Изображение лица в СКУД: биометрия или нет
Вопрос о квалификации изображения лица в системах контроля доступа (СКУД) остаётся одним из самых практически значимых в российском праве ПДн. Ответ зависит не от технологии, а от функции: если изображение обрабатывается для установления личности — это биометрия со всеми вытекающими требованиями. Настоящий справочник разбирает ключевые понятия, применимые нормы и правовые основания, которые использует юрист при оценке СКУД-систем в 2025–2026 годах.
Что считается биометрическими персональными данными по ст. 11 ФЗ-152?
Биометрические персональные данные — сведения, характеризующие физиологические и биологические особенности человека, на основании которых можно установить его личность. К ним относятся изображение лица, голос, дактилоскопические данные, радужная оболочка глаза, ДНК и иные аналогичные сведения.
Определяющий критерий по ст. 11 ФЗ-152 — функциональное использование данных для идентификации. Статичная фотография в личном деле работника не является биометрическими ПДн: она хранится для визуального сопоставления, но не обрабатывается автоматически для установления личности. Напротив, шаблон лица, извлечённый из изображения и используемый СКУД для верификации при каждом проходе, — биометрия, поскольку именно он является основанием для принятия решения о доступе.
Позиция Роскомнадзора, последовательно подтверждаемая с 2019 года: если СКУД использует технологию распознавания лиц для идентификации или верификации личности, обрабатываемые данные (в том числе исходное изображение и производный шаблон) признаются биометрическими. Это влечёт обязательность письменного согласия по ст. 11, а не просто общего согласия по ст. 9 ФЗ-152.
Чем отличается идентификация от верификации — и зачем это важно юристу?
Идентификация — установление личности субъекта из множества зарегистрированных лиц по биометрическому шаблону (поиск 1:N). СКУД в режиме идентификации не требует предъявления пропуска: система сама сопоставляет лицо с базой и принимает решение. Это наиболее жёсткий с правовой точки зрения сценарий.
Верификация — подтверждение того, что предъявленное лицо соответствует заявленной идентичности (сравнение 1:1). Субъект предъявляет пропуск или карту, СКУД сравнивает лицо с шаблоном этого конкретного человека. Функция идентификации формально не задействована, однако изображение лица по-прежнему обрабатывается для установления личности — а значит, правовой режим ст. 11 ФЗ-152 сохраняется.
Практическое значение разграничения: в ряде корпоративных СКУД поставщик декларирует «режим верификации», чтобы снизить требования к документации. Юрист обязан проверить, обрабатывается ли биометрический шаблон на сервере оператора или только на стороне субъекта (смарт-карта с чипом). Во втором случае изображение лица как таковое не хранится у оператора, что меняет квалификацию.
Анализируете СКУД-договор или готовите ОРД для системы контроля доступа?
Ошибка в квалификации — биометрия или нет — определяет разницу между согласием по ст. 9 и письменным согласием по ст. 11 ФЗ-152. Если СКУД уже работает без правильной документации, штраф по ч. 16 ст. 13.11 КоАП назначается на оператора, а не на поставщика системы. Юристы DATUM проведут аудит документации СКУД и сформируют корректный пакет ОРД.
Заказать аудит 152-ФЗ+7 (983) 510-38-76 · info@vitveteam.ru · Telegram t.me/vitvetcom
Какие правовые основания применяются при обработке изображения лица в СКУД?
Правовое основание обработки ПДн — условие, при наличии которого оператор вправе обрабатывать данные субъекта. Ст. 6 ФЗ-152 перечисляет 11 оснований; для биометрии ст. 11 добавляет требование письменного согласия как дополнительный элемент правомерности.
Типовые основания для СКУД на рабочем месте:
- Согласие работника (ст. 9 + ст. 11 ФЗ-152). Обязательно письменное; с 01.09.2025 по ФЗ-156 — отдельный документ, не включаемый в трудовой договор или согласие на обработку общих ПДн. Отзыв согласия влечёт обязанность прекратить обработку биометрии (при отсутствии иного основания).
