Меры защиты биометрии для предупреждения штрафа
С 30.05.2025 обработка биометрических персональных данных с нарушением требований ст. 11 ФЗ-152 образует отдельный состав по ч. 16 ст. 13.11 КоАП. Утечка биометрии — состав по ч. 17, штраф 15–20 млн ₽. При повторном нарушении применяется оборотный штраф по ч. 18: 1–3% совокупной выручки за предшествующий год, не менее 20 млн ₽ и не более 500 млн ₽. Эти цифры — уже не теоретический риск: регулятор накапливает практику по новым нормам, первые дела по ч. 12–14 ст. 13.11 рассмотрены в 2026 году. В этом материале — конкретные организационные и технические меры, которые снижают вероятность штрафа и формируют доказательную базу для его оспаривания.
Какие штрафы за нарушения при обработке биометрии действуют с 30.05.2025?
До ФЗ-420 от 30.11.2024 все нарушения в сфере персональных данных укладывались в 7 частей ст. 13.11 КоАП. Максимальный штраф для юридического лица не превышал 500 тыс. ₽. С 30.05.2025 статья расширена до 18 частей, и биометрия выделена в отдельные составы.
Параллельно действует ст. 13.11.3 КоАП — отдельная статья для нарушений при размещении биометрии в ЕБС (банками, МФЦ и аккредитованными организациями). Штраф по ней — 500 тыс. — 1 млн ₽. Если нарушение связано именно с процедурой загрузки в ГИС ЕБС, применяется эта статья, а не ч. 16–18 ст. 13.11.
Важно разграничить составы: ч. 16 — это нарушение порядка обработки (согласие, хранение, передача), ч. 17 — сам факт утечки независимо от вины в организации обработки. Доказать отсутствие вины по ч. 17 крайне сложно: регулятор исходит из того, что оператор обязан был предотвратить утечку техническими мерами.
Ваша компания применяет биометрию. Когда последний раз проверяли правовые основания?
Если CEO не уверен, есть ли письменные согласия на каждую категорию биометрической обработки и соответствует ли архитектура хранения требованиям ст. 11 ФЗ-152 — это риск ч. 16 ст. 13.11 КоАП. Штраф назначается за каждый выявленный факт нарушения. Юристы DATUM проведут аудит биометрической обработки по чек-листу из 38 пунктов и выдадут отчёт с приоритизированным планом устранения нарушений.
Заказать аудит 152-ФЗОтветим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram
Какие организационные меры защиты биометрии снижают риск штрафа?
Организационные меры — это первое, что проверяет Роскомнадзор при плановой или внеплановой проверке. Их отсутствие само по себе образует нарушение по ч. 3 ст. 13.11 (отсутствие политики) или ч. 16 (нарушение требований ст. 11 ФЗ-152). Наличие документации не гарантирует отсутствие штрафа, но даёт процессуальные аргументы при его оспаривании.
Ключевое требование ст. 11 ФЗ-152: обработка биометрических персональных данных допускается только с письменного согласия субъекта, за исключением прямо перечисленных в ч. 2 случаев (государственная безопасность, правосудие, транспортная безопасность и ряд других). Для большинства коммерческих операторов исключения не применимы — нужно письменное согласие с точным перечнем биометрических данных, целью обработки и сроком.
Что подготовить для защиты при обработке биометрии
- Отдельное письменное согласие на обработку биометрических ПДн по ст. 11 ФЗ-152 — для каждой цели (СКУД, распознавание, идентификация).
- Приказ о назначении ответственного за обработку ПДн по ст. 22.1 ФЗ-152 с прямым указанием на биометрическую обработку.
- Политика обработки ПДн с разделом о биометрии: категории, цели, сроки хранения, порядок уничтожения.
- Регламент реагирования на инциденты с биометрией: порядок уведомления РКН за 24/72 часа по ч. 3.1 ст. 21 ФЗ-152 и Приказу РКН № 187.
- Журнал обращений субъектов с запросами об уничтожении или блокировании биометрических ПДн.
С 01.09.2025 согласие на обработку ПДн оформляется отдельным документом (ФЗ-156 от 24.06.2025) — его нельзя включать в трудовой договор, оферту или политику конфиденциальности. Для биометрии это требование существовало и раньше (письменная форма по ст. 11), но теперь его нарушение одновременно создаёт составы и по ч. 2, и по ч. 16 ст. 13.11 КоАП.
Какие технические меры обязательны при обработке биометрических ПДн?
Биометрические персональные данные — специальная категория по ст. 10 и ст. 11 ФЗ-152. Это означает автоматическое применение повышенного уровня защищённости информационной системы. Конкретный уровень (УЗ-1 или УЗ-2) определяется по ПП РФ № 1119 от 01.11.2012 на основе типа угроз и числа субъектов.
