справочник 18 февраля 2027 По состоянию на 18 февраля 2027

Биометрия в СКУД: правила обработки

Биометрические персональные данные в системах контроля доступа — отдельная категория с повышенным режимом защиты по ст. 11 ФЗ-152. Обработка без письменного согласия работника или без надлежащего правового основания влечёт штраф до 700 000 ₽ по ч. 2 ст. 13.11 КоАП.

С 30.05.2025 нарушения в сфере биометрии квалифицируются по ч. 16–18 ст. 13.11 КоАП (ФЗ-420), штраф за утечку биометрии — 15–20 млн ₽. Юрист, проверяющий комплаенс СКУД, обязан оценить основание, состав согласия, технические меры и порядок хранения.

→ Если вы юрист и проверяете законность работы СКУД в компании — разберите каждый термин и требование ниже, чтобы выявить конкретные пробелы.

Биометрия в СКУД — один из наиболее рискованных участков обработки персональных данных. С введением ФЗ-420 от 30.11.2024 санкции за нарушения в этой сфере стали сопоставимы с оборотными штрафами. Справочник разбирает ключевые термины и правила, которые юристу необходимо проверить при аудите систем контроля и управления доступом.

Какие понятия определяют режим обработки биометрии в СКУД?

Биометрические персональные данные — физиологические и биологические характеристики человека, по которым можно установить его личность и которые используются оператором в целях идентификации субъекта (ст. 11 ФЗ-152). В СКУД это изображение лица и (или) отпечатки пальцев, применяемые для верификации при проходе.

Оператор персональных данных — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку ПДн и определяющее цели обработки (ст. 3 ФЗ-152). Работодатель, установивший СКУД с биометрией, является оператором в полном объёме обязательств.

Субъект персональных данных — физическое лицо, чьи ПДн обрабатываются (ст. 3 ФЗ-152). В контексте СКУД — работник, контрагент или посетитель, биометрия которого используется для идентификации.

Обработка персональных данных — любое действие или совокупность действий с ПДн: сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, удаление, уничтожение (ст. 3 ФЗ-152). Регистрация прохода через СКУД — это обработка, включающая сбор, использование и хранение биометрии.

«Ст. 11 ФЗ-152: обработка биометрических персональных данных допускается только при наличии письменного согласия субъекта — за исключением случаев, прямо предусмотренных законодательством (судопроизводство, безопасность, исполнение международных договоров и ряд иных оснований).»

Какие правовые основания допускают обработку биометрии в СКУД?

Правовое основание обработки — условие, при наличии которого оператор вправе осуществлять обработку ПДн (ст. 6 ФЗ-152). Для биометрии перечень оснований существенно уже, чем для общих категорий данных.

В СКУД применяются два основных основания. Письменное согласие субъекта (п. 1 ч. 1 ст. 6, ст. 11 ФЗ-152) — базовый и наиболее распространённый вариант для коммерческих организаций. С 01.09.2025 согласие на обработку ПДн должно быть оформлено отдельным документом и не может включаться в текст трудового договора, должностной инструкции или иного документа (ФЗ-156 от 24.06.2025). Включение биометрического согласия в трудовой договор после этой даты — нарушение ч. 2 ст. 13.11 КоАП.

Второе основание — исполнение обязательств оператора по федеральному закону. Для объектов, режим безопасности которых установлен специальным законодательством (транспортная безопасность, объекты КИИ, режимные предприятия), обработка биометрии в целях пропускного контроля может осуществляться без согласия субъекта на основании соответствующего федерального закона. Юрист обязан идентифицировать применимый закон и убедиться, что СКУД используется именно в тех целях, которые им предусмотрены.

Согласия на биометрию ещё в трудовых договорах?

Если юрист выявил, что биометрическое согласие работников включено в трудовой договор или иной документ и не переоформлено после 01.09.2025, — каждый такой документ создаёт основание для штрафа по ч. 2 ст. 13.11 до 700 000 ₽. Специалисты DATUM проведут аудит обработки ПДн по чек-листу из 38 пунктов и выдадут отчёт с планом устранения нарушений.

Заказать аудит 152-ФЗ

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram t.me/vitvetcom

Какие требования предъявляются к согласию на обработку биометрии?