- Федеральный закон (п. 2 ч. 2 ст. 11 ФЗ-152). Если закон прямо предписывает биометрическую идентификацию — согласие не требуется. Для большинства корпоративных СКУД такого закона нет; исключения — отдельные категории объектов критической инфраструктуры.
- Обеспечение безопасности в соответствии с законодательством. Это основание трактуется узко: необходимо, чтобы конкретный НПА предусматривал именно биометрический контроль доступа на данном объекте.
Частая ошибка: оператор ссылается на ст. 6 ч. 1 п. 5 ФЗ-152 (исполнение договора) как основание для обработки биометрии работника. Трудовой договор не является основанием обработки биометрии, поскольку ст. 11 устанавливает специальный режим, требующий явного письменного согласия либо прямого указания закона.
Что проверить юристу при анализе СКУД
- Наличие письменных согласий работников на обработку биометрии по ст. 11 ФЗ-152 (отдельный документ с 01.09.2025 по ФЗ-156)
- Технический режим СКУД: хранится ли биометрический шаблон у оператора или только на смарт-карте субъекта
- Уведомление РКН с указанием обработки биометрических ПДн и цели — контроль доступа
- Приказ о назначении ответственного за обработку ПДн (ст. 22.1 ФЗ-152) с включением СКУД в зону ответственности
- Соответствие уровня защищённости ИСПДн требованиям ПП РФ №1119 (при биометрии — не ниже УЗ-3 при типовых условиях)
Принципы обработки ПДн по ст. 5 ФЗ-152 применительно к СКУД
Принципы обработки персональных данных — базовые требования к законности и соразмерности обработки, закреплённые в ст. 5 ФЗ-152. Их нарушение само по себе образует состав правонарушения по ч. 1 ст. 13.11 КоАП вне зависимости от наличия согласия.
Применительно к СКУД наиболее значимы три принципа:
- Соответствие целям (ст. 5 ч. 2). Если заявленная цель — контроль доступа, хранить биометрические данные для иных целей (например, мониторинга рабочего времени) без отдельного основания нельзя. Объединение баз с несовместимыми целями прямо запрещено.
- Минимизация данных (ст. 5 ч. 5). Объём обрабатываемых биометрических данных должен быть достаточным для цели, но не избыточным. Хранение исходных изображений лица после извлечения шаблона — избыточность, если шаблон достаточен для идентификации.
- Ограничение сроков хранения (ст. 5 ч. 7). По достижении цели или при увольнении работника биометрические данные подлежат уничтожению или обезличиванию. Хранение «на случай будущих нужд» недопустимо.
Если в компании работает СКУД с распознаванием лиц, а ОРД не обновлялись с 2023 года — согласия работников не соответствуют требованиям ФЗ-156, вступившим в силу 01.09.2025. Это основание для протокола по ч. 2 ст. 13.11 КоАП (штраф до 700 тыс. ₽).
Заказать аудит 152-ФЗТиповые ситуации: как квалифицирует СКУД практика 2025–2026 годов
Ситуация 1. СКУД с шаблоном лица на сервере оператора. Компания внедрила систему распознавания лиц для прохода в офис. Шаблоны хранятся на локальном сервере. Согласия оформлены как часть трудового договора. Инспектор РКН при плановой проверке квалифицировал согласия как ненадлежащие: письменное согласие на биометрию по ст. 11 должно быть отдельным документом, а не частью другого. Компания получила предписание и протокол по ч. 2 ст. 13.11 КоАП. Стратегия защиты — переоформление согласий до вынесения постановления и ходатайство о прекращении дела в связи с устранением нарушения.
Ситуация 2. СКУД с биометрией на смарт-карте. Оператор использует систему, при которой шаблон лица хранится исключительно на чипе пропуска, принадлежащего работнику. Сервер оператора получает только сигнал «совпадение/несовпадение». Юрист обоснованно квалифицировал обработку как не биометрическую: оператор не обрабатывает данные, характеризующие физиологические особенности, — он получает булево значение. Письменного согласия по ст. 11 не требуется; достаточно общего согласия по ст. 9 и включения в уведомление РКН цели «контроль доступа». Такая архитектура снижает правовой риск существенно.
