Перейти к содержанию
справочник 28 января 2027 По состоянию на 28 января 2027

Радужка глаза как биометрия: где применяется

Радужка глаза — биометрический персональный данные по ст. 11 ФЗ-152: уникальный физиологический признак, позволяющий идентифицировать человека.
Обработка изображения радужной оболочки допустима только с письменного согласия субъекта; нарушение влечёт штраф до 700 000 ₽ по ч. 2 ст. 13.11 КоАП, а при утечке биометрии — 15–20 млн ₽ по ч. 17.
Если вы юрист и проверяете систему контроля доступа или МФО с верификацией по радужке — ниже точные нормы и области применения.

С 30.05.2025 ст. 13.11 КоАП действует в редакции ФЗ-420: биометрические данные выделены в самостоятельный состав правонарушения. Юрист, который проводит внутренний аудит или сопровождает проверку РКН, должен понимать, в каких системах радужка считается биометрией, какие основания требуются для её обработки и чем отличается хранение в ЕБС от корпоративной СКУД. Этот справочник отвечает на эти вопросы со ссылками на действующие нормы.

Что такое радужка как биометрические персональные данные?

Биометрические персональные данные по ст. 11 ФЗ-152 — сведения, характеризующие физиологические и биологические особенности человека, на основании которых можно установить его личность. Радужная оболочка глаза входит в этот перечень наряду с отпечатками пальцев, изображением лица и голосом.

Ключевое разграничение для юриста: фотография в личном деле не является биометрией в смысле ст. 11, если она не используется для автоматической идентификации. Как только система начинает сравнивать изображение радужки с шаблоном в базе — обработка становится биометрической независимо от названия технологии.

«Ст. 11 ФЗ-152: обработка биометрических ПДн допустима только с письменного согласия субъекта. Исключения — судопроизводство, оперативно-разыскная деятельность, госбезопасность и ряд иных случаев, указанных в ч. 2 ст. 11.»

Где применяется радужка глаза как биометрия?

Области применения радужной биометрии в России охватывают несколько секторов. Ниже — актуальный перечень с нормативной привязкой.

СКУД (системы контроля и управления доступом)
Промышленные предприятия, дата-центры, лаборатории. Оператор — работодатель. Основание — письменное согласие работника по ст. 11 ФЗ-152; в рамках трудовых отношений согласие не презюмируется автоматически. Биометрия хранится локально в корпоративной ИСПДн; требования к уровню защищённости — УЗ-3 или УЗ-2 в зависимости от числа субъектов и типа угроз (ПП РФ №1119).
Единая биометрическая система (ЕБС)
ФЗ-572 от 29.12.2022 разрешает финансовым организациям и МФЦ использовать радужку для удалённой идентификации через ЕБС. Оператор ЕБС — АО «Центр Биометрических Технологий». Хранение исходного биометрического шаблона вне ЕБС запрещено с 01.06.2023. Банк, собирающий радужку самостоятельно в обход ЕБС, нарушает ФЗ-572 и ст. 11 ФЗ-152 одновременно.
Пограничный и аэропортовый контроль
ФСБ, МВД, Росгвардия обрабатывают биометрию на основании специального законодательства об оперативно-разыскной деятельности — согласие субъекта не требуется (ч. 2 ст. 11 ФЗ-152).
Медицинская идентификация
Клиники используют радужку для верификации пациента при выдаче рецептов и доступе к МИС. Данные пациента — специальная категория по ст. 10 ФЗ-152 (состояние здоровья); при совмещении с биометрией требуются два отдельных согласия: на спецкатегорию и на биометрию.
EdTech и прокторинг
Платформы дистанционного обучения применяют сканирование радужки для подтверждения личности на экзаменах. Субъект — студент или абитуриент. Если субъекту нет 18 лет, согласие даёт законный представитель (ст. 9 ФЗ-152).
Розничная торговля и программы лояльности
Ряд ретейлеров тестирует оплату по радужке (pay-by-eye). Правовое основание — согласие покупателя по ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025: с 01.09.2025 согласие оформляется отдельным документом, не встроенным в договор оферты или пользовательское соглашение.

Система СКУД или верификация клиентов — как оформить согласие на радужку?

Если вы юрист и проверяете документацию по биометрической обработке, каждый из перечисленных сценариев требует своего комплекта ОРД. Отсутствие письменного согласия по ст. 11 ФЗ-152 или ненадлежащий его состав — основание для штрафа 300–700 000 ₽ по ч. 2 ст. 13.11 КоАП. Специалисты DATUM проведут аудит обработки ПДн по чек-листу из 38 пунктов и выдадут отчёт с приоритизированным планом устранения нарушений.

