Перейти к содержанию
инструкция 24 марта 2028 года По состоянию на 24 марта 2028 года

Биометрия топ-менеджеров: спецзащита

Биометрические данные топ-менеджеров — изображение лица, голос, отпечатки пальцев — относятся к специальным категориям и требуют письменного согласия по ст. 11 ФЗ-152 при каждом новом основании обработки.
С 01.09.2025 согласие оформляется отдельным документом (ФЗ-156 от 24.06.2025). В системах СКУД и КЭДО топ-менеджеры обрабатываются так же, как рядовые сотрудники, но объём данных и уровень последствий утечки кратно выше: данные руководителей используются в мошеннических схемах с голосовой авторизацией.
Если вы HRD и биометрия топ-менеджеров уже в СКУД, а согласия не обновлены после 01.09.2025 — читайте пошаговую инструкцию по приведению обработки в соответствие.

К концу 2025 года большинство крупных компаний внедрили биометрические системы контроля доступа. Для топ-менеджеров это означает повышенный риск: их биометрия ценится на чёрном рынке дороже данных рядовых сотрудников, а утечка влечёт штраф от 3 до 20 млн ₽ в зависимости от масштаба инцидента. Ниже — шесть шагов, которые HR-директор проходит, чтобы обработка биометрии топ-менеджеров соответствовала ФЗ-152 в редакции 2025 года.

Шаг 1. Определите, что именно является биометрией в ваших системах

Биометрические персональные данные по ст. 11 ФЗ-152 — это физиологические и биологические особенности, позволяющие установить личность. К ним относятся: изображение лица (в СКУД с распознаванием лиц), отпечатки пальцев (в считывателях дактилоскопии), запись голоса (в системах голосовой идентификации для авторизации в корпоративных приложениях).

Важно разграничить: запись с видеокамеры для охраны периметра и запись в базе СКУД для идентификации — разные виды обработки. Видеозапись без автоматической идентификации личности не является биометрией в смысле ст. 11 ФЗ-152 по позиции РКН. Как только видеоряд используется для установления личности (распознавание лиц), обработка становится биометрической и требует письменного согласия.

Что инвентаризировать на первом шаге

  • Системы СКУД: тип идентификатора (карта, отпечаток, лицо, радужка)
  • Корпоративные приложения с голосовой авторизацией или Face ID
  • Базы данных, где хранятся биометрические шаблоны или исходные образцы
  • Подрядчики, которым передаётся биометрия (облачные СКУД, вендоры)
  • Список сотрудников, занимающих должности уровня C-suite и директоров

Шаг 2. Проверьте, есть ли у вас действительные письменные согласия на биометрию топ-менеджеров

Обработка биометрических ПДн допускается только на основании письменного согласия субъекта — это прямое требование ст. 11 ФЗ-152. После вступления в силу ФЗ-156 от 24.06.2025 с 01.09.2025 согласие оформляется отдельным документом: его нельзя включать в трудовой договор, в оферту или в политику обработки ПДн.

«Ст. 9 ФЗ-152 (в ред. ФЗ-156 от 24.06.2025, действует с 01.09.2025): согласие на обработку персональных данных оформляется самостоятельным документом и не объединяется с иными документами. Обязательные реквизиты: ФИО и контактные данные субъекта, наименование оператора, цель обработки, перечень ПДн, перечень действий, срок действия, порядок отзыва.»

Если согласие топ-менеджера подписано до 01.09.2025 и включено в другой документ — оно формально не соответствует новой редакции. Де-юре ФЗ-156 не требует переподписания ранее полученных согласий, если цели и состав данных не изменились. Однако при проверке РКН инспектор может квалифицировать такое согласие как не отвечающее текущим требованиям по форме. Безопаснее переоформить: отдельным документом с актуальными реквизитами.

Для биометрии в КЭДО действует то же правило: согласие на обработку биометрии в системе электронного документооборота — отдельный документ, не часть соглашения о присоединении к КЭДО. Оператором при использовании корпоративной КЭДО является работодатель, что подтверждает ст. 22.2 ТК РФ.

Согласия на биометрию в СКУД ещё в трудовых договорах?

Если HRD не привёл согласия к требованиям ФЗ-156 до проверки РКН — каждый документ с биометрией, оформленный не как отдельный, создаёт основание для протокола по ч. 2 ст. 13.11 КоАП (штраф до 700 тыс. ₽). Юристы DATUM соберут пакет документов по биометрии топ-менеджеров: отдельные согласия, политика, журнал учёта.

