инструкция 18 февраля 2027 По состоянию на 18 февраля 2027

Хранение биометрии в локальной СКУД после 2023

Отпечатки пальцев и геометрия лица в СКУД — биометрические персональные данные по ст. 11 ФЗ-152. Хранение шаблонов в локальной базе системы контроля доступа без письменного согласия работника и без учёта требований ФЗ-572 — нарушение, которое с 30.05.2025 обходится в 15–20 млн ₽ штрафа.

С 01.06.2023 исходные биометрические данные запрещено хранить вне Единой биометрической системы (ЕБС). Локальные СКУД продолжают работать на шаблонах — но правовой режим их хранения изменился. HR-директор несёт ответственность за документальное оформление и за фактический состав баз.

→ Если в вашей компании СКУД с биометрией и согласия оформлены до 2023 года — прочитайте инструкцию и проверьте, что нужно исправить до проверки РКН.

Большинство HR-директоров узнают о проблеме с биометрией в СКУД после того, как в компанию приходит запрос Роскомнадзора или начинается внеплановая проверка. Между тем требования к хранению шаблонов в локальных системах, согласиям работников и ограничениям на передачу биометрии изменились трижды за три года: в 2022 году вступил в силу ФЗ-572, в 2023 году заработал запрет на хранение исходных данных вне ЕБС, в 2025 году ФЗ-420 поднял штраф за нарушение правил обработки биометрии до 15–20 млн ₽ по ч. 17 ст. 13.11 КоАП. Эта инструкция содержит шесть последовательных шагов: от инвентаризации биометрии в СКУД до финального пакета ОРД для HR-департамента.

Что изменилось в правилах хранения биометрии в локальной СКУД с 2023 года?

До принятия ФЗ-572 компании хранили отпечатки пальцев и шаблоны геометрии лица в локальных базах СКУД без каких-либо ограничений, кроме общего требования письменного согласия по ст. 11 ФЗ-152. С 01.06.2023 ситуация изменилась принципиально.

Ключевое разграничение, которое нужно понимать HR-директору: ФЗ-572 разделяет понятия «биометрические персональные данные» и «биометрические шаблоны». Исходные данные (изображение лица, запись голоса) после обработки преобразуются в математический шаблон. Именно шаблон хранится в локальной СКУД. Исходные данные после создания шаблона должны быть уничтожены — их хранение вне ЕБС запрещено.

«Ст. 11 ФЗ-152 — биометрические персональные данные обрабатываются только с письменного согласия субъекта, за исключением случаев, прямо указанных в законе. ФЗ-572 от 29.12.2022 установил запрет на хранение исходных биометрических данных граждан РФ вне Единой биометрической системы с 01.06.2023.»

Для СКУД на предприятии это означает следующее. Локальная система контроля доступа вправе использовать биометрические шаблоны для верификации сотрудника. Она не вправе хранить исходное изображение лица или запись голоса. Если интегратор при установке СКУД сохранял фотографии в базе — это нарушение с момента вступления ФЗ-572 в силу.

Параллельно с 30.05.2025 вступила в силу новая редакция ст. 13.11 КоАП (ФЗ-420 от 30.11.2024). Ч. 16 устанавливает ответственность за обработку биометрических ПДн с нарушением требований ст. 11 ФЗ-152, ч. 17 — за утечку биометрических ПДн. Для юридических лиц по ч. 17 — штраф от 15 до 20 млн ₽. При повторном нарушении по ч. 18 — оборотный штраф от 1 до 3% годовой выручки, не менее 20 млн ₽ и не более 500 млн ₽.

Биометрия в СКУД оформлена до 2023 года — что делать?

Если HR-директор понимает, что согласия работников оформлялись до введения ФЗ-572, а интегратор при установке системы сохранял исходные изображения — у вас потенциально два нарушения одновременно. Исправить это можно до проверки РКН. Юристы DATUM проведут аудит обработки биометрии в СКУД по чек-листу из 38 пунктов и выдадут приоритизированный план устранения нарушений.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Шаг 1. Проведите инвентаризацию биометрии в СКУД

Первый шаг — выяснить, что именно хранится в базе СКУД. HR-директору нужно запросить у IT-службы или интегратора технический отчёт о составе данных. Типовой запрос включает три вопроса: какие биометрические данные собираются при регистрации сотрудника, в каком формате они хранятся (изображение или математический шаблон) и есть ли резервные копии с исходными данными.

