инструкция 10 февраля 2028 По состоянию на 10 февраля 2028

Биометрия и КИИ 187-ФЗ

Q: Сколько хранить согласия после увольнения?

Согласие на обработку ПДн хранится в составе личного дела работника. Срок хранения личного дела — 75 лет для работников, принятых после 01.01.2003. Само согласие хранится, даже если обработка биометрии прекращена после увольнения: оно подтверждает законность состоявшейся обработки. Биометрические шаблоны в СКУД уничтожаются в срок, установленный в согласии, но не позднее 30 дней после прекращения трудовых отношений.

Биометрические данные работников в системах СКУД на объектах КИИ — это пересечение трёх режимов: ст. 11 ФЗ-152, ФЗ-572 (ЕБС) и ФЗ-187 о критической информационной инфраструктуре.

С 30.05.2025 утечка биометрии влечёт штраф 15–20 млн ₽ по ч. 17 ст. 13.11 КоАП; повторно — оборотный до 500 млн ₽ по ч. 18. HR-директор несёт ответственность за согласия и документацию.

→ Если в вашем HR-департаменте биометрия СКУД используется без актуальных согласий и раздельных режимов хранения — ниже пошаговый порядок устранения нарушений.

ФЗ-187 о безопасности КИИ обязывает субъектов критической инфраструктуры применять сертифицированные средства защиты и соблюдать требования ФСТЭК. Если система контроля доступа на объекте КИИ работает на биометрии — HRD оказывается в точке пересечения кадрового права, 152-ФЗ и требований к защищённости ИС. Эта инструкция описывает, что именно и в какой последовательности привести в порядок.

Шаг 1. Определите, является ли организация субъектом КИИ

Субъектами КИИ по ст. 2 ФЗ-187 признаются государственные органы, государственные учреждения и российские юридические лица, которым принадлежат информационные системы, информационно-телекоммуникационные сети и автоматизированные системы управления в отраслях из перечня: здравоохранение, наука, транспорт, связь, энергетика, банки, финансовый рынок, топливно-энергетический комплекс, атомная промышленность, оборонная промышленность, ракетно-космическая отрасль, горнодобывающая, металлургическая, химическая промышленность.

Если организация входит в этот перечень и эксплуатирует СКУД с биометрической аутентификацией — система контроля доступа может быть признана значимым объектом КИИ или входить в состав такого объекта. Это влечёт требования к защите по Приказу ФСТЭК №239 и уровню защищённости ИСПДн по ПП РФ №1119.

«Ст. 7 ФЗ-187 — категорирование объектов КИИ: оператор самостоятельно оценивает последствия инцидента и присваивает категорию (I, II или III значимости) либо устанавливает отсутствие значимости. Результаты направляются в ФСТЭК в течение 10 рабочих дней после завершения оценки.»

Шаг 2. Проверьте правовое основание обработки биометрии в СКУД

Биометрические персональные данные — изображение лица и иные физиологические характеристики — относятся к специальной категории по ст. 11 ФЗ-152. Их обработка допустима только при наличии письменного согласия субъекта, если иное прямо не установлено законом. Трудовое законодательство не является таким исключением: ст. 86–88 ТК РФ не разрешают работодателю получать биометрию без согласия в рамках стандартного трудового договора.

Исключения по п. 2 ст. 11 ФЗ-152 — осуществление правосудия, национальная безопасность, оперативно-розыскная деятельность — для коммерческих работодателей не применимы. Таким образом, письменное согласие обязательно для каждого работника, чья биометрия обрабатывается в СКУД.

«Ст. 11 ФЗ-152 — обработка биометрических ПДн допускается только с письменного согласия субъекта. Исключения носят исчерпывающий характер и для стандартного трудового контекста не применяются.»

Согласия работников на биометрию СКУД оформлены до 01.09.2025?

С 01.09.2025 вступил в силу ФЗ-156: согласие на обработку ПДн — отдельный документ, не встроенный в трудовой договор или анкету. Согласия, включённые в договор до этой даты, формально остаются в силе для уже собранных данных, но новые сборы и обновление шаблонов требуют переработки. Каждое несоответствующее согласие — основание для штрафа по ч. 2 ст. 13.11 КоАП до 700 000 ₽.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Шаг 3. Составьте отдельное согласие на обработку биометрических ПДн

После 01.09.2025 (ФЗ-156 от 24.06.2025) согласие на обработку ПДн оформляется отдельным документом, не объединяемым с трудовым договором, КЭДО-соглашением, анкетой или политикой конфиденциальности. Для биометрии это требование было актуальным и ранее — ст. 9 ФЗ-152 требует письменной формы.

