Перейти к содержанию
инструкция 21 января 2028 По состоянию на 21 января 2028

Альтернатива биометрии: правовая обязанность

Оператор не вправе принуждать работника к сдаче биометрии — он обязан предоставить альтернативный способ идентификации без каких-либо санкций.
С 30.05.2025 отказ работнику в обслуживании без биометрии влечёт штраф до 500 тыс. ₽ по ч. 8 ст. 14.8 КоАП. Согласия на обработку биометрии в СКУД после 01.09.2025 оформляются только отдельным документом по ст. 9 ФЗ-152 в редакции ФЗ-156.
Если вы HRD и СКУД в офисе фиксирует лицо или отпечаток — у вас есть обязанность предложить альтернативу и зафиксировать это в ОРД. Разберём порядок действий пошагово.

С 30.05.2025 правила идентификации работников в организациях изменились: ФЗ-420 от 30.11.2024 ввёл административную ответственность за принуждение к биометрии, а ФЗ-156 от 24.06.2025 установил, что согласие на обработку биометрических персональных данных с 01.09.2025 — это отдельный документ, не встраиваемый в трудовой договор. Для HR-директора это означает пересмотр СКУД-регламентов, пересмотр форм согласий и обязательное введение альтернативных процедур. Ниже — пошаговый порядок приведения HR-практики в соответствие.

Шаг 1. Проверьте, какие биометрические данные обрабатывает ваш СКУД

Биометрические персональные данные по ст. 11 ФЗ-152 — это физиологические и биологические характеристики, позволяющие установить личность человека. К ним относятся изображение лица (в том числе видеозапись, по которой идёт распознавание), отпечатки пальцев, сетчатка глаза. Если СКУД идентифицирует работника по любой из этих характеристик — вы обрабатываете биометрию, и для этого нужно письменное согласие по ст. 11 ФЗ-152.

Если СКУД работает только с пропуском (RFID-картой) или PIN-кодом — биометрия не обрабатывается. Видеонаблюдение без системы распознавания лиц — также не биометрия: камера фиксирует изображение, но личность по нему автоматически не устанавливается. Этот факт важно отразить в документах.

«Ст. 11 ФЗ-152 — обработка биометрических ПДн допускается только с письменного согласия субъекта, за исключением случаев, прямо указанных в законе (судебное производство, оборона и безопасность государства и ряд других). Трудовые отношения в перечень исключений не входят.»

Зафиксируйте результат аудита СКУД в служебной записке: какая технология применяется, какие данные собираются, в какой системе хранятся. Это станет основой для следующего шага.

СКУД уже стоит, а согласия на биометрию — в трудовом договоре?

После 01.09.2025 согласие, встроенное в трудовой договор или анкету, не отвечает требованиям ст. 9 ФЗ-152 в редакции ФЗ-156. Каждое такое согласие — потенциальное основание для штрафа по ч. 2 ст. 13.11 КоАП до 700 тыс. ₽. Срок на переоформление не установлен, но проверка РКН фиксирует нарушение с момента вступления нормы в силу.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Шаг 2. Введите альтернативный способ идентификации и зафиксируйте его в локальном акте

Обязанность предоставить альтернативу биометрии следует из ч. 8 ст. 14.8 КоАП: за отказ в обслуживании (пропуске, доступе) без биометрии организации грозит штраф до 500 тыс. ₽. Альтернативой может быть пропуск, PIN-код, предъявление документа, удостоверяющего личность, или иной способ, согласованный с работником.

Альтернативный способ необходимо закрепить в локальном нормативном акте — Положении о пропускном режиме или Регламенте использования СКУД. В акте укажите: перечень доступных способов идентификации, порядок выбора работником, порядок смены способа и правила фиксации выбора в личном деле. Акт вводится приказом руководителя и доводится до работников под подпись по ст. 22 ТК РФ.

Обратите внимание: ст. 86 ТК РФ запрещает обработку ПДн работника без его согласия, а ст. 87 ТК РФ обязывает работодателя установить порядок хранения и использования этих данных. Локальный акт о СКУД закрывает оба требования в части биометрии.

Шаг 3. Оформите отдельные согласия на биометрию по ст. 9 ФЗ-152 (редакция с 01.09.2025)

С 01.09.2025 согласие на обработку персональных данных — в том числе биометрических — должно быть оформлено отдельным документом, не объединённым с трудовым договором, анкетой, политикой конфиденциальности или иным документом (ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025). Для биометрии дополнительно требуется письменная форма по ст. 11 ФЗ-152.

Обязательные реквизиты согласия на биометрию в СКУД: полные ФИО и контактные данные работника, наименование и адрес оператора, конкретная цель обработки (например, «организация пропускного режима на объектах работодателя»), перечень биометрических данных (изображение лица, отпечаток пальца — конкретно), перечень действий с данными (сбор, запись, хранение, использование для идентификации), срок действия согласия, способ отзыва. Согласие на распространение биометрии (если СКУД передаёт данные третьим лицам) оформляется ещё одним отдельным документом по ст. 10.1 ФЗ-152.

«Ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025 — согласие на обработку ПДн оформляется отдельным документом, не объединённым с другими. Действует с 01.09.2025. Ранее полученные согласия обратной силой не переоформляются, но новые экземпляры — только по новым правилам.»

Для работников, отказавшихся от биометрии, согласие не запрашивается. Фиксируйте выбор работника: заявление о выборе альтернативного способа идентификации — в личное дело.

Если HRD уже получил предписание РКН или запрос на проверку документов по СКУД — у вас есть 10 рабочих дней на ответ по ст. 20 ФЗ-152. Пакет ОРД для HR-отдела DATUM собирает под ключ: согласия, положения, приказы.

Собрать ОРД под ключ

Шаг 4. Проверьте КЭДО: кто оператор и где хранятся данные

При использовании КЭДО (кадрового электронного документооборота) персональные данные работников обрабатываются в информационной системе. Если КЭДО — собственная система работодателя, он является оператором в полном смысле ст. 3 ФЗ-152. Если КЭДО — сервис стороннего провайдера, работодатель поручает обработку ПДн по п. 3 ст. 6 ФЗ-152: требуется договор-поручение с перечнем действий, целей и требований к защите.

Для КЭДО актуален вопрос локализации: запись, хранение и систематизация ПДн работников-граждан РФ должны происходить в базах данных на территории России (ч. 5 ст. 18 ФЗ-152). Если провайдер КЭДО хранит данные в зарубежном облаке — это нарушение, которое квалифицируется по ч. 8 ст. 13.11 КоАП (штраф 1–6 млн ₽). Проверьте договор с провайдером и запросите подтверждение локализации.

Отдельное согласие для КЭДО требуется, если система обрабатывает данные сверх минимально необходимых для трудовых отношений (например, личные фото, история переписки, биометрия для входа в систему). Данные, обрабатываемые на основании ст. 22.2 ТК РФ и трудового договора, согласия не требуют.

Шаг 5. Установите порядок хранения и уничтожения данных в личном деле

Согласия работников, локальные акты о СКУД, заявления о выборе способа идентификации — всё это хранится в личном деле. Типовой срок хранения личного дела — 75 лет (для дел, оформленных с 2003 года и позднее, по Приказу Росархива). Биометрические данные, собранные для СКУД, хранятся не дольше срока трудовых отношений плюс срок, необходимый для выполнения обязательств после увольнения, если иное не установлено договором.

После увольнения работника биометрические данные подлежат уничтожению или обезличиванию в срок, установленный оператором, но не позднее срока, по истечении которого цель обработки признаётся достигнутой (ст. 21 ФЗ-152). Сам факт уничтожения фиксируется актом. Согласия (как бумажные документы кадрового учёта) хранятся в составе личного дела.

Что подготовить для соответствия требованиям по биометрии в HR

  • Служебная записка об аудите СКУД: тип технологии, категория обрабатываемых данных, система хранения.
  • Локальный акт о пропускном режиме с перечнем альтернативных способов идентификации (введён приказом, работники ознакомлены под подпись).
  • Отдельные письменные согласия на обработку биометрии по ст. 9 и ст. 11 ФЗ-152 в редакции с 01.09.2025 — для тех, кто выбрал биометрический способ.
  • Заявления работников, выбравших альтернативный способ идентификации, — в личных делах.
  • Договор-поручение с провайдером КЭДО с условием локализации данных на серверах в РФ (ч. 5 ст. 18 ФЗ-152).

Как это выглядит на практике: два сценария для HR-директора

Сценарий 1. СКУД с распознаванием лиц, согласия не переоформлены. Производственное предприятие (Уральский ФО, осень 2025) применяло СКУД с видеораспознаванием. Согласия работников на биометрию были включены в трудовые договоры, заключённые до 01.09.2025. После планового обновления анкет кадровик обнаружил, что новые сотрудники также подписывают «старые» формы. При проверке РКН зафиксировал нарушение ст. 9 ФЗ-152: согласие не является отдельным документом. Компания получила предписание об устранении и штраф по ч. 2 ст. 13.11 КоАП в несколько сотен тысяч рублей. Переоформление заняло три недели: юристы подготовили отдельные формы согласий и провели их подписание с действующими работниками.

Сценарий 2. Отказ в пропуске без биометрии. Торговая сеть (Центральный ФО, начало 2026) ввела СКУД на основе отпечатков пальцев для всего персонала. Положение о пропускном режиме альтернативы не предусматривало: турникет открывался только по биометрии. Работник склада отказался сдавать отпечатки по религиозным убеждениям. Работодатель отказал в доступе и засчитал прогул. Работник подал жалобу в трудовую инспекцию и РКН. Помимо претензий по ст. 5.27 ТК РФ, была возбуждена процедура по ч. 8 ст. 14.8 КоАП. Ситуацию урегулировали путём введения альтернативного пропуска и корректировки локального акта.

