инструкция 11 февраля 2028 По состоянию на 11 февраля 2028

Сертификация СЗИ для биометрии: ФСТЭК

Q: Можно ли вести видеонаблюдение в офисе без согласия работников?

Видеонаблюдение в производственных целях допустимо без согласия работника при условии его уведомления при заключении трудового договора (ст. 22.2 ТК РФ) и фиксации цели в локальном акте. Если видеозапись используется для идентификации — это уже биометрия по ст. 11 ФЗ-152, и требуется отдельное письменное согласие.

Биометрические данные в СКУД — специальная категория по ст. 11 ФЗ-152. ФСТЭК сертифицирует средства защиты информации (СЗИ), применяемые при их обработке. Без сертифицированного СЗИ оператор нарушает Приказ ФСТЭК №21 и рискует штрафом до 15–20 млн ₽ по ч. 17 ст. 13.11 КоАП.

С 30.05.2025 действует расширенная ст. 13.11 КоАП (ФЗ-420 от 30.11.2024): утечка биометрии или нарушение порядка её обработки влечёт отдельные составы с повышенной ответственностью. Для HR-директора это означает: СКУД с биометрией = особый режим документов, СЗИ и согласий.

→ Если в вашей организации СКУД с биометрией и вы не уверены в классе СЗИ — проверьте комплект документов до проверки Роскомнадзора.

HR-директор отвечает за организацию сбора биометрии в рамках СКУД: согласия работников, обоснование цели, выбор уровня защищённости ИСПДн. Одновременно ИТ- и ИБ-служба обязана применять СЗИ, сертифицированные ФСТЭК. Разрыв между HR-процессом и техническими мерами — типичная причина нарушений при проверке РКН. Эта инструкция даёт HR-директору карту действий: от классификации ИСПДн до проверки сертификата и оформления согласий.

Шаг 1. Определите, нужна ли сертификация СЗИ в вашем случае

Биометрические данные работника (изображение лица, отпечаток пальца) — это специальная категория по ст. 11 ФЗ-152. Обработка биометрии без письменного согласия работника по общему правилу запрещена. Если СКУД использует биометрию для идентификации — оператор обязан выполнить технические требования Приказа ФСТЭК №21 от 18.02.2013.

«Ст. 19 ФЗ-152 обязывает оператора применять организационные и технические меры защиты ПДн, состав которых определяется ПП РФ №1119 и Приказом ФСТЭК №21. Для биометрических ПДн устанавливается повышенный уровень защищённости.»

Уровень защищённости ИСПДн с биометрией определяется по ПП РФ №1119 от 01.11.2012. Если число субъектов до 100 000 и актуальная угроза 3-го типа — минимальный уровень УЗ-3. При угрозе 2-го типа или более 100 000 субъектов — УЗ-2. Сертифицированные СЗИ требуются начиная с УЗ-4 (низший), однако для биометрии на практике применяется не ниже УЗ-3, что требует средств защиты с подтверждённым классом по НДВ-3 или выше.

Проверьте: если СКУД подключён к общей корпоративной сети и обрабатывает данные более 1 000 работников — с высокой вероятностью требуется УЗ-2 и сертифицированные СЗИ класса не ниже КС2.

Шаг 2. Проверьте сертификат ФСТЭК на применяемое СЗИ

Реестр сертифицированных СЗИ ведёт ФСТЭК России. Проверка — через официальный сайт fstec.ru, раздел «Государственный реестр сертифицированных средств защиты информации». Для HR-директора важно: сертификат проверяет не он лично, а ИБ-служба или CTO. Но HR инициирует запрос и фиксирует результат в ОРД.

«Приказ ФСТЭК №21 устанавливает базовые наборы мер защиты для каждого уровня УЗ-1...УЗ-4. Применение несертифицированных средств при наличии обязательного требования к сертификации — нарушение, фиксируемое при проверке РКН и ФСТЭК.»

Запросите у ИТ-службы письменную справку: наименование СЗИ, номер сертификата ФСТЭК, срок действия, класс защиты. Приложите к пакету ОРД по СКУД. Срок действия сертификата — как правило, 3 года с момента выдачи. Просроченный сертификат равнозначен отсутствию сертификации.

Биометрия в СКУД и нет уверенности в классе СЗИ?

Если HR-директор не может получить от ИТ-службы документы на СЗИ или сертификат просрочен — это уже нарушение. До плановой проверки РКН остаётся меньше времени, чем кажется. Юристы DATUM проведут аудит обработки биометрических ПДн по чек-листу из 38 пунктов и выдадут отчёт с приоритизированным планом устранения нарушений.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Шаг 3. Оформите письменное согласие работника на обработку биометрии

Согласие на обработку биометрических ПДн — только письменное, отдельный документ. Это требование ст. 11 ФЗ-152 в совокупности с нормами ФЗ-156 от 24.06.2025, действующими с 01.09.2025: согласие на обработку ПДн не может быть включено в трудовой договор, политику или иной документ. Оно оформляется как самостоятельный акт с подписью работника.

«Ст. 9 ФЗ-152 (в ред. ФЗ-156 от 24.06.2025, с 01.09.2025): согласие субъекта — отдельный документ. Обязательные реквизиты: ФИО, контакты, наименование оператора, цель, перечень ПДн, перечень действий, срок, способ отзыва.»

