справочник 14 сентября 2026 По состоянию на 14 сентября 2026

ДНК и отпечатки пальцев как биометрические ПДн

ДНК и отпечатки пальцев — биометрические персональные данные по ст. 11 ФЗ-152. Их обработка допустима только с письменного согласия субъекта или при наличии исчерпывающего исключения из закона.

Нарушение требований к обработке биометрии влечёт штраф по ч. 16 ст. 13.11 КоАП (в редакции с 30.05.2025). При утечке биометрических ПДн — ч. 17, до 20 млн ₽ для юрлица.

Если вы юрист и проверяете, правомерно ли компания собирает отпечатки в СКУД или архивирует биоматериал, — этот справочник даёт нормативную основу для анализа.

Биометрические персональные данные занимают особое место в системе 152-ФЗ: они относятся одновременно к чувствительным данным и к данным, обработка которых требует самостоятельного правового основания. ДНК и папиллярные узоры пальцев рук — два вида биометрии, которые встречаются в корпоративной практике (СКУД, кадровые проверки, медицинские исследования) и одновременно формируют наибольшие правовые риски из-за неизменности этих данных. Ниже — разбор понятийного аппарата, условий обработки и ответственности за нарушения.

Что такое биометрические персональные данные по ст. 11 ФЗ-152?

Биометрические персональные данные — сведения, которые характеризуют физиологические и биологические особенности человека и на основании которых можно установить его личность. Определение закреплено в ст. 11 ФЗ-152. Перечень биометрии в законе открытый: изображение лица и голос упомянуты в контексте единой биометрической системы (ЕБС), однако ст. 11 распространяется на любые физиологические идентификаторы — в том числе на ДНК и папиллярные узоры.

«Ст. 11 ФЗ-152 — биометрические персональные данные: физиологические и биологические характеристики человека, на основании которых можно установить его личность. Обработка допустима только с письменного согласия субъекта, если иное не установлено законом.»

Критерий отнесения данных к биометрии — функциональный: данные биометрические, если они позволяют идентифицировать конкретного человека без дополнительных сведений. ДНК-профиль и дактилоскопические данные соответствуют этому критерию безусловно. Важно разграничить: фотография в личном деле — не всегда биометрия (зависит от цели обработки), но дактилокарта или образец ДНК — биометрия всегда.

Чем ДНК и отпечатки пальцев отличаются от других биометрических данных?

Оба вида данных обладают одним принципиально важным свойством — они неизменны на протяжении всей жизни человека. Это отличает их от изображения лица или голоса, которые меняются с возрастом или под влиянием внешних факторов. Компрометация ДНК-профиля или дактилоскопических данных не может быть устранена заменой пароля или перевыпуском токена.

С точки зрения ст. 3 ФЗ-152, оба вида данных однозначно квалифицируются как персональные данные: они прямо идентифицируют субъекта. Дополнительно они подпадают под специальный режим ст. 11, поскольку позволяют установить личность по биологическим признакам. Сочетание этих факторов означает, что к ним применяются наиболее строгие требования из всех категорий ПДн, регулируемых 152-ФЗ.

Отпечатки пальцев в системах СКУД — наиболее распространённый случай в корпоративной практике. ДНК — преимущественно в медицине, криминалистике и генетических сервисах. В обоих случаях правовой режим идентичен: ст. 11 ФЗ-152 плюс требования об уровне защищённости по ПП РФ №1119.

Проверяете документы компании по биометрии?

Если вы юрист и анализируете, соответствует ли обработка биометрии в СКУД или медицинской системе требованиям ст. 11 ФЗ-152, — ошибки в правовом основании или форме согласия создают основания для штрафа по ч. 16 ст. 13.11 КоАП. Юристы DATUM проведут аудит обработки биометрических ПДн по чек-листу из 38 пунктов и выдадут отчёт с планом устранения нарушений.

Заказать аудит 152-ФЗ

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram t.me/vitvetcom

На каком основании допустима обработка ДНК и отпечатков пальцев?

По общему правилу ст. 11 ФЗ-152 обработка биометрических ПДн требует письменного согласия субъекта. Это самостоятельное основание, отдельное от общих оснований обработки по ст. 6. Требования к форме согласия — те же, что установлены ст. 9, с учётом редакции ФЗ-156 от 24.06.2025 (с 01.09.2025 согласие оформляется отдельным документом, не включается в договор или политику конфиденциальности).

