инструкция 16 января 2028 По состоянию на 16 января 2028

Биометрия в банковской сфере (ЕБС)

Биометрические персональные данные в банке — это изображение лица и голос работника или клиента, обрабатываемые по ст. 11 ФЗ-152 только с письменного согласия и строго в рамках определённых целей.

С 01.06.2023 банки обязаны передавать биометрию клиентов исключительно в ГИС ЕБС; хранение исходных шаблонов на собственных серверах запрещено. Для HR-директора это означает, что биометрия СКУД, системы рабочего времени и КЭДО регулируется отдельным блоком норм — и каждый из них требует самостоятельного согласия работника.

→ Если вы HRD и в компании уже используется биометрический СКУД или банк подключает ЕБС — проверьте комплект согласий и политику прямо сейчас.

Банковский сектор стал первой отраслью, где биометрия из рекомендательной нормы превратилась в обязательную инфраструктуру. ФЗ-572 от 29.12.2022 закрепил Единую биометрическую систему как единственный легальный канал хранения биометрических шаблонов клиентов банков. Параллельно HR-департамент оказался под давлением двух режимов: требований ст. 11 ФЗ-152 о письменном согласии на биометрию и требований ст. 86–88 ТК РФ об обработке персональных данных работников. В этой инструкции — пошаговый порядок приведения биометрической практики банка в соответствие с законом.

Шаг 1. Разграничьте биометрию клиентов и работников

Прежде чем собирать согласия и писать политику, HRD обязан чётко разделить два контура обработки. Первый — биометрия клиентов для дистанционного банковского обслуживания через ЕБС. Второй — биометрия работников в системах контроля доступа (СКУД), учёта рабочего времени, видеонаблюдения, а с 2025 года — в системах КЭДО при электронной подписи.

По ст. 11 ФЗ-152 биометрическими персональными данными признаются сведения, которые характеризуют физиологические и биологические особенности человека и на основании которых можно установить личность. Изображение лица и запись голоса — классический состав. Отпечатки пальцев, рисунок радужки, геометрия руки — туда же. Каждая категория требует отдельного письменного согласия субъекта (п. 1 ч. 2 ст. 11 ФЗ-152).

«Ст. 11 ФЗ-152: обработка биометрических персональных данных допускается только с письменного согласия субъекта, за исключением случаев, предусмотренных ч. 2 ст. 11 — в частности, осуществление правосудия, обеспечение безопасности, оборона страны.»

Для HR-директора практическое следствие: согласие на биометрический СКУД — это не то же самое, что согласие на обработку ПДн в трудовом договоре. Это отдельный документ с отдельными реквизитами по ст. 9 ФЗ-152.

Шаг 2. Проверьте соответствие банка требованиям ЕБС по ФЗ-572

Оператор ГИС ЕБС — АО «Центр Биометрических Технологий». С 01.06.2023 банки не вправе хранить биометрические шаблоны клиентов у себя: все исходные данные передаются в ЕБС, локальные копии уничтожаются. Банк выступает агентом по сбору и передаче биометрии, но не оператором хранилища.

HR-директор напрямую не управляет этим процессом, но должен понимать: когда банк нарушает требования ФЗ-572 по размещению биометрии в ЕБС, за нарушение требований размещения предусмотрена ответственность по ст. 13.11.3 КоАП — для юридических лиц штраф составляет 500 тысяч — 1 миллион рублей. Это не HR-риск напрямую, но сигнал для общего комплаенс-аудита.

«ФЗ-572 от 29.12.2022: хранение биометрических шаблонов клиентов банка вне ГИС ЕБС с 01.06.2023 запрещено. Оператор ЕБС — АО "Центр Биометрических Технологий". Размещение биометрии через МФЦ и банки регулируется отдельно.»

Важный нюанс для HR: требование ФЗ-572 распространяется на клиентскую биометрию. Биометрия работников банка (СКУД, учёт рабочего времени) в ЕБС не передаётся — она остаётся во внутренней ИСПДн банка и регулируется ст. 11 ФЗ-152 и ст. 86–88 ТК РФ.

Согласия на биометрию СКУД оформлены в трудовом договоре?

