Перейти к содержанию
инструкция 14 января 2028 По состоянию на 14 января 2028

Биометрия в МФЦ и госучреждениях

Биометрические данные — специальная категория по ст. 11 ФЗ-152. Сбор без письменного согласия и нарушение порядка обработки влекут штраф от 300 000 до 700 000 ₽ по ч. 2 ст. 13.11 КоАП.
МФЦ и государственные учреждения работают с изображением лица, отпечатками пальцев и голосом в рамках ЕБС (ФЗ-572). Для HR-директора это означает отдельный контур рисков: СКУД с распознаванием лиц, биометрические системы контроля доступа и интеграция с ЕБС при оформлении работников.
→ Если ваш HR-департамент использует биометрию в СКУД или сотрудники проходят идентификацию через МФЦ — проверьте комплект согласий до проверки РКН.

С 30.05.2025 штрафы за нарушения при обработке биометрии выросли кратно: утечка биометрических данных тянет на 15–20 млн ₽ по ч. 17 ст. 13.11 КоАП, а повторное нарушение — до 500 млн ₽ по ч. 18. Одновременно с 01.09.2025 вступили в силу требования ФЗ-156: согласие работника на обработку ПДн, включая биометрию, должно быть отдельным документом, не встроенным в трудовой договор. Эта инструкция описывает порядок действий HR-директора при работе с биометрией в МФЦ, госучреждениях и СКУД.

Что относится к биометрическим данным по ст. 11 ФЗ-152?

Биометрические персональные данные — это характеристики физиологических и биологических особенностей человека, позволяющие установить его личность. Ст. 11 ФЗ-152 относит к ним изображение лица, голос, отпечатки пальцев, рисунок сетчатки или радужки глаза, ДНК. Обработка биометрии по общему правилу допустима только при наличии письменного согласия субъекта.

Для HR-директора практически важны три группы:

  • Изображение лица и отпечатки — при использовании СКУД с биометрической идентификацией (ст. 86–87 ТК РФ допускают видеонаблюдение и контроль доступа, но не снимают требования ст. 11 ФЗ-152).
  • Голос — при использовании голосовых систем авторизации в корпоративных сервисах.
  • Изображение лица — при удалённой идентификации через ЕБС, в том числе при оформлении работников через МФЦ (ФЗ-572).
«Ст. 11 ФЗ-152: обработка биометрических данных без письменного согласия субъекта запрещена. Исключения — случаи, прямо предусмотренные п. 2 ст. 11: осуществление правосудия, национальная безопасность, транспортная безопасность, ряд других.»

Важно: видеозапись в коридоре офиса для охраны — не биометрия, если изображение не обрабатывается для идентификации конкретного лица. Но как только СКУД распознаёт лицо и сопоставляет с базой — это уже биометрические ПДн по позиции РКН. Каждый такой терминал требует письменных согласий от всех работников, данные которых в системе.

Как МФЦ и госучреждения обрабатывают биометрию по ФЗ-572?

С 01.06.2023 банки, МФЦ и ряд госструктур вправе регистрировать биометрию граждан только через Единую биометрическую систему (ЕБС). Оператор ЕБС — АО «Центр Биометрических Технологий». Хранение исходной биометрии вне ЕБС запрещено для организаций, включённых в периметр ФЗ-572.

Для HR-директора государственного учреждения или МФЦ это означает:

  • Сбор биометрии сотрудников для нужд самого учреждения (СКУД, контроль рабочего времени) — это отдельный контур, он не регулируется ФЗ-572, но полностью подпадает под ст. 11 ФЗ-152.
  • Биометрия, которую МФЦ регистрирует у граждан для передачи в ЕБС, — регулируется ФЗ-572, отдельная ст. 13.11.3 КоАП предусматривает штраф 500 тыс. — 1 млн ₽ за нарушение порядка размещения данных в ЕБС.
  • Принуждение гражданина предоставить биометрию для получения услуги запрещено: ч. 8 ст. 14.8 КоАП — штраф за отказ обслуживать без биометрии.
«ФЗ-572 от 29.12.2022: хранение биометрии для дистанционной идентификации вне ЕБС — нарушение. Оператор ЕБС — АО "Центр Биометрических Технологий". Размещение в ЕБС — только с добровольного согласия гражданина.»

Согласия на биометрию в СКУД составлены до 01.09.2025?