«Ст. 6 ФЗ-152 — условия обработки ПДн: 11 правовых оснований, включая согласие субъекта (п. 1), исполнение договора (п. 5), выполнение обязанностей оператора (п. 2). Для биометрии — специальная норма ст. 11.»

Исключения из требования письменного согласия перечислены в п. 2 ст. 11 ФЗ-152 исчерпывающим образом:

обработка в связи с осуществлением правосудия и исполнением судебных актов;
обработка в целях обязательной государственной дактилоскопической регистрации (ФЗ «О государственной дактилоскопической регистрации»);
обработка в целях, установленных законодательством о безопасности, оперативно-розыскной деятельности, государственной службе;
обработка в медицинских целях — при условии соблюдения медицинской тайны;
иные случаи, прямо предусмотренные федеральным законом.

Коммерческая обработка ДНК или отпечатков пальцев в СКУД, кадровых базах или генетических сервисах под эти исключения не подпадает. Письменное согласие — единственное законное основание для таких операторов.

Какие требования предъявляются к защите биометрических ПДн?

Уровень защищённости информационной системы определяется по ПП РФ №1119 от 01.11.2012. Биометрические ПДн — основание для присвоения не ниже УЗ-3, а при угрозах первого типа или числе субъектов свыше 100 000 — УЗ-2 или УЗ-1. Конкретный набор мер защиты устанавливается Приказом ФСТЭК №21 от 18.02.2013 (109 мер в 15 группах).

Помимо технических мер, оператор обязан выполнить организационные требования ст. 18.1 ФЗ-152: назначить ответственного за обработку ПДн (ст. 22.1), разработать и опубликовать политику обработки, вести внутренние регламенты. Отсутствие приказа о назначении ответственного при наличии биометрии — отдельное нарушение, которое выявляется при проверке РКН.

При хранении биометрии в системах с подключением к интернету оператор обязан обеспечить локализацию: запись и хранение ПДн граждан РФ только в базах данных на территории РФ (ч. 5 ст. 18 ФЗ-152). Нарушение локализации — штраф по ч. 8 ст. 13.11 КоАП от 1 до 6 млн ₽.

Если в компании есть СКУД с отпечатками пальцев без отдельных письменных согласий — это нарушение ст. 11 ФЗ-152. С 30.05.2025 штраф по ч. 16 ст. 13.11 КоАП. Собрать документы под ключ и устранить нарушение можно до проверки РКН.

Собрать ОРД под ключ

Типовые ситуации с биометрией в корпоративной практике

Ситуация 1. СКУД с дактилоскопией. Компания внедрила систему контроля доступа с считывателями отпечатков пальцев. Согласия сотрудников оформлены в трудовом договоре или в общем листе ознакомления с политикой конфиденциальности. После 01.09.2025 такие документы не соответствуют требованиям ст. 9 ФЗ-152 в редакции ФЗ-156: согласие должно быть отдельным документом. При проверке РКН оператор получает протокол по ч. 16 ст. 13.11 КоАП (нарушение требований к обработке биометрии). Стратегия: переоформить согласия на отдельные документы, обновить ОРД, назначить ответственного по ст. 22.1.

Ситуация 2. Утечка дактилоскопических данных. В ходе кибератаки скомпрометирована база СКУД, содержащая шаблоны отпечатков пальцев сотрудников. Оператор обязан уведомить РКН в течение 24 часов с момента обнаружения инцидента (ч. 3.1 ст. 21 ФЗ-152, Приказ РКН №187). Через 72 часа — предоставить отчёт о результатах внутреннего расследования. Неуведомление — штраф 1–3 млн ₽ по ч. 11 ст. 13.11 КоАП. За саму утечку биометрии — ч. 17 ст. 13.11, 15–20 млн ₽.

Ситуация 3. ДНК в медицинской организации. Клиника архивирует биологические образцы и результаты генетических исследований пациентов. Обработка допустима на основании п. 2 ст. 11 ФЗ-152 (медицинские цели) без отдельного биометрического согласия — при условии соблюдения врачебной тайны по ст. 13 ФЗ «Об основах охраны здоровья граждан» и общего согласия на медицинское вмешательство. Передача ДНК-данных третьим лицам (страховщикам, работодателям) без отдельного согласия субъекта — нарушение ст. 6 и ст. 11 ФЗ-152.

