Перейти к содержанию
справочник 17 ноября 2026 По состоянию на 17 ноября 2026

Биометрические ПДн по ст. 11: 5 типов и хранение

Биометрические персональные данные — физиологические и биологические характеристики человека, позволяющие установить его личность, обработка которых регулируется ст. 11 ФЗ-152 с обязательным письменным согласием субъекта.
С 30.05.2025 нарушение требований к биометрии влечёт штраф по ч. 16 ст. 13.11 КоАП, а утечка биометрических ПДн — до 20 млн ₽ по ч. 17 той же статьи. Повторное нарушение переходит в оборотный штраф по ч. 18 — до 500 млн ₽.
→ Если вы юрист и проверяете комплаенс компании, которая обрабатывает биометрию, — этот справочник даёт полную правовую карту по ст. 11 ФЗ-152 и актуальной практике РКН.

Биометрия выделена в отдельную категорию не случайно: данные о внешности, голосе или отпечатках пальцев нельзя изменить после утечки. Законодатель это учёл — ст. 11 ФЗ-152 устанавливает специальный режим, а ФЗ-572 о единой биометрической системе ввёл дополнительные ограничения на хранение вне ГИС ЕБС. Справочник охватывает пять типов биометрических ПДн, требования к согласию, правила хранения и актуальные санкции.

Что относится к биометрическим ПДн по ст. 11 ФЗ-152?

Статья 11 ФЗ-152 определяет биометрические ПДн как сведения, характеризующие физиологические и биологические особенности человека, на основе которых можно установить его личность. Ключевое условие — данные используются именно для идентификации.

«Ст. 11 ФЗ-152 — биометрические ПДн обрабатываются только при наличии письменного согласия субъекта. Исключения исчерпывающе перечислены в п. 2 ст. 11: государственная безопасность, правосудие, исполнение приговора, биометрические документы и ряд иных оснований.»

Пять типов биометрических ПДн, которые чаще всего встречаются в практике операторов:

Изображение лица
Фотография или видеозапись, обрабатываемая программными средствами для идентификации личности. Простое хранение фото в личном деле сотрудника биометрией не является — важен факт использования для установления личности.
Голос
Аудиозапись, обрабатываемая для верификации субъекта. Колл-центры, записывающие разговоры «в целях контроля качества», биометрию не собирают — биометрией голос становится при анализе для идентификации.
Отпечатки пальцев (дактилоскопические данные)
Используются в СКУД, при регистрации биометрических загранпаспортов, в пенитенциарной системе. Обязательная дактилоскопия по профессиональным основаниям (нотариусы, частные детективы) регулируется специальными законами.
Радужная оболочка глаза
Скан радужки применяется в системах контроля доступа высокой степени защиты. По ст. 11 ФЗ-152 требует письменного согласия субъекта в общем случае.
ДНК-данные
Геномная информация. Обрабатывается медицинскими организациями, НКО в сфере генеалогии, правоохранительными органами. Дополнительно подпадает под режим специальных категорий ПДн по ст. 10 ФЗ-152 как сведения о состоянии здоровья.

Проверяете комплаенс по биометрии — с чего начать?

Юристу, который оценивает состояние обработки биометрии в компании, нужно проверить три вещи: наличие письменного согласия по ст. 11 ФЗ-152, соответствие хранения требованиям ФЗ-572 (если данные передаются в ЕБС) и корректность уведомления РКН по ст. 22. Аудит DATUM закрывает все три позиции за фиксированный срок.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Каковы требования к согласию на обработку биометрии?

Статья 11 ФЗ-152 требует письменного согласия субъекта — устного или конклюдентного недостаточно. После вступления в силу ФЗ-156 от 24.06.2025 это требование стало ещё строже: с 01.09.2025 согласие оформляется отдельным документом, не включённым в текст договора, трудового соглашения или оферты.

Обязательные реквизиты согласия на обработку биометрических ПДн по ст. 9 ФЗ-152:

  • фамилия, имя, отчество субъекта и его контактные данные;
  • наименование и адрес оператора;
  • цель обработки — конкретная, а не «в целях деятельности организации»;
  • перечень биометрических данных с указанием типа (изображение лица, отпечатки и т. д.);
  • перечень действий: сбор, запись, хранение, использование, передача третьим лицам;
  • срок действия согласия и порядок его отзыва.

Если биометрия планируется к распространению (публикация фото в открытых источниках, передача партнёрам для собственных целей), дополнительно требуется отдельное согласие по ст. 10.1 ФЗ-152. Молчание субъекта в этом случае означает запрет на распространение.