На практике многие СКУД, установленные до 2023 года, хранят и шаблон, и исходное фото. Это особенно характерно для систем с распознаванием лица: при регистрации оператор делает снимок, который остаётся в базе рядом с шаблоном «для удобства». Такое хранение противоречит требованиям ФЗ-572 и требует немедленного устранения.

Результат шага: перечень типов данных с указанием, какие из них — исходные (подлежат уничтожению), какие — шаблоны (допустимо хранить при наличии согласия).

Шаг 2. Проверьте согласия работников на биометрию в СКУД

Согласие на обработку биометрических ПДн по ст. 11 ФЗ-152 должно быть письменным и содержать обязательные реквизиты по ст. 9 ФЗ-152. С 01.09.2025 (ФЗ-156 от 24.06.2025) согласие оформляется отдельным документом — его нельзя объединять с трудовым договором, должностной инструкцией или любым другим документом.

Проверьте согласия по трём критериям. Первый — форма: согласие должно быть самостоятельным документом, а не пунктом в трудовом договоре или анкете. Второй — состав реквизитов: ФИО работника, наименование оператора, цель обработки (контроль доступа на объект), перечень биометрических данных (шаблон отпечатка пальца / геометрии лица), перечень действий, срок действия, порядок отзыва. Третий — дата: согласия, оформленные до 01.09.2025 в составе другого документа, необходимо переоформить при первой возможности, хотя прямого требования о немедленном переоформлении закон не содержит.

«Ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025 — с 01.09.2025 согласие на обработку ПДн оформляется отдельным документом, не объединяется с иными документами. Ст. 11 ФЗ-152 — обработка биометрии допустима только на основании письменного согласия.»

Отдельная ситуация: работник отозвал согласие на биометрию. По ст. 9 ФЗ-152 отзыв согласия не означает автоматического права работника на немедленное уничтожение всех его ПДн — если они обрабатываются на других законных основаниях (например, персональные данные в личном деле хранятся 75 лет). Но биометрические шаблоны в СКУД после отзыва согласия подлежат уничтожению, поскольку единственное основание для их обработки — это согласие по ст. 11.

Шаг 3. Уничтожьте исходные биометрические данные из локальной базы

Если инвентаризация выявила исходные изображения или записи голоса в базе СКУД — их нужно уничтожить. Уничтожение должно быть задокументировано: составляется акт об уничтожении биометрических ПДн с указанием даты, перечня уничтоженных данных, ответственных лиц и способа уничтожения.

Технически уничтожение означает безвозвратное удаление из основной базы и всех резервных копий. Если резервные копии хранятся у интегратора СКУД — необходимо получить от него подтверждение уничтожения и зафиксировать это в поручении на обработку ПДн. Поручение оформляется по ст. 6 ч. 3 ФЗ-152: компания как оператор несёт ответственность за действия подрядчика.

Если HR-директор не уверен, что в резервных копиях нет исходных биометрических данных — это риск по ч. 16 ст. 13.11 КоАП. Документооборот с интегратором и поручение на обработку выстраивают юристы DATUM в рамках пакета ОРД.

Собрать ОРД под ключ

Результат шага: акт об уничтожении исходных биометрических данных, подписанный уполномоченным лицом компании и (при необходимости) интегратором СКУД.

Шаг 4. Обновите политику обработки ПДн и локальные акты

Политика обработки персональных данных по ч. 2 ст. 18.1 ФЗ-152 должна отражать актуальный состав обрабатываемых ПДн, цели и правовые основания. Если в компании появилась или продолжает работать биометрическая СКУД — это должно быть явно указано в политике.

Помимо политики, для биометрии в СКУД нужны следующие локальные акты: приказ о назначении ответственного за обработку ПДн по ст. 22.1 ФЗ-152, инструкция для администраторов СКУД о порядке работы с биометрическими данными, регламент уничтожения ПДн при увольнении сотрудника, поручение на обработку ПДн (если привлечён интегратор или облачный сервис).

Уведомление в реестре операторов ПДн (ст. 22 ФЗ-152) должно содержать актуальные сведения о категориях обрабатываемых данных. Если биометрия появилась после подачи первоначального уведомления — необходимо направить уведомление об изменении сведений через pd.rkn.gov.ru по форме Приказа РКН №180.

Шаг 5. Определите уровень защищённости ИСПДн для СКУД

Биометрические ПДн относятся к специальной категории в части режима защиты — для них требуется определить уровень защищённости информационной системы по ПП РФ №1119 от 01.11.2012. Уровень зависит от трёх параметров: категории данных (биометрические), типа угроз (определяется моделью угроз) и числа субъектов.

