инструкция 25 января 2028 По состоянию на 25 января 2028

Передача биометрии в ЕБС: обязательно или нет

Передача биометрии работника в Единую биометрическую систему — добровольная. Принудить работника нельзя: ст. 11 ФЗ-152 требует письменного согласия.

Штраф за обработку биометрии без согласия — до 700 000 ₽ по ч. 2 ст. 13.11 КоАП в редакции с 30.05.2025. Отдельная категория риска — биометрия в СКУД: её тоже нельзя вводить без отдельного письменного согласия.

Если вы HRD и у вас в СКУД уже работает биометрия — проверьте, есть ли у каждого работника отдельное согласие по ст. 11 ФЗ-152. →

С 30.05.2025 ст. 13.11 КоАП действует в редакции ФЗ-420: штрафы за нарушения в работе с биометрией выросли кратно. Для HR-директора биометрия — это одновременно СКУД на входе, согласие в личном деле и вопрос о том, обязан ли работодатель требовать данные в ЕБС. Ответ однозначный: нет. Но дьявол в деталях: добровольность на стороне работника не снимает с оператора обязанность правильно оформить согласие, назначить ответственного и не хранить биометрию вне допустимых систем. Ниже — пошаговая инструкция.

Шаг 1. Разберитесь, что такое биометрия по ФЗ-152 и при чём здесь ЕБС

По ст. 11 ФЗ-152 биометрические персональные данные — это физиологические и биологические характеристики, которые позволяют установить личность: изображение лица, голос, отпечатки пальцев, рисунок радужной оболочки, ДНК. Ключевое: не сами данные, а цель — идентификация конкретного человека.

Единая биометрическая система (ЕБС) — государственная информационная система, введённая ФЗ-572 от 29.12.2022. Оператор — АО «Центр Биометрических Технологий». С 01.06.2023 банки и МФЦ обязаны размещать биометрию граждан в ЕБС при их согласии. Для работодателей — коммерческих организаций и большинства бюджетных учреждений — обязанности передавать биометрию сотрудников в ЕБС нет.

«Ст. 11 ФЗ-152: обработка биометрических персональных данных допускается только при наличии письменного согласия субъекта, за исключением случаев, прямо предусмотренных федеральным законом.»

Распространённое заблуждение: раз ЕБС — государственная система, значит работодатель обязан туда передавать данные. Это не так. Ни ФЗ-572, ни ФЗ-152, ни Трудовой кодекс не устанавливают такой обязанности для работодателя в части биометрии сотрудников.

Шаг 2. Определите, какую биометрию вы уже обрабатываете

HR-директор зачастую не знает, что в компании уже идёт биометрическая обработка. Типовые сценарии, которые необходимо проверить до любых других действий:

СКУД с биометрическим терминалом (отпечаток, распознавание лица) — это обработка биометрии по ст. 11 ФЗ-152.
Видеонаблюдение с функцией распознавания лиц — то же самое, даже если изначально камеры ставились «для безопасности».
Мобильное приложение с face-id для входа в корпоративные системы.
Сервис ЭДО с биометрической авторизацией (часть КЭДО-решений).

Простое видеонаблюдение без функции распознавания лиц — не биометрия по позиции РКН, если запись не используется для идентификации. Но как только в систему встроен алгоритм распознавания и сопоставления с базой — это биометрическая обработка.

Биометрия в СКУД уже есть, а отдельных согласий нет?

Если в СКУД работают биометрические терминалы, а согласия работников подписывались вместе с трудовым договором или до 01.09.2025 — существует риск штрафа по ч. 2 ст. 13.11 КоАП до 700 000 ₽. С 01.09.2025 согласие на биометрию требует отдельного документа по ФЗ-156. Юристы DATUM проверят действующий пакет документов и укажут, что необходимо переоформить.

Заказать аудит 152-ФЗ

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram t.me/vitvetcom

Шаг 3. Проверьте, нужно ли согласие и как его оформить после 01.09.2025

ФЗ-156 от 24.06.2025 изменил ч. 1 ст. 9 ФЗ-152: с 01.09.2025 согласие на обработку персональных данных оформляется отдельным документом. Его нельзя включать в трудовой договор, оферту или политику. Для биометрии это особенно критично: ст. 11 ФЗ-152 и до ФЗ-156 требовала письменного согласия, а теперь к нему добавлен признак «отдельный документ».

Обязательные реквизиты согласия работника на обработку биометрических ПДн по ст. 9 ФЗ-152:

Фамилия, имя, отчество и контактные данные работника.
Наименование и адрес работодателя-оператора.
Цель обработки: конкретная (например, «контроль доступа в здание через биометрический терминал»), а не обобщённая.
Перечень биометрических ПДн: что именно — изображение лица, отпечаток пальца и т. д.
Перечень действий: сбор, хранение, использование (сопоставление с шаблоном), уничтожение.
Срок действия согласия или условие его прекращения (например, «до расторжения трудового договора»).
Способ отзыва согласия: конкретный — письменное заявление на имя ответственного за обработку ПДн.