Заказать аудит 152-ФЗ

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Шаг 3. Установите уровень защищённости информационной системы, обрабатывающей биометрию

Биометрические ПДн — основание для повышенного уровня защищённости по ПП РФ №1119 от 01.11.2012. Если число субъектов в системе превышает 100 000, устанавливается УЗ-2; при меньшем числе — УЗ-3. Для угроз первого типа (актуальны НДВ в системном ПО) — УЗ-1 независимо от числа субъектов.

На практике: СКУД в офисе на 200 топ-менеджеров и директоров обычно попадает в УЗ-3. Но если та же система хранит биометрию всего персонала компании с числом сотрудников более 100 000 — переходит в УЗ-2. Уровень определяет набор технических мер по Приказу ФСТЭК №21 от 18.02.2013.

«ПП РФ №1119: биометрические ПДн при обработке без иных специальных категорий при угрозах 3-го типа — УЗ-3 (до 100 000 субъектов) или УЗ-2 (свыше 100 000). Приказ ФСТЭК №21 определяет базовый набор мер для каждого УЗ из 15 групп (ИАФ, УПД, ЗНИ и др.).»

Для топ-менеджеров принципиально: если биометрические шаблоны хранятся в облаке у подрядчика (вендора СКУД), оператором остаётесь вы. Передача данных подрядчику оформляется поручением обработки по п. 3 ч. 4 ст. 6 ФЗ-152. Без письменного договора-поручения — нарушение, которое при проверке РКН фиксируется отдельно.

Шаг 4. Разработайте отдельную процедуру обработки биометрии топ-менеджеров

Стандартная процедура обработки ПДн работников, описанная в политике, как правило, охватывает общие категории данных. Биометрия требует отдельного регламента — это прямо следует из ст. 18.1 ФЗ-152, которая обязывает оператора принимать меры, обеспечивающие законность обработки.

Для HR-директора практически это означает: отдельный приказ о порядке обработки биометрии, отдельный журнал согласий на биометрию (с датой подписания, сроком действия и датой отзыва), отдельный раздел в политике конфиденциальности с описанием целей и состава биометрических данных.

Особенность для топ-менеджеров: рекомендуется устанавливать срок согласия, совпадающий со сроком действия трудового договора или с конкретной системой (СКУД), а не «бессрочно». При увольнении топ-менеджера биометрический шаблон подлежит уничтожению — ст. 21 ФЗ-152 обязывает уничтожить ПДн при достижении цели обработки или по требованию субъекта. Срок хранения личного дела (75 лет) к биометрии не применяется: биометрия не является документом кадрового учёта.

Шаг 5. Проверьте уведомление в реестре РКН на предмет биометрии

Если компания обрабатывает биометрические ПДн, это должно быть указано в уведомлении об обработке ПДн в Роскомнадзоре по ст. 22 ФЗ-152. В уведомлении указываются категории ПДн, цели обработки и меры защиты. Биометрия — отдельная строка.

Проверьте: откройте реестр операторов на pd.rkn.gov.ru и найдите свою организацию. В сведениях об операторе должно быть указано «биометрические персональные данные» в разделе категорий. Если этого нет, а СКУД с биометрией уже работает — это нарушение ст. 22 ФЗ-152, штраф по ч. 10 ст. 13.11 КоАП составляет 100 000 — 300 000 ₽.

«Ст. 22 ФЗ-152: оператор обязан направить уведомление в РКН до начала обработки ПДн. Форма уведомления — Приказ РКН №180 от 28.10.2022. При изменении состава обрабатываемых данных или целей — подать уведомление об изменении сведений. Срок включения в реестр — 30 дней.»

Если биометрия добавлена в систему после первоначального уведомления и изменения в РКН не вносились — нужно подать уведомление об изменении сведений через портал pd.rkn.gov.ru с УКЭП или через ЕСИА.

Шаг 6. Подготовьте план реагирования на инцидент с биометрией топ-менеджеров

Утечка биометрических данных — наиболее тяжкий сценарий по новой редакции ст. 13.11 КоАП. По ч. 17 ст. 13.11 утечка биометрических ПДн влечёт штраф для юридического лица от 15 до 20 млн ₽. Повторная утечка биометрии (ч. 18) — оборотный штраф 1–3% совокупной годовой выручки, но не менее 20 млн ₽ и не более 500 млн ₽.