Согласие субъекта на обработку персональных данных — свободное, конкретное, информированное и сознательное волеизъявление субъекта, оформленное отдельным документом (ст. 9 ФЗ-152 в редакции ФЗ-156). Для биометрии согласие должно быть письменным.

Обязательные реквизиты письменного согласия на биометрию в СКУД:

Что включить в согласие на биометрию

Фамилия, имя, отчество и контактные данные субъекта (работника)
Наименование и адрес оператора (работодателя)
Цель обработки — строго сформулированная: «идентификация при проходе через СКУД по адресу...»
Перечень биометрических данных: изображение лица и (или) отпечатки пальцев — конкретно, без обобщений
Перечень действий с биометрией: сбор, запись, хранение, использование для верификации, уничтожение
Срок действия согласия и порядок его отзыва

Отзыв согласия — право субъекта прекратить обработку своих ПДн, направив письменное требование оператору. При отзыве согласия на биометрию оператор обязан уничтожить биометрические данные субъекта, если отсутствует иное правовое основание для их хранения. Для СКУД это означает удаление шаблона из базы системы и уничтожение исходного изображения или иного биометрического идентификатора.

Какие категории ПДн обрабатываются в СКУД и как это влияет на уровень защищённости?

Специальные категории персональных данных — данные о расовой и национальной принадлежности, политических взглядах, религиозных и философских убеждениях, состоянии здоровья, интимной жизни, судимости (ст. 10 ФЗ-152). Биометрия к специальным категориям по ст. 10 не относится — она регулируется отдельной ст. 11.

Уровень защищённости информационной системы персональных данных (УЗ) — совокупность требований к нейтрализации угроз безопасности, определяемая по категории ПДн, типу угроз и числу субъектов (ПП РФ №1119 от 01.11.2012). Для СКУД с биометрией работников применяется УЗ-3 при числе субъектов менее 100 000 и угрозах 3-го типа. При угрозах 2-го типа (уязвимости системного ПО) — УЗ-2.

Информационная система персональных данных (ИСПДн) — совокупность содержащихся в базах данных ПДн и обеспечивающих их обработку информационных технологий и технических средств (ст. 3 ФЗ-152). СКУД с биометрической верификацией является ИСПДн и подпадает под требования Приказа ФСТЭК №21 от 18.02.2013.

«ПП РФ №1119, п. 17–19: для ИСПДн с биометрическими данными работников при числе субъектов менее 100 000 и угрозах 3-го типа устанавливается уровень защищённости УЗ-3. Перечень мер по УЗ-3 определён Приказом ФСТЭК №21.»

Если юрист проверяет, соответствует ли СКУД требованиям ФСТЭК по УЗ-3, — без аудита ИСПДн это сделать невозможно. Нарушения по ст. 13.11 ч. 16 КоАП — от 15 млн ₽.

Заказать аудит 152-ФЗ

Что грозит за нарушения при обработке биометрии в СКУД?

Административная ответственность оператора за нарушения в сфере биометрии с 30.05.2025 регулируется ч. 16–18 ст. 13.11 КоАП (ФЗ-420 от 30.11.2024). Обработка биометрических данных без письменного согласия или с нарушением требований к составу согласия — ч. 16, штраф для юридического лица уточняется по актуальному тексту КоАП непосредственно перед применением. Утечка биометрических данных — ч. 17 ст. 13.11, штраф 15–20 млн ₽. Повторное нарушение по ч. 16 или ч. 17 — ч. 18, оборотный штраф: 1–3% совокупной годовой выручки, не более 500 млн ₽.

Уголовная ответственность за незаконные сбор, хранение или использование компьютерной информации, содержащей биометрические данные, предусмотрена ст. 272.1 УК РФ (введена ФЗ-421 от 30.11.2024, действует с 11.12.2024). При тяжких последствиях (ч. 5) — лишение свободы до 10 лет. Ответственность по ст. 272.1 может наступать независимо от административной.

Принципы обработки персональных данных (ст. 5 ФЗ-152) обязательны при работе с биометрией в СКУД: законность основания, конкретность цели, соответствие объёма обрабатываемых данных заявленной цели, хранение не дольше необходимого, уничтожение при достижении цели или отзыве согласия. Нарушение принципа конкретности цели — обработка биометрии «для учёта рабочего времени и иных целей» без их перечисления — создаёт основание для привлечения по ч. 1 ст. 13.11 КоАП (150 000–300 000 ₽).

