Контакты
Подписка 2025

Персональные данные на корпоративных мероприятиях: что скрывается за кадром

Алексей Майоров, 09/01/25

Ужесточение норм ответственности операторов за неправомерную обработку персональных данных в 2024 г. заставляет искать новые способы минимизировать риски в этой области. В преддверии новогодних корпоративов для многих организаций становится актуальным вопрос избегания штрафов при размещении фотографий, полученных при проведении мероприятия.

Автор: Алексей Майоров, юрист в области информационного права юридической компании Lukash&Partners

Перечень оснований для обработки персональных данных без согласия субъекта персональных данных установлен с ч. 2 по ч. 11 ст. 6 закона № 152-ФЗ, в остальных случаях за обработку без согласия предусматривается ответственность по ч. 2 ст. 13.11 КоАП РФ.

ris1_w

Что говорит законодательство?

Российское законодательство допускает обнародование фотографии или видеозаписи гражданина без его согласия в случае, если изображение было получено на публичном мероприятии, кроме случаев, когда такое изображение является основным объектом использования (п. 2 ч. 1 ст. 152.1 ГК РФ). Вместе с тем законодательство устанавливает, что для распространения персональных данных субъекта (например на сайте компании) требуется его согласие (ч. 1 ст. 10.1 закона № 152-ФЗ), составленное с учетом требований к содержанию такого документа от Роскомнадзора (приказ от 24.02.2018 № 18). В связи с этим возникает закономерный вопрос: относится ли изображение гражданина на фотографии или на видеозаписи к персональным данным?

Является ли изображение гражданина персональными данными?

Как разъяснял Роскомнадзор, отнесение фотографии или видеозаписи к персональным данным зависит от цели обработки такой информации. Если оператор использует изображение для идентификации лица, то оно будет рассматриваться в качестве биометрических персональных данных по ч. 1 ст. 11 закона № 152-ФЗ (письмо Роскомнадзора от 29.08.2022 № 0878032). Если фотография обрабатывается вместе с другими сведениями о человеке, то фотография будет являться персональными данными, обрабатываемыми совместно с другими персональными данными (не биометрическими).

Если же такой цели нет, изображение не содержит других относимых к персоне сведений, получено при проведении публичного мероприятия, не является основным объектом использования и не предназначено для идентификации изображенного лица, то такая фотография или видеозапись не рассматривается в качестве персональных данных.

Но что подразумевает Гражданский кодекс под понятием "публичное мероприятие"?

Подходы к понятию "публичное мероприятие"

Гражданский кодекс в определении понятия "публичное мероприятие" ограничивается приведением примеров, называя в качестве таковых собрания, съезды, конференции, концерты, представления, спортивные соревнования и подобные мероприятия. При этом признак открытости не является в данном случае их определяющим свойством, поскольку публичное мероприятие и место, открытое для свободного посещения, рассматриваются в качестве двух разных понятий (п. 2 ч. 1 ст. 152.1 ГК РФ).

Иной подход содержится в законе № 54-ФЗ, где термин "публичное мероприятие" обладает отличительными признаками, такими как открытость, целенаправленность, наличие определенной формы выражения (п. 1 ст. 2 закона № 54-ФЗ). Открытость означает доступность каждому для участия, цель связана со свободным выражением и формированием мнений, участием в политической, экономической, социальной и культурной жизни страны, а форма выражается через такие способы проведения, как собрание, митинг, демонстрация, шествие или пикетирование.

Несмотря на наличие двух разных подходов к трактовке понятия "публичное мероприятие", использовать дефиницию, изложенную в законе № 54-ФЗ, применительно к отношениям по обработке персональных данных нельзя, поскольку заявленная цель данного правового регулирования заключается в упорядочении отношений в общественно-политической сфере, включая проведение таких акций для предвыборной агитации или агитаций по вопросам референдума (ст. 1 закона № 54-ФЗ).

Исходя из трактовки Гражданского кодекса, публичное мероприятие необязательно должно быть свободным для посещения, и некоторые ограничения на участие могут устанавливаться. Например проведение только для лиц, приобретших билеты на концерт.

Судебная практика

С точки зрения судебной практики корпоративные мероприятия подпадают под определение "публичные мероприятия".

Пленум Верховного суда в своем постановлении разделяет понятия "места, открытые для свободного посещения", под которыми он рассматривает судебные заседания, и "публичные мероприятия", подтверждая тем самым, что с точки зрения Гражданского кодекса открытость не является признаком публичного мероприятия (п. 45 ППВС РФ от 23.06.2015 № 25).

