инструкция 11 декабря 2026 По состоянию на 11 декабря 2026

Положение о работе с биометрией сотрудников

Положение о работе с биометрическими персональными данными — это обязательный локальный акт оператора, который закрепляет цели, состав, порядок сбора и уничтожения биометрии работников, а также разграничивает ответственность.

Обработка биометрии без письменного согласия и без регламентирующего положения — нарушение ст. 11 ФЗ-152. Штраф по ч. 2 ст. 13.11 КоАП для юрлица — 300 000–700 000 ₽. При повторном нарушении (ч. 2.1) — 1 000 000–1 500 000 ₽. Если биометрия утекла — ч. 17 ст. 13.11 КоАП грозит 15 000 000–20 000 000 ₽.

Если вы юрист и компания использует СКУД, отпечатки пальцев или распознавание лиц для учёта рабочего времени — положение нужно до начала сбора данных, а не после первой проверки РКН. → Порядок разработки — ниже.

Биометрические персональные данные работников — одна из наиболее чувствительных категорий в кадровом документообороте. С 30.05.2025 действует расширенная редакция ст. 13.11 КоАП (ФЗ-420 от 30.11.2024), которая выделила нарушения при обработке биометрии в отдельные составы с повышенными санкциями. Для юриста компании это означает: любой пробел в ОРД по биометрии создаёт прямой риск административного штрафа и протокола РКН. Инструкция описывает шесть шагов разработки положения — от определения правовых оснований до регистрации документа и обучения персонала.

Шаг 1. Определите, является ли обрабатываемая информация биометрическими ПДн

Биометрические персональные данные по ст. 11 ФЗ-152 — это сведения, характеризующие физиологические и биологические особенности человека, по которым можно установить его личность. К ним относятся: изображение лица (в том числе полученное с камер СКУД), отпечатки пальцев, геометрия руки, рисунок вены, голос, сетчатка и радужная оболочка глаза, ДНК.

Ключевое разграничение для практики: фотография в личном деле сама по себе не является биометрическими ПДн, если она хранится только в кадровых документах и не используется для идентификации. Как только система начинает сравнивать изображение с шаблоном для допуска — это обработка биометрии. Именно этот момент фиксирует ст. 11 ФЗ-152 и именно с него возникает обязанность получить письменное согласие.

Если компания использует систему контроля доступа с распознаванием лица или отпечатком пальца — положение обязательно. Если учёт рабочего времени ведётся по магнитной карте или PIN-коду — положение о биометрии не требуется, достаточно общей политики обработки ПДн.

«Ст. 11 ФЗ-152: обработка биометрических персональных данных допускается только при наличии письменного согласия субъекта. Исключения установлены ч. 2 ст. 11 — в частности, для целей обеспечения безопасности государства и правопорядка. Для коммерческого СКУД исключения не применяются.»

Шаг 2. Проверьте наличие и состав письменных согласий работников

Письменное согласие на обработку биометрических ПДн — самостоятельный документ. С 01.09.2025 по ФЗ-156 от 24.06.2025 любое согласие на обработку персональных данных оформляется отдельно: его нельзя включить в трудовой договор, должностную инструкцию или иной документ. Это требование прямо относится и к согласию на биометрию.

Обязательные реквизиты письменного согласия по ст. 9 ФЗ-152: фамилия, имя, отчество и контактные данные субъекта; наименование и адрес оператора; цель обработки; перечень биометрических ПДн (например: «изображение лица, полученное при проходе через СКУД»); перечень действий — сбор, запись, хранение, использование для верификации, уничтожение; срок действия согласия или условие его прекращения; способ отзыва.

Если согласие оформлено до 01.09.2025 и уже содержит все реквизиты ст. 9 ФЗ-152 — переоформлять его не нужно: ФЗ-156 не имеет обратной силы для ранее полученных согласий. Если оно было частью трудового договора или приказа — переоформление обязательно.

Согласия на биометрию ещё не выделены в отдельный документ?

Если юрист обнаружил, что согласие на обработку биометрических данных включено в трудовой договор или иной локальный акт, — с 01.09.2025 такой документ не отвечает требованиям ст. 9 ФЗ-152 в редакции ФЗ-156. Штраф по ч. 2 ст. 13.11 КоАП — 300 000–700 000 ₽, при повторном нарушении — до 1 500 000 ₽. Срок на устранение до проверки РКН — не восстанавливается.