Как применяются эти правила на практике

Ситуация 1. Производственная компания (Приволжский ФО, осень 2025) использовала СКУД с верификацией по отпечатку пальца. Согласие работников было включено в трудовой договор до 01.09.2025 и не переоформлено. При плановой проверке РКН зафиксировал нарушение ч. 2 ст. 13.11 КоАП. Компания получила штраф в диапазоне сотен тысяч рублей. Юрист, участвовавший в сопровождении проверки, указал на отсутствие отдельного документа согласия как на ключевой пробел в ОРД.

Ситуация 2. IT-компания (Центральный ФО, начало 2026) внедрила СКУД с распознаванием лица для офисного здания. Согласия были оформлены отдельными документами, однако цель была сформулирована как «обеспечение безопасности» без указания конкретного адреса и технологии. При проверке РКН квалифицировал это как нарушение принципа конкретности цели (ст. 5 ФЗ-152) и ч. 1 ст. 13.11 КоАП. После корректировки формулировок и представления юридической позиции штраф был оспорен, дело прекращено на основании ст. 4.1.1 КоАП — первичное нарушение для субъекта МСП.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка СКУД, согласий и ОРД по биометрии
Комплект ОРД под ключ — согласия на биометрию, политика, приказы по СКУД
DPO-аутсорсинг — постоянное сопровождение оператора биометрии

Частые вопросы

1. Что считается обработкой ПДн по 152-ФЗ применительно к СКУД?

Обработкой по ст. 3 ФЗ-152 считается любое действие с ПДн, включая сбор изображения лица или отпечатка пальца при регистрации в СКУД, запись в базу шаблонов, использование для верификации при каждом проходе, хранение журналов и уничтожение при увольнении. Все эти действия требуют правового основания — как правило, отдельного письменного согласия по ст. 11 ФЗ-152.

2. На основании чего можно обрабатывать биометрию в СКУД без согласия работника?

Без согласия субъекта биометрию в СКУД можно обрабатывать только при наличии прямого указания в федеральном законе — например, на объектах транспортной безопасности по Федеральному закону о транспортной безопасности. Для большинства коммерческих офисов, складов и производственных площадок такого основания нет: требуется отдельное письменное согласие по ст. 11 ФЗ-152.

3. Что грозит за нарушение 152-ФЗ при использовании биометрии в СКУД?

С 30.05.2025 действует ч. 16–18 ст. 13.11 КоАП в редакции ФЗ-420. Обработка биометрии с нарушением требований — штраф по ч. 16. Утечка биометрических данных — ч. 17, штраф 15–20 млн ₽. Повторное нарушение — ч. 18, оборотный штраф до 500 млн ₽. Параллельно возможна уголовная ответственность по ст. 272.1 УК РФ — до 10 лет лишения свободы при тяжких последствиях.

4. Нужно ли уведомлять РКН о намерении обрабатывать биометрию в СКУД?

Да. Работодатель, устанавливающий СКУД с биометрической верификацией, обязан до начала обработки уведомить Роскомнадзор по ст. 22 ФЗ-152. Обработка биометрических данных без уведомления — основание для штрафа по ч. 10 ст. 13.11 КоАП в размере 100 000–300 000 ₽. Форма уведомления — Приказ РКН №180 от 28.10.2022, подача через pd.rkn.gov.ru.

Итог

Биометрия в СКУД требует от оператора соблюдения трёх условий: надлежащего правового основания (как правило — отдельного письменного согласия в редакции ФЗ-156), уведомления РКН и обеспечения уровня защищённости по ПП РФ №1119. С 30.05.2025 нарушения в этой сфере квалифицируются по ч. 16–18 ст. 13.11 КоАП с санкциями до 500 млн ₽ при повторности.

Специалисты DATUM сопровождают проверки РКН по биометрии, формируют пакет ОРД для СКУД и представляют интересы операторов в административных делах по ст. 13.11 КоАП.

ИБ

Игорь Беляев

Партнёр · РКН и арбитраж

Партнёр практики DATUM. Специализация — уведомления и проверки РКН, обжалование протоколов по ст. 13.11 КоАП (ред. ФЗ-420), защита от оборотных штрафов с 30.05.2025.