Перейти к содержанию
инструкция 10 декабря 2026 По состоянию на 10 декабря 2026

Политика обработки биометрии: 3 обязательных пункта

Политика обработки биометрических персональных данных — отдельный обязательный документ для любого оператора, который работает с изображением лица, отпечатками пальцев, голосом или другими биометрическими характеристиками субъектов.
Без трёх ключевых разделов в этом документе компания нарушает ч. 2 ст. 18.1 ФЗ-152 и рискует штрафом по ч. 3 ст. 13.11 КоАП. При повторной утечке биометрии штраф достигает 20 млн ₽ по ч. 17 ст. 13.11 КоАП.
→ Если вы юрист и проверяете ОРД оператора с биометрией — этот материал даёт пошаговый алгоритм проверки и устранения пробелов.

С 30.05.2025 ст. 13.11 КоАП действует в редакции ФЗ-420 от 30.11.2024: отдельная ответственность за нарушения при обработке биометрии, отдельный состав за утечку. С 01.09.2025 вступили в силу изменения ФЗ-156 от 24.06.2025 — согласие на обработку ПДн, включая биометрию, оформляется отдельным документом. В этой инструкции — три раздела, которые должны присутствовать в политике обработки биометрических ПДн, и порядок их составления.

Шаг 1. Проверьте основания и цели обработки биометрии

Первый обязательный пункт политики — перечень правовых оснований обработки биометрических ПДн и конкретные цели. Ст. 11 ФЗ-152 устанавливает общее правило: биометрия обрабатывается только с письменного согласия субъекта. Исключения — ограниченный перечень: судопроизводство, безопасность государства, оперативно-розыскная деятельность и ряд других случаев из п. 2 ст. 11.

В политике необходимо прямо указать: на каком основании вы обрабатываете биометрию — согласие по п. 1 ч. 2 ст. 11 или одно из исключений. Указание «на основании законодательства» без конкретной нормы — не основание. Именно этот пробел РКН фиксирует при проверке первым.

«Ст. 11 ФЗ-152 — обработка биометрических ПДн допускается только при наличии письменного согласия субъекта, если иное прямо не установлено федеральным законом.»

Цели обработки должны формулироваться конкретно. Допустимые варианты: идентификация при физическом доступе в помещение, верификация при дистанционном заключении договора, аутентификация в информационной системе. Нельзя писать «в целях обеспечения безопасности» — это размытая цель, которая не соответствует принципу конкретности из ст. 5 ФЗ-152.

Если биометрия передаётся в Единую биометрическую систему (ЕБС) по ФЗ-572 от 29.12.2022, это отдельное основание — его тоже нужно зафиксировать в политике. Оператор ЕБС — АО «Центр Биометрических Технологий». С 01.06.2023 хранение исходной биометрии вне ЕБС для случаев, охватываемых ФЗ-572, запрещено.

Юрист проверяет ОРД оператора с биометрией?

Отсутствие оснований и целей в политике — первая позиция в предписании РКН при проверке. Штраф по ч. 3 ст. 13.11 КоАП за нарушение требований к политике — 30–60 тыс. ₽ для юрлица. Если при этом выявлена утечка биометрии — дополнительно ч. 17, до 20 млн ₽. Юристы DATUM проведут аудит ОРД по чек-листу из 38 пунктов и выдадут отчёт с приоритетами устранения.

Заказать аудит 152-ФЗ

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram t.me/vitvetcom

Шаг 2. Включите порядок получения и отзыва согласия с учётом ФЗ-156

Второй обязательный пункт — порядок получения согласия на обработку биометрических ПДн и процедура его отзыва. С 01.09.2025 ФЗ-156 от 24.06.2025 изменил ч. 1 ст. 9 ФЗ-152: согласие на обработку ПДн оформляется отдельным документом, не объединяется с договором, офертой или политикой конфиденциальности.

Для биометрии это правило действовало и раньше — ст. 9 и ст. 11 ФЗ-152 изначально требуют письменного согласия. Теперь требование закреплено системно для всех категорий. В политике должен быть раздел с описанием формы согласия: реквизиты документа, момент подписания, способ хранения подписанного экземпляра.

«Ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025 — согласие субъекта на обработку ПДн с 01.09.2025 оформляется отдельным документом; обязательные реквизиты: ФИО, контактные данные субъекта, наименование оператора, цель, перечень ПДн, перечень действий, срок, способ отзыва.»

