Перейти к содержанию
инструкция 23 января 2028 По состоянию на 23 января 2028

DATUM-аудит биометрических систем

Биометрические данные работников — спецкатегория по ст. 11 ФЗ-152. Обработка без письменного согласия влечёт штраф до 700 000 ₽ по ч. 2 ст. 13.11 КоАП; повторное нарушение — до 1 500 000 ₽.
С 01.09.2025 согласие работника на обработку ПДн оформляется отдельным документом (ФЗ-156 от 24.06.2025). Биометрия в СКУД — письменное согласие, не включённое в трудовой договор. Каждый несоответствующий документ создаёт самостоятельное основание для протокола РКН.
→ Если в вашем HR-департаменте СКУД-система работает, а согласия работников оформлены до 01.09.2025 или встроены в трудовой договор — пройдите пошаговый аудит ниже.

HRD несёт операционную ответственность за обработку биометрических данных в СКУД, КЭДО и личных делах. С 30.05.2025 утечка данных от 1 000 субъектов наказывается штрафом от 3 000 000 ₽ по ч. 12 ст. 13.11 КоАП; повторная утечка биометрии — оборотным штрафом до 500 000 000 ₽ по ч. 18. Эта инструкция описывает шесть шагов DATUM-аудита биометрических систем: от инвентаризации систем до проверки процедур реагирования на инциденты.

Шаг 1. Составьте реестр биометрических систем

Начните с инвентаризации: перечислите все системы, которые собирают или используют биометрические данные работников. Типичный состав для средней компании — СКУД (считыватели отпечатков пальцев или распознавание лица), видеонаблюдение с функцией идентификации, системы контроля рабочего времени по лицу.

«Ст. 11 ФЗ-152 относит изображение лица, голосовой слепок, отпечатки пальцев и радужку глаза к биометрическим персональным данным. Обработка допустима только при наличии письменного согласия субъекта, если иное не установлено п. 2 ст. 11 ФЗ-152.»

Для каждой системы зафиксируйте: наименование системы и поставщика, цель обработки (пропускной режим, учёт рабочего времени, идентификация), перечень биометрических идентификаторов, место хранения шаблонов (локальный сервер, облако поставщика, ЕБС), наличие поручения обработки (договор с поставщиком). Этот реестр — основа для проверки правового основания по каждой системе отдельно.

Шаг 2. Проверьте согласия работников на биометрию

Согласие на обработку биометрических данных должно быть письменным — это требование ст. 11 ФЗ-152. С 01.09.2025 оно дополнительно должно быть оформлено отдельным документом по требованиям ст. 9 ФЗ-152 в редакции ФЗ-156: не включено в трудовой договор, не объединено с согласием на иные категории ПДн.

«Ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025 (действует с 01.09.2025): согласие на обработку ПДн оформляется отдельным документом. Обязательные реквизиты — наименование оператора, ФИО субъекта, цель, перечень данных, перечень действий, срок, способ отзыва.»

Проверьте каждое согласие по чек-листу: отдельный ли это документ (не приложение к трудовому договору); перечислена ли биометрия как отдельная категория с указанием конкретных идентификаторов (изображение лица, отпечаток); указана ли цель — пропускной режим или учёт рабочего времени (не общая «обеспечение безопасности»); есть ли срок действия и порядок отзыва. Согласия, полученные до 01.09.2025 и оформленные как часть трудового договора, считаются недействительными в части биометрии — работников нужно переподписать.

Согласия на биометрию встроены в трудовой договор?

Если HRD обнаружил, что согласия работников на СКУД-систему оформлены как приложение к трудовому договору или в составе общей анкеты — это нарушение ч. 2 ст. 13.11 КоАП с 01.09.2025 (до 700 000 ₽). Срок на исправление не установлен, но каждый день без переоформления увеличивает риск при плановой проверке РКН. Юристы DATUM проведут аудит обработки ПДн по чек-листу из 38 пунктов и подготовят корректный пакет согласий на биометрию.

Заказать аудит 152-ФЗ

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Шаг 3. Убедитесь, что договор с поставщиком СКУД оформлен как поручение обработки

Если биометрические шаблоны хранятся на серверах поставщика СКУД или в облаке интегратора — компания передаёт биометрию третьей стороне. По ст. 6 и п. 3 ст. 6 ФЗ-152 такая передача возможна только на основании договора поручения обработки: поставщик обязуется соблюдать конфиденциальность и принятые оператором меры защиты.