Для HR-директора критично: при обнаружении инцидента с ПДн (в том числе биометрическими) у оператора есть 24 часа на первичное уведомление РКН по ч. 3.1 ст. 21 ФЗ-152 и Приказу РКН №187 от 14.11.2022. Через 72 часа — отчёт о результатах внутреннего расследования. Срок не восстанавливается. Неуведомление — штраф 1–3 млн ₽ по ч. 11 ст. 13.11 КоАП.

Регламент реагирования для биометрии топ-менеджеров должен предусматривать: ответственного за первичное уведомление (ИБ или юрист), шаблон уведомления с реквизитами по Приказу №187, процедуру немедленного уведомления самих топ-менеджеров как субъектов ПДн, а также блокирование скомпрометированных шаблонов в СКУД.

Как это применяется на практике

Кейс 1. Производственная компания Уральского ФО (осень 2025) внедрила СКУД с распознаванием лиц для топ-менеджеров и директоров заводов — 47 человек. Согласия были включены в трудовые договоры. При плановой проверке РКН инспектор зафиксировал несоответствие формы согласия требованиям ФЗ-156: документ не был самостоятельным. Компания получила предписание и штраф по ч. 2 ст. 13.11 КоАП. После подключения юристов пакет согласий переоформлен, уведомление в РКН обновлено, штраф оспорен в части размера.

Кейс 2. IT-компания Центрального ФО (начало 2026) использовала голосовую биометрию для авторизации генерального директора и двух вице-президентов в корпоративной системе управления. Поручение обработки подрядчику (облачная платформа) не было оформлено письменно. При внеплановой проверке — по жалобе уволенного сотрудника — РКН зафиксировал два нарушения: отсутствие договора-поручения и необновлённое уведомление об обработке биометрии. Компания привлечена к ответственности по ч. 1 и ч. 10 ст. 13.11 КоАП. ⚠️ Конкретный номер дела и точная сумма — менеджер уточняет при публикации.

Типовые сценарии для HR-директора

Сценарий А: биометрия в СКУД уже работает, согласия не обновлялись с 2024 года

Ситуация. СКУД с распознаванием лиц введён в эксплуатацию в 2023–2024 году. Согласия подписаны по старой форме, встроены в трудовой договор или в общее согласие на обработку ПДн.

Риск. С 01.09.2025 форма согласия не соответствует ст. 9 ФЗ-152 в ред. ФЗ-156. При проверке РКН — протокол по ч. 2 ст. 13.11 (до 700 тыс. ₽). Если затронуто более 1 000 субъектов и при этом выявлена утечка — штраф по ч. 12 ст. 13.11 (3–5 млн ₽).

Стратегия. Переоформить согласия как отдельные документы, обновить реестр уведомлений РКН, проверить поручение обработки подрядчику.

Сценарий Б: топ-менеджер требует уничтожить его биометрию после увольнения

Ситуация. Уволившийся директор по продажам направил письменное требование об уничтожении всех его биометрических данных. HR ссылается на то, что личное дело хранится 75 лет.

Риск. Ст. 21 ФЗ-152 обязывает уничтожить ПДн при достижении цели обработки — цель биометрии в СКУД (контроль доступа) прекращается при увольнении. 75-летний срок относится к кадровым документам личного дела, а не к биометрическому шаблону. Невыполнение требования субъекта — ч. 5 ст. 13.11 КоАП (50 000 — 90 000 ₽).

Стратегия. Уничтожить биометрический шаблон в течение 7 рабочих дней, составить акт об уничтожении, направить подтверждение бывшему сотруднику по ст. 20 ФЗ-152 в течение 10 рабочих дней с даты обращения.

Сценарий В: подрядчик по СКУД хочет использовать биометрию топ-менеджеров для обучения своей модели

Ситуация. Вендор СКУД предлагает в договоре пункт об использовании биометрических шаблонов для улучшения алгоритмов распознавания.

Риск. Это выходит за рамки цели, указанной в согласии (контроль доступа). Обработка биометрии для обучения модели без отдельного согласия — нарушение ст. 5 и ст. 11 ФЗ-152, ответственность по ч. 1 ст. 13.11 (150 000 — 300 000 ₽). Если данные передаются за рубеж — дополнительно нарушение ч. 5 ст. 18 и ст. 12 ФЗ-152.

Стратегия. Исключить пункт из договора, потребовать от вендора подтверждения, что шаблоны используются исключительно для идентификации субъектов-сотрудников данной организации.

Если HR-директор столкнулся с требованием уволенного топ-менеджера об уничтожении биометрии или с запросом вендора на расширенное использование данных — у вас 10 рабочих дней на ответ субъекту по ст. 20 ФЗ-152. Юристы DATUM подготовят пакет документов и ответят на запрос в срок.

