У технологий красоты
есть имя — Премиум Эстетикс

Требования о защите персональных данных в условиях режима повышенной безопасности

Как в условиях режима повышенной безопасности соблюсти требования о защите персональных данных в части использования средств измерения для измерения температуры?

10 марта 2020 года Роспотребнадзор разместил информационное письмо № 02/3853-2020-27, согласно которому работодатели должны обеспечить измерение температуры тела работникам на рабочих местах при входе сотрудников в здании компании и в течение рабочего дня, с обязательным отстранением от нахождения на рабочем месте лиц с повышенной температурой.

Однако сведения о температуре тела работника являются его персональными данными. Ведь согласно Федеральному закону от 27.07.2006 N 152-ФЗ  «О персональных данных» персональные данные – это  любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Обработка таких данных без согласия субъекта в соответствии с частью 2.3 ст. 10 Федерального закона «О персональных данных» допускается, если осуществляется в соответствии с законодательством о государственной социальной помощи, трудовым законодательством, пенсионным законодательством Российской Федерации.

В соответствии с абз. 6 ст. 88 Трудового кодекса РФ, работодатель не вправе запрашивать информацию о состоянии здоровья работника, за исключением данных, свидетельствующих о возможности выполнения работником трудовых функций.

Так как указ Мэра Москвы от 5 марта 2020 г. № 12-УМ «О введении режима повышенной готовности» (с последующими изменениями и дополнениями) обязал всех работодатели проводить измерения температуры тела работников с целью их допущения до выполнения трудовой функции, согласия работника на измерение температуры не требуется.

Но как же быть с посетителями клиник, которые не имеют с медицинским учреждением трудовых отношений?

Удивительна позиция Роскомнадзора по данному вопросу. В своем информационном письме Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций от 10 марта 2020 г. указало на следующее: «посетители, не имеющие с организацией трудовых отношений, будут выражать свое согласие на сбор сведений о температуре тела (без идентификации) посредством конклюдентных действий, выражающихся в намерении посетить организацию».

Но на сколько это законно, ведь такой формы дачи согласий на обработку персональных данных не предусмотрено в Федеральном законе «О персональных данных»?

По мнению автора статьи, возможно стоит все же предусмотреть в согласиях на обработку персональных данных соответствующий вопрос, так как информационные письма государственных органов не являются нормативно-правовыми актами, да и суды не так часто, как хотелось бы, принимают их в качестве аргументов для защиты.

Кроме того, Роскомнадзор обязал уведомлять работников, посетителей клиники о проведении измерений температуры тела. С этой целью рекомендуется на входе в клинику разместить соответствующее объявление.

Что же касается сроков хранения данных, то по общему правилу, в случае достижения цели обработки персональных данных клиники обязаны прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, является субъект персональных данных. Обработка персональных данных, связанная с измерением температуры тела, должна быть незамедлительно прекращена, если устранены причины, вследствие которых осуществлялась обработка (ч. 4 ст. 10 Федерального закона от 27.07.2006 N 152-ФЗ  «О персональных данных»).

Позиция же Роскомнадзора отличается от буквы закона: «Показатели тепловизора рекомендуется уничтожать в течение суток после их получения ввиду достижения цели сбора указанных показателей».

Стоит ли прислушиваться к позиции Роскомнадзора или следовать букве закона –  это самостоятельный выбор каждой организации. Мы рекомендуем Вам проанализировать все возможные риски перед принятием решений!

Несоблюдение требований закона по защите персональных данных может повлечь:    

  • наложение на организацию штрафа до 75 000 рублей за каждое нарушение (ст.13.11 КоАП РФ),
  • наложение на должностных лиц штрафа до 10 000 рублей за каждое нарушение (ст.13.11 КоАП РФ),
  • дисквалификация руководителя организации (запрет занимать руководящие должности) на срок до 3х лет,
  • внесение организации в реестр нарушителей прав субъектов персональных данных, который ведет Роскомнадзор.

Мы желаем Вам здоровья, оптимизма в этот нелегкий для всех период!