«П. 3 ст. 6 ФЗ-152: оператор вправе поручить обработку ПДн третьему лицу на основании договора. Лицо, осуществляющее обработку по поручению, обязано соблюдать принципы ст. 5 ФЗ-152 и применять меры по ст. 19 ФЗ-152. Ответственность перед субъектом несёт оператор.»

В договоре с поставщиком должны быть: явное указание на поручение обработки биометрических ПДн, перечень допустимых действий (хранение шаблонов, верификация), запрет на самостоятельное использование данных, требование к уровню защищённости (не ниже УЗ-3 для биометрии по ПП РФ №1119), обязательство уведомить оператора об инциденте в течение 24 часов. Если в договоре с поставщиком нет раздела о поручении — это типичное нарушение, которое РКН фиксирует при плановой проверке.

Шаг 4. Проверьте уровень защищённости ИСПДн с биометрией

Информационная система, обрабатывающая биометрические ПДн работников, требует определённого уровня защищённости по ПП РФ №1119. Минимальный уровень для биометрии при типе угроз 3 и числе субъектов менее 100 000 — УЗ-3. При угрозах типа 1 или 2 — УЗ-1 или УЗ-2 соответственно.

«ПП РФ №1119 от 01.11.2012 устанавливает 4 уровня защищённости ИСПДн. Для биометрических ПДн при числе субъектов менее 100 000 и угрозах 3-го типа требуется УЗ-3. Меры защиты каждого уровня конкретизированы в Приказе ФСТЭК №21 от 18.02.2013 — 109 мер в 15 группах.»

На практике многие компании устанавливают СКУД без модели угроз и без определения уровня защищённости — ИСПДн числится как «вспомогательная», хотя обрабатывает биометрию. Проверьте: есть ли приказ об определении уровня защищённости по каждой ИСПДн с биометрией, составлена ли модель угроз, выполнены ли базовые меры по Приказу ФСТЭК №21 для присвоенного уровня, ведётся ли журнал событий ИБ. Отсутствие модели угроз и приказа об УЗ — нарушение ст. 19 ФЗ-152 и основание для предписания РКН.

Если HRD получил уведомление о плановой проверке РКН, а уровни защищённости ИСПДн с биометрией не определены — у компании, как правило, менее 30 дней на устранение. Юристы DATUM подготовят документы по ПП №1119 и Приказу ФСТЭК №21 в рамках ОРД-пакета.

Подготовиться к проверке РКН

Шаг 5. Проверьте порядок обработки биометрии в КЭДО

Система электронного документооборота (КЭДО) при подключении биометрической верификации подписи или аутентификации пользователя становится самостоятельной ИСПДн с биометрическими данными. Оператором является работодатель — не оператор КЭДО-платформы, если КЭДО используется по модели SaaS.

«Ст. 22.2 ТК РФ и ст. 3 ФЗ-152: работодатель при использовании КЭДО сам определяет цели и состав обрабатываемых ПДн. Передача данных КЭДО-оператору — поручение обработки по ст. 6 ФЗ-152. Согласие работника на обработку биометрии в КЭДО — отдельный документ по ст. 9 ФЗ-152 (ред. ФЗ-156).»

Для КЭДО с биометрией проверьте: получены ли отдельные согласия на биометрическую верификацию в КЭДО (отличные от согласия на СКУД); заключён ли договор поручения с оператором КЭДО-платформы с требованиями к защите; определён ли уровень защищённости; соответствует ли уведомление в реестре РКН реальному составу обрабатываемых категорий ПДн (биометрия должна быть отражена). Типичная ошибка — в уведомлении указаны только общие категории, а биометрия не отражена. РКН фиксирует это при сверке реестра с фактической обработкой.

Шаг 6. Установите процедуру реагирования на инциденты с биометрией

Утечка биометрических данных — самый дорогостоящий инцидент по действующим нормам. По ч. 17 ст. 13.11 КоАП штраф за утечку биометрии составляет 15 000 000 — 20 000 000 ₽. При повторности применяется оборотный штраф по ч. 18: 1–3% годовой выручки, не более 500 000 000 ₽. При этом на первичное уведомление РКН — 24 часа с момента обнаружения (ч. 3.1 ст. 21 ФЗ-152).

