Биометрия в фитнес-клубе
Фитнес-клубы используют биометрию в двух сценариях: СКУД для сотрудников и системы контроля доступа клиентов. Настоящая инструкция охватывает работников — кадровый периметр, где ответственность за документооборот несёт HR-служба. Регулирование ужесточилось в 2024–2025 годах: ФЗ-420 от 30.11.2024 ввёл оборотные штрафы, ФЗ-156 от 24.06.2025 изменил форму согласия, а ст. 272.1 УК действует с 11.12.2024. Инструкция структурирована по шагам — от аудита текущей ситуации до настройки процессов хранения и уничтожения биометрии.
Шаг 1. Определите, обрабатываете ли вы биометрические данные работников
Биометрические персональные данные по ст. 11 ФЗ-152 — это физиологические и биологические характеристики, по которым можно установить личность человека. Для СКУД к ним относятся изображение лица (при распознавании), отпечатки пальцев, рисунок вен ладони.
Проверьте оборудование в клубе. Если терминал идентифицирует сотрудника по биометрическому шаблону — вы обрабатываете биометрию. Если карта-пропуск или PIN-код — нет. Разграничение важно: ряд клубов устанавливает СКУД-терминалы, которые хранят шаблон в самом устройстве без передачи в ИС. Это не освобождает от требований ст. 11 ФЗ-152, но меняет состав технических мер.
Дополнительно проверьте: ведётся ли видеонаблюдение с функцией распознавания лиц. Если да — это тоже биометрия. Обычное видеонаблюдение без идентификации личности к биометрии не относится по позиции Роскомнадзора, однако видеозаписи могут быть персональными данными как изображение человека.
Шаг 2. Соберите правовые основания и документы
Для обработки биометрии работников фитнес-клуба необходима совокупность документов. Отсутствие любого из них — самостоятельное основание для протокола по ст. 13.11 КоАП.
Что подготовить для биометрии работников
- Письменное согласие на обработку биометрических ПДн — отдельный документ по ст. 9 и ст. 11 ФЗ-152 (в редакции ФЗ-156, обязательно с 01.09.2025)
- Локальный акт о применении СКУД с биометрией — обоснование цели, состав обрабатываемых данных, порядок хранения и уничтожения
- Приказ о назначении ответственного за обработку ПДн по ст. 22.1 ФЗ-152
- Политика обработки персональных данных с разделом о биометрии по ч. 2 ст. 18.1 ФЗ-152
- Уведомление РКН с указанием биометрических ПДн как категории обрабатываемых данных по ст. 22 ФЗ-152
Согласие по ст. 9 ФЗ-152 с 01.09.2025 не может быть включено в трудовой договор, коллективное соглашение или положение о СКУД. Это отдельный документ с обязательными реквизитами: ФИО работника, наименование оператора, цель (контроль доступа), перечень данных (изображение лица / отпечаток пальца), перечень действий (сбор, запись, хранение, использование для идентификации), срок и способ отзыва. Отсутствие хотя бы одного реквизита приравнивается к отсутствию согласия.
Если работник отказывается давать согласие на биометрию — это законное право. Работодатель обязан предоставить альтернативный способ подтверждения присутствия: карта доступа, PIN, ручная отметка. Принуждение к согласию нарушает ст. 9 ФЗ-152 и ст. 86 ТК РФ.
Согласия работников ещё в СКУД без отдельного документа?
Если HRD не переоформил согласия на биометрию после 01.09.2025 — каждый терминал СКУД создаёт основание для штрафа по ч. 2 ст. 13.11 КоАП до 700 000 ₽. Срок не восстанавливается: с 01.09.2025 старые форматы согласий недействительны как основание обработки биометрии.
Заказать аудит 152-ФЗ+7 (983) 510-38-76 · info@vitveteam.ru · Telegram t.me/vitvetcom
Шаг 3. Проверьте уведомление в реестре операторов РКН
До начала обработки биометрических ПДн работников оператор обязан уведомить Роскомнадзор по ст. 22 ФЗ-152. Форма уведомления — Приказ РКН №180 от 28.10.2022, подача через pd.rkn.gov.ru с УКЭП или через ЕСИА.
В уведомлении необходимо прямо указать биометрические ПДн как категорию обрабатываемых данных. Если клуб уже внесён в реестр, но в уведомлении биометрия не указана — нужно подать уведомление об изменении сведений. Обработка данных, не отражённых в реестре, квалифицируется по ч. 1 ст. 13.11 КоАП (150 000 — 300 000 ₽ для юридических лиц).
Срок включения в реестр после подачи уведомления — 30 дней. До включения обработка биометрии технически нарушает порядок, установленный ч. 4 ст. 22 ФЗ-152. На практике РКН не выносит протоколы за период рассмотрения при наличии поданного уведомления, однако риск фиксируется при проверке.
Как определить уровень защищённости ИСПДн с биометрией работников?