Отзыв согласия — отдельный процессуальный блок в политике. Субъект вправе в любой момент отозвать согласие на обработку биометрии (ч. 2 ст. 9 ФЗ-152). После получения отзыва оператор обязан прекратить обработку и уничтожить биометрические данные в срок, который определяется локальным актом, если иное не установлено законом. В политике фиксируется: форма отзыва (заявление), адрес подачи, срок исполнения.

Согласия, полученные до 01.09.2025, не требуют переоформления — ФЗ-156 не имеет обратной силы. Но новые согласия после этой даты должны соответствовать обновлённым требованиям. В политике нужно указать, какие формы действуют для каждого периода, если оператор работает давно.

Что подготовить для раздела о согласии

  • Шаблон письменного согласия на обработку биометрических ПДн с реквизитами по ст. 9 ФЗ-152 и ст. 11 ФЗ-152 — отдельный документ, не часть договора
  • Описание способа хранения подписанных согласий: бумажный архив или квалифицированная электронная подпись при электронном хранении
  • Форма заявления об отзыве согласия с указанием адреса подачи и срока исполнения оператором
  • Раздел политики с разграничением: согласия до 01.09.2025 (старая форма, действуют) и согласия с 01.09.2025 (новая форма по ФЗ-156)

Шаг 3. Зафиксируйте ответственного и меры защиты по ст. 22.1 и ст. 19 ФЗ-152

Третий обязательный пункт — сведения об ответственном за организацию обработки ПДн по ст. 22.1 ФЗ-152 и перечень организационно-технических мер защиты биометрии по ст. 19 ФЗ-152. Без этих разделов политика считается неполной по ч. 2 ст. 18.1 ФЗ-152.

Ст. 22.1 ФЗ-152 обязывает оператора-юрлицо назначить лицо, ответственное за организацию обработки ПДн. В политике указывается должность и порядок назначения — без имени конкретного человека, чтобы не переписывать документ при кадровых изменениях. Ссылка на приказ о назначении — обязательный элемент. Требования к квалификации ответственного содержатся в ч. 4 ст. 22.1.

«Ст. 22.1 ФЗ-152 — оператор-юрлицо назначает лицо, ответственное за организацию обработки ПДн. Ч. 4 ст. 22.1 устанавливает требования к его квалификации.»

Меры технической защиты для биометрии определяются уровнем защищённости ИСПДн по ПП РФ №1119 от 01.11.2012. Биометрические ПДн — специальная категория. Количество субъектов свыше 100 000 или наличие угроз 1-го типа определяют уровень УЗ-1 или УЗ-2. Конкретный состав мер — Приказ ФСТЭК №21 от 18.02.2013: 109 мер в 15 группах. В политике не нужно перечислять все меры — достаточно ссылки на внутреннее техническое задание и классификационный акт ИСПДн.

Уведомление РКН по ст. 22 ФЗ-152 и Приказу РКН №180 от 28.10.2022 — отдельный элемент ОРД, но в политике должна быть ссылка на то, что оператор включён в реестр. Без уведомления РКН о намерении обрабатывать ПДн штраф по ч. 10 ст. 13.11 КоАП составляет 100–300 тыс. ₽.

Если в компании нет приказа о назначении ответственного по ст. 22.1 или политика не содержит раздела о мерах защиты — каждый из этих пробелов фиксируется при проверке отдельно. Срок включения в реестр РКН после подачи уведомления — 30 дней. Юристы DATUM соберут комплект ОРД под ключ и направят уведомление в РКН.

Собрать ОРД под ключ

Как применяются эти требования на практике

Кейс 1. Юрист производственной компании (Приволжский ФО, осень 2025) проверял ОРД перед плановой проверкой РКН. Политика обработки ПДн существовала, но раздел о биометрии отсутствовал — компания использовала СКУД с распознаванием лица. В политике не было оснований обработки, нет ссылки на ст. 11 ФЗ-152, согласия сотрудников подписаны в составе трудового договора до 01.09.2025. По итогам проверки РКН выдал предписание об устранении нарушений по ч. 3 ст. 13.11 КоАП. Штраф составил несколько десятков тысяч рублей — минимальный по части. Устранение заняло 6 недель: переработка политики, получение отдельных согласий от всех сотрудников, назначение ответственного приказом.