«Ч. 3.1 ст. 21 ФЗ-152 и Приказ РКН №187 от 14.11.2022: при обнаружении утечки оператор направляет первичное уведомление в РКН в течение 24 часов; через 72 часа — отчёт о результатах внутреннего расследования. Неуведомление — штраф 1 000 000 — 3 000 000 ₽ по ч. 11 ст. 13.11 КоАП.»

Процедура реагирования должна включать: назначенное ответственное лицо с полномочиями по ст. 22.1 ФЗ-152, регламент фиксации инцидента (кто, как, в какой системе), шаблон первичного уведомления РКН по форме Приказа №187, чек-лист для отчёта 72 часа, схему внутреннего расследования с перечнем доказательств. Без готового регламента 24-часовой срок почти невозможно соблюсти: уведомление направляется через портал pd.rkn.gov.ru и требует УКЭП или ЕСИА-входа.

Что подготовить по итогам аудита биометрических систем

  • Реестр биометрических ИСПДн с указанием идентификаторов, поставщиков и мест хранения шаблонов
  • Отдельные письменные согласия работников на каждую систему с биометрией — по требованиям ст. 9 ФЗ-152 в ред. ФЗ-156 (не включённые в трудовой договор)
  • Договоры поручения обработки с поставщиками СКУД и КЭДО-платформ с требованиями по ст. 19 ФЗ-152
  • Приказы об определении уровня защищённости ИСПДн и модели угроз по ПП РФ №1119 и Приказу ФСТЭК №21
  • Регламент реагирования на инциденты с биометрией: ответственный, шаблон уведомления РКН за 24/72 часа по Приказу №187

Типичные ситуации при аудите биометрических систем

Ситуация 1. СКУД с биометрией работает, согласия в трудовом договоре. Компания (Сибирский ФО, начало 2026) при подготовке к плановой проверке обнаружила, что согласия на дактилоскопирование для СКУД включены в текст трудовых договоров как отдельный пункт — без оформления самостоятельного документа. С 01.09.2025 такая форма не соответствует ст. 9 ФЗ-152 в редакции ФЗ-156. HR-директор инициировал переподписание со всеми работниками за 3 недели до проверки. РКН зафиксировал устранение нарушения на момент проверки и не возбудил дело по ч. 2 ст. 13.11. Доказательствами послужили: новые согласия с датой подписания, уведомления работников об изменении порядка обработки, журнал регистрации.

Ситуация 2. КЭДО с биометрической верификацией без договора поручения. Производственная компания (Уральский ФО, осень 2025) использовала облачную КЭДО-платформу с функцией биометрической верификации подписи. Договор с поставщиком платформы не содержал раздела о поручении обработки биометрических ПДн. По жалобе уволенного работника РКН провёл внеплановую проверку. Нарушения: отсутствие поручения обработки по ст. 6 ФЗ-152 (ч. 1 ст. 13.11 КоАП) и отсутствие отдельного согласия на биометрию в КЭДО (ч. 2 ст. 13.11 КоАП). Совокупный штраф для юрлица составил суммы в диапазоне нескольких сотен тысяч рублей; договор с поставщиком переработан, согласия переоформлены. Стратегия: не дожидаться жалобы — проверять договоры с SaaS-поставщиками при каждом подключении функционала с биометрией.

Как часто нужно проводить аудит биометрических систем?

Биометрические системы меняются быстрее, чем кадровые: обновляется ПО поставщика, добавляются новые считыватели, меняются облачные контракты. Рекомендуемая периодичность — раз в год плановый аудит и внеплановый при каждом изменении состава систем или поставщиков. РКН при плановой проверке запрашивает документы за весь период с момента последнего уведомления об изменении сведений в реестре операторов — изменения в составе обрабатываемых категорий требуют актуализации уведомления по Приказу РКН №180.

Услуги DATUM по теме

Частые вопросы

1. Нужно ли переподписывать согласия работников после 01.09.2025?

Согласия, полученные до 01.09.2025 и оформленные как часть трудового договора, не соответствуют ст. 9 ФЗ-152 в редакции ФЗ-156 — их нужно заменить отдельными документами. Согласия, выданные до 01.09.2025 как самостоятельные документы с обязательными реквизитами ст. 9, юридически действительны: ФЗ-156 не имеет обратной силы. Переподписывать их не требуется, если они оформлены корректно. Для биометрии дополнительно проверьте, что согласие было именно письменным и содержало перечень биометрических идентификаторов отдельно.

