инструкция 14 января 2027 По состоянию на 14 января 2027

Кейсы штрафов за биометрию в 2026

Биометрические данные работника — специальная категория по ст. 11 ФЗ-152. Без письменного согласия их обработка незаконна, а штраф по ч. 16 ст. 13.11 КоАП назначается независимо от масштаба утечки.

С 30.05.2025 нарушения в сфере биометрии выделены в отдельные составы (ч. 16–18 ст. 13.11 КоАП в редакции ФЗ-420): штрафы для юрлиц — до 20 млн ₽ за утечку и до 500 млн ₽ при повторности. Требования к согласиям с 01.09.2025 ужесточились по ФЗ-156.

Если вы HRD и в компании используется биометрия СКУД или КЭДО — проверьте согласия работников до прихода проверяющих. → Шаги ниже.

Биометрия в HR вышла из зоны комфорта: после 30 мая 2025 года Роскомнадзор получил отдельный инструмент — ч. 16 и ч. 17 ст. 13.11 КоАП — специально для нарушений при обработке биометрических данных. Ниже — шесть шагов, которые позволяют HRD привести биометрический контур под требования закона, и разбор типовых ситуаций, где компании получают штрафы в 2025–2026 годах.

Шаг 1. Определите, какие биометрические данные обрабатывает компания

Биометрические персональные данные по ст. 11 ФЗ-152 — это физиологические и биологические характеристики, по которым можно идентифицировать конкретного человека. В HR-практике это прежде всего изображение лица и голос (для СКУД с распознаванием лиц), отпечатки пальцев (турникеты), а также запись голоса при телефонных собеседованиях, если она используется для идентификации.

Фотография в личном деле сама по себе биометрией не является — до тех пор, пока она не обрабатывается системой распознавания лиц. Как только фото передаётся в СКУД с функцией распознавания, оно становится биометрическими данными по ст. 11 ФЗ-152.

«Ст. 11 ФЗ-152 — обработка биометрических ПДн допускается только с письменного согласия субъекта. Исключения — судопроизводство, оперативно-розыскная деятельность, государственная служба и ряд других случаев (п. 2 ст. 11 ФЗ-152). Для стандартного работодателя исключения, как правило, не применимы.»

На этом шаге составьте перечень: СКУД (тип биометрии), системы видеоаналитики, платформы для дистанционного прокторинга при онлайн-собеседованиях, сервисы голосовой верификации. Каждый пункт — отдельное основание для согласия.

Шаг 2. Проверьте наличие и состав письменных согласий

С 01.09.2025 согласие на обработку персональных данных оформляется отдельным документом и не может быть частью трудового договора, должностной инструкции или согласия на обработку общих ПДн (ФЗ-156 от 24.06.2025, изменения в ч. 1 ст. 9 ФЗ-152). Для биометрии это правило действовало и раньше — теперь оно закреплено нормой.

Обязательные реквизиты согласия на биометрию по ст. 9 ФЗ-152:

фамилия, имя, отчество и контактные данные субъекта;
наименование и адрес оператора (работодателя);
цель обработки биометрических данных (например, «контроль доступа в помещение»);
перечень конкретных биометрических данных (изображение лица, отпечатки пальцев и т. д.);
перечень действий с данными — запись, хранение, сравнение, уничтожение;
срок действия согласия или условие его прекращения;
способ отзыва согласия.

Согласия, подписанные до 01.09.2025 в составе другого документа, переоформлять не требуется: ФЗ-156 обратной силы не имеет. Но если после 01.09.2025 компания заключает трудовой договор с новым сотрудником или изменяет цели обработки — согласие оформляется отдельно.

«Ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025 — согласие субъекта персональных данных оформляется отдельным документом. Объединение с договором или иным документом не допускается. Действует с 01.09.2025.»

Согласия на биометрию ещё в КЭДО или трудовом договоре?

Если HRD не выделил согласия на обработку биометрических данных в отдельные документы после 01.09.2025 — каждый новый трудовой договор создаёт основание для протокола по ч. 2 ст. 13.11 КоАП (штраф до 700 000 ₽). Срок обнаружения нарушения РКН не ограничен. Юристы DATUM проведут аудит HR-документации и соберут пакет согласий под ФЗ-156.