На практике для систем биометрической идентификации (СКУД с распознаванием лиц, голосовая идентификация) типично требование УЗ-2 или УЗ-3. Это означает обязательное применение сертифицированных ФСТЭК средств защиты информации, разграничение доступа, шифрование хранимых биометрических шаблонов, ведение журналов аудита.
С 2023 года исходную биометрию (фотографии лица, записи голоса) запрещено хранить вне ГИС ЕБС операторам, обязанным передавать данные в единую систему (ФЗ-572 от 29.12.2022). Для остальных операторов — банков, работодателей с СКУД, медицинских организаций — хранение исходной биометрии вне ЕБС допустимо, но требует документально подтверждённого правового основания и соответствующего уровня защищённости ИС.
Если в вашей компании уже есть система биометрической идентификации, но уровень защищённости по ПП РФ № 1119 не определялся — это прямой риск ч. 16 ст. 13.11 КоАП при ближайшей проверке РКН. Юристы и технические специалисты DATUM подготовят к проверке и помогут оспорить протокол при его составлении.
Подготовиться к проверке РКНКак снизить штраф по ст. 13.11 КоАП: ст. 4.1 и инвестиции в ИБ
Даже при зафиксированном нарушении у оператора есть инструменты снижения санкции. Ст. 4.1 КоАП позволяет суду учитывать смягчающие обстоятельства: устранение нарушения до вынесения постановления, возмещение вреда субъектам, содействие расследованию. Ст. 4.1.1 КоАП — замена штрафа на предупреждение при первичном нарушении для микропредприятий и субъектов МСП, если нет вреда и нет повторности. Однако к ч. 15 и ч. 18 ст. 13.11 (оборотные составы) замена не применяется.
ФЗ-420 ввёл специальный механизм снижения оборотного штрафа через инвестиции в информационную безопасность. Согласно примечанию 3.4-2 к ст. 4.1 КоАП: если оператор вложил в ИБ не менее 0,1% совокупной выручки за три предшествующих года, штраф по ч. 15 и ч. 18 ст. 13.11 снижается до одной десятой минимального размера — но не менее 15 млн ₽ и не более 50 млн ₽. Это снижение реально только при документальном подтверждении расходов.
Для CEO это означает: вложения в ИБ должны быть структурированы как расходы с чёткими первичными документами (договоры на SIEM, сертификацию ФСТЭК, пентесты, обучение, DPO-аутсорсинг). Иначе при оборотном штрафе суд не примет их как инвестиции в ИБ по смыслу нормы.
Как применяются нормы на практике: три сценария для CEO
Сценарий 1 — СКУД с распознаванием лиц без письменных согласий. Компания установила систему биометрической идентификации для доступа в офис. Согласия работников включены в трудовой договор, а не оформлены отдельным документом. После 01.09.2025 такая форма не соответствует требованиям ст. 11 ФЗ-152 и ФЗ-156. При проверке РКН составит протокол по ч. 16 ст. 13.11 КоАП. Для юридического лица — штраф (точный диапазон для ч. 16 верифицировать перед публикацией). Стратегия: переоформить согласия в виде отдельных документов до проверки; это даёт основание для снижения штрафа по ст. 4.1 КоАП как устранение нарушения.
Сценарий 2 — утечка биометрического шаблона через подрядчика. Оператор передал обработку биометрии по договору поручения сервисному провайдеру. Провайдер допустил инцидент — данные оказались в открытом доступе. По практике ВС РФ, оператор несёт ответственность за действия лица, осуществляющего обработку по поручению. Протокол — по ч. 17 ст. 13.11, штраф 15–20 млн ₽. При наличии документов: договор поручения с требованиями к защите, акт о передаче прав, журнал инцидентов — суд учитывает их как смягчающие. При повторности применяется ч. 18 (оборотный штраф), и снижение по ст. 4.1.1 КоАП уже недоступно.
Сценарий 3 — уведомление об утечке подано с нарушением срока. Компания обнаружила утечку биометрических данных сотрудников. Юридическая служба сочла нарушение несущественным и отложила уведомление РКН. Через 5 суток регулятор уже располагал информацией из открытых источников. Результат: протокол по ч. 11 ст. 13.11 (неуведомление об утечке в 24 часа) — штраф 1–3 млн ₽ — дополнительно к протоколу по ч. 17. Два состава, два штрафа. Стратегия: регламент реагирования должен чётко фиксировать момент «обнаружения» инцидента и назначать ответственного за немедленное уведомление по Приказу РКН № 187.
Кейсы из практики
Кейс 1. Торговая компания (Центральный ФО, осень 2025) применяла биометрическую систему учёта рабочего времени. Согласия работников были включены в типовой трудовой договор — без выделения в отдельный документ. После внеплановой проверки РКН составил протокол по ч. 16 ст. 13.11 КоАП. Компания до назначения штрафа переоформила все согласия, представила новые документы в суд и указала на устранение нарушения. Мировой суд назначил минимальный штраф в пределах санкции, применив ст. 4.1 КоАП. Ключевой фактор: документальное подтверждение устранения до постановления. ⚠️ Конкретный номер дела — менеджер уточняет при публикации.