Ситуация 3. Видеонаблюдение и СКУД без идентификации. Видеокамеры фиксируют вход, но система не сопоставляет изображения с базой — запись хранится для расследования инцидентов. Это обработка общих ПДн (изображение лица по ст. 3 ФЗ-152 является ПДн), но не биометрия в смысле ст. 11, поскольку нет цели идентификации. Основание обработки — ст. 6 ч. 1 п. 5 (исполнение договора) или ст. 6 ч. 1 п. 7 (законный интерес оператора при наличии уведомления). Согласие в письменной форме по ст. 11 не требуется, но уведомление РКН об обработке ПДн — обязательно.
Услуги DATUM по теме
- Аудит соответствия 152-ФЗ — проверка СКУД-документации по 38 пунктам с планом устранения нарушений
- Комплект ОРД под ключ — согласия на биометрию, приказы, регламенты под конкретную СКУД-систему
- DPO-аутсорсинг — ответственный за обработку ПДн по ст. 22.1 на абонентском обслуживании
Частые вопросы
1. Что считается обработкой ПДн по 152-ФЗ?
Любое действие с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, удаление, уничтожение — как с применением средств автоматизации, так и без них. Применительно к СКУД обработкой является само снятие изображения, извлечение шаблона, сравнение с базой и хранение результата. Каждое из этих действий требует правового основания по ст. 6 или ст. 11 ФЗ-152 в зависимости от категории данных.
2. На основании чего можно обрабатывать ПДн в СКУД с распознаванием лиц?
Для биометрических ПДн основное рабочее основание — письменное согласие субъекта по ст. 9 и ст. 11 ФЗ-152. С 01.09.2025 (ФЗ-156) согласие должно быть оформлено отдельным документом — не включаться в трудовой договор, политику конфиденциальности или иное согласие. Альтернатива — прямое указание федерального закона, однако для большинства коммерческих объектов такой нормы нет. Ссылка на договор как основание по ст. 6 ч. 1 п. 5 для биометрии не работает.
3. Что грозит за нарушение 152-ФЗ при использовании СКУД с биометрией?
Обработка биометрических ПДн без письменного согласия или с нарушением требований к его составу — ч. 2 ст. 13.11 КоАП, штраф для юрлица от 300 000 до 700 000 ₽. Нарушение требований к обработке биометрии по ст. 11 ФЗ-152 в иных формах — ч. 16 ст. 13.11 (точный диапазон верифицировать по актуальной редакции КоАП). Утечка биометрических данных — ч. 17 ст. 13.11, штраф от 15 000 000 до 20 000 000 ₽. Повторное нарушение по ч. 18 — оборотный штраф 1–3% совокупной годовой выручки, не более 500 млн ₽.
4. Нужно ли уведомлять РКН, если СКУД обрабатывает биометрию работников?
Да. По ст. 22 ФЗ-152 оператор обязан уведомить Роскомнадзор о намерении обрабатывать ПДн до начала обработки. В уведомлении (форма по Приказу РКН №180) необходимо указать категорию «биометрические» и цель обработки. Неуведомление или несвоевременное уведомление образует состав по ч. 10 ст. 13.11 КоАП — штраф от 100 000 до 300 000 ₽ для юрлица. Исключения из обязанности уведомить (ст. 22 ч. 2) на биометрические данные не распространяются.
Итог
Изображение лица в СКУД является биометрическими персональными данными, если система обрабатывает его для идентификации или верификации личности. Ключевой критерий — функция, а не технология: хранение шаблона у оператора однозначно указывает на биометрический режим со всеми требованиями ст. 11 ФЗ-152. Архитектурное решение с шаблоном на смарт-карте субъекта позволяет вывести обработку из биометрического режима и снизить правовой риск.
Практика DATUM включает сопровождение СКУД-проектов в части документации ПДн: оценку технической архитектуры, формирование корректных согласий по ст. 11, уведомления РКН и защиту при проверках Роскомнадзора.
14 февраля 2027 года