Если согласия работников встроены в трудовой договор или включены в общую форму согласия на обработку ПДн — после 01.09.2025 они не соответствуют требованиям ФЗ-156. Каждый такой документ создаёт основание для штрафа по ч. 2 ст. 13.11 КоАП — до 700 000 ₽. Срок для переоформления не установлен законом, но проверка РКН может прийти в любой момент.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Шаг 1. Определите, какая биометрия обрабатывается в вашей организации

Составьте реестр систем, в которых используются биометрические данные работников или посетителей. Для каждой системы зафиксируйте:

  • вид биометрии (изображение лица, отпечаток, голос);
  • цель обработки (контроль доступа, учёт рабочего времени, идентификация при удалённой работе);
  • категории субъектов (работники, посетители, контрагенты);
  • наличие или отсутствие письменных согласий.

Если СКУД обрабатывает изображение лица для идентификации — это биометрия. Если система хранит только PIN-код или карту доступа — нет. Граница определяется функцией распознавания, а не наличием камеры.

Шаг 2. Проверьте согласия по требованиям ст. 9 ФЗ-152 и ФЗ-156

С 01.09.2025 согласие на обработку ПДн, включая биометрические, должно быть оформлено отдельным документом — не совмещённым с трудовым договором, приказом, анкетой или политикой конфиденциальности. Это требование ФЗ-156 от 24.06.2025, внёсшего изменения в ч. 1 ст. 9 ФЗ-152.

Обязательные реквизиты согласия на обработку биометрии:

  • ФИО и контактные данные субъекта;
  • наименование и адрес оператора;
  • цель обработки (конкретная, не «в соответствии с законодательством»);
  • перечень биометрических данных (точно: «изображение лица», «отпечаток пальца»);
  • перечень действий с данными (сбор, запись, хранение, использование для идентификации);
  • срок действия согласия или условие его прекращения;
  • способ отзыва.

Согласия, полученные до 01.09.2025 в составных документах, юридически действовали в момент подписания — обратной силы требования ФЗ-156 не имеют. Но при проверке РКН инспектор вправе запросить действующие согласия на дату проверки. Если работник продолжает использовать СКУД — согласие должно быть актуальным и соответствовать новой форме.

Шаг 3. Подготовьте ОРД для обработки биометрии в СКУД

Помимо согласий, обработка биометрии требует отдельного комплекта организационно-распорядительной документации. Минимальный состав для СКУД с биометрической идентификацией:

  • Положение об обработке биометрических ПДн — цели, правовые основания, категории субъектов, сроки хранения, меры защиты.
  • Приказ о назначении ответственного за обработку ПДн по ст. 22.1 ФЗ-152.
  • Соглашение с вендором СКУД о поручении обработки ПДн по п. 3 ст. 6 ФЗ-152 — если оборудование обслуживает сторонняя организация.
  • Инструкция для работников, допущенных к администрированию системы.
  • Журнал учёта выданных и отозванных согласий.

Отдельное направление — уведомление РКН по ст. 22 ФЗ-152. Обработка биометрических данных подлежит включению в уведомление. Если в уведомлении не указана обработка биометрии, а СКУД уже работает — это нарушение ч. 10 ст. 13.11 КоАП (штраф 100 000 – 300 000 ₽).

Шаг 4. Установите уровень защищённости ИСПДн для биометрической системы

Биометрические данные относятся к специальной категории. Для информационной системы, обрабатывающей биометрию, уровень защищённости определяется по ПП РФ №1119. При числе субъектов менее 100 000 и угрозах 3-го типа минимальный уровень — УЗ-3. При угрозах 2-го типа или числе субъектов более 100 000 — УЗ-2 или выше.

Набор технических и организационных мер по каждому уровню определён Приказом ФСТЭК №21. Для УЗ-3 обязательны базовые меры по группам: идентификация и аутентификация (ИАФ), управление правами доступа (УПД), регистрация событий (РСБ), антивирусная защита (АВЗ). Аттестация ИСПДн с биометрией — не требование ФЗ-152, но РКН при проверке запрашивает подтверждение выполнения мер по ст. 19 ФЗ-152.

Шаг 5. Обеспечьте порядок отзыва согласия и уничтожения биометрии

Работник вправе отозвать согласие на обработку биометрии в любой момент. После получения заявления об отзыве оператор обязан прекратить обработку и уничтожить данные. Срок уничтожения — по общему правилу 30 дней, если иное не предусмотрено законом или договором. Для СКУД это означает: шаблон лица или отпечаток должны быть удалены из базы системы, не только деактивированы.

При увольнении работника его биометрия в СКУД подлежит уничтожению — если нет иного правового основания для хранения. Хранить отпечатки уволенного «на всякий случай» нельзя: это нарушение принципа минимизации по ст. 5 ФЗ-152. Личное дело хранится 75 лет, но биометрия в это время не входит — она не относится к документам кадрового делопроизводства.