Заказать аудит 152-ФЗ

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Какие нормы регулируют обработку радужки в 2025–2026 годах?

Нормативная база включает несколько уровней: закон, подзаконные акты ФСТЭК и требования РКН.

Ст. 3 ФЗ-152
Определяет понятия: персональные данные, оператор, обработка, субъект, трансграничная передача. Радужка — ПДн с момента, когда она позволяет идентифицировать конкретное физическое лицо.
Ст. 5 ФЗ-152 — принципы обработки
Семь принципов: законность, конкретные цели, недопустимость объединения баз, соответствие объёма целям, точность, ограниченный срок хранения, уничтожение при достижении цели. Хранить биометрические шаблоны бессрочно нельзя: цель СКУД — контроль доступа; уволенный сотрудник теряет основание для хранения его биометрии.
Ст. 6 ФЗ-152 — правовые основания обработки
Для большинства коммерческих случаев применения радужки единственным рабочим основанием остаётся согласие субъекта (п. 1). Ссылка на исполнение договора (п. 5) не применима: биометрия не является обязательным условием трудового договора или договора купли-продажи.
Ст. 9 ФЗ-152 — требования к согласию
Обязательные реквизиты: ФИО субъекта, контактные данные, наименование оператора, цель, перечень ПДн (включая точное указание «изображение радужной оболочки глаза»), перечень действий, срок, способ отзыва. С 01.09.2025 (ФЗ-156) — отдельный документ.
Ст. 11 ФЗ-152 — биометрические ПДн
Обработка только с письменного согласия. Форма — произвольная, но с реквизитами ст. 9. Устное или конклюдентное согласие (поднёс глаз к сканеру) не считается надлежащим без предварительного письменного документа.
ПП РФ №1119 — уровни защищённости ИСПДн
Биометрические данные вне ЕБС относятся к специальным категориям в целях ПП №1119. При числе субъектов менее 100 000 и угрозах 3-го типа — УЗ-3; при угрозах 2-го типа — УЗ-2. Комплекс мер — по Приказу ФСТЭК №21.
Ст. 272.1 УК РФ (с 11.12.2024)
Незаконные сбор, хранение, передача компьютерной информации с ПДн. Применима к утечкам биометрических баз. По ч. 5 — до 10 лет лишения свободы при тяжких последствиях.
«Ст. 13.11 ч. 16–18 КоАП (ред. ФЗ-420, действует с 30.05.2025): нарушения при обработке биометрии — штраф для юрлица в зависимости от состава; утечка биометрических ПДн (ч. 17) — 15–20 млн ₽; повторное нарушение (ч. 18) — оборотный штраф от 1 до 3% совокупной выручки.»

Типовые ошибки операторов при обработке радужки

На основании анализа практики DATUM выделяется три характерных нарушения.

Сценарий 1. СКУД без письменного согласия. Работодатель устанавливает терминал с распознаванием радужки, полагая, что согласие работника на обработку ПДн в трудовом договоре покрывает биометрию. Это не так: ст. 11 ФЗ-152 требует отдельного письменного согласия. При проверке РКН — протокол по ч. 2 ст. 13.11 КоАП (300–700 000 ₽). После 01.09.2025 согласие также должно быть отдельным документом по ФЗ-156.

Сценарий 2. Биометрия в приложении ретейлера без уведомления РКН. Компания запускает оплату по радужке. Уведомление об обработке биометрических данных в реестр операторов не подаётся. Дополнительно: биометрия хранится на серверах за рубежом — нарушение ч. 5 ст. 18 ФЗ-152 (локализация). Совокупный риск: ч. 2 + ч. 8 ст. 13.11 КоАП.

Сценарий 3. Биометрический шаблон хранится после увольнения. HR-система не удаляет шаблоны радужки уволенных сотрудников. По ст. 5 ФЗ-152 цель обработки достигнута — данные подлежат уничтожению. Жалоба субъекта → предписание РКН → ч. 5 ст. 13.11 КоАП при неисполнении (50–90 000 ₽; повторное — 300–500 000 ₽ по ч. 5.1).

