Перейти к содержанию
аналитика 3 июня 2026 По состоянию на 3 июня 2026

Биометрия преподавателей в СКУД

Отпечаток пальца или снимок лица на турникете — это биометрические персональные данные по ст. 11 ФЗ-152. Обработка без письменного согласия преподавателя образует состав по ч. 2 ст. 13.11 КоАП: штраф до 700 000 ₽ при первом нарушении.
С 30.05.2025 ответственность выросла: повторное нарушение по ч. 2.1 ст. 13.11 КоАП — от 1 до 1,5 млн ₽. Нарушения по биометрии вынесены в отдельные составы ч. 16 и ч. 17 той же статьи. Судебная практика по образовательным организациям только складывается, но проверки РКН уже идут.
→ Если вы юрист образовательной организации и СКУД с биометрией уже работает — проверьте, есть ли письменные согласия каждого преподавателя и корректное уведомление в реестре РКН.

Биометрические СКУД в школах, колледжах и университетах внедрялись ради удобства: не нужны пропуска, турникет открывается за секунду. Юридическая сторона при этом нередко оставалась в стороне. С 30.05.2025 это стало опасным: ФЗ-420 от 30.11.2024 расширил ст. 13.11 КоАП с 7 до 18 частей, добавив отдельные составы за нарушения при обработке биометрии. Ниже — разбор того, что именно должен проверить юрист образовательной организации, какие документы собрать и что грозит при их отсутствии.

Почему биометрия в СКУД — это не просто техническое решение?

Системы контроля и управления доступом на основе биометрии обрабатывают изображение лица или дактилоскопические данные. По ст. 11 ФЗ-152 это биометрические персональные данные — сведения, характеризующие физиологические особенности человека, по которым можно установить его личность. Для их обработки установлен повышенный режим: требуется письменное согласие субъекта, а исключения строго ограничены.

Образовательная организация, которая эксплуатирует СКУД с биометрией, является оператором персональных данных по ст. 3 ФЗ-152. Это означает полный объём обязанностей: уведомление РКН, политика обработки, назначение ответственного по ст. 22.1, обеспечение уровня защищённости по ПП РФ №1119.

«Ст. 11 ФЗ-152: обработка биометрических персональных данных допускается только при наличии письменного согласия субъекта, если иное прямо не предусмотрено законом.»

Исключения из этого правила для трудовых отношений в законе отсутствуют. Ни ст. 86 ТК РФ, ни ст. 6 ФЗ-152 не содержат оснований, позволяющих обрабатывать биометрию работника без его согласия просто в силу факта трудовых отношений. Это принципиальный момент: согласие требуется даже от штатного сотрудника.

Какие нормы регулируют согласие преподавателя на биометрию?

Согласие должно быть письменным и отвечать требованиям ст. 9 ФЗ-152. С 01.09.2025 (ФЗ-156 от 24.06.2025) оно оформляется как отдельный документ — его нельзя включать в трудовой договор, правила внутреннего распорядка или иные соглашения. Согласие, встроенное в другой документ после 01.09.2025, юридически ничтожно.

Обязательные реквизиты согласия на обработку биометрии:

  • фамилия, имя, отчество и контактные данные субъекта;
  • наименование и адрес оператора;
  • цель обработки — конкретно: «идентификация при проходе через СКУД»;
  • перечень биометрических данных — «изображение лица» или «дактилоскопические данные»;
  • перечень действий с данными и способы их обработки;
  • срок действия согласия и порядок его отзыва.
«Ст. 9 ФЗ-152 в ред. ФЗ-156 от 24.06.2025: с 01.09.2025 согласие на обработку персональных данных оформляется отдельным документом и не объединяется с иными соглашениями, договорами или уведомлениями.»

Ещё один обязательный документ — согласие на обработку данных в целях их распространения по ст. 10.1 ФЗ-152, если биометрический шаблон передаётся стороннему подрядчику (вендору СКУД). Такое согласие оформляется отдельно от основного.

Согласия преподавателей уже собраны, но в трудовом договоре или приказе?

После 01.09.2025 такие документы не имеют юридической силы в части биометрии. Каждый действующий документ, объединённый с иным соглашением, — это потенциальное основание для штрафа по ч. 2 ст. 13.11 КоАП до 700 000 ₽. Юристы DATUM проведут аудит пакета согласий и соберут комплект ОРД под требования ФЗ-156.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Что должно быть в уведомлении РКН при использовании биометрического СКУД?

Образовательная организация, не внесённая в реестр операторов персональных данных pd.rkn.gov.ru, должна направить уведомление по ст. 22 ФЗ-152 до начала обработки. Если СКУД уже работает, а уведомления нет — это отдельный состав по ч. 10 ст. 13.11 КоАП: штраф от 100 000 до 300 000 ₽.

В уведомлении необходимо указать категорию «биометрические персональные данные» и соответствующую цель. Если организация ранее уведомляла РКН без указания биометрии, а потом внедрила СКУД, — нужно подать уведомление об изменении сведений по форме Приказа РКН №180 от 28.10.2022.