ПП РФ №1119 от 01.11.2012 устанавливает четыре уровня защищённости информационных систем персональных данных. Для биометрии работников в типовом фитнес-клубе (менее 100 000 субъектов) актуален УЗ-3 или УЗ-2 в зависимости от типа угрозы.
Тип угрозы определяет ИТ-служба или внешний аудитор. Для большинства небольших клубов с локальным СКУД без подключения к интернету применяется угроза 3-го типа (недокументированные возможности в прикладном программном обеспечении), что при биометрии менее 100 000 субъектов даёт УЗ-3. При угрозе 2-го типа — УЗ-2.
Меры защиты по УЗ-3 и УЗ-2 определены Приказом ФСТЭК №21 от 18.02.2013. Минимальный базовый набор для УЗ-3 включает управление доступом (УПД), защиту носителей информации (ЗНИ), регистрацию событий (РСБ), антивирусную защиту (АВЗ). При использовании облачного СКУД требуется дополнительно оценить трансграничную передачу данных по ст. 12 ФЗ-152.
Если HRD не уверен в уровне защищённости СКУД с биометрией — проверка РКН зафиксирует несоответствие ПП РФ №1119 как отдельное нарушение. Юристы DATUM оценят уровень защищённости и состав технических мер за одно обследование.
Заказать аудит 152-ФЗШаг 5. Настройте процесс хранения и уничтожения биометрических данных
Биометрические шаблоны хранятся не дольше, чем это необходимо для достижения цели обработки. По ст. 5 ФЗ-152 после увольнения работника данные подлежат уничтожению или обезличиванию в срок, установленный локальным актом, — как правило, не позднее 30 дней с даты прекращения трудового договора.
Уничтожение должно быть задокументировано: акт об уничтожении с указанием даты, состава данных и способа. Для аппаратных СКУД-терминалов — перезапись или физическое уничтожение носителя согласно ГОСТ. При облачном хранении — подтверждение от поставщика об удалении шаблона из его систем.
Личное дело работника (бумажный кадровый документ) хранится 75 лет по типовым срокам. Биометрический шаблон к личному делу не относится и хранению на этот срок не подлежит. Смешивать сроки нельзя.
Какие типовые ситуации приводят к проверке РКН фитнес-клуба?
Приведём три сценария, с которыми сталкивается HR-служба клуба при взаимодействии с регулятором.
Сценарий 1. Новый СКУД с распознаванием лиц, согласий нет. Клуб установил терминалы с функцией распознавания лиц для учёта рабочего времени. Согласия работников не собирались — руководство считало, что согласие на обработку ПДн уже есть в трудовом договоре. При плановой проверке РКН инспектор запросил письменные согласия на биометрию. Отдельных документов нет. Протокол по ч. 2 ст. 13.11 КоАП — штраф для юридического лица 300 000 — 700 000 ₽. Стратегия: письменные согласия требуются отдельно от трудового договора; при их отсутствии нужно либо получить согласия, либо отключить биометрический режим до документального оформления.
Сценарий 2. Согласия собраны до 01.09.2025, форма не обновлена. HR-директор клуба собрал согласия в 2023 году по форме, включённой в трудовой договор. После 01.09.2025 эти согласия не соответствуют требованию ФЗ-156 об отдельном документе. Внеплановая проверка по жалобе уволенного работника выявила несоответствие. Протокол по ч. 2 ст. 13.11. Стратегия: переоформить согласия отдельным документом со всеми реквизитами ст. 9 ФЗ-152 до следующей проверки; ранее полученные согласия не имеют обратной силы — сам по себе факт их наличия не освобождает от необходимости соответствовать новой форме.
Сценарий 3. Увольнение работника, биометрия не уничтожена. Работник уволен, но шаблон отпечатка пальца остался в памяти СКУД-терминала. Бывший работник направил требование об уничтожении ПДн. Клуб не ответил в установленный срок — 10 рабочих дней по ст. 20 ФЗ-152. РКН получил жалобу. Протокол по ч. 5 ст. 13.11 КоАП (50 000 — 90 000 ₽) и отдельно по ч. 4 за непредоставление информации. Стратегия: закрепить в локальном акте регламент уничтожения биометрии при увольнении — срок, ответственный, форма акта.
Практика: как клубы сталкивались с последствиями
Кейс 1. Сеть фитнес-студий в Сибирском федеральном округе (осень 2025) использовала облачный СКУД с распознаванием лиц для учёта рабочего времени тренерского состава. Биометрический провайдер — иностранная компания, сервер за рубежом. При проверке РКН выявил нарушение требований локализации по ч. 5 ст. 18 ФЗ-152 и отсутствие уведомления о трансграничной передаче по ст. 12 ФЗ-152. Штраф по ч. 8 ст. 13.11 КоАП составил сотни тысяч рублей. HR-директор организовал переход на российского поставщика СКУД и получил консультацию по составу уведомлений РКН.