Факт уничтожения фиксируйте актом с указанием даты, системы, идентификатора субъекта и способа уничтожения.

Если HR-директор не уверен, все ли согласия переоформлены после 01.09.2025 и задокументировано ли уничтожение биометрии уволенных — это типичная находка при проверке РКН. Штраф по ч. 2 ст. 13.11 КоАП — до 700 000 ₽ за каждое ненадлежащее согласие. Юристы DATUM проведут аудит ОРД HR-департамента и составят актуальные формы согласий.

Заказать аудит 152-ФЗ

Типичные ситуации при использовании биометрии в HR

Ситуация 1. СКУД с распознаванием лиц, согласия в трудовом договоре. Организация использует турникеты с камерами для контроля прохода с 2022 года. Согласия на обработку биометрии включены в текст трудового договора. После 01.09.2025 такая форма не соответствует ФЗ-156 — согласие должно быть отдельным документом. При плановой проверке РКН инспектор квалифицирует это как нарушение ч. 2 ст. 13.11 КоАП. Штраф для юрлица — 300 000 – 700 000 ₽. Стратегия: до проверки переоформить согласия для всех работников, чьи биометрические данные в системе, и зафиксировать дату переоформления.

Ситуация 2. Отказ работника давать биометрию — как оформить доступ. Работник отказывается предоставить отпечаток пальца для входа в здание. Принудить его нельзя — согласие на биометрию добровольно по ст. 11 ФЗ-152. Организация обязана обеспечить альтернативный способ доступа (карта, PIN-код). Если работнику фактически закрывают доступ без биометрии — это нарушение ст. 22.2 ТК РФ (недопустимое ограничение трудовых прав) и ч. 8 ст. 14.8 КоАП. Стратегия: прописать альтернативные способы доступа во внутреннем регламенте и обеспечить их техническую реализацию.

Ситуация 3. МФЦ регистрирует биометрию граждан и одновременно использует СКУД для своих работников. Два контура обработки биометрии требуют раздельного документирования. Данные граждан в ЕБС регулируются ФЗ-572 и контролируются АО «ЦБТ». Данные работников в СКУД — полностью на ответственности МФЦ как оператора ПДн по ФЗ-152. Смешивать правовые основания и формы согласий нельзя. Нарушение порядка в ЕБС — ст. 13.11.3 КоАП (500 тыс. — 1 млн ₽). Нарушение по СКУД — ст. 13.11 КоАП.

Что подготовить HR-директору

  • Реестр систем, обрабатывающих биометрию (СКУД, системы распознавания, голосовые сервисы) с указанием категорий субъектов.
  • Отдельные письменные согласия на обработку биометрических ПДн для каждой системы — по реквизитам ст. 9 ФЗ-152 в редакции ФЗ-156 (актуальны с 01.09.2025).
  • Положение об обработке биометрических ПДн и соглашение о поручении обработки с вендором СКУД.
  • Уведомление РКН с указанием биометрии как категории обрабатываемых данных (ст. 22 ФЗ-152).
  • Акты об уничтожении биометрии уволенных работников — за последние 3 года.

Как КЭДО взаимодействует с биометрией при оформлении кадровых документов?

КЭДО (кадровый электронный документооборот) требует идентификации работника при подписании документов. Если идентификация осуществляется через ЕБС или квалифицированную электронную подпись с биометрическим компонентом — это обработка биометрических ПДн по ст. 11 ФЗ-152. Согласие должно охватывать конкретную цель: «для подтверждения личности при подписании кадровых документов в системе КЭДО».

Оператором ПДн в КЭДО выступает работодатель. Если КЭДО-платформа предоставляется сторонним сервисом (1С, Контур, СБИС), с ним необходимо заключить соглашение о поручении обработки по п. 3 ст. 6 ФЗ-152. Поручение не снимает ответственности с оператора: за утечку через платформу КЭДО отвечает работодатель.

Что нельзя требовать в анкете соискателя по ст. 86–87 ТК РФ?

Ст. 86 ТК РФ запрещает обрабатывать ПДн работника сверх необходимого для трудовых отношений. В анкете соискателя недопустимо запрашивать:

  • политические, религиозные, философские взгляды (спецкатегория по ст. 10 ФЗ-152);
  • информацию о здоровье сверх требований должности;
  • биометрические данные без отдельного согласия и конкретной цели;
  • сведения о судимости — если должность не требует проверки по закону;
  • данные членов семьи без их согласия.

Личное дело работника хранится 75 лет по типовым перечням документов. Биометрия в личное дело не включается и хранится только на период действия согласия или трудовых отношений — в зависимости от цели, указанной в согласии.