«Ст. 9 ФЗ-152 в редакции ФЗ-156 (с 01.09.2025): согласие субъекта персональных данных оформляется в виде отдельного документа. Включение согласия в текст договора или иного документа не допускается.»

Согласия, полученные до 01.09.2025, имеют обратную силу — ФЗ-156 не обязывает их переоформлять. Но если они включены в трудовой договор, то юридически остаются действующими по отношению к ранее собранным данным. При новом сборе биометрии — нужен новый отдельный документ.

Шаг 4. Оформите отказ работника — и не допустите нарушения его прав

Работник вправе отказаться от передачи биометрии в ЕБС и от использования биометрии в СКУД. Это прямо следует из добровольности по ст. 11 ФЗ-152. Отказ не может быть основанием для:

Отказа в трудоустройстве или увольнения.
Изменения условий труда.
Лишения премии или иных дискриминационных мер.

Если на предприятии используется СКУД с биометрическим терминалом и работник отказал в согласии — работодатель обязан обеспечить ему альтернативный способ прохода (пропуск, карта, PIN). Это требование вытекает из ст. 86 и ст. 87 ТК РФ: персональные данные работника собираются только в объёме, необходимом для трудовых отношений.

Отказ рекомендуется зафиксировать: работник подписывает уведомление о том, что ему разъяснено право на отказ и предоставлена альтернатива. Это защищает работодателя при возможной проверке РКН.

Если HRD получил письменный отказ работника от биометрии, но СКУД не настроен на альтернативный режим — это основание для жалобы в РКН и ГИТ одновременно. На устранение нарушения — 7 рабочих дней после предписания.

Заказать аудит 152-ФЗ

Шаг 5. Проверьте хранение биометрии: что нельзя делать с 01.06.2023

ФЗ-572 с 01.06.2023 запрещает хранить исходные биометрические данные вне ЕБС тем операторам, которые обязаны работать через ЕБС (банки, МФЦ и ряд других). Для работодателей-коммерческих организаций это правило напрямую не применяется — но есть смежные ограничения.

Биометрия в СКУД хранится у работодателя. Требования к её защите — не ниже УЗ-3 по ПП РФ №1119 (биометрические ПДн, не специальные), при определённых условиях — УЗ-2. Приказ ФСТЭК №21 устанавливает технические меры: шифрование, разграничение доступа, журналирование. Работодатель, не выполнивший технические требования, рискует штрафом по ч. 16 ст. 13.11 КоАП.

«Ст. 11 ФЗ-152, ПП РФ №1119: биометрические ПДн относятся к категории, требующей установленного уровня защищённости. Оператор обязан определить уровень защищённости ИСПДн и реализовать соответствующие технические меры.»

После увольнения работника биометрические данные подлежат уничтожению, если только нет иного законного основания для хранения. Шаблон в системе СКУД должен быть удалён. Факт уничтожения — задокументировать актом.

Типовые ситуации для HR-директора

Ситуация 1. Компания ввела биометрический СКУД в 2022 году. Согласия работников — в трудовых договорах. После 01.09.2025 эти согласия формально действуют для уже собранных данных, но при следующем сборе (например, при приёме нового сотрудника) требуется отдельный документ. Риск: проверка РКН по жалобе работника может квалифицировать включённое в договор согласие как нарушение ч. 2 ст. 13.11 КоАП — штраф 300 000–700 000 ₽. Стратегия: до приёма первого нового сотрудника ввести форму отдельного согласия на биометрию; действующим сотрудникам предложить переподписать добровольно.

Ситуация 2. HR-директор производственного предприятия (Уральский ФО, весна 2025) получил требование от руководства внедрить биометрическое КЭДО с авторизацией по лицу. До внедрения юрист потребовал подготовить: согласие на биометрию отдельным документом, включить биометрическую ИСПДн в реестр оператора (уведомление РКН по ст. 22 ФЗ-152), установить УЗ-3 и реализовать меры ФСТЭК. Внедрение отложили на 4 месяца — ровно столько потребовалось на оформление документов и техническую аттестацию. По итогу проверка РКН прошла без предписаний.

Ситуация 3. Работник уволился и потребовал уничтожить его биометрию из СКУД. Компания проигнорировала требование в течение 3 недель. Работник подал жалобу в РКН. Оператору направлено предписание об устранении нарушения по ст. 21 ФЗ-152 с угрозой штрафа по ч. 5 ст. 13.11 КоАП (50 000–90 000 ₽). Исход: биометрию уничтожили в течение 5 дней после предписания, составили акт. Штраф не был назначен — нарушение устранено до вынесения постановления.