Заказать аудит 152-ФЗ

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram t.me/vitvetcom

Шаг 3. Проверьте уведомление в реестре РКН

Работодатель, обрабатывающий биометрию, обязан состоять в реестре операторов ПДн и указать в уведомлении соответствующую категорию данных. Уведомление подаётся через портал pd.rkn.gov.ru с использованием УКЭП или через ЕСИА по форме Приказа РКН №180 от 28.10.2022.

Типичная ошибка: компания использует СКУД с распознаванием лиц, однако в уведомлении РКН заявлены только общие ПДн работников. Расхождение между фактической обработкой и сведениями в реестре — самостоятельное нарушение. Неуведомление или несвоевременное уведомление о намерении обрабатывать ПДн влечёт штраф по ч. 10 ст. 13.11 КоАП в размере от 100 000 до 300 000 ₽.

Если уведомление устарело, подайте изменение через личный кабинет оператора. Срок включения обновлённых сведений в реестр — 30 дней.

Как получают штрафы за биометрию: разбор типовых ситуаций

Матрица ниже отражает три сценария, которые встречаются в практике HR-подразделений в 2025–2026 годах.

Ситуация 1. СКУД с распознаванием лиц — согласие есть, но в составе трудового договора.
Работодатель внедрил СКУД в 2023 году. Согласие на биометрию включено в приложение к трудовому договору. После 01.09.2025 при внеплановой проверке инспектор РКН квалифицирует это как нарушение ч. 1 ст. 9 ФЗ-152 для новых договоров, заключённых после указанной даты. Протокол — по ч. 2 ст. 13.11 КоАП (штраф до 700 000 ₽). Стратегия: с 01.09.2025 ввести отдельную форму согласия для вновь принимаемых; ранее заключённые договоры — не переоформлять.

Ситуация 2. Передача биометрии подрядчику без поручения.
IT-компания передала образцы лиц работников вендору СКУД для обслуживания базы данных распознавания. Договор поручения обработки не заключён, согласие работников не охватывает передачу третьим лицам. При утечке у вендора оператор (работодатель) несёт ответственность по ч. 17 ст. 13.11 КоАП (штраф 15–20 млн ₽) и не может ссылаться на действия подрядчика. Стратегия: заключить договор поручения по п. 3 ст. 6 ФЗ-152, расширить согласие работника до указания конкретного обработчика.

Ситуация 3. Отказ работника от биометрии — СКУД не пускает.
Работник отозвал согласие на биометрию. Работодатель не организовал альтернативный вход — сотрудник не может попасть на рабочее место. Это квалифицируется как воспрепятствование реализации права на отзыв согласия (ч. 5 ст. 13.11 КоАП, штраф до 90 000 ₽) и потенциально как дискриминация по ст. 3 ТК РФ. Стратегия: предусмотреть альтернативный вход по карте или в сопровождении; зафиксировать в регламенте СКУД.

Если в компании используется СКУД с биометрией и договор поручения с вендором не заключён — при утечке штраф начинается от 15 млн ₽ (ч. 17 ст. 13.11). Это не гипотетический риск: в 2025 году РКН проводил проверки именно по подрядчикам. Юристы DATUM проверят документацию и закроют пробел.

Заказать аудит 152-ФЗ

Шаг 4. Проверьте документацию КЭДО на соответствие требованиям к ПДн

КЭДО (кадровый электронный документооборот) по ст. 22.2 ТК РФ предполагает подписание документов усиленной квалифицированной или неквалифицированной электронной подписью. Если платформа КЭДО дополнительно верифицирует личность работника через биометрию (например, видеопроверка при подписании), это самостоятельное основание для согласия на биометрию по ст. 11 ФЗ-152.

Оператором при использовании КЭДО является работодатель — даже если платформа предоставляется SaaS-провайдером. Провайдер выступает обработчиком по поручению (п. 3 ст. 6 ФЗ-152). Договор с провайдером должен содержать обязательные условия: перечень действий с ПДн, обязанность соблюдать конфиденциальность, запрет на передачу третьим лицам без указания оператора.

