Допустимость хранения оператором копий документов (паспортов и т.д.) работников и контрагентов
В каких случаях, в целях исполнения требований федеральных законов (имеется установленная законом цель), коммерческая организация вправе снимать и хранить копии документов (н. копию паспорта или других документов) субъектов персональных данных (физических лиц) (работников или клиентов организации)? Например, вправе ли организации снимать и хранить копию паспорта субъекта персональных данных в целях исполнения Федерального закона от 07.08.2001 № 115-ФЗ«О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма»?
В свете положений закона 152-ФЗ описанные в вопросе действия организации по отношению к субъектам (снимать и хранить копии документов) подпадают под определение обработки персональных данных. В соответствии с данным законом обработка персональных данных может осуществляться как с использованием средств автоматизации, так и без таковой. То, в какой форме производился сбор и обработка персональных данных, не влияет на необходимость соблюдения требований закона 152-ФЗ касательно общих принципов и условий (правовых оснований) для такой обработки. В нашем случае сбор и обработка персональных данных могут происходить при помощи фотографирования, с использованием сканеров в электронной форме, либо путем производства бумажных копий. Те же требования закона должны будут соблюдаться, даже если персональные данные субъекта не копируются вместе с его документами, а перепечатываются вручную или переписываются от руки.
В частности, обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей, содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки, а хранение персональных данных должно осуществляться не дольше, чем этого требуют цели обработки персональных данных (ст. 5 закона 152-ФЗ). Условиями (правовыми основаниями) законности такой обработки могут являться: согласие (например, для трудовых отношений), требования закона (в том числе соответствии с требованиями упомянутого в вопросе закона 115-ФЗ), заключение и исполнение договора, участие в судопроизводстве и т.д. (полный перечень условий – см. ч. 1 ст. 6 закона 152-ФЗ).
Закон не содержит ограничений для операторов в отношении конкретных способов сбора и хранения персональных данных, если соблюдены принципы обработки и имеются соответствующие правовые основания. Основной риск для организации-оператора в нашем случае заключается в том, что при копировании документа в копии могут попасть данные, которые не имеют отношение к заявленным целям обработки. Например, при копировании паспорта к организации-оператору помимо основных реквизитов документа могут попасть сведения о семейном положении субъекта, предыдущих местах жительства, группе крови и т.д. Это подтверждается практикой проверок Роскомнадзора, в частности, в отношении сбора и хранения персональных данных работников. При этом Роскомнадзор не запрещает хранить персональные данные в копиях документов, но требует ограничить их объем легитимными целями обработки даже несмотря на наличие согласия работников в отношении «избыточной» части этих данных.
Кроме этого, иногда копирование документов производится в подтверждение идентификации лиц, совершающих юридически значимые действия, или для корректного переноса персональных данных в другие базы и информационные системы организации. В таких случаях оператором может быть нарушен допустимый срок хранения персональных данных или, при переносе персональных данных в иной формат, возникнет дублирующая база данных, что потребует дополнительных организационных и технических мер по защите и последующему уничтожению обеих версий. Необходимо также обратить внимание, что утечка персональных данных с копиями документов несет для субъектов гораздо большие риски, связанные с мошенничеством или иным незаконным использованием их персональных данных, чем утечка персональной информации без таких копий.
Но главное, при снятии копий документов оператор должен убедиться в отсутствии в них данных, выходящих за пределы заранее определенных и законных целей обработки. В случае обнаружения «избыточных» данных необходимо их удалить там, где это технически возможно, либо скрыть, исключив возможность последующего восстановления. Если то и другое сделать нельзя, тогда следует отказаться от копирования документов, произведя сбор требуемых персональных данных иным законным способом.
Ответ подготовил Владимир Скурыдин (14.12.2020)