«Ст. 9 ФЗ-152 (в редакции ФЗ-156 от 24.06.2025, действует с 01.09.2025) — согласие оформляется самостоятельным документом, не смешивается с иными гражданско-правовыми договорами. Ранее полученные согласия переоформлять не требуется — обратной силы закон не имеет.»

Как хранить биометрию после принятия ФЗ-572?

ФЗ-572 от 29.12.2022 о единой биометрической системе ввёл прямой запрет: с 01.06.2023 коммерческие операторы не вправе хранить исходные биометрические данные (изображение лица и голос) вне государственной информационной системы ГИС ЕБС. Оператор ГИС ЕБС — АО «Центр Биометрических Технологий».

Это означает следующее для практики:

  • Банки, МФЦ и иные организации, применяющие биометрию для удалённой идентификации, передают данные в ЕБС и получают обратно вектор для сравнения — не сами шаблоны.
  • Корпоративные СКУД с распознаванием лица или отпечатков под действие ФЗ-572 не подпадают, если данные не используются для дистанционного оказания финансовых или государственных услуг. Хранение — у оператора, с соблюдением ст. 11 ФЗ-152.
  • Нарушение требований размещения в ЕБС образует состав по ст. 13.11.3 КоАП: для юридических лиц — от 500 тыс. до 1 млн ₽.
«Ст. 11 ФЗ-152 × ФЗ-572 — при использовании биометрии для услуг, подключённых к ЕБС, хранение исходных шаблонов у оператора запрещено с 01.06.2023. Отказать клиенту в обслуживании из-за непредставления биометрии в ЕБС — нарушение ч. 8 ст. 14.8 КоАП.»

Что проверить по биометрии в рамках комплаенс-аудита

  • Наличие письменных согласий по ст. 11 ФЗ-152 с корректными реквизитами (в отдельном документе с 01.09.2025).
  • Соответствие целей обработки биометрии заявленным в уведомлении РКН по ст. 22 ФЗ-152.
  • Выполнение требований ФЗ-572: передача в ЕБС или обоснование исключения (СКУД, не связанный с услугами по перечню ЕБС).
  • Уровень защищённости ИСПДн: биометрия без иных спецкатегорий требует как минимум УЗ-3 по ПП РФ № 1119.
  • Порядок реагирования на утечку биометрических ПДн с учётом повышенных штрафов по ч. 17 ст. 13.11 КоАП (15–20 млн ₽).

Какие санкции предусмотрены за нарушения по биометрии в 2025–2026 годах?

ФЗ-420 от 30.11.2024, вступивший в силу 30.05.2025, ввёл для биометрических ПДн самостоятельный санкционный блок в ст. 13.11 КоАП. Штрафы существенно превышают базовые составы по общим ПДн.

  • Ч. 16 ст. 13.11 КоАП — обработка биометрии без письменного согласия или с нарушением иных требований ст. 11 ФЗ-152. Диапазон для юридических лиц — уточнять по актуальному тексту КоАП; применяется с 30.05.2025.
  • Ч. 17 ст. 13.11 КоАП — утечка биометрических ПДн: 15–20 млн ₽ для юридических лиц.
  • Ч. 18 ст. 13.11 КоАП — повторное нарушение по ч. 16 или ч. 17: оборотный штраф 1–3% совокупной годовой выручки, не менее 20 млн ₽, не более 500 млн ₽.
  • Ст. 13.11.3 КоАП — нарушение требований размещения биометрии в ЕБС банками, МФЦ и иными субъектами: 500 тыс. — 1 млн ₽ для юридических лиц.
  • Ст. 272.1 УК РФ (введена ФЗ-421, действует с 11.12.2024) — незаконные использование, передача, сбор или хранение компьютерной информации, содержащей ПДн, включая биометрию. По ч. 5 (тяжкие последствия) — лишение свободы до 10 лет.

Если юрист обнаружил, что компания хранит биометрию без письменных согласий или не передала данные в ЕБС, — это основания одновременно по ч. 16 ст. 13.11 КоАП и по ст. 13.11.3 КоАП. Устранять нужно до проверки РКН.

Заказать аудит 152-ФЗ

Типовые ситуации: как применяются нормы на практике

Ситуация 1. СКУД с распознаванием лица без письменного согласия. Производственная компания (Уральский ФО, весна 2025) установила турникеты с функцией распознавания лица сотрудников. Согласия включены в текст трудового договора. После 01.09.2025 такая форма не соответствует требованиям ФЗ-156 — согласие должно быть отдельным документом. РКН при плановой проверке зафиксировал нарушение ч. 16 ст. 13.11 КоАП. Стратегия: до проверки переоформить согласия в виде самостоятельных документов с полным составом реквизитов по ст. 9 ФЗ-152, внести изменения в уведомление в реестре РКН.