По данным анализа практики, компании, использующие КЭДО без формального договора поручения, при проверке получают предписание об устранении нарушения. Повторное нарушение переходит в штрафной состав.

Шаг 5. Установите сроки хранения биометрии и процедуру уничтожения

Биометрические данные хранятся не дольше, чем это необходимо для достижения цели обработки (принцип ст. 5 ФЗ-152). При увольнении сотрудника биометрический шаблон в СКУД подлежит уничтожению, если иной срок не установлен законом или не предусмотрен в согласии. Общие кадровые данные из личного дела хранятся 75 лет (типовой срок архивного хранения), но это не распространяется на биометрию.

Факт уничтожения биометрических данных фиксируйте в акте уничтожения ПДн. Журнал актов — часть обязательной ОРД по ст. 18.1 ФЗ-152. Отсутствие подтверждённого уничтожения при проверке — признак продолжающегося нарушения.

«Ст. 5 ФЗ-152 — хранение ПДн осуществляется не дольше, чем этого требуют цели обработки. По достижении целей или утрате необходимости ПДн подлежат уничтожению или обезличиванию.»

Для СКУД: при увольнении работника шаблон лица удаляется из базы в течение 7 рабочих дней после прекращения трудового договора — если иной срок не закреплён в согласии и не обусловлен иными законными основаниями.

Шаг 6. Подготовьте ОРД по биометрии

Организационно-распорядительная документация по биометрии включает: приказ о назначении ответственного за обработку ПДн (ст. 22.1 ФЗ-152), политику обработки ПДн с разделом о биометрии, регламент использования СКУД с порядком получения и отзыва согласия, форму согласия на биометрию, журнал обращений субъектов, акты уничтожения биометрических данных.

Политика обработки ПДн должна быть опубликована на сайте или вывешена в офисе в общедоступном месте (ч. 2 ст. 18.1 ФЗ-152). Отсутствие политики или её непубликация — штраф по ч. 3 ст. 13.11 КоАП (30 000–60 000 ₽). Это отдельный состав, не конкурирующий со штрафом за биометрию.

Что подготовить HRD по биометрии

Отдельная форма письменного согласия на биометрию по ст. 11 ФЗ-152 с полным перечнем реквизитов ст. 9 (для договоров после 01.09.2025 — обязательно отдельный документ).
Договор поручения обработки ПДн с вендором СКУД или КЭДО-платформой по п. 3 ст. 6 ФЗ-152.
Уведомление РКН с указанием категории «биометрические ПДн» — актуализированная версия через pd.rkn.gov.ru.
Регламент использования СКУД: порядок получения согласия, процедура отзыва, альтернативный доступ при отзыве, срок и процедура уничтожения биометрии при увольнении.
Журнал актов уничтожения биометрических данных уволенных работников.

Как это применяется на практике

Кейс 1. Торговая компания (Центральный ФО, осень 2025) использовала СКУД с распознаванием лиц в 11 торговых точках. Договор поручения с вендором СКУД отсутствовал, согласия работников содержали неполный перечень действий с данными. По итогам внеплановой проверки РКН возбуждено дело по ч. 16 ст. 13.11 КоАП. HR-директор инициировал аудит, в ходе которого выявлено также отсутствие актов уничтожения биометрии уволенных. Компания устранила нарушения в досудебном порядке, штраф снижен с применением смягчающих обстоятельств по ст. 4.2 КоАП.

Кейс 2. Производственное предприятие (Уральский ФО, начало 2026) передало базу биометрических шаблонов работников на хранение облачному провайдеру без уведомления субъектов. При смене провайдера данные оказались доступны третьей стороне. РКН квалифицировал ситуацию как утечку биометрических ПДн по ч. 17 ст. 13.11 КоАП. Штраф для юрлиц по этой части — 15–20 млн ₽. Предприятие подало заявление о возбуждении дела по ст. 272.1 УК РФ в отношении провайдера. Урок: при смене облачного провайдера биометрические данные требуют отдельного протокола передачи и уничтожения.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка всей HR-документации по биометрии и ПДн работников.
Комплект ОРД под ключ — согласия, политика, регламенты, журналы для HR-контура.
DPO-аутсорсинг — функция ответственного за обработку ПДн по ст. 22.1 на абонементе.