Обязательные реквизиты согласия на биометрию в СКУД:

ФИО работника и его контактные данные
наименование и адрес работодателя-оператора
цель обработки — контроль доступа на объект (конкретный адрес)
перечень биометрических данных — например, изображение лица, геометрия руки (уточнить по используемой технологии)
перечень действий — сбор, запись, систематизация, хранение, сравнение, уничтожение
срок действия согласия и срок хранения данных
способ отзыва — форма заявления, кому подавать, срок прекращения обработки
при передаче подрядчику (интегратор СКУД) — наименование третьего лица и цель передачи

Если СКУД передаёт данные в ЕБС — потребуется отдельное согласие по требованиям ФЗ-572. Хранение биометрии в ЕБС без согласия на размещение именно в ЕБС образует самостоятельный состав нарушения.

Шаг 4. Определите уровень защищённости ИСПДн для СКУД-системы

Биометрические данные относятся к специальной категории. Уровень защищённости ИСПДн определяется по ПП РФ №1119 в зависимости от типа угроз и числа субъектов. Для работодателей средней численности (до 100 000 субъектов) при третьем типе угроз — УЗ-3. При втором типе угроз или числе субъектов более 100 000 — УЗ-2. При первом типе — УЗ-1.

Тип угроз устанавливается актом об определении угроз (Приказ ФСТЭК №21). На объектах КИИ параллельно применяется Приказ ФСТЭК №239: меры защиты значимых объектов КИИ накладываются поверх требований по Приказу №21 и не заменяют их.

«ПП РФ №1119 — матрица УЗ-1..4: специальные категории ПДн × тип угроз (1–3) × число субъектов (до/свыше 100 000). Биометрия — специальная категория.»

Если СКУД интегрирован с кадровой МИС или системой КЭДО — ИСПДн может объединять несколько классов данных. В этом случае применяется наивысший из определённых уровней защищённости.

Что подготовить HR-директору по биометрии и КИИ

Акт категорирования объектов КИИ или справка об отсутствии значимых объектов — от ИТ/ИБ-службы
Отдельные письменные согласия на биометрию в СКУД для каждого работника (шаблон с реквизитами ст. 9 ФЗ-152 в ред. ФЗ-156)
Акт об определении уровня защищённости ИСПДн (УЗ-1..4) по ПП РФ №1119 — совместно с ИБ-службой
Приказ о назначении ответственного за обработку ПДн по ст. 22.1 ФЗ-152 с включением полномочий по биометрии СКУД
Регламент обработки биометрических ПДн: сроки хранения, порядок уничтожения при увольнении, порядок реагирования на отзыв согласия

Шаг 5. Установите порядок хранения и уничтожения биометрии при увольнении

Цель обработки биометрии в СКУД — контроль доступа на объект в период трудовых отношений. После увольнения работника цель прекращается. Оператор обязан уничтожить биометрические данные в срок, установленный в согласии, но не позднее 30 дней с момента достижения цели обработки (ст. 21 ФЗ-152, если иное не предусмотрено законодательством).

Исключение — если биометрия хранится в рамках кадрового документооборота как часть личного дела с иным правовым основанием (например, фото в личной карточке Т-2). Фото для идентификации в СКУД и фото в личном деле — разные категории с разными сроками хранения: фото из СКУД уничтожается, личное дело — 75 лет.

При использовании КЭДО оператором ПДн является работодатель. Агрегатор или платформа КЭДО выступает лицом, осуществляющим обработку по поручению (ст. 6 ФЗ-152). Поручение должно быть оформлено договором или соглашением с перечнем разрешённых действий — без него платформа становится самостоятельным оператором, что нарушает требования ст. 22.2 ТК РФ и ст. 6 ФЗ-152.

Если HR-директор не оформил поручение обработки с платформой КЭДО — работодатель рискует нарушением ст. 6 ФЗ-152 и предписанием РКН. Срок на устранение после предписания — 10 рабочих дней.

Собрать ОРД под ключ

Как это применяется на практике: типовые ситуации

Ситуация 1. Производственное предприятие (Уральский ФО, осень 2025). Предприятие — субъект КИИ в горнодобывающей отрасли. СКУД с дактилоскопией установлен в 2021 году; согласия работников включены в трудовой договор отдельным пунктом. После 01.09.2025 проверка РКН выявила несоответствие формата согласий требованиям ФЗ-156. Протокол составлен по ч. 2 ст. 13.11 КоАП. HR-директор инициировал переоформление согласий по новому шаблону и подал ходатайство о смягчении. Штраф назначен в нижней трети диапазона — порядка 350 000 ₽. Переоформление 800 согласий заняло три недели.

Ситуация 2. Транспортная компания (Северо-Западный ФО, начало 2026, связана с кейсом case_S3_pochta). Компания эксплуатирует СКУД с распознаванием лиц на терминалах. Поручение обработки с вендором СКУД не оформлено: вендор хранил шаблоны биометрии на собственных серверах в ЕС. Это образовало нарушение ч. 5 ст. 18 ФЗ-152 (локализация) и ст. 12 (трансграничная передача без уведомления РКН). По результатам внеплановой проверки оба нарушения зафиксированы отдельными протоколами. HR совместно с ИТ-службой в течение 45 дней мигрировал базы на российский сервер и подал уведомление об изменении сведений в реестре РКН по форме Приказа №180.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка биометрии СКУД, согласий и уровня защищённости ИСПДн
Комплект ОРД под ключ — шаблоны согласий на биометрию, регламент СКУД, поручение обработки с вендором
DPO-аутсорсинг — ведение функции ответственного по ст. 22.1 ФЗ-152 в HR-контексте

Частые вопросы

1. Нужно ли переподписывать согласия работников после 01.09.2025?