Кейс 2. При подготовке к проверке РКН медицинской организации (Центральный ФО, начало 2026) юрист обнаружил, что политика конфиденциальности клиники содержала раздел о биометрии, но не включала порядок отзыва согласия и меры технической защиты. Дополнительно отсутствовало уведомление РКН об обработке биометрических ПДн как отдельного типа данных. После устранения нарушений до начала проверки РКН предписание не выносилось — проверяющие зафиксировали готовность оператора. Штрафа удалось избежать, поскольку документы были приведены в порядок до составления акта.

Услуги DATUM по теме

Частые вопросы

1. Какие документы должны быть у оператора, обрабатывающего биометрию?

Обязательный минимум: политика обработки ПДн с разделом о биометрии по ч. 2 ст. 18.1 ФЗ-152, отдельное письменное согласие каждого субъекта по ст. 9 и ст. 11 ФЗ-152, приказ о назначении ответственного по ст. 22.1, акт классификации ИСПДн с определением уровня защищённости по ПП РФ №1119, уведомление РКН по форме Приказа №180. Если используется ЕБС — дополнительно документы по ФЗ-572.

2. Как составить политику обработки биометрических ПДн?

Политика должна содержать три обязательных блока: основания и цели обработки биометрии со ссылкой на ст. 11 ФЗ-152, порядок получения и отзыва согласия с учётом требований ФЗ-156 от 24.06.2025, сведения об ответственном по ст. 22.1 и перечень мер защиты по ст. 19 ФЗ-152. Политика публикуется на официальном сайте оператора — это требование ч. 2 ст. 18.1 ФЗ-152.

3. Кого назначить ответственным за обработку ПДн по ст. 22.1?

Ответственным может быть штатный сотрудник с квалификацией в области защиты информации или привлечённый специалист (DPO-аутсорс). Требования к квалификации — ч. 4 ст. 22.1 ФЗ-152. Назначение оформляется приказом с указанием должности. Важно: ответственный не несёт личную ответственность за нарушения оператора — это организационная роль, а не принятие вины.

4. Можно ли использовать шаблон политики из интернета?

Универсальный шаблон даёт структуру, но не учитывает специфику оператора: категории обрабатываемой биометрии, применяемые технические средства, основания передачи третьим лицам. РКН при проверке оценивает соответствие политики фактической обработке. Шаблон, не адаптированный под деятельность компании, создаёт дополнительный риск предписания, а не снижает его.

5. Какие согласия нужны после 01.09.2025 по ФЗ-156?

После 01.09.2025 согласие на обработку биометрических ПДн оформляется отдельным документом — не в составе трудового договора, клиентского соглашения или политики. Обязательные реквизиты по ст. 9 ФЗ-152: ФИО субъекта, контактные данные, наименование оператора, цель, перечень ПДн и действий с ними, срок действия, способ отзыва. Согласия, полученные до 01.09.2025 по старым формам, сохраняют силу — ФЗ-156 обратной силы не имеет.

6. Чем отличается политика обработки ПДн от политики конфиденциальности?

Политика обработки ПДн — обязательный документ по ч. 2 ст. 18.1 ФЗ-152, содержит исчерпывающие сведения о целях, основаниях, категориях данных, мерах защиты. Политика конфиденциальности — более широкое понятие, часто используется для сайтов и сервисов. При обработке биометрии нужен отдельный раздел или отдельный документ именно по биометрическим ПДн со ссылкой на ст. 11 ФЗ-152 — общей политики без этого раздела недостаточно.

Итог

Политика обработки биометрических ПДн — не формальность. Отсутствие любого из трёх обязательных разделов (основания и цели, порядок согласия и отзыва, ответственный и меры защиты) фиксируется РКН при проверке и даёт основание для предписания или штрафа. С 30.05.2025 ответственность за нарушения при обработке биометрии выделена в отдельные составы ст. 13.11 КоАП — ч. 16 и ч. 17, максимум по которым достигает 20 млн ₽.

DATUM сопровождает операторов ПДн в части биометрии с момента классификации ИСПДн до подготовки к проверке РКН и защиты в арбитраже. Практика по 152-ФЗ с 2014 года в составе сети «Ветров и партнёры».

Смотрите также

КЗ
Кирилл Захаров
Партнёр · Цифровые продукты
Партнёр практики DATUM по цифровым продуктам и e-commerce. Специализация — согласия в интернет-магазинах и SaaS, политики конфиденциальности, трансграничные сервисы, программы лояльности.

10 декабря 2026 года