Частые вопросы

1. Нужно ли переподписывать согласия работников после 01.09.2025?

Согласия, подписанные до 01.09.2025 в составе трудового договора или иного документа, переоформлять не требуется — ФЗ-156 обратной силы не имеет. Однако для работников, принятых после 01.09.2025, согласие на обработку ПДн (в том числе биометрию) оформляется исключительно отдельным документом. Если компания изменяет цели обработки или расширяет перечень данных — новое согласие оформляется отдельно вне зависимости от даты найма.

2. Какие данные нельзя запрашивать в анкете соискателя?

При трудоустройстве работодатель вправе запрашивать только данные, необходимые для исполнения трудового договора (ст. 86 ТК РФ, ст. 5 ФЗ-152). Сведения о религиозных и политических убеждениях, состоянии здоровья (кроме случаев обязательного медосмотра), членстве в профсоюзах, национальности — специальные категории по ст. 10 ФЗ-152, их запрашивать без специального основания нельзя. Биометрию (фото для СКУД) — только при наличии подписанного согласия по ст. 11 ФЗ-152.

3. Можно ли вести видеонаблюдение в офисе?

Видеонаблюдение без функции распознавания лиц обрабатывает общие персональные данные. Работодатель обязан уведомить работников об этом в письменной форме (ст. 22 ТК РФ, ст. 87 ТК РФ) и зафиксировать в локальном акте. Если система видеонаблюдения использует функцию распознавания лиц — это уже биометрия по ст. 11 ФЗ-152, требующая письменного согласия каждого работника. Скрытое видеонаблюдение без уведомления нарушает ст. 86 ТК РФ и создаёт риски по ч. 1 ст. 13.11 КоАП.

4. Сколько хранить согласия после увольнения?

Согласие на обработку ПДн — часть личного дела работника. Личное дело хранится 75 лет (типовой срок архивного хранения). Само биометрическое согласие хранится не менее срока обработки биометрии плюс 3 года с даты уничтожения данных — для подтверждения законности обработки при возможных претензиях. Биометрический шаблон уничтожается при увольнении; факт уничтожения фиксируется актом.

5. Кто является оператором при использовании КЭДО?

Оператором при использовании КЭДО является работодатель — вне зависимости от того, чья платформа применяется. Провайдер КЭДО выступает обработчиком по поручению согласно п. 3 ст. 6 ФЗ-152. Это означает, что работодатель несёт полную ответственность за нарушения, допущенные провайдером при обработке данных, если договор поручения не ограничивает ответственность и не содержит мер защиты. Договор поручения — обязательный документ, не факультативный.

6. Что делать, если работник требует уничтожить его биометрию?

Работник вправе отозвать согласие на обработку биометрических данных в любой момент (ст. 9 ФЗ-152). После отзыва оператор обязан прекратить обработку и уничтожить данные — срок устранения нарушения составляет 7 рабочих дней при выявлении недостоверных или незаконно обрабатываемых данных (ст. 21 ФЗ-152). Отказ уничтожить — нарушение ч. 5 ст. 13.11 КоАП (штраф до 90 000 ₽). Одновременно необходимо обеспечить работнику альтернативный способ доступа в помещение.

Итог

Биометрия в HR — это пересечение ст. 11 ФЗ-152, ст. 86–87 ТК РФ и составов ч. 16–17 ст. 13.11 КоАП, действующих с 30.05.2025. Шесть шагов выше охватывают полный цикл: от инвентаризации биометрических данных до уничтожения шаблонов уволенных и документирования каждого действия. Несоблюдение любого из этапов создаёт самостоятельный состав нарушения с независимым штрафом.

Практика DATUM по биометрии в HR включает аудит согласий работников, подготовку договоров поручения с вендорами СКУД и КЭДО, актуализацию уведомлений в РКН и сопровождение проверок в HR-департаментах.

АС

Анна Соколова

Партнёр · ПДн в HR

Партнёр практики DATUM по защите персональных данных в HR. Согласия работников по ст. 9 152-ФЗ (ред. ФЗ-156), КЭДО, биометрия в СКУД, передача в зарплатных проектах. Сопровождение проверок РКН в HR-департаментах.

14 января 2027 года