Собрать ОРД под ключ

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Шаг 3. Разработайте структуру положения о работе с биометрией

Положение о работе с биометрическими персональными данными работников — отдельный локальный нормативный акт. Его нельзя заменить разделом в политике обработки ПДн: политика описывает обработку в целом, положение детализирует специфику биометрии.

Минимальный состав положения для СКУД и систем учёта рабочего времени:

Раздел 1. Общие положения — цели документа, область применения, связь с политикой обработки ПДн по ст. 18.1 ФЗ-152.
Раздел 2. Состав обрабатываемых биометрических ПДн — конкретный перечень (изображение лица, отпечаток пальца и т. д.), система, в которой хранятся шаблоны.
Раздел 3. Цели и правовые основания обработки — ссылка на ст. 11 ФЗ-152, письменное согласие как единственное основание для коммерческого СКУД.
Раздел 4. Порядок получения согласия — форма, момент подписания (до начала обработки), хранение подписанных экземпляров.
Раздел 5. Порядок хранения и защиты — где хранятся шаблоны (локально или в сервисе), кто имеет доступ, технические меры в соответствии с УЗ (ПП РФ №1119).
Раздел 6. Порядок уничтожения — сроки и способ уничтожения при увольнении или отзыве согласия, акт об уничтожении.
Раздел 7. Ответственный за организацию обработки — ссылка на ст. 22.1 ФЗ-152, ФИО или должность назначенного лица.
Раздел 8. Ответственность за нарушения — ссылка на ст. 13.11 КоАП, ст. 272.1 УК, меры дисциплинарного воздействия.

Шаг 4. Закрепите порядок уничтожения биометрических ПДн

Уничтожение биометрических шаблонов — обязательный раздел положения. По ст. 21 ФЗ-152 оператор обязан уничтожить ПДн при достижении целей обработки или при отзыве согласия. Для биометрии в СКУД это означает: при увольнении сотрудника шаблон должен быть удалён из системы в течение срока, предусмотренного внутренним регламентом (как правило, не позднее последнего рабочего дня или в течение трёх рабочих дней после прекращения трудового договора).

Положение должно закрепить: кто инициирует уничтожение (HR-служба или администратор СКУД), каким способом уничтожается шаблон (программное удаление с журналированием), как оформляется факт уничтожения (акт об уничтожении ПДн). Акт хранится не менее трёх лет — как доказательство на случай проверки РКН или обращения субъекта.

Отдельно зафиксируйте порядок действий при отзыве согласия работающим сотрудником. Отзыв согласия не прекращает трудовой договор, однако лишает оператора основания для обработки биометрии. После отзыва сотруднику следует предложить альтернативный способ фиксации прихода-ухода (карта, PIN), а шаблон — уничтожить.

«Ст. 21 ФЗ-152: при отзыве субъектом согласия оператор обязан прекратить обработку персональных данных и уничтожить их в срок, не превышающий 30 дней с даты поступления отзыва, если иное не предусмотрено договором.»

Если юрист дорабатывает ОРД по биометрии перед плановой проверкой РКН — у вас есть конкретный срок. Проверьте, включены ли в положение порядок уничтожения и назначение ответственного по ст. 22.1 ФЗ-152: это первое, что запросит инспектор.

Подготовиться к проверке РКН

Шаг 5. Назначьте ответственного и обновите уведомление в реестре РКН

По ст. 22.1 ФЗ-152 оператор-юридическое лицо обязан назначить лицо, ответственное за организацию обработки персональных данных. Для биометрии это требование носит практический характер: положение без указания конкретного ответственного не даёт инспектору РКН понять, кто отвечает за соблюдение режима. В положении фиксируется должность (не только ФИО) — на случай кадровых изменений.

Ст. 22 ФЗ-152 обязывает оператора уведомить РКН о намерении обрабатывать ПДн до начала обработки. Если компания ранее подавала уведомление, не указав биометрию в составе обрабатываемых данных, — необходимо подать сведения об изменениях. Форма уведомления и способ подачи установлены Приказом РКН №180 от 28.10.2022 (через pd.rkn.gov.ru с использованием ЕСИА или УКЭП). Неуведомление или несвоевременное уведомление — штраф 100 000–300 000 ₽ по ч. 10 ст. 13.11 КоАП.

После внесения изменений в реестр проверьте актуальность записи: РКН вправе запросить выписку в ходе проверки. Несоответствие заявленных и реальных категорий обрабатываемых ПДн — самостоятельное основание для протокола.