Что подготовить HR-директору по биометрии

Отдельная форма согласия на обработку биометрических ПДн по ст. 9 и ст. 11 ФЗ-152 — с перечнем данных, целью и способом отзыва.
Приказ об установлении уровня защищённости ИСПДн с биометрией (УЗ-3 или УЗ-2) и реализации мер по ПП РФ №1119 и Приказу ФСТЭК №21.
Регламент уничтожения биометрических шаблонов при увольнении — с формой акта и сроком исполнения.
Уведомление РКН об обработке биометрических ПДн по ст. 22 ФЗ-152, если биометрия в СКУД или КЭДО уже используется.
Форма фиксации отказа работника от биометрии и альтернативного способа идентификации.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка документов и процессов по биометрии, СКУД и КЭДО.
Комплект ОРД под ключ — согласия, регламенты, приказы по биометрической обработке.
DPO-аутсорсинг — ответственный по ст. 22.1 ФЗ-152 без штатной единицы.

Частые вопросы

1. Нужно ли переподписывать согласия работников после 01.09.2025?

Согласия, полученные до 01.09.2025, остаются действительными для уже собранных данных — ФЗ-156 не имеет обратной силы. Но если согласие было включено в трудовой договор или иной документ, при следующем сборе ПДн у того же работника потребуется новый отдельный документ. Для биометрии риск выше: ст. 11 ФЗ-152 требует письменного согласия, и любой новый сбор (например, обновление шаблона СКУД) — это новое основание. Рекомендуется провести плановое переоформление по всем работникам, у которых согласие было частью договора.

2. Какие данные нельзя спрашивать в анкете при приёме на работу?

Ст. 86 ТК РФ прямо запрещает требовать данные, не связанные с трудовой функцией. Нельзя запрашивать политические и религиозные взгляды, состояние здоровья (за исключением случаев, предусмотренных ст. 88 ТК), сведения о судимости (без законного основания), данные о членах семьи сверх необходимого для льгот и вычетов. Биометрические данные в анкете — тем более недопустимы без отдельного согласия по ст. 11 ФЗ-152. За сбор данных без правового основания — ч. 1 ст. 13.11 КоАП, штраф 150 000–300 000 ₽.

3. Можно ли вести видеонаблюдение в офисе без согласия работников?

Обычное видеонаблюдение без функции распознавания лиц допустимо при условии: работники уведомлены о факте наблюдения (ст. 22.2 ТК РФ), цель — контроль рабочего процесса или безопасность, данные не передаются третьим лицам без основания. Согласие не требуется, но требуется локальный акт с описанием целей. Если же в системе включён алгоритм биометрического распознавания — это обработка биометрии по ст. 11 ФЗ-152, и без отдельного письменного согласия каждого работника это нарушение.

4. Сколько хранить согласия после увольнения работника?

Согласие на обработку ПДн — документ личного дела. По типовым срокам хранения документов по личному составу — 75 лет. Биометрические данные (шаблоны в СКУД) подлежат уничтожению после прекращения трудовых отношений, если иное не предусмотрено согласием или законом. Согласие как документ хранится в личном деле, а сами биометрические данные — уничтожаются. Факт уничтожения оформляется актом, который также прикладывается к личному делу.

5. Кто является оператором при использовании КЭДО с биометрической авторизацией?

При использовании КЭДО работодатель остаётся оператором персональных данных своих работников по ст. 3 ФЗ-152. Если КЭДО-платформа предоставляется сторонним провайдером с биометрической авторизацией — работодатель обязан заключить договор поручения обработки по п. 3 ст. 6 ФЗ-152 с указанием перечня действий и требований безопасности. Провайдер не становится самостоятельным оператором. Ответственность перед работником и РКН несёт работодатель, а не вендор КЭДО.

6. Что грозит за утечку биометрических данных работников?

По ч. 17 ст. 13.11 КоАП (в редакции с 30.05.2025) за утечку биометрических ПДн юридическое лицо получает штраф 15 000 000–20 000 000 ₽. При повторном нарушении применяется ч. 18 — оборотный штраф от 1 до 3% совокупной годовой выручки. Это самая высокая санкция в ст. 13.11. Помимо административной, возможна уголовная ответственность по ст. 272.1 УК РФ (введена ФЗ-421, действует с 11.12.2024) — до 10 лет лишения свободы за тяжкие последствия.

Итог

Передача биометрии работников в ЕБС — добровольная. Обязать работника нельзя ни при трудоустройстве, ни в процессе работы. Биометрия в СКУД, КЭДО и системах распознавания — отдельная история: она законна только при наличии письменного согласия по ст. 11 ФЗ-152, оформленного с 01.09.2025 отдельным документом, и при выполнении технических требований по уровню защищённости.

Практика DATUM по защите персональных данных в HR охватывает аудит биометрических ИСПДн, разработку комплектов согласий под новые требования ФЗ-156 и сопровождение при проверках РКН в HR-департаментах.

АС

Анна Соколова

Партнёр · ПДн в HR

Партнёр практики DATUM по защите персональных данных в HR. Специализация — согласия работников по ст. 9 152-ФЗ в редакции с 01.09.2025 (ФЗ-156), обработка через КЭДО, биометрия в СКУД, передача в зарплатных проектах. Сопровождение проверок РКН в HR-департаментах.

25 января 2028 года