Кейс 2. IT-компания (Северо-Западный ФО, начало 2026) передала биометрическую обработку подрядчику без требований к уровню защищённости в договоре поручения. После инцидента у подрядчика регулятор возбудил дело по ч. 17 ст. 13.11. Юристы доказали, что компания инвестировала в ИБ более 0,1% выручки за три года (договоры на SIEM, сертифицированное ПО, пентесты). Арбитражный суд региона применил примечание 3.4-2 к ст. 4.1 КоАП и снизил оборотный штраф до минимально возможного по норме. ⚠️ Конкретный номер дела — менеджер уточняет при публикации.
Услуги DATUM по теме
- Аудит соответствия 152-ФЗ — проверка биометрической обработки по 38 пунктам
- Защита при штрафе в арбитраже — оспаривание протоколов по ч. 16–18 ст. 13.11 КоАП
- Сопровождение проверок РКН — подготовка и представление интересов при проверке
Частые вопросы
1. Какие штрафы по ст. 13.11 КоАП действуют с 30.05.2025?
С 30.05.2025 ст. 13.11 КоАП действует в редакции ФЗ-420 от 30.11.2024 — 18 частей вместо прежних 7. Для биометрии выделены отдельные составы: ч. 16 — нарушение порядка обработки (обработка без письменного согласия, нарушение требований ст. 11 ФЗ-152), ч. 17 — утечка биометрических ПДн (штраф 15–20 млн ₽ для юрлица), ч. 18 — повторное нарушение (оборотный штраф 1–3% выручки, не менее 20 млн ₽, не более 500 млн ₽). Дела после ФЗ-508 от 28.12.2025 рассматривают мировые судьи.
2. Что такое оборотный штраф 1–3%?
Оборотный штраф по ч. 15 и ч. 18 ст. 13.11 КоАП рассчитывается от совокупной выручки оператора за предшествующий календарный год. Нижняя граница — 20 млн ₽ (применяется, если 1% выручки меньше этой суммы), верхняя — 500 млн ₽. Он применяется только при повторности: если компания уже привлекалась к ответственности по ч. 12–14, 15–18 ст. 13.11 КоАП и допустила новое нарушение. Скидка за быструю уплату по ст. 32.2 КоАП к оборотным штрафам не применяется.
3. Когда применяется минимум 20 млн ₽?
Минимум 20 млн ₽ по ч. 15 и ч. 18 ст. 13.11 применяется, если расчётная величина (1–3% от выручки) оказывается ниже этого порога. То есть для компании с годовой выручкой менее 2 млрд ₽ расчётный 1% даёт менее 20 млн, и штраф всё равно назначается в размере 20 млн ₽. Исключение — инвестиции в ИБ по примечанию 3.4-2 к ст. 4.1 КоАП: тогда минимум снижается до 15 млн ₽, максимум — 50 млн ₽.
4. Можно ли заменить штраф на предупреждение?
Замена штрафа на предупреждение по ст. 4.1.1 КоАП возможна для микропредприятий и субъектов МСП при первичном нарушении без причинения вреда. Один из первых судебных прецедентов (2026) показал: микропредприятие, допустившее утечку менее 1 000 субъектов, получило предупреждение вместо штрафа по ч. 1 ст. 13.11. Однако к оборотным составам — ч. 15 и ч. 18 ст. 13.11 — замена на предупреждение законом прямо не допускается.
5. Какая подсудность дел после ФЗ-508?
ФЗ-508 от 28.12.2025 вернул рассмотрение дел по ст. 13.11 КоАП мировым судьям. С 30.05.2025 по 27.12.2025 дела передавались в арбитражные суды, что создавало неопределённость для бизнеса. С 28.12.2025 — снова мировые судьи по месту совершения нарушения или месту нахождения юридического лица. Это важно для выбора стратегии обжалования: апелляция на постановление мирового судьи — в районный суд, а не в арбитраж.
Итог
Меры защиты биометрии — это не только технические решения, но и документальная база: письменные согласия, регламенты, договоры поручения с требованиями к защите, журналы инцидентов. Именно эти документы суд учитывает при назначении штрафа по ч. 16–18 ст. 13.11 КоАП и при применении ст. 4.1 КоАП. Инвестиции в ИБ, подтверждённые первичными документами, позволяют снизить оборотный штраф до 15–50 млн ₽ вместо 20–500 млн ₽.
DATUM сопровождает операторов биометрических данных с момента проверки правовых оснований обработки до оспаривания постановления о штрафе в суде. Практика «Ветров и партнёры» по ст. 13.11 КоАП накоплена с первых дел в 2022 году.