Для биометрических ИСПДн актуален вопрос уровня защищённости. По ПП РФ №1119 биометрические данные требуют определения угроз и назначения уровня УЗ-1 или УЗ-2 в зависимости от их сочетания с иными категориями данных и числом субъектов. После определения уровня — реализация организационных и технических мер по Приказу ФСТЭК №21.

«Ч. 10 ст. 13.11 КоАП (в ред. с 30.05.2025): неуведомление или несвоевременное уведомление РКН о намерении осуществлять обработку персональных данных — штраф для юридического лица от 100 000 до 300 000 ₽.»

Что проверить юристу образовательной организации

  • Наличие письменных согласий каждого преподавателя на обработку биометрии — отдельным документом, соответствующим ст. 9 ФЗ-152 в ред. с 01.09.2025.
  • Уведомление в реестре операторов РКН с указанием категории «биометрические ПДн» и актуальной цели обработки.
  • Договор-поручение с вендором СКУД по п. 3 ст. 6 ФЗ-152 с перечнем разрешённых действий и обязанностью обеспечить конфиденциальность.
  • Определённый уровень защищённости ИСПДн (УЗ-1...УЗ-4) и реализованные технические меры по Приказу ФСТЭК №21.
  • Политика обработки персональных данных с разделом о биометрии, опубликованная на сайте организации (ч. 2 ст. 18.1 ФЗ-152).

Каковы риски при нарушении требований к биометрии преподавателей?

С 30.05.2025 нарушения при обработке биометрических персональных данных квалифицируются по ч. 16 и ч. 17 ст. 13.11 КоАП отдельно от общих составов. Ч. 16 охватывает обработку биометрии с нарушением требований ст. 11 ФЗ-152 — в том числе отсутствие письменного согласия. При повторном нарушении применяется ч. 18 — оборотный штраф от 1 до 3% совокупной годовой выручки.

Для бюджетной образовательной организации оборотный состав маловероятен из-за специфики финансирования, однако штрафы по ч. 2 (до 700 000 ₽) и ч. 16 уже реальны при плановой или внеплановой проверке РКН. С 2023 года РКН формирует индикаторы риска — признаки, при наличии которых инициируется внеплановая проверка без предупреждения.

Дополнительный риск — уголовная ответственность по ст. 272.1 УК РФ (введена ФЗ-421 от 30.11.2024, действует с 11.12.2024) для должностных лиц при незаконном сборе или использовании биометрических данных с тяжкими последствиями — до 10 лет лишения свободы по ч. 5.

«Ч. 17 ст. 13.11 КоАП (в ред. с 30.05.2025): утечка биометрических персональных данных — штраф для юридического лица от 15 000 000 до 20 000 000 ₽.»

Как выглядят типичные нарушения на практике?

Матрица характерных ситуаций для юриста образовательной организации:

Ситуация 1. СКУД работает, согласий нет. Организация внедрила биометрический СКУД в 2022–2023 году. Согласия либо не собирались вовсе, либо были включены в трудовые договоры. После 01.09.2025 оба варианта влекут нарушение ч. 2 ст. 13.11. При проверке РКН — протокол и штраф до 700 000 ₽. Стратегия: немедленно получить отдельные письменные согласия, обновить уведомление в реестре РКН, зафиксировать дату сбора согласий — это смягчающее обстоятельство.

Ситуация 2. Вендор обрабатывает биометрию, договора-поручения нет. Если шаблоны биометрии хранятся на серверах вендора СКУД, а договора с перечнем разрешённых действий и обязанностью по конфиденциальности не заключено, оператор несёт ответственность за действия обработчика в полном объёме. Суды применяют принцип ответственности оператора за утечку через подрядчика. Стратегия: заключить договор-поручение по п. 3 ст. 6 ФЗ-152 с детальным перечнем действий с данными, сроками хранения и обязанностью уничтожения после расторжения.

Ситуация 3. Преподаватель отозвал согласие, данные не уничтожены. После отзыва согласия оператор обязан прекратить обработку и уничтожить биометрию в срок, установленный согласием. Неисполнение образует состав по ч. 5 ст. 13.11 КоАП. При увольнении преподавателя — отдельный вопрос: биометрические данные не относятся к документам личного дела и не подпадают под 75-летний срок хранения. Стратегия: регламент уничтожения биометрии при увольнении или отзыве согласия с фиксацией факта уничтожения в журнале.

Вендор СКУД хранит биометрию на своих серверах, а договора-поручения нет? Это прямой риск ч. 2 и ч. 16 ст. 13.11 КоАП для вашей организации. Юристы DATUM подготовят комплект ОРД, включая договор-поручение с вендором и регламент уничтожения данных.