Кейс 2. Фитнес-клуб в Центральном федеральном округе (начало 2026) получил требование бывшего работника об уничтожении биометрического шаблона и предоставлении информации об обработке его данных. Клуб не ответил в срок 10 рабочих дней. Работник направил жалобу в РКН. Дело квалифицировано по ч. 4 и ч. 5 ст. 13.11 КоАП. Клуб как микропредприятие получил предупреждение по ст. 4.1.1 КоАП при первичном нарушении и отсутствии вреда субъекту. После инцидента HR-служба закрепила в регламенте срок уничтожения биометрии — 10 рабочих дней с даты увольнения, назначила ответственного.
Услуги DATUM по теме
- Аудит соответствия 152-ФЗ — проверка документов и процессов по биометрии СКУД
- Комплект ОРД под ключ — согласия, локальные акты, политика по новым требованиям
- DPO-аутсорсинг — ответственный за обработку ПДн на абонентском обслуживании
Частые вопросы
1. Нужно ли переподписывать согласия работников после 01.09.2025?
Если согласие на биометрию было включено в трудовой договор или иной документ до 01.09.2025, оно не отвечает требованию ст. 9 ФЗ-152 в редакции ФЗ-156 об отдельном документе. Такое согласие следует переоформить: оформить отдельный документ с полным набором реквизитов. ФЗ-156 не имеет обратной силы — работников, чьи согласия уже оформлены в правильной форме отдельным документом, переподписывать не требуется.
2. Какие данные нельзя спрашивать у работника при приёме на работу?
Ст. 86 и ст. 88 ТК РФ ограничивают сбор персональных данных работника: допускается только информация, необходимая для трудовой функции. Нельзя требовать данные о религиозных убеждениях, политических взглядах, членстве в организациях, состоянии здоровья (за исключением медицинской документации для конкретной должности). Биометрию нельзя требовать принудительно — только с добровольного согласия. Ст. 22.2 ТК РФ закрепляет право работника на защиту его персональных данных от неправомерного использования.
3. Можно ли вести видеонаблюдение в фитнес-клубе?
Видеонаблюдение без функции распознавания лиц не является обработкой биометрических ПДн. Однако видеозаписи могут содержать изображение конкретных лиц и являться персональными данными. Работников необходимо уведомить о ведении съёмки — в трудовом договоре или отдельным локальным актом под подпись. Видеозаписи обрабатываются в ИСПДн, что требует включения этой категории в уведомление РКН. Видеонаблюдение в раздевалках запрещено независимо от технических возможностей — это нарушение неприкосновенности частной жизни по ст. 137 УК РФ.
4. Сколько хранить согласия после увольнения?
Согласие на обработку биометрических ПДн как документ кадрового учёта хранится в течение срока, установленного локальным актом, но не менее срока возможного предъявления претензий субъекта. На практике рекомендуется хранить согласие не менее 3 лет после увольнения (общий срок исковой давности по ГК РФ). Сами биометрические данные уничтожаются при увольнении; согласие как подтверждение законности обработки сохраняется дольше.
5. Кто является оператором при использовании КЭДО и СКУД с биометрией?
Оператором персональных данных по ст. 3 ФЗ-152 является работодатель — юридическое лицо, которое определяет цели и способы обработки данных работников. При использовании КЭДО (ст. 22.1–22.3 ТК РФ) оператором остаётся работодатель; платформа КЭДО — обработчик по поручению по п. 3 ст. 6 ФЗ-152. Аналогично при СКУД с биометрией: поставщик оборудования или облачного сервиса — обработчик. Договор поручения обработки должен содержать перечень действий, цели, требования конфиденциальности и обязанность уничтожить данные при расторжении договора.
6. Что делать, если 24 часа на уведомление РКН об утечке биометрии уже истекли?
Ч. 3.1 ст. 21 ФЗ-152 обязывает направить первичное уведомление РКН в течение 24 часов с момента обнаружения инцидента. Срок не восстанавливается. Если 24 часа истекли — нужно незамедлительно подать уведомление с объяснением задержки, зафиксировать момент обнаружения документально, подготовить отчёт о расследовании за 72 часа. Просрочка квалифицируется по ч. 11 ст. 13.11 КоАП — штраф 1 000 000 — 3 000 000 ₽. При утечке биометрии дополнительно применяется ч. 17 ст. 13.11 — 15 000 000 — 20 000 000 ₽.
Итог
Биометрия в фитнес-клубе — это не технический, а юридический вопрос. Три точки контроля для HR-директора: отдельное письменное согласие по ст. 9 и ст. 11 ФЗ-152 для каждого работника, уведомление РКН с указанием биометрии как категории ПДн, и регламент уничтожения шаблонов при увольнении. Нарушение любого из трёх — самостоятельный состав по ст. 13.11 КоАП.
Юристы DATUM сопровождают операторов ПДн в фитнес-, спортивной и wellness-индустрии: от аудита документов до представления интересов при проверке РКН.
16 февраля 2027 года