Шаг 6. Введите положение в действие и ознакомьте работников

Положение вводится приказом руководителя организации. В приказе указывается дата вступления в силу, ответственный за исполнение и перечень работников, которые обязаны ознакомиться с документом. Ознакомление фиксируется подписью в листе ознакомления или в системе КЭДО.

Работников, уже давших согласие на обработку биометрии, необходимо ознакомить с новым положением под подпись. Это не переоформление согласия, а информирование о регламенте. Работников, которые ещё не давали согласия, — ознакомить до момента сбора биометрических данных.

После ввода положения обновите политику обработки ПДн по ч. 2 ст. 18.1 ФЗ-152 — добавьте раздел или упоминание о том, что обработка биометрии регулируется отдельным положением. Политика должна быть размещена в открытом доступе (на сайте или на информационном стенде). Отсутствие актуальной политики — штраф 30 000–60 000 ₽ по ч. 3 ст. 13.11 КоАП.

Что подготовить для полного пакета ОРД по биометрии

Положение о работе с биометрическими ПДн работников — подписанное, с листом ознакомления.
Приказ о назначении ответственного за организацию обработки ПДн по ст. 22.1 ФЗ-152.
Отдельные письменные согласия работников на обработку биометрических ПДн — по форме ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025.
Актуальное уведомление в реестре РКН с указанием биометрии как категории обрабатываемых ПДн (Приказ РКН №180).
Обновлённая политика обработки ПДн со ссылкой на положение о биометрии и размещённая в открытом доступе.

Типовые ситуации: что происходит без положения

Ситуация 1. СКУД установлен, согласия не оформлены. Сотрудники проходят через турникет с распознаванием лица. Согласий нет. При проверке РКН фиксирует обработку биометрических ПДн без письменного согласия — ч. 2 ст. 13.11 КоАП. Для юрлица — штраф 300 000–700 000 ₽. Положение об обработке биометрии отсутствует — дополнительный протокол по ч. 3 ст. 13.11 (отсутствие актуальной политики). Итого два протокола на одну проверку.

Ситуация 2. Согласие есть, но оформлено как пункт трудового договора. До 01.09.2025 такой подход допускался частью практики. После вступления в силу ФЗ-156 от 24.06.2025 согласие в составе договора не отвечает требованиям ст. 9 ФЗ-152. Компания, не переоформившая согласия для новых работников, принятых после 01.09.2025, получает основание для протокола по ч. 2 ст. 13.11. Стратегия: немедленно ввести отдельную форму согласия для новых приёмов и зафиксировать дату в положении.

Ситуация 3. Работник уволен, биометрический шаблон не уничтожен. Уволенный сотрудник обратился с требованием уничтожить его персональные данные. Оператор не может подтвердить факт уничтожения: акта нет, журнал СКУД не предусматривает отметки об удалении шаблона. РКН выносит предписание, при неисполнении — штраф по ч. 5 ст. 13.11 КоАП (50 000–90 000 ₽). Стратегия: в положении закрепить автоматическое удаление шаблона при закрытии учётной записи в СКУД и обязательное составление акта.

Как это выглядит на практике

Кейс 1. Торговая сеть в Сибирском федеральном округе (осень 2025 года) внедрила СКУД с распознаванием лиц в распределительном центре. Юрист компании обнаружил, что согласия на биометрию включены в трудовые договоры, подписанные после 01.09.2025, — нарушение ФЗ-156. До плановой проверки РКН оставалось около двух месяцев. Юристы DATUM разработали отдельную форму согласия и положение об обработке биометрических ПДн, помогли ввести их в действие приказом. Все работники, принятые после 01.09.2025, переподписали согласия в установленной форме. Проверка РКН нарушений не выявила.

Кейс 2 (из публичной практики). В деле о нарушениях при обработке биометрических ПДн (Арбитражный суд региона, 2025 год) оператор не смог представить акты об уничтожении шаблонов уволенных работников. Суд квалифицировал ситуацию как нарушение ст. 21 ФЗ-152. Штраф составил несколько десятков тысяч рублей, однако компания получила предписание об устранении нарушений с конкретным сроком. Невыполнение предписания в срок повлекло бы повторный протокол по ч. 5.1 ст. 13.11 — 300 000–500 000 ₽. ⚠️ Номер дела и точная дата — менеджер уточняет при публикации.