С 01.09.2025 согласие на обработку персональных данных — это отдельный документ (ФЗ-156 от 24.06.2025). Согласие на биометрию, встроенное в трудовой договор или правила внутреннего распорядка, не соответствует требованиям ст. 9 и ст. 11 ФЗ-152. Каждая такая форма создаёт основание для штрафа по ч. 2 ст. 13.11 КоАП — до 700 тысяч рублей за организацию.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Шаг 3. Составьте отдельные согласия работников на биометрию

После 01.09.2025 согласие на обработку ПДн работника не может быть частью трудового договора, коллективного договора или политики конфиденциальности. ФЗ-156 от 24.06.2025 внёс изменения в ч. 1 ст. 9 ФЗ-152: согласие оформляется отдельным документом. Для биометрии это требование существовало и раньше — ст. 11 ФЗ-152 в редакции до ФЗ-156 уже предписывала письменную форму. После ФЗ-156 оба требования сходятся: биометрическое согласие работника — это отдельный письменный документ.

Обязательные реквизиты согласия по ст. 9 ФЗ-152: фамилия, имя, отчество субъекта; его контактные данные; наименование и реквизиты оператора; конкретная цель обработки; перечень биометрических данных; перечень действий с ними; срок действия согласия; порядок отзыва. Для биометрии СКУД цель формулируется как «обеспечение пропускного режима» или «учёт рабочего времени» — не шире.

«Ст. 9 ФЗ-152 (в ред. ФЗ-156 от 24.06.2025, с 01.09.2025): согласие субъекта оформляется отдельным документом. Биометрическое согласие дополнительно должно соответствовать требованиям ст. 11 ФЗ-152 — письменная форма обязательна.»

Ранее полученные согласия, оформленные до 01.09.2025, не требуют обязательного переоформления — ФЗ-156 не имеет обратной силы. Однако если согласие было встроено в трудовой договор или иной документ, его действительность под вопросом уже по ст. 11 ФЗ-152 в прежней редакции. Проверьте архив.

Как банкам обработать биометрию через КЭДО без нарушений?

КЭДО в банках использует квалифицированную электронную подпись работника, и в ряде систем — биометрическую аутентификацию при входе или при подписании документов. Если система КЭДО фиксирует изображение лица при каждой авторизации — это обработка биометрии по ст. 11 ФЗ-152.

Оператором при использовании КЭДО является работодатель (банк), даже если платформа — внешний SaaS-провайдер. В этом случае банк заключает договор поручения обработки по п. 3 ст. 6 ФЗ-152, а провайдер становится лицом, осуществляющим обработку по поручению оператора. Согласие работника на биометрическую аутентификацию в КЭДО — отдельный документ; его нельзя заменить ссылкой на пользовательское соглашение провайдера.

«Ст. 22.2 ТК РФ: работодатель обязан уведомить работника о переходе на КЭДО не менее чем за три рабочих дня и получить согласие. Если КЭДО предусматривает биометрическую аутентификацию, дополнительно требуется согласие по ст. 11 ФЗ-152.»

Распространённая ошибка: банк подключает биометрическую аутентификацию в уже работающей КЭДО-системе без оформления новых согласий — только потому что работник ранее дал согласие на КЭДО в целом. Это нарушение: цель обработки расширилась, значит требуется новое согласие с указанием биометрических данных и конкретных действий с ними.

Шаг 4. Обновите политику обработки персональных данных и ОРД

Политика обработки ПДн банка обязана отражать биометрическую обработку отдельным разделом. Требования к содержанию политики закреплены в ч. 2 ст. 18.1 ФЗ-152: цели, правовые основания, состав ПДн, категории субъектов, порядок уничтожения при достижении целей. Для биометрии дополнительно указываются: методы обработки, срок хранения шаблонов, порядок взаимодействия с ЕБС (для клиентской биометрии) или с оператором СКУД (для биометрии работников).

Пакет ОРД под биометрию включает: приказ о введении биометрического СКУД; положение об обработке биометрических ПДн работников; форму согласия на биометрию (отдельный документ); журнал учёта согласий; инструкцию по реагированию на отзыв согласия (работник вправе отозвать в любой момент по ч. 2 ст. 9 ФЗ-152).

«Ст. 18.1 ФЗ-152: оператор обязан принять документы, определяющие политику в отношении обработки ПДн, и разместить её в открытом доступе. Отсутствие политики или её несоответствие фактической обработке — основание для штрафа по ч. 3 ст. 13.11 КоАП (30–60 тысяч рублей для организации).»

