Законно ли бизнес–центры изучают удостоверения личности своих посетителей, не получая у них предварительно согласие на обработку персональных данных?
Неизвестно, что будет после эпидемии с бизнес–центрами (некоторые считают, что всем понравится работать дома и спрос на офисы заметно упадет). Но известно: подавляющее большинство тех, что выживут, будут, как и прежде, спрашивать у посетителей удостоверения личности, переписывать их данные и хранить в явно не самых защищенных местах. При том, с какой щепетильностью российское законодательство относится к вопросам охраны персональных данных, правомерность таких действий выглядит сомнительной. "ДП" выяснил у юристов, как регламентируется оборот персональных данных в этом случае и чем грозит их утечка.
Не хочешь — не ходи
Как отмечает Ксения Смирнова, юрист российской практики Dentons в области ИС, ИТ и телекоммуникаций, главным законом, на основании которого организуется пропускной режим в БЦ и офисные здания, является ФЗ № 152 "О персональных данных" (июль 2006 года). Также он регламентирован постановлением правительства РФ "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации" (сентябрь 2008 года).
Если же в БЦ проверку посетителей ведет сотрудник охранного предприятия, то в этом случае применяется еще и ФЗ № 2487–1 "О частной детективной и охранной деятельности в РФ" (март 1992 года).
В целом эксперты сходятся в том, что само по себе требование предъявить паспорт при входе в БЦ не нарушает прав человека.
"Не получив у субъекта персональных данных согласие на их обработку, сотрудники могут его не пускать, если это предусмотрено локальными нормативно–правовыми актами (правила посещения, правила доступа и т. д.), которые применяются данной компанией. Бизнес–центры, как правило, не являются публичным местом, открытым для посещения. Поэтому нарушения прав гражданина, не допущенного в бизнес–центр, в данном случае я не вижу", — говорит старший юрист Юридической конторы Гессена Георгий Мелков.
Дьявол в деталях
Однако в этой процедуре большую роль играют детали. "Столкнувшись с некой обработкой персональных данных, без понимания бизнес–процессов оператора зачастую сложно с ходу сказать: “это законно” или “это незаконно”. За исключением очевидных случаев, скажем, данные запрашиваются в избыточном объеме. К примеру, для доступа в помещение бизнес–центра требуется предоставить информацию о сексуальной ориентации или вероисповедании — очевидно, что это излишняя информация и требовать ее у вас не имеют права", — отмечает старший юрисконсульт центра обработки данных Linxdatacenter Ольга Ермакова.
Вместе с тем юрист адвокатского бюро "S&K Вертикаль" Анастасия Гурина полагает, что требование охранников БЦ в большинстве случаев незаконно. "Для обеспечения безопасности сотрудники БЦ вправе потребовать показать паспорт, если он указан как документ, дающий право прохода в БЦ. Но занесение паспортных данных посетителя в журнал или компьютерную систему уже не охватывается правом!" — говорит госпожа Гурина. По ее оценке, закон вообще не регламентирует порядок доступа в БЦ, поэтому если посетитель отказывается передать паспорт охраннику или сотруднику, а ему отказывают в доступе, то такой отказ "грубейшим образом нарушает права" посетителя, добавляет юрист. А вот если человек самостоятельно продиктовал свои паспортные данные на ресепшене БЦ, то это будет вполне законным. "Такими действиями посетитель выражает свое согласие на обработку персональных данных", — поясняет юрист адвокатского бюро "S&K Вертикаль".
Как — не скажу
Управляющие бизнес–центрами достаточно тяжело комментируют эту проблему. "Да, мы собираем эти данные, да, мы знаем, что это незаконно, но это вопрос безопасности", — неофициально говорят они. В некоторых бизнес–центрах, например в офисном центре "СПБВБ" на Большом проспекте, данные просто фотографировались. Впрочем, часть бизнесменов официально утверждают, что не собирают паспортные данные на входе. "У нас этой процедуры нет", — заявил "ДП" Дмитрий Золин, управляющий сетью бизнес–центров "Сенатор". "Мы решили эту проблему. Но как — не скажу, приходите сами и смотрите", — говорит Игорь Водопьянов, владелец УК "Теорема".
По оценке Ольги Ермаковой, значительная часть компаний, функционирующих на российском рынке, требования закона не знает и не соблюдает. "Нормальные процессы по обработке и защите данных у них отсутствуют. Наладить процессы на текущий момент стоит минимум в 2 раза дороже, чем суммарный штраф, который в большинстве случаев может получить оператор за все нарушения (не берем в расчет нарушение требования о локализации баз данных на территории РФ, за что законом с декабря 2019 года установлена ответственность до 18 млн рублей). Далее — процессы надо поддерживать, это тоже стоит денег. Ситуация меняется, но медленно", — добавляет Ольга Ермакова.
Лучше рекламой
"Если бизнес–центр (компания) не обеспечил защиту конфиденциальности персональных данных посетителей, то последствия могут быть разнообразными", — говорит Ксения Смирнова. Если произойдет утечка номера телефона или адреса электронной почты, то их владельца просто настигнет вал рекламы. Однако в случае с паспортными данными такие последствия, как предполагает Ксения Смирнова, лежат в уголовно–правовой сфере: злоумышленники могут использовать их в различных мошеннических схемах. Скорее всего, впоследствии правоохранители разберутся в этой ситуации, однако как минимум неприятные хлопоты человеку будут обеспечены.
По оценке юристов, гражданин, не согласный с требованиями сотрудников БЦ, может обратиться с жалобой в Роскомнадзор, который проверит обоснованность действий и может отозвать разрешение на обработку персональных данных. Судебных процессов именно с БЦ о защите персональных данных юристы не фиксируют. Однако, как отметил Георгий Мелков, граждане судятся с ТСЖ, энергетическими компаниями, банками, требуя от них прекратить обработку их персональных данных.
“
По личному опыту, в бизнес–центрах, например, в Европе паспорт посетителей для прохода не требуют и уж тем более его данные не копируют. Это может быть вызвано большим уровнем осознанности компаний, собирающих персональные данные, связанным с более серьезной ответственностью за нарушение законодательства о защите персональных данных (с 2018 года в ЕС действует Общий регламент по защите данных (GDPR), который устанавливает многомиллионные штрафы за нарушение требований закона при обработке персональных данных). Очевидно, что в условиях работающего механизма ответственности за нарушение законодательства быстро находятся способы обеспечения безопасности бизнес–центра, которые не предполагают избыточного копирования и дальнейшей обработки паспортных данных всех посетителей.
Наталия Беломестнова
Советник, руководитель направления "Персональные данные и реклама" Bryan Cave Leighton Paisner Russia
“
Согласие на обработку персональных данных получать необходимо во всех случаях. Но есть исключения — например, "когда обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных". В нашем случае это вопросы обеспечения безопасности, профилактики правонарушений, обеспечения сохранности имущества в офисном здании. Для полноценного соблюдения всех требований мы приняли локальный нормативный акт, устанавливающий цель обработки персональных данных, определили круг лиц, имеющих доступ к персональным данным. Для обработки персональных данных и обеспечения их надлежащей охраны у нас есть ответственный и уполномоченный сотрудник.
Николай Антонов
Генеральный директор "МТЛ. Управление недвижимостью" (БЦ "Авеню", "Адмирал", "Таймс")