Если вы юрист и обнаружили, что биометрия в СКУД или мобильном приложении обрабатывается без надлежащих оснований — риск по ч. 2 ст. 13.11 КоАП составляет 300–700 000 ₽, по ч. 17 при утечке — 15–20 млн ₽. DATUM соберёт ОРД и согласия под конкретный сценарий применения.

Собрать ОРД под ключ

Что проверить юристу при аудите биометрической обработки

  • Наличие письменного согласия по ст. 11 ФЗ-152 с полным составом реквизитов ст. 9 — отдельный документ с 01.09.2025
  • Уведомление в реестре операторов РКН с указанием биометрических ПДн как обрабатываемой категории
  • Локализация: хранение биометрических шаблонов на серверах в РФ (ч. 5 ст. 18 ФЗ-152)
  • Определённый уровень защищённости ИСПДн (УЗ-2 или УЗ-3) и соответствие Приказу ФСТЭК №21
  • Регламент уничтожения биометрии при достижении цели обработки (увольнение, отзыв согласия)

Частые вопросы

1. Что считается обработкой ПДн по 152-ФЗ?

Обработка по ст. 3 ФЗ-152 — любое действие с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, удаление, уничтожение. Сканирование радужки и запись шаблона в базу — это сбор и хранение биометрических ПДн; даже однократная процедура является обработкой и требует правового основания.

2. На основании чего можно обрабатывать ПДн?

Ст. 6 ФЗ-152 содержит 11 оснований. Для биометрии в коммерческих системах (СКУД, ЕБС-верификация, прокторинг) единственное рабочее основание — согласие субъекта (п. 1 ч. 1 ст. 6 в совокупности со ст. 11). Исключения — госорганы, силовые структуры, судопроизводство. Ссылка на исполнение договора биометрию не покрывает: суды и РКН не признают её обязательным условием трудовых или гражданско-правовых отношений.

3. Что грозит за нарушение 152-ФЗ при обработке биометрии?

Обработка биометрии без письменного согласия — штраф 300–700 000 ₽ по ч. 2 ст. 13.11 КоАП (повторно — 1–1,5 млн ₽ по ч. 2.1). Утечка биометрических ПДн — 15–20 млн ₽ по ч. 17. Повторная утечка биометрии — оборотный штраф 1–3% совокупной выручки по ч. 18. С 11.12.2024 действует ст. 272.1 УК РФ: незаконные сбор, хранение, передача биометрии в компьютерной форме могут влечь уголовную ответственность вплоть до 10 лет лишения свободы.

4. Нужно ли уведомлять РКН малому бизнесу при обработке радужки?

Да. Биометрические ПДн не входят в перечень исключений ч. 2 ст. 22 ФЗ-152, освобождающих от подачи уведомления. Любой оператор, обрабатывающий радужку, обязан уведомить РКН до начала обработки по форме Приказа РКН №180. Неуведомление — штраф 100–300 000 ₽ по ч. 10 ст. 13.11 КоАП. Размер бизнеса на квалификацию нарушения не влияет.

5. С какого возраста нужно согласие на ПДн, включая биометрию?

По ст. 9 ФЗ-152 самостоятельно давать согласие вправе лицо, достигшее 14 лет (по общему правилу дееспособности). Для несовершеннолетних до 18 лет согласие на обработку биометрии рекомендуется получать от законного представителя — родителя или опекуна. РКН в правоприменительной практике настаивает на согласии представителя при обработке биометрии несовершеннолетних в образовательных и иных организациях.

Итог

Радужка глаза — биометрические персональные данные по ст. 11 ФЗ-152. Её обработка в любом секторе — СКУД, ЕБС, EdTech, ретейл — требует письменного согласия субъекта, уведомления РКН, локализации в РФ и соответствующего уровня защищённости ИСПДн. С 30.05.2025 нарушения при обработке биометрии выделены в самостоятельные составы ст. 13.11 КоАП с максимальным штрафом до 20 млн ₽ за утечку и оборотным штрафом при повторном нарушении.

Практика DATUM сопровождает аудиты биометрических систем, готовит комплекты ОРД и представляет операторов при проверках РКН по вопросам обработки биометрических ПДн.

Услуги DATUM по теме

Смотрите также

КЗ
Кирилл Захаров
Партнёр · Цифровые продукты
Партнёр практики DATUM по цифровым продуктам и e-commerce. Специализация — cookies как ПДн, согласия в интернет-магазинах и SaaS, трансграничные сервисы аналитики, программы лояльности, политики конфиденциальности для маркетплейсов и мобильных приложений.

28 января 2027 года