Если HRD получил запрос от работника об отзыве согласия на биометрию — у банка есть обязанность прекратить обработку и уничтожить шаблон. Срок — до уничтожения данных, установленный внутренним регламентом. Задержка создаёт риск по ч. 5 ст. 13.11 КоАП (50–90 тысяч рублей). Юристы DATUM подготовят регламент реагирования на отзыв согласия.

Собрать ОРД под ключ

Шаг 5. Настройте процедуру отказа работника от биометрии

Работник вправе отказаться от сдачи биометрии или отозвать согласие в любой момент — это прямо следует из ч. 2 ст. 9 ФЗ-152. Банк не вправе применять санкции к работнику за такой отказ: ст. 86 ТК РФ запрещает ограничивать права работников, не согласившихся на обработку своих ПДн.

Практический вопрос: как организовать доступ в офис, если работник отказывается от биометрического СКУД. Решение — альтернативный метод идентификации: карта-пропуск, PIN-код. Банк не может установить единственным способом прохода биометрический сканер. Это риторический тупик, который стоит разрешить до внедрения СКУД, а не после.

Аналогично с КЭДО: если работник отзывает биометрическое согласие, банк обязан предоставить альтернативный способ подписания документов — на бумаге или через КЭП без биометрии. Ликвидация альтернатив — нарушение ст. 86 ТК РФ и основание для трудового спора.

Типовые сценарии нарушений и последствия

Сценарий 1. Биометрический СКУД без согласия работников. Банк установил биометрические турникеты до оформления письменных согласий. Роскомнадзор при плановой проверке фиксирует отсутствие согласий на биометрию. Квалификация — ч. 16 ст. 13.11 КоАП (нарушение ст. 11 ФЗ-152). Для банка как юридического лица точный диапазон штрафа по ч. 16 менеджер сверяет по актуальному тексту КоАП перед публикацией; при повторном нарушении — оборотный штраф по ч. 18 ст. 13.11. Стратегия: оформить согласия задним числом не получится — дата согласия должна предшествовать дате начала обработки. Единственный путь — остановить обработку, собрать корректные согласия, возобновить.

Сценарий 2. Биометрия в КЭДО без отдельного согласия. Крупный банк (Уральский ФО, начало 2026 года) внедрил КЭДО с биометрической аутентификацией. Согласие работников на КЭДО было получено в 2024 году, отдельного согласия на биометрию — нет. Внеплановая проверка РКН по жалобе работника. Организации предъявлено нарушение ст. 11 ФЗ-152. Банк оперативно оформил отдельные согласия — штраф составил сумму в нижней части диапазона по ч. 16 ст. 13.11. Оперативное устранение нарушения учтено как смягчающее обстоятельство.

Сценарий 3. Хранение клиентской биометрии вне ЕБС. Региональный банк продолжил хранить биометрические шаблоны клиентов на собственном сервере после 01.06.2023. Проверка Банка России выявила нарушение ФЗ-572. Помимо предписания регулятора, возникает риск по ст. 13.11.3 КоАП — штраф от 500 тысяч до 1 миллиона рублей. Стратегия: немедленная передача шаблонов в ЕБС, уничтожение локальных копий, документальное подтверждение исполнения.

Что подготовить HRD банка по биометрии

Отдельные письменные согласия работников на биометрический СКУД — по форме ст. 9 ФЗ-152 в редакции с 01.09.2025 (ФЗ-156)
Отдельные согласия на биометрическую аутентификацию в КЭДО, если система её использует — с указанием конкретной цели и перечня действий
Раздел политики обработки ПДн о биометрии — с порядком взаимодействия с ЕБС (клиенты) и условиями уничтожения шаблонов (работники)
Регламент реагирования на отзыв биометрического согласия — с альтернативными методами идентификации для работников
Договор поручения обработки с провайдером СКУД и КЭДО-платформой по п. 3 ст. 6 ФЗ-152

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка всех оснований обработки биометрии, согласий и ОРД
Комплект ОРД под ключ — политика, согласия на биометрию, регламент отзыва, договор поручения
DPO-аутсорсинг — ведение функции ответственного за обработку ПДн по ст. 22.1 ФЗ-152

Частые вопросы

1. Нужно ли переподписывать согласия работников после 01.09.2025?