Связанные услуги DATUM

Частые вопросы

1. Нужно ли переподписывать согласия работников после 01.09.2025?

Согласия, полученные до 01.09.2025 в составе трудового договора или иного документа, юридически действовали на момент подписания — обратной силы требования ФЗ-156 не имеют. Однако если работник продолжает использовать СКУД или иную биометрическую систему, его согласие действует текущим образом. При проверке РКН инспектор вправе оценить соответствие действующего согласия нормам ст. 9 ФЗ-152 в редакции на дату проверки. Безопаснее переоформить согласия как отдельные документы — особенно для биометрии, где штраф по ч. 2 ст. 13.11 КоАП составляет 300 000 – 700 000 ₽.

2. Какие данные нельзя спрашивать в анкете соискателя?

По ст. 86 ТК РФ и ст. 10 ФЗ-152 в анкете соискателя запрещено запрашивать политические, религиозные и философские взгляды, сведения о здоровье сверх необходимого для должности, данные о судимости (если проверка не предусмотрена законом для данной должности), биометрические данные без отдельного письменного согласия, а также любые ПДн третьих лиц (супруги, детей) без их согласия. Нарушение квалифицируется по ч. 1 ст. 13.11 КоАП — штраф 150 000 – 300 000 ₽.

3. Можно ли вести видеонаблюдение в офисе без биометрической идентификации?

Видеонаблюдение без функции распознавания лиц не является обработкой биометрических ПДн. Однако оно требует: уведомления работников о факте съёмки (ст. 22.2 ТК РФ), указания целей в локальном акте, включения в уведомление РКН как вида обработки ПДн. Если запись хранится и может использоваться для идентификации конкретных лиц — это уже обработка ПДн, требующая правового основания по ст. 6 ФЗ-152. Как только камера «узнаёт» конкретного человека и сопоставляет с базой — включается ст. 11 ФЗ-152 и требование письменного согласия.

4. Сколько хранить согласия после увольнения работника?

Согласие работника на обработку ПДн — кадровый документ. По типовым перечням оно хранится вместе с личным делом: 75 лет при ведении по новым правилам. Но согласие на биометрию имеет отдельную логику: биометрические данные должны быть уничтожены при увольнении (отсутствует цель обработки), а само согласие хранится как подтверждение законности обработки в прошлом. Факт уничтожения биометрии фиксируется актом. Без акта у оператора нет доказательства исполнения требований ст. 21 ФЗ-152.

5. Кто является оператором при использовании КЭДО?

Оператором ПДн в системе КЭДО выступает работодатель — он определяет цели и состав обрабатываемых данных. Платформа КЭДО (внешний сервис) действует как лицо, осуществляющее обработку по поручению, по п. 3 ст. 6 ФЗ-152. Поручение оформляется отдельным соглашением. Ответственность перед работником и РКН — на работодателе как операторе. Если платформа КЭДО использует биометрию для идентификации — в уведомлении РКН и согласии работника это должно быть явно указано.

6. Что делать, если вендор СКУД отказывается подписывать соглашение о поручении обработки ПДн?

Без соглашения о поручении обработки ПДн по п. 3 ст. 6 ФЗ-152 передача биометрических данных вендору для технического обслуживания СКУД лишена правового основания. Это нарушение ч. 1 ст. 13.11 КоАП — штраф 150 000 – 300 000 ₽. Если вендор отказывается подписывать соглашение — зафиксируйте отказ письменно и рассмотрите замену подрядчика. Альтернатива: выстроить архитектуру СКУД так, чтобы вендор не получал доступ к биометрической базе (локальное хранение без удалённого администрирования).

Итог

Биометрия в МФЦ и госучреждениях охватывает два независимых контура: ЕБС для граждан (ФЗ-572) и СКУД с биометрической идентификацией для работников (ст. 11 ФЗ-152). Смешение этих контуров — типичная ошибка, приводящая к нарушениям сразу по нескольким статьям КоАП. С 30.05.2025 штрафы за нарушения при обработке биометрии кратно выросли, а с 01.09.2025 все согласия должны быть отдельными документами.

Практика DATUM по 152-ФЗ охватывает HR-контур в государственных учреждениях, МФЦ и коммерческих организациях: аудит согласий и ОРД, составление форм под ФЗ-156, сопровождение проверок РКН по биометрическим системам.

Смотрите также

АС
Анна Соколова
Партнёр · ПДн в HR
Партнёр практики DATUM по защите персональных данных в HR. Специализация — согласия работников по ст. 9 152-ФЗ в редакции с 01.09.2025 (ФЗ-156), обработка через КЭДО, биометрия в СКУД, передача в зарплатных проектах.

14 января 2028 года