Согласия, полученные до 01.09.2025, обратной силой не аннулируются — ФЗ-156 не предусматривает обязательного переоформления ранее полученных документов. Однако если согласие было встроено в трудовой договор или анкету и не соответствовало реквизитам ст. 9 ФЗ-152 ещё до поправок — оно ненадлежащее независимо от даты. Новые согласия — при приёме после 01.09.2025 или при расширении перечня обрабатываемых данных — оформляются отдельным документом. Рекомендуется провести аудит всех форм согласий и привести их в соответствие.

2. Какие данные нельзя спрашивать в анкете при приёме на работу?

Ст. 86 ТК РФ запрещает работодателю получать и обрабатывать ПДн работника, не связанные с его трудовой деятельностью. Под запретом — политические, религиозные и иные убеждения, членство в общественных объединениях и профсоюзах (за исключением случаев, прямо предусмотренных законом). Запрашивать состояние здоровья можно только в части, необходимой для оценки профессиональной пригодности. Национальная принадлежность, сведения об интимной жизни, судимость (при отсутствии прямого требования закона для должности) — также под запретом по ст. 10 ФЗ-152.

3. Можно ли вести видеонаблюдение в офисе?

Видеонаблюдение в рабочих помещениях допустимо при соблюдении ряда условий: работники письменно уведомлены о факте наблюдения (ст. 88 ТК РФ, ст. 9 ФЗ-152), цель — обеспечение безопасности или охраны труда — прямо указана. Если система распознаёт лица и идентифицирует конкретных работников — это уже биометрическая обработка по ст. 11 ФЗ-152 и требует письменного согласия. Скрытое видеонаблюдение без уведомления работников — нарушение ст. 86 ТК РФ и основание для предписания РКН.

4. Сколько хранить согласия после увольнения?

Согласие на обработку ПДн — документ кадрового делопроизводства. Согласно типовым срокам хранения, оно хранится в составе личного дела работника. Срок хранения личного дела — 75 лет для работников, принятых после 01.01.2003 (Приказ Росархива №236). Само согласие хранится, даже если обработка биометрии прекращена после увольнения: оно подтверждает законность состоявшейся обработки. Биометрические шаблоны в СКУД — уничтожаются в срок, установленный в согласии, но не позднее 30 дней после прекращения трудовых отношений.

5. Кто является оператором при использовании КЭДО?

При использовании платформы КЭДО оператором ПДн работников остаётся работодатель — он определяет цели и объём обработки (ст. 3 ФЗ-152). Платформа или агрегатор КЭДО выступает лицом, осуществляющим обработку по поручению по ч. 3 ст. 6 ФЗ-152. Это требует оформления отдельного соглашения (поручения) с перечнем разрешённых действий с ПДн, запретом на самостоятельную обработку в иных целях и обязанностью соблюдать конфиденциальность. Без такого поручения платформа технически становится самостоятельным оператором — работодатель теряет контроль и создаёт риск нарушения ст. 22.2 ТК РФ.

6. Что делать, если подрядчик СКУД хранит биометрию за рубежом?

Хранение биометрии российских работников на зарубежных серверах нарушает ч. 5 ст. 18 ФЗ-152 (локализация). Необходимо: (1) потребовать от подрядчика миграции данных на российский сервер или расторгнуть договор; (2) проверить, было ли подано уведомление о трансграничной передаче в РКН по ст. 12 ФЗ-152; (3) уточнить сведения в реестре операторов (форма Приказа РКН №180). Штраф за нарушение локализации — 1–6 млн ₽ по ч. 8 ст. 13.11 КоАП, при повторном — 6–18 млн ₽ по ч. 9.

Итог

Биометрия в СКУД на объектах КИИ — зона двойного регулирования: ФЗ-152 устанавливает требования к согласиям и уровню защищённости, ФЗ-187 и Приказ ФСТЭК №239 — требования к защите значимых объектов. HR-директор отвечает за корректность согласий, порядок уничтожения биометрии при увольнении и оформление поручений обработки с вендорами СКУД и платформами КЭДО.

DATUM сопровождает HR-департаменты субъектов КИИ в части ФЗ-152: аудит согласий, комплект ОРД под биометрические системы, подготовка к проверкам РКН. Специализация по HR-контексту 152-ФЗ — с 2014 года в составе практики «Ветров и партнёры».

АС

Анна Соколова

Партнёр · ПДн в HR

Партнёр практики DATUM по защите персональных данных в HR. Специализация — согласия работников по ст. 9 152-ФЗ в редакции ФЗ-156, КЭДО, биометрия в СКУД, передача в зарплатных проектах. Сопровождение проверок РКН в HR-департаментах.