Согласно мнению апелляционной коллегии Московского городского суда от 04.04.2018, премьерный показ фильма в кинотеатре может быть отнесен к публичному мероприятию [1].

Такой же позиции придерживается Конституционный суд РФ, который в своем определении по рассмотрению жалобы Безрукова С. В. изложил, что предпремьерный показ фильма, вход на который ограничен, может быть отнесен к публичному мероприятию (абз. 2 п. 1.2 определения от 12.02.2019 № 274-О).

Итоги анализа

Если изображение работника, полученное при проведении корпоратива, не используется в целях его идентификации, не обрабатывается совместно с иными сведениями о нем (фамилия, имя, должность или другая информация) и не является основным объектом использования, то это не будет признаваться персональными данными, и согласие не нужно, поскольку оно будет считаться полученным при проведении публичного мероприятия и позволяет осуществлять фотосъемку или видеозапись без разрешения такого лица (п. 2 ч. 1 ст. 152.1 ГК РФ).

Если же планируется размещение на сайте изображения работника с дополнительной информацией о нем, то такая фотография или видеозапись будут считаться персональными данными и потребуют получения от него отдельного согласия на распространение (ч. 1 ст. 10.1 закона № 152-ФЗ), составленного по правилам приказа Роскомнадзора от 24.02.2018 № 18.

Если обрабатываемая фотография используется для целей идентификации, то это будет являться обработкой биометрических персональных данных и потребует согласия по ч. 4 ст. 9 закона № 152-ФЗ.


  1. https://www.mos-gorsud.ru/mgs/cases/docs/content/c1e4ba4a-b7e5-4cee-a0c0-04334b06de61 
Темы:Персональные данныеЖурнал "Информационная безопасность" №6, 2024

Программа мероприятий
по информационной безопасности
на ТБ Форуме 2025
Крокус Экспо | 11-13 февраля 2025

Посетить
Обзоры. Спец.проекты. Исследования
Кибербезопасность. Защита АСУ ТП. Безопасность КИИ. Москва | 11 февраля 2025
Получите комментарии экспертов на ТБ Форуме 2025
Статьи по той же темеСтатьи по той же теме

  • Что нужно знать про новые штрафы в области ПДн?
    Валерий Нарежный, к.э.н., советник юридической фирмы “Городисский и Партнеры”
    В сфере обработки ПДн в России произошли серьезные изменения – приняты поправки в УК РФ и КоАП РФ, направленные на повышение ответственности организаций и физических лиц за нарушения.
  • Персональные данные: чего ждать в 2025 году?
    Прогноз на 2025 г. для защитников ПДн оптимистичный: да, проблем много, но и решений достаточно. Весь текущий год мы наблюдали зарождение различных, порой противоречивых, тенденций. Новый год покажет, какие из веяний останутся с нами и зададут тон в отрасли. Чтобы не ждать естественного развития событий, поищем закономерности в прошлом, двигаясь от частного к общему. Итак, что же будет с персональными данными в 2025 г.?
  • Обзор изменений в законодательстве. Июль, август - 2024
    Анастасия Заведенская, старший аналитик Аналитического центра Уральского центра систем безопасности
    Изменения правил категорирования ОКИИ. Защита ГИС и ЗОКИИ от DoS. Изменения в 152-ФЗ, 98-ФЗ и КоАП. Защита ГИС. Переход ОКИИ на доверенные ПАК. Госконтроль за ПДн. Требования к уничтожению и обезличиванию ПДн. Методические рекомендации ЦБ по показателям уровня риска ИБ. 
  • Правовые риски взаимодействия оператора ПДн с обработчиком в случае утечки данных
    Денис Лукаш, управляющий партнер юридической компании Lukash & Partners
    На каких основаниях операторы ПДн привлекаются к ответственности и каким образом они могут себя обезопасить от штрафов, если утечка происходит по вине обработчиков данных?
  • Персональные данные в 2024 году. Чек-лист
    В 2023 г. произошли сотни утечек персональных данных. Ситуация обостряется с каждым годом и требует новых мер реагирования: технических – в виде создания все более совершенных средств защиты информации и организационных – в том числе правовых.

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
13 февраля | Подходы и инструменты управления процессом РБПО
Узнайте на ТБ Форуме 2025!

More...
ТБ Форум 2025
13 февраля. Отечественные ИТ-системы и российское ПО
Жми, чтобы участвовать

More...