2. Какие данные нельзя запрашивать в анкете кандидата?

Ст. 86 ТК РФ запрещает работодателю получать и обрабатывать ПДн работника, не необходимые для трудовых отношений. В анкете кандидата недопустимы вопросы о политических и религиозных взглядах, национальности, состоянии здоровья (вне случаев, прямо установленных законом), судимости (если должность не требует такой проверки по закону), семейном положении и детях сверх того, что нужно для исчисления НДФЛ и льгот. Биометрию — фото для пропуска или снятие отпечатков — нельзя собирать на этапе кандидата без отдельного согласия и до оформления трудовых отношений.

3. Можно ли вести видеонаблюдение в офисе?

Видеонаблюдение без функции идентификации личности — как правило, не является обработкой биометрических ПДн по ст. 11 ФЗ-152, если записи не используются для установления личности конкретного человека. Однако работодатель обязан уведомить работников о ведении съёмки по ст. 87 ТК РФ и ст. 74 ТК РФ — через приказ и локальный нормативный акт. Если система видеонаблюдения включает функцию распознавания лиц и привязку к конкретным работникам — это биометрические ПДн, требующие письменного согласия по ст. 11 ФЗ-152 и отдельного согласия по ст. 9 ФЗ-152 (ред. ФЗ-156).

4. Сколько хранить согласия после увольнения?

Согласие работника на обработку ПДн хранится не менее срока хранения личного дела. Для большинства работников личное дело хранится 75 лет (для руководителей и отдельных категорий — постоянно). Само согласие подтверждает правомерность обработки в период трудовых отношений, поэтому его уничтожение ранее личного дела создаёт доказательственный риск при проверке или споре. После увольнения работника биометрические шаблоны в СКУД должны быть уничтожены или обезличены, а согласие — сохранено как подтверждение прошлой обработки.

5. Кто является оператором при использовании КЭДО?

Оператором ПДн при использовании КЭДО является работодатель — он определяет цели и состав обрабатываемых данных по ст. 3 ФЗ-152 и ст. 22.2 ТК РФ. Поставщик КЭДО-платформы действует как лицо, осуществляющее обработку по поручению оператора (п. 3 ст. 6 ФЗ-152). Это означает, что ответственность перед субъектом (работником) и перед РКН несёт работодатель, даже если техническая утечка произошла на стороне поставщика платформы. Договор поручения обработки с КЭДО-платформой обязателен.

6. Что делать, если поставщик СКУД отказывается заключать договор поручения?

Отказ поставщика заключать договор поручения обработки означает, что передача биометрии на его серверы не имеет правового основания по ст. 6 ФЗ-152. В этой ситуации два варианта: перейти на локальное хранение биометрических шаблонов (на сервере работодателя без передачи третьей стороне) или сменить поставщика. Продолжение передачи биометрии без договора поручения — нарушение ч. 1 ст. 13.11 КоАП (150 000 — 300 000 ₽) и ст. 11 ФЗ-152 (ч. 2 ст. 13.11 КоАП, до 700 000 ₽). Зафиксируйте переписку с поставщиком: при проверке это подтвердит, что оператор принял меры.

Итог

DATUM-аудит биометрических систем — шесть шагов: инвентаризация систем, проверка согласий по ст. 9 и ст. 11 ФЗ-152, оформление договоров поручения, определение уровня защищённости по ПП РФ №1119, контроль КЭДО-обработки и регламент реагирования на инциденты за 24/72 часа. Каждый неисполненный шаг — отдельное основание для штрафа по ст. 13.11 КоАП в редакции с 30.05.2025.

Практика DATUM по биометрии в HR охватывает СКУД-проекты, КЭДО-платформы и подготовку к проверкам РКН в компаниях с численностью от 50 до 5 000 работников. Аудит по 38-пунктовому чек-листу — от 100 000 ₽, срок — 10 рабочих дней.

Смотрите также

АС
Анна Соколова
Партнёр · ПДн в HR
Партнёр практики DATUM по защите персональных данных в HR. Специализация — согласия работников по ст. 9 152-ФЗ в редакции с 01.09.2025 (ФЗ-156), обработка через КЭДО, биометрия в СКУД, передача в зарплатных проектах. Сопровождение проверок РКН в HR-департаментах.