечает.
Генеральный директор. Финальная зона ответственности
Именно руководитель несет ответственность перед регулятором за организацию обработки персональных данных. В случае проверки или инцидента именно к нему будет обращён запрос Роскомнадзора, а при выявлении нарушений возможны санкции по ст. 13.11 КоАП РФ.
HR-отдел. Формирует и собирает согласия, ведет кадровую документацию
Именно HR чаще всего первым получает фотографии сотрудников: для личных дел, пропусков, внутреннего портала. Он обязан:
  • убедиться, что согласие оформлено корректно и соответствует целям;
  • хранить его надлежащим образом;
  • контролировать, как и где фото используется.
Юрист / комплаенс-офицер. Обеспечивает правовую чистоту обработки
Именно он:
Подрядчик (например, дизайнер, маркетолог, агентство)
Если подрядчик получает доступ к фотографиям (например, для создания презентаций, публикаций или администрирования сайта), он должен быть признан обработчиком персональных данных.
В таком случае с ним обязательно заключается поручение на обработку персональных данных в соответствии с ч. 3 ст. 6 152-ФЗ. В поручении необходимо:
  • четко определить цели и условия обработки;
  • указать перечень обрабатываемых данных (например, фотоизображения сотрудников или клиентов);
  • зафиксировать требования по защите данных: как организационные, так и технические;
  • предусмотреть порядок взаимодействия, включая меры при выявлении инцидентов безопасности;
  • при необходимости, перечислить субобработчиков, если они привлекаются для выполнения работ.
Наличие такого поручения позволяет формализовать отношения с подрядчиком, обеспечить выполнение им требований закона и снизить риск претензий к вам как к оператору.
  • проверяет наличие правовых оснований для использования фото (согласие, договор, иной пункт ст. 6 закона № 152-ФЗ);
  • разрабатывает шаблоны согласий и уведомлений;
  • сопровождает юридические риски, в том числе при взаимодействии с подрядчиками.
ИТ-директор
Отвечает за техническую безопасность фотографий, если они хранятся или обрабатываются в информационных системах персональных данных (ИСПДн).
Его зона ответственности:
  • защита каналов передачи и мест хранения (CRM, облако, внутренний портал);
  • контроль доступа к данным;
  • реализация мер в соответствии с моделью угроз;
  • участие в моделировании уровня защищенности (например, при фото в базе пропускной системы).

Резюме

Простое изображение стало полноценным объектом правового регулирования. Фотография — это цифровой актив, за который организация несёт ответственность как оператор персональных данных. Простое правило:
Хорошая новость: вы можете быстро навести порядок. Проверьте:
  • оформлены ли согласия (и соответствуют ли они целям),
  • закрыты ли все поручения с подрядчиками,
  • есть ли защита в ИТ-системах.
Обновите шаблоны, проконсультируйтесь с юристом и продолжайте использовать фотографии легально и спокойно.
Если человека можно узнать на фото — это уже персональные данные. А если фото используются неправомерно, штраф неизбежен.
Ввод оборотных штрафов за утечки откладывается минимум до 1 июля 2023 года
Подписывайтесь на наш Telegram-канал, чтобы быть в курсе последних новостей и событий!
реклама
бизнес
юридические вопросы
маркетинг
Материалы по теме