Для большинства корпоративных СКУД на предприятии численностью до 100 000 сотрудников при угрозах 2-го или 3-го типа применяется уровень защищённости УЗ-3. Технические меры защиты для УЗ-3 определяются Приказом ФСТЭК №21 от 18.02.2013. Это не значит, что нужна сертификация ФСТЭК для СКУД — но меры из базового набора (идентификация и аутентификация, управление доступом, регистрация событий безопасности) должны быть реализованы и задокументированы.

Результат шага: приказ об утверждении модели угроз и уровня защищённости ИСПДн, акт классификации информационной системы.

Шаг 6. Выстройте процедуру при увольнении сотрудника

Биометрический шаблон в СКУД подлежит уничтожению при прекращении трудовых отношений. Основание обработки — согласие работника, которое оформлялось в связи с трудовым договором. После расторжения договора цель обработки (контроль доступа на объект) прекращается, а значит, по ст. 5 ФЗ-152 данные подлежат уничтожению или обезличиванию.

Процедура должна быть закреплена в регламенте: HR-служба уведомляет администратора СКУД об увольнении в день прекращения договора, администратор удаляет шаблон из базы, факт удаления фиксируется в журнале. Срок — не позднее 30 дней с даты прекращения оснований для обработки (типовой ориентир по ст. 21 ФЗ-152), если более короткий срок не установлен соглашением.

Важное разграничение для HR-директора: уничтожение биометрии в СКУД не тождественно уничтожению личного дела. Трудовые документы хранятся 75 лет (ст. 22.1 Федерального закона №125-ФЗ об архивном деле) вне зависимости от судьбы биометрического шаблона.

Что подготовить HR-директору для готовности к проверке РКН

Акт инвентаризации биометрических данных в СКУД с разграничением исходных данных и шаблонов
Письменные согласия работников на обработку биометрии по ст. 11 ФЗ-152 — отдельными документами (требование с 01.09.2025 по ФЗ-156)
Акт уничтожения исходных биометрических данных (фотографий, записей голоса) из локальной базы СКУД
Актуальная политика обработки ПДн с разделом о биометрии и поручение интегратору СКУД по ст. 6 ч. 3 ФЗ-152
Регламент уничтожения биометрического шаблона при увольнении с журналом фактических удалений

Типовые ситуации: как это выглядит на практике

Ситуация 1 — СКУД с фото в базе, согласия в трудовом договоре. Производственное предприятие Уральского ФО (лето 2025) использовало СКУД с распознаванием лица. При внеплановой проверке РКН инспектор обнаружил: в базе хранятся фотографии 312 сотрудников (не шаблоны), согласие на биометрию включено в текст трудового договора, уведомление в реестре не отражает обработку биометрических ПДн. Возбуждено дело по ч. 16 ст. 13.11 КоАП и ч. 1 ст. 13.11 КоАП одновременно. Компания устранила нарушения в ходе проверки, что было учтено как смягчающее обстоятельство — но штраф в сотни тысяч рублей по двум составам всё равно был назначен. Если бы нарушение по ч. 16 повлекло утечку — применялась бы ч. 17 (15–20 млн ₽).

Ситуация 2 — КЭДО и биометрия СКУД без разграничения оператора. IT-компания Центрального ФО (осень 2025) перевела кадровое делопроизводство на КЭДО и одновременно подключила биометрическую СКУД через стороннего интегратора. HR-директор полагал, что интегратор как оператор самостоятельно несёт ответственность за согласия. При проверке выяснилось: поручение на обработку ПДн не оформлено, интегратор хранит исходные фото в облачном сервере вне России (нарушение ч. 5 ст. 18 ФЗ-152 о локализации). По принципу, который прослеживается в судебной практике, оператор несёт ответственность за действия подрядчика — компании предъявили нарушения по трём основаниям. HR-директор инициировал немедленный аудит после получения предписания РКН; по итогам аудита стратегия устранения нарушений заняла 3 недели.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — полная проверка обработки ПДн в СКУД и HR-департаменте, чек-лист 38 пунктов
Комплект ОРД под ключ — согласия на биометрию, политика, поручение интегратору, регламент увольнения
DPO-аутсорсинг — абонентское сопровождение функции ответственного по ст. 22.1 ФЗ-152

Частые вопросы

1. Нужно ли переподписывать согласия работников после 01.09.2025?