Что проверить юристу при аудите обработки биометрии

Наличие отдельного письменного согласия на биометрические ПДн для каждого субъекта (ст. 11 ФЗ-152, форма по ст. 9 в ред. ФЗ-156 от 24.06.2025).
Соответствие системы защиты установленному уровню защищённости (УЗ-1..4 по ПП РФ №1119) и наличие документации ФСТЭК по Приказу №21.
Приказ о назначении ответственного за обработку ПДн (ст. 22.1 ФЗ-152) и его фактические полномочия.
Уведомление РКН о намерении обрабатывать ПДн с корректным указанием биометрии в составе обрабатываемых данных (ст. 22 ФЗ-152, Приказ РКН №180).
Наличие регламента реагирования на инциденты с ПДн с учётом срока 24/72 часа (Приказ РКН №187 от 14.11.2022).

Частые вопросы

1. Что считается обработкой ПДн по 152-ФЗ?

Обработка ПДн — любое действие или совокупность действий с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, удаление, уничтожение (ст. 3 ФЗ-152). Для биометрии каждое из этих действий требует самостоятельного основания по ст. 11 ФЗ-152. Чтение отпечатка пальца при проходе через СКУД — это обработка биометрических ПДн, даже если шаблон не хранится в явном виде.

2. На основании чего можно обрабатывать биометрические ПДн?

По общему правилу ст. 11 ФЗ-152 — только с письменного согласия субъекта. Перечень исключений в п. 2 ст. 11 исчерпывающий: правосудие, обязательная государственная дактилоскопическая регистрация, оперативно-розыскная деятельность, медицинские цели с соблюдением врачебной тайны, иные случаи из федерального закона. Коммерческое использование отпечатков в СКУД или ДНК в кадровых целях под эти исключения не подпадает — нужно письменное согласие отдельным документом.

3. Что грозит за нарушение требований к биометрии по 152-ФЗ?

За нарушение требований ст. 11 ФЗ-152 при обработке биометрии (обработка без письменного согласия или с нарушением условий) — административная ответственность по ч. 16 ст. 13.11 КоАП в редакции с 30.05.2025. За утечку биометрических ПДн — ч. 17 той же статьи: штраф для юрлица 15–20 млн ₽. Повторное нарушение по ч. 16 или 17 — оборотный штраф по ч. 18: 1–3% совокупной годовой выручки, не более 500 млн ₽. Помимо административной, возможна уголовная ответственность по ст. 272.1 УК РФ (действует с 11.12.2024), до 10 лет лишения свободы при тяжких последствиях.

4. Нужно ли уведомлять РКН о намерении обрабатывать биометрические ПДн?

Да. Обработка биометрических ПДн не входит в перечень исключений, при которых уведомление РКН не требуется (ч. 2 ст. 22 ФЗ-152). Оператор обязан уведомить РКН до начала обработки по форме Приказа РКН №180 от 28.10.2022 через портал pd.rkn.gov.ru. В уведомлении необходимо корректно указать категорию обрабатываемых данных — биометрические. Неуведомление — штраф 100–300 тыс. ₽ по ч. 10 ст. 13.11 КоАП.

Итог

ДНК и отпечатки пальцев — биометрические персональные данные с наиболее жёстким правовым режимом по 152-ФЗ. Их обработка в коммерческом секторе допустима только на основании отдельного письменного согласия субъекта, оформленного по правилам ст. 9 и ст. 11 ФЗ-152 с учётом поправок ФЗ-156, вступивших в силу с 01.09.2025. Нарушение влечёт штрафы от ч. 16 ст. 13.11 КоАП, а утечка биометрии — до 20 млн ₽ и риск оборотного штрафа при повторности.

DATUM сопровождает аудит обработки биометрических ПДн в корпоративном секторе, включая СКУД, медицинские информационные системы и HR-платформы. Практика «Ветров и партнёры» по 152-ФЗ с 2014 года.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка обработки биометрии по чек-листу из 38 пунктов
Комплект ОРД под ключ — согласия на биометрию, политика, приказы, регламент реагирования
DPO-аутсорсинг — ведение функции ответственного по ст. 22.1, ответы на запросы субъектов

АС

Анна Соколова

Партнёр · ПДн в HR

Партнёр практики DATUM по защите персональных данных в HR. Специализация — согласия работников по ст. 9 152-ФЗ в редакции с 01.09.2025 (ФЗ-156), биометрия в СКУД, сопровождение проверок РКН в HR-департаментах.

14 сентября 2026 года