Собрать ОРД под ключ

Услуги DATUM по теме

Частые вопросы

1. Нужно ли переподписывать согласия работников после 01.09.2025?

ФЗ-156 от 24.06.2025 не имеет обратной силы: ранее полученные согласия, соответствовавшие закону на момент подписания, формально продолжают действовать. Однако если согласие было частью трудового договора или иного документа, а не самостоятельным, — при проверке РКН оно может быть расценено как не отвечающее действующей ст. 9 ФЗ-152 по форме. Для биометрии, где ставки выше, рекомендуется переоформить согласия отдельными документами с актуальными реквизитами.

2. Какие данные нельзя спрашивать в анкете при приёме на работу?

Ст. 86 ТК РФ прямо запрещает обработку ПДн работника без его согласия и сверх необходимого для трудовых отношений. Нельзя запрашивать: сведения о членстве в партиях и религиозных организациях, состоянии здоровья сверх медосмотра по должности, судимости без законного основания, национальности — если должность этого не требует. Биометрия в анкете не допускается без отдельного письменного согласия по ст. 11 ФЗ-152.

3. Можно ли вести видеонаблюдение в офисе?

Видеонаблюдение без автоматической идентификации личности не является обработкой биометрии по позиции РКН. Однако работники должны быть уведомлены о наблюдении под роспись, цель (безопасность, охрана труда) — зафиксирована в локальном акте, данные не должны храниться дольше, чем необходимо. Ст. 87 ТК РФ обязывает определить порядок хранения, использования и защиты ПДн в локальном акте. Если система распознаёт лица и идентифицирует людей — это биометрия, нужно отдельное согласие.

4. Сколько хранить согласия после увольнения?

Согласие на обработку ПДн — часть личного дела работника. Личное дело хранится 75 лет (для принятых на работу до 2003 года — 75 лет; после 2003 года — 50 лет по новым правилам архивного хранения). Само согласие на биометрию хранится на протяжении этого срока как подтверждение законности обработки. Биометрический шаблон уничтожается при прекращении трудовых отношений и достижении цели обработки — по ст. 21 ФЗ-152.

5. Кто оператор при использовании КЭДО?

При использовании корпоративной КЭДО работодатель является оператором ПДн работников по ст. 22.2 ТК РФ и ст. 3 ФЗ-152. Если КЭДО реализована через платформу третьего лица (например, сервис электронного документооборота), платформа действует как лицо, осуществляющее обработку по поручению. Договор-поручение в письменной форме обязателен по п. 3 ч. 4 ст. 6 ФЗ-152. Биометрия в КЭДО (например, квалификация подписи по биометрии) требует отдельного согласия.

6. Что делать, если биометрия топ-менеджера попала к подрядчику без договора?

Передача биометрических ПДн без договора-поручения — нарушение ст. 6 ФЗ-152, влечёт ответственность по ч. 1 ст. 13.11 КоАП (150 000 — 300 000 ₽). Немедленные шаги: потребовать от подрядчика уничтожить данные, зафиксировать факт уничтожения актом, заключить договор-поручение на будущее или прекратить передачу. Если данные ушли третьим лицам без вашего ведома — это инцидент, уведомление РКН в течение 24 часов по ч. 3.1 ст. 21 ФЗ-152.

Итог

Биометрия топ-менеджеров в системах СКУД и КЭДО — обработка специальной категории ПДн с повышенной ответственностью: от 15 до 20 млн ₽ за утечку (ч. 17 ст. 13.11 КоАП) и до 500 млн ₽ оборотного штрафа при повторном инциденте (ч. 18). После 01.09.2025 требования к форме согласия ужесточились: документ должен быть отдельным, с исчерпывающими реквизитами по ст. 9 ФЗ-152 в редакции ФЗ-156.

DATUM сопровождает HR-департаменты по всем шести шагам, описанным в этой инструкции: от инвентаризации систем до разработки регламента реагирования на инцидент с биометрическими данными руководителей.

Смотрите также

АС
Анна Соколова
Партнёр · ПДн в HR
Партнёр практики DATUM по защите персональных данных в HR. Специализация — согласия работников по ст. 9 152-ФЗ в редакции с 01.09.2025 (ФЗ-156), обработка через КЭДО, биометрия в СКУД, передача в зарплатных проектах. Сопровождение проверок РКН в HR-департаментах.

24 марта 2028 года