Сценарий 3. КЭДО и вопрос о роли оператора. IT-компания (Северо-Западный ФО, лето 2025) подключилась к облачному КЭДО иностранного вендора. При аудите выяснилось, что данные работников хранятся на серверах в Финляндии. Компания уведомила провайдера о требовании локализации, однако договор не предусматривал гарантий хранения в РФ. HR-директор совместно с юристами расторг договор с вендором, перешёл на российскую платформу и внёс изменения в уведомление в реестре РКН по ст. 22 ФЗ-152. Штраф по ч. 8 ст. 13.11 не был назначен, поскольку нарушение устранили до проверки.

Услуги DATUM по теме

Частые вопросы

1. Нужно ли переподписывать согласия работников после 01.09.2025?

Переподписывать уже полученные согласия не требуется — ФЗ-156 от 24.06.2025 обратной силы не имеет. Согласия, полученные до 01.09.2025 в составе трудовых договоров или анкет, сохраняют юридическую силу до истечения срока или отзыва. Но с 01.09.2025 все новые согласия — в том числе при приёме новых работников или изменении целей обработки — оформляются только отдельным документом по ст. 9 ФЗ-152 в новой редакции. Биометрия дополнительно требует письменной формы по ст. 11 ФЗ-152.

2. Какие данные нельзя спрашивать в анкете при приёме на работу?

Ст. 86 ТК РФ запрещает работодателю получать и обрабатывать ПДн работника о его политических, религиозных, философских убеждениях, состоянии здоровья (за исключением данных, необходимых для определения пригодности к работе), частной жизни. Нельзя запрашивать национальность, вероисповедание, членство в партиях и профсоюзах (кроме случаев, прямо предусмотренных законом). Анкета при приёме на работу должна содержать только данные, необходимые для оформления трудовых отношений.

3. Можно ли вести видеонаблюдение в офисе?

Видеонаблюдение без системы распознавания лиц не является обработкой биометрических ПДн. Однако запись видео фиксирует изображение работника, что относится к ПДн по ст. 3 ФЗ-152. Работодатель обязан уведомить работников о видеонаблюдении (обычно — в локальном акте и при ознакомлении под подпись) и указать цель (охрана труда, безопасность имущества). Использование системы распознавания лиц на видеопотоке превращает наблюдение в обработку биометрии — тогда нужно отдельное согласие по ст. 11 ФЗ-152.

4. Сколько хранить согласия после увольнения?

Согласие на обработку ПДн как документ кадрового учёта хранится в личном деле работника. Срок хранения личных дел — 75 лет (для дел с 2003 года, по Приказу Росархива). Биометрические данные, собранные для СКУД, уничтожаются или обезличиваются после увольнения в срок, по истечении которого цель обработки считается достигнутой (ст. 21 ФЗ-152). Уничтожение фиксируется актом. Само согласие (бумажный документ) остаётся в личном деле на весь срок его хранения.

5. Кто оператор при использовании КЭДО?

Работодатель является оператором ПДн работников в любом случае — независимо от того, использует ли он собственную систему или сервис стороннего провайдера. При КЭДО на базе стороннего сервиса работодатель поручает обработку ПДн провайдеру по п. 3 ст. 6 ФЗ-152: между ними заключается договор-поручение. Провайдер обрабатывает данные только в рамках поручения и не вправе использовать их в собственных целях. Ответственность перед работником и РКН несёт работодатель-оператор.

6. Что делать, если работник отозвал согласие на биометрию?

При отзыве согласия работодатель обязан прекратить обработку биометрических данных и обеспечить альтернативный способ идентификации (ч. 8 ст. 14.8 КоАП). Биометрические данные уничтожаются или обезличиваются в срок, установленный оператором. Отказ предоставить альтернативный доступ или засчитать прогул — нарушение одновременно трудового законодательства (ст. 86 ТК РФ) и 152-ФЗ. Факт отзыва, уничтожения данных и перевода на альтернативный способ фиксируются документально.

Итог

Альтернатива биометрии — не опция, а правовая обязанность работодателя. С 30.05.2025 за её отсутствие грозит штраф до 500 тыс. ₽, а некорректные согласия на биометрию в СКУД создают основание для штрафа до 700 тыс. ₽ по ч. 2 ст. 13.11 КоАП. Три точки контроля для HR-директора: форма согласия (отдельный документ с 01.09.2025), наличие альтернативы в локальном акте и локализация данных при использовании КЭДО.

DATUM сопровождает HR-департаменты в части 152-ФЗ: аудит СКУД и КЭДО, разработка форм согласий под новые требования ФЗ-156, сборка пакета ОРД, представление интересов при проверках РКН.

Смотрите также

АС
Анна Соколова
Партнёр · ПДн в HR
Партнёр практики DATUM по защите персональных данных в HR. Специализация — согласия работников по ст. 9 152-ФЗ в редакции с 01.09.2025 (ФЗ-156), обработка через КЭДО, биометрия в СКУД, передача в зарплатных проектах.

21 января 2028 года