Согласия, оформленные до 01.09.2025 как самостоятельные документы и содержащие все реквизиты ст. 9 ФЗ-152, переоформлять не требуется — ФЗ-156 обратной силы не имеет. Переоформление обязательно, если согласие было встроено в трудовой договор, правила внутреннего трудового распорядка или иной документ: такая форма не соответствовала ст. 11 ФЗ-152 даже до ФЗ-156. Биометрические согласия проверяйте отдельно — требование письменной формы по ст. 11 существовало с момента принятия закона.

2. Какие данные нельзя спрашивать в анкете кандидата или работника?

По ст. 86 ТК РФ обработка ПДн работника допустима исключительно для выполнения трудового договора. Запрашивать национальность, вероисповедание, политические взгляды, сведения о состоянии здоровья (за пределами обязательного медосмотра), членство в профсоюзе — нельзя без специального основания по ст. 10 ФЗ-152. Биометрию в анкете при трудоустройстве включать в перечень обязательных данных нельзя: это нарушение ст. 86 ТК РФ и ст. 11 ФЗ-152.

3. Можно ли вести видеонаблюдение в офисе без согласия сотрудников?

Видеозапись лица работника относится к биометрическим ПДн по ст. 11 ФЗ-152, если используется для идентификации личности. Если видеонаблюдение ведётся исключительно в целях охраны объекта и записи не применяются для установления личности конкретного работника, ряд экспертов квалифицирует это как обработку в режиме охраны, не требующую биометрического согласия. Позиция РКН: работники должны быть уведомлены о видеонаблюдении, а при использовании систем распознавания лиц — дать письменное согласие по ст. 11 ФЗ-152.

4. Сколько хранить согласия после увольнения работника?

Согласие на обработку ПДн — часть личного дела работника. Типовой срок хранения личного дела — 75 лет (по Перечню типовых управленческих архивных документов). Биометрические шаблоны уничтожаются при достижении цели обработки или по истечении срока согласия, но не позднее момента, когда цель перестаёт быть актуальной — например, при увольнении работника, если СКУД-доступ прекращён. Само согласие как документ хранится 75 лет вместе с личным делом.

5. Кто является оператором при использовании КЭДО?

Оператором ПДн при использовании КЭДО является работодатель (банк), независимо от того, чья платформа используется. Провайдер КЭДО-системы действует как лицо, осуществляющее обработку по поручению оператора, в рамках договора поручения по п. 3 ст. 6 ФЗ-152. Работодатель несёт ответственность за соблюдение требований ФЗ-152, в том числе за получение согласий и уровень защиты данных на платформе провайдера.

6. Что делать, если работник отозвал согласие на биометрию СКУД?

Банк обязан прекратить обработку биометрии этого работника в СКУД и уничтожить биометрический шаблон в сроки, установленные внутренним регламентом. Одновременно необходимо обеспечить альтернативный метод доступа — карту-пропуск или PIN-код. Отказ обеспечить альтернативу нарушает ст. 86 ТК РФ. Задержка с уничтожением шаблона создаёт риск штрафа по ч. 5 ст. 13.11 КоАП (50–90 тысяч рублей).

Итог

Биометрия в банке — это два параллельных режима: клиентская биометрия через ЕБС (регулируется ФЗ-572, оператор хранилища — АО «ЦБТ») и биометрия работников в СКУД и КЭДО (ст. 11 ФЗ-152, ст. 86–88 ТК РФ, отдельные письменные согласия). После 01.09.2025 согласие — всегда отдельный документ по ФЗ-156. Несоблюдение требований грозит штрафами по ч. 16 и ч. 18 ст. 13.11 КоАП вплоть до оборотных санкций при повторных нарушениях.

Юристы DATUM специализируются на биометрическом комплаенсе в HR: формируют пакет согласий по актуальным требованиям, проверяют договоры с провайдерами СКУД и КЭДО, готовят политику с биометрическим разделом. Опыт в сопровождении банков и финансовых организаций по 152-ФЗ с 2014 года.

АС

Анна Соколова

Партнёр · ПДн в HR

Партнёр практики DATUM по защите персональных данных в HR. Специализация — согласия работников по ст. 9 152-ФЗ в редакции с 01.09.2025 (ФЗ-156), обработка через КЭДО, биометрия в СКУД, передача в зарплатных проектах.

16 января 2028 года