Прямой нормы о немедленном переоформлении ранее полученных согласий ФЗ-156 не содержит — обратной силы закон не имеет. Однако согласия, встроенные в трудовой договор или иной документ, с 01.09.2025 перестали соответствовать требованию ст. 9 ФЗ-152 об отдельном документе. При проверке РКН такое согласие квалифицируется как ненадлежащее. Рекомендуется переоформить при первой плановой актуализации кадрового документооборота, не дожидаясь проверки.

2. Какие данные нельзя запрашивать в анкете при приёме на работу?

Ст. 86 ТК РФ запрещает работодателю обрабатывать данные о политических, религиозных и иных убеждениях работника, его членстве в общественных объединениях, если это не связано с трудовой функцией. По ст. 87 ТК РФ порядок хранения и использования ПДн работника устанавливается работодателем с соблюдением требований ТК и ФЗ-152. Анкета не должна содержать вопросов о состоянии здоровья (кроме случаев медосмотра, предусмотренных законом), семейном положении и национальности без согласия и законного основания.

3. Можно ли вести видеонаблюдение в офисе без отдельного согласия работников?

Видеонаблюдение в офисных помещениях (кроме санитарных зон) допустимо на основании ст. 22.2 ТК РФ при условии уведомления работников. Если видеозапись используется только для контроля рабочего времени и охраны периметра — отдельное согласие по ст. 9 ФЗ-152 не требуется. Однако если изображения лиц с камер обрабатываются для идентификации (СКУД с распознаванием лица) — это уже биометрия по ст. 11 ФЗ-152, и письменное согласие обязательно.

4. Сколько хранить согласия работников на биометрию после увольнения?

Согласие как документ относится к кадровым документам и хранится не менее 75 лет в составе личного дела (ст. 22.1 ФЗ-125 об архивном деле). Биометрический шаблон в СКУД при этом уничтожается сразу после увольнения — основание обработки прекращается. Хранение самого документа о согласии и хранение биометрических данных — разные обязательства с разными сроками.

5. Кто является оператором ПДн при использовании КЭДО и СКУД от разных подрядчиков?

Оператором ПДн работников во всех случаях остаётся работодатель — он определяет цели и состав обработки. Провайдер КЭДО и интегратор СКУД действуют по поручению оператора на основании договора, соответствующего требованиям ст. 6 ч. 3 ФЗ-152. Поручение должно прямо указывать перечень действий с ПДн, запрет на передачу третьим лицам и обязанность уничтожения по окончании обработки. Отсутствие оформленного поручения — самостоятельное основание для протокола по ст. 13.11 КоАП.

6. Что делать, если работник отказывается давать согласие на биометрию в СКУД?

Работодатель не вправе принуждать к сдаче биометрии и не вправе отказать в трудоустройстве по этому основанию. Ст. 11 ФЗ-152 устанавливает, что обработка биометрических ПДн допускается только с согласия субъекта. При отказе работника компания обязана обеспечить ему альтернативный способ подтверждения доступа — пропуск, ПИН-код, RFID-карта. Принуждение к биометрии также может быть квалифицировано как нарушение ст. 86 ТК РФ.

Итог

Хранение биометрии в локальной СКУД после 2023 года — это пересечение трёх правовых режимов: ст. 11 ФЗ-152 (письменное согласие), ФЗ-572 (запрет исходных данных вне ЕБС) и новой редакции ст. 13.11 КоАП (штрафы 15–20 млн ₽ за нарушение). Для HR-директора это означает шесть конкретных задач: инвентаризация, проверка согласий, уничтожение исходных данных, обновление ОРД, классификация ИСПДн и регламент при увольнении.

Практика DATUM по биометрии в HR охватывает аудит СКУД, переоформление пакета согласий под требования ФЗ-156 и сопровождение взаимодействия с интеграторами при оформлении поручений на обработку. По состоянию на 2026 год РКН последовательно включает биометрические нарушения в перечень индикаторов риска для внеплановых проверок.

АС

Анна Соколова

Партнёр · ПДн в HR

Партнёр практики DATUM по защите персональных данных в HR. Специализация — согласия работников по ст. 9 152-ФЗ в редакции с 01.09.2025 (ФЗ-156), обработка через КЭДО, биометрия в СКУД, передача в зарплатных проектах. Сопровождение проверок РКН в HR-департаментах.

18 февраля 2027 года