Ситуация 2. Банк хранит биометрические шаблоны вне ЕБС. Региональный банк (Приволжский ФО, лето 2025) сохранял шаблоны изображений лица клиентов локально для ускорения верификации. По ФЗ-572 это запрещено с 01.06.2023. При инциденте ИБ — утечка шаблонов квалифицируется по ч. 17 ст. 13.11 КоАП (15–20 млн ₽), а не по ч. 12–14. Дополнительно применяется ст. 13.11.3 за нарушение требований размещения в ЕБС. Стратегия: немедленная миграция в ЕБС, удаление локальных копий, проверка регламента реагирования на утечки по Приказу РКН № 187.

Ситуация 3. ДНК-данные клиентов генеалогического сервиса. EdTech-компания (Центральный ФО, осень 2025) обрабатывала ДНК пользователей для построения родословных. ДНК подпадает одновременно под биометрию (ст. 11) и специальные категории (ст. 10 ФЗ-152 — сведения о здоровье). Требуются два отдельных согласия. При отсутствии одного из них — состав по ч. 2 ст. 13.11 (обработка без согласия) в совокупности с ч. 16 (нарушение порядка биометрии). Стратегия: разделить согласия, пересмотреть уведомление в РКН с указанием обоих оснований.

Услуги DATUM по теме

Частые вопросы

1. Что считается обработкой ПДн по 152-ФЗ?

По ст. 3 ФЗ-152 обработкой признаётся любое действие или их совокупность с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, удаление и уничтожение. Применительно к биометрии это означает, что даже однократная запись сканирования отпечатка пальца или изображения лица для последующей идентификации — уже обработка биометрических ПДн, требующая письменного согласия по ст. 11 ФЗ-152.

2. На основании чего можно обрабатывать биометрические ПДн?

Статья 11 ФЗ-152 устанавливает общее правило: только с письменного согласия субъекта. Исключения из п. 2 ст. 11 охватывают государственную безопасность, правосудие, исполнение приговора, биометрические паспорта и ряд специальных оснований. Для коммерческих операторов без специальных полномочий письменное согласие — единственное законное основание. С 01.09.2025 по ФЗ-156 это согласие оформляется самостоятельным документом, отдельно от договора.

3. Что грозит за нарушение 152-ФЗ в части биометрии?

С 30.05.2025 действует специальный санкционный блок. За нарушение требований к обработке биометрии без согласия — ч. 16 ст. 13.11 КоАП, за утечку — ч. 17 ст. 13.11 КоАП (15–20 млн ₽), за повторное нарушение — оборотный штраф по ч. 18 до 500 млн ₽. Дополнительно с 11.12.2024 действует уголовная ответственность по ст. 272.1 УК РФ: незаконное использование компьютерной информации с ПДн, по тяжким составам — до 10 лет лишения свободы.

4. Нужно ли уведомлять РКН, если компания обрабатывает биометрию?

Да. По ст. 22 ФЗ-152 оператор обязан уведомить Роскомнадзор о намерении обрабатывать ПДн до начала обработки. Биометрические ПДн подлежат отдельному указанию в уведомлении в качестве категории обрабатываемых данных. Неуведомление или несвоевременное уведомление — штраф по ч. 10 ст. 13.11 КоАП: 100–300 тыс. ₽ для юридических лиц. Уведомление подаётся через портал pd.rkn.gov.ru по форме Приказа РКН № 180 от 28.10.2022.

Итог

Биометрические ПДн — наиболее чувствительная категория с точки зрения и правового режима, и финансовых рисков: штрафы за утечку биометрии в пять–десять раз выше, чем за утечку общих ПДн. Пять типов — изображение лица, голос, отпечатки, радужка, ДНК — объединяет одно: обработка допустима только с письменного согласия, оформленного с 01.09.2025 в виде отдельного документа. ФЗ-572 добавил ограничение на хранение вне ЕБС для операторов финансовых и государственных услуг.

Практика DATUM в части биометрического комплаенса охватывает аудит согласий и уведомлений РКН, проверку соответствия хранения требованиям ФЗ-572, оценку уровней защищённости ИСПДн с биометрией по ПП РФ № 1119 и сопровождение при проверках Роскомнадзора.

Смотрите также

КЗ
Кирилл Захаров
Партнёр · Цифровые продукты
Партнёр практики DATUM по цифровым продуктам и e-commerce. Специализация — cookies как ПДн, согласия в интернет-магазинах и SaaS, трансграничные сервисы аналитики, программы лояльности, политики конфиденциальности для маркетплейсов и мобильных приложений.

17 ноября 2026 года