Услуги DATUM по теме

Комплект ОРД под ключ — разработка положения о биометрии, согласий и всего пакета локальных актов.
Аудит соответствия 152-ФЗ — проверка существующего ОРД по биометрии и кадровым ПДн по чек-листу.
DPO-аутсорсинг — абонентское обслуживание функции ответственного по ст. 22.1 ФЗ-152.

Частые вопросы

1. Какие документы должны быть у оператора, обрабатывающего биометрию работников?

Минимальный пакет: положение о работе с биометрическими ПДн, политика обработки ПДн (ст. 18.1 ФЗ-152) с упоминанием биометрии, отдельные письменные согласия каждого работника (ст. 9 ФЗ-152, с 01.09.2025 — только отдельный документ по ФЗ-156), приказ о назначении ответственного по ст. 22.1, актуальное уведомление в реестре РКН с указанием биометрии как категории ПДн, акты об уничтожении шаблонов уволенных сотрудников.

2. Как составить политику обработки ПДн, если компания работает с биометрией?

Политика по ч. 2 ст. 18.1 ФЗ-152 должна включать: наименование оператора, цели обработки, правовые основания, перечень категорий ПДн (в том числе биометрические), порядок и условия обработки, права субъектов, меры защиты. Биометрию необходимо выделить отдельно и сослаться на положение, которое детализирует порядок работы с ней. Политика публикуется в открытом доступе — на сайте или на видном месте в офисе.

3. Кого назначить ответственным по ст. 22.1 ФЗ-152?

Ст. 22.1 ФЗ-152 не предъявляет жёстких квалификационных требований к ответственному, однако он должен понимать требования закона и иметь ресурсы для их исполнения. На практике это юрист компании, специалист по ИБ или HR-директор. Главное — приказ о назначении с перечнем полномочий и ознакомление назначенного лица под подпись. Если внутреннего ресурса нет — функцию можно передать внешнему DPO-аутсорсеру.

4. Можно ли использовать шаблон политики из интернета?

Готовый шаблон — отправная точка, но не финальный документ. РКН при проверке оценивает соответствие политики реальной практике оператора: если в политике указаны цели, которых нет у компании, или не указаны фактические обработчики — это нарушение. Для биометрии риск особенно высок: шаблоны, как правило, не содержат специфики СКУД, порядка уничтожения шаблонов и требований ст. 11 ФЗ-152. Документ необходимо адаптировать под конкретного оператора.

5. Какие согласия нужны после 01.09.2025?

После 01.09.2025 (ФЗ-156 от 24.06.2025) согласие на обработку ПДн оформляется только отдельным документом — не частью трудового договора, приказа или иного документа. Это требование распространяется на все согласия, включая биометрические. Ранее полученные согласия, если они содержат все реквизиты ст. 9 ФЗ-152, переоформлять не обязательно. Для новых работников, принятых после 01.09.2025, — только отдельный документ.

6. Нужно ли отдельное согласие на биометрию, если работник уже подписал общее согласие на обработку ПДн?

Да. Ст. 11 ФЗ-152 прямо требует письменного согласия для обработки биометрических ПДн — отдельно от иных согласий. Общее согласие на обработку персональных данных (ФИО, адрес, трудовая история) не охватывает биометрию. Смешение этих согласий создаёт риск протокола по ч. 2 ст. 13.11 КоАП — штраф 300 000–700 000 ₽.

Итог

Положение о работе с биометрическими персональными данными работников — не формальность, а инструмент управления рисками. Оно фиксирует правовое основание обработки, разграничивает ответственность, задаёт порядок уничтожения данных и закрывает наиболее частые основания для протоколов РКН. Разработать его нужно до начала сбора биометрии, а не после получения предписания.

DATUM сопровождает операторов ПДн при разработке ОРД по биометрии, подготовке к проверкам РКН и обжаловании протоколов по ст. 13.11 КоАП. Практика «Ветров и партнёры» по 152-ФЗ ведётся с 2014 года.

ИБ

Игорь Беляев

Партнёр · РКН и арбитраж

Партнёр практики DATUM по взаимодействию с Роскомнадзором и арбитражной защите. Специализация — уведомления и проверки РКН, обжалование протоколов по ст. 13.11 КоАП (ФЗ-420 от 30.11.2024), оборотные штрафы с 30.05.2025.

11 декабря 2026 года