Собрать ОРД под ключ

Кейсы: как это применяется в образовательном секторе

Кейс 1. Региональный университет (Приволжский ФО, осень 2025) прошёл плановую проверку РКН после жалобы преподавателя на принудительную сдачу биометрии. Инспекторы выявили три нарушения: отсутствие отдельных согласий, отсутствие категории «биометрические ПДн» в уведомлении реестра и отсутствие договора-поручения с вендором. По итогам возбуждены три дела об административных правонарушениях. Общая сумма штрафов составила несколько сотен тысяч рублей. Университет оспорил одно из постановлений, ссылаясь на ст. 4.1.1 КоАП и первичность нарушений, — суд снизил штраф по одному из составов. ⚠️ Конкретный номер дела и точная дата — менеджер уточняет при публикации.

Кейс 2. Частная школа (Центральный ФО, начало 2026) получила предписание РКН после внеплановой проверки по индикатору риска. СКУД с биометрией функционировал с 2021 года, согласия были встроены в трудовые договоры. После 01.09.2025 они утратили юридическую силу. Юрист организации в течение двух недель собрал отдельные согласия от всех 34 преподавателей, обновил уведомление в реестре РКН и представил доказательства устранения нарушений. РКН ограничился предписанием без штрафа, зафиксировав факт оперативного устранения. ⚠️ Конкретный номер дела — менеджер уточняет при публикации.

Услуги DATUM по теме

  • Аудит соответствия 152-ФЗ — проверка пакета согласий, уведомления РКН и ОРД по чек-листу из 38 пунктов.
  • Комплект ОРД под ключ — политика, согласия на биометрию, договор-поручение с вендором, регламент уничтожения данных.
  • DPO-аутсорсинг — ведение функции ответственного по ст. 22.1 ФЗ-152 на абонентском обслуживании.

Частые вопросы

1. Когда нужно согласие родителей при биометрии в СКУД?

Согласие родителей или законных представителей требуется, если СКУД обрабатывает биометрию несовершеннолетних учащихся. Для преподавателей как работников согласие даёт сам субъект. Если в образовательной организации единая биометрическая система используется и для учащихся, и для персонала, пакет согласий должен учитывать обе категории субъектов — с раздельным оформлением по ст. 9 ФЗ-152 и отдельным регулированием обработки ПДн несовершеннолетних.

2. Можно ли использовать Google Classroom наряду с биометрическим СКУД?

Использование Google Classroom сопряжено с трансграничной передачей персональных данных по ст. 12 ФЗ-152 и вопросом локализации по ч. 5 ст. 18. Это самостоятельный массив нарушений, не связанный напрямую с СКУД. Совместная эксплуатация обеих систем возможна при условии отдельного уведомления РКН о трансграничной передаче и соблюдения требований локализации первичной записи данных на территории России.

3. Что такое прокторинг с точки зрения 152-ФЗ?

Прокторинг — дистанционный контроль при сдаче экзаменов с использованием видеозаписи и идентификации лица. По ст. 11 ФЗ-152 запись изображения лица в целях идентификации личности является обработкой биометрических персональных данных. Это означает требование письменного согласия субъекта, указание цели («идентификация при проведении контрольного мероприятия»), и, если прокторинг ведёт внешний сервис, — договор-поручение по п. 3 ст. 6 ФЗ-152.

4. Кто является оператором персональных данных в онлайн-школе?

Оператором по ст. 3 ФЗ-152 является лицо, которое определяет цели и состав обрабатываемых данных. В онлайн-школе это, как правило, само юридическое лицо — организация или ИП, ведущие образовательную деятельность. Платформа (LMS, CRM) может выступать обработчиком по поручению при наличии соответствующего договора. Если платформа самостоятельно определяет цели обработки — она становится самостоятельным оператором, что требует отдельного уведомления в РКН.

5. Что грозит школе за утечку персональных данных преподавателей?

Ответственность зависит от масштаба. За утечку от 1 000 до 10 000 субъектов — штраф 3–5 млн ₽ по ч. 12 ст. 13.11 КоАП (в ред. с 30.05.2025). За неуведомление РКН в течение 24 часов с момента обнаружения утечки — штраф 1–3 млн ₽ по ч. 11 ст. 13.11. Если в составе утекших данных окажется биометрия — штраф по ч. 17 составит 15–20 млн ₽. При повторном нарушении применяется оборотный состав ч. 18 ст. 13.11.

Итог

Биометрический СКУД в образовательной организации — это не просто вопрос информационной безопасности. Это полноценный массив обязательств по ФЗ-152: письменные согласия, уведомление РКН с указанием биометрических данных, договор-поручение с вендором, определение уровня защищённости и реализация технических мер. После 01.09.2025 согласия, объединённые с иными документами, утратили юридическую силу.

DATUM сопровождает образовательные организации — от университетов до частных школ — в приведении обработки биометрии в соответствие с ФЗ-152. Практика охватывает аудит пакета согласий, сборку ОРД, взаимодействие с РКН и защиту в арбитраже при оспаривании постановлений по ст. 13.11 КоАП.

Смотрите также

ОН
Ольга Нечаева
Аналитик · Медицина и образование
Специализация — ПДн в образовании: согласия родителей, прокторинг, обработка ПДн несовершеннолетних, EdTech. Медицина: МИС, ЕГИСЗ, врачебная тайна, 323-ФЗ × 152-ФЗ.

3 июня 2026 года