Для СКУД с биометрией цель обработки формулируется конкретно: «идентификация работника при проходе через контрольно-пропускные пункты». Нельзя указывать расширенные цели — «обеспечение безопасности» без привязки к конкретному действию. Перечень ПДн: изображение лица и/или шаблон отпечатка пальца. Перечень действий: сбор, запись, систематизация, хранение, сравнение, уничтожение при увольнении.

Согласие, подписанное до 01.09.2025, обратной силы не имеет (ФЗ-156 не требует переподписания ранее полученных согласий). Новые работники с 01.09.2025 подписывают согласие только по новой форме — отдельным документом. Если у вас прежняя форма, вшитая в трудовой договор, — при проверке РКН это будет квалифицировано как нарушение ч. 2 ст. 13.11 КоАП, штраф 300 000 – 700 000 ₽.

Шаг 4. Соберите пакет ОРД для СКУД с биометрией

HR-директор формирует кадровую часть ОРД, ИБ-служба — техническую. Минимальный пакет для СКУД с биометрией включает несколько обязательных документов.

Что подготовить для СКУД с биометрией

Приказ о назначении ответственного за обработку ПДн (ст. 22.1 ФЗ-152) с указанием зоны ответственности по биометрии.
Политика обработки персональных данных с разделом о биометрии (ч. 2 ст. 18.1 ФЗ-152) — опубликована на сайте или вывешена на информационном стенде.
Отдельное письменное согласие работника на обработку биометрических ПДн (ст. 11 ФЗ-152, ФЗ-156 с 01.09.2025).
Модель угроз и техническое задание на СКУД с обоснованием уровня защищённости (УЗ) по ПП РФ №1119.
Справка ИБ-службы о сертификации применяемых СЗИ (номер сертификата ФСТЭК, класс, срок действия).

Отдельно — журнал учёта обращений субъектов ПДн. Если работник потребует уничтожить биометрические данные (например, при увольнении) — срок исполнения определяется внутренним регламентом, но не может быть необоснованно длительным. Ответ на запрос работника — 10 рабочих дней по ст. 20 ФЗ-152 с возможностью продления ещё на 5 рабочих дней при уведомлении субъекта.

Если HR-директор получил запрос от работника об уничтожении биометрии — у вас 10 рабочих дней на ответ по ст. 20 ФЗ-152. Просрочка — штраф по ч. 5 ст. 13.11 КоАП до 90 000 ₽. Юристы DATUM соберут 38-документный пакет ОРД: политика, согласия, приказы, регламент реагирования, журналы.

Собрать ОРД под ключ

Шаг 5. Проверьте уведомление в реестре РКН на предмет биометрии

Оператор, обрабатывающий биометрические ПДн, обязан указать это в уведомлении о намерении обрабатывать ПДн по ст. 22 ФЗ-152. Проверить актуальность записи — через pd.rkn.gov.ru. Если в реестре отсутствует указание на биометрию, а СКУД с биометрией уже работает — это состав по ч. 10 ст. 13.11 КоАП, штраф 100 000 – 300 000 ₽.

«Ст. 22 ФЗ-152: оператор уведомляет РКН до начала обработки. Форма уведомления — Приказ РКН №180 от 28.10.2022. Срок включения в реестр — 30 дней с момента получения уведомления регулятором.»

При изменении состава обрабатываемых данных (например, при добавлении биометрии к ранее заявленным общим категориям) оператор подаёт уведомление об изменении сведений. Форма и порядок — те же: pd.rkn.gov.ru, ЕСИА или УКЭП.

Как выглядит нарушение на практике: типовые ситуации для HR-директора

Ситуация 1. СКУД с биометрией запущен, согласия не обновлены после 01.09.2025. HR-директор крупного ритейлера (Сибирский ФО, осень 2025) при проверке РКН предъявил согласия работников, вшитые в трудовой договор по форме 2023 года. Инспектор квалифицировал это как нарушение ч. 2 ст. 13.11 КоАП в редакции ФЗ-420 — штраф в сотни тысяч рублей. Довод о том, что ФЗ-156 не требует переподписания ранее полученных согласий, не снял нарушение: новые работники, принятые после 01.09.2025, подписывали старую форму.

Ситуация 2. СЗИ не сертифицировано, уровень защищённости не обоснован. Производственное предприятие (Уральский ФО, начало 2026) использовало СКУД со сканером отпечатка пальца. При аудите выяснилось: модель угроз не разработана, уровень защищённости не определён, применяемое ПО не имело сертификата ФСТЭК. РКН вынес предписание об устранении нарушений; параллельно материалы направлены в ФСТЭК. Устранение заняло более 4 месяцев и потребовало замены программного обеспечения.

Ситуация 3. Уволенный работник требует уничтожить биометрию. Логистическая компания (Центральный ФО, лето 2025) получила письменный запрос от уволенного работника об уничтожении его биометрических данных из СКУД. Внутреннего регламента реагирования не было, срок ответа нарушен. Мировой суд назначил штраф по ч. 5 ст. 13.11 КоАП. Параллельно РКН провёл внеплановую проверку по жалобе субъекта.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка биометрии, СКУД, СЗИ, согласий и ОРД по 38 пунктам.
Комплект ОРД под ключ — согласия работников по ФЗ-156, политика, приказы, регламенты для биометрии.
DPO-аутсорсинг — ответственный по ст. 22.1 ФЗ-152 на абонентском обслуживании, включая ответы субъектам.

Частые вопросы

1. Нужно ли переподписывать согласия работников после 01.09.2025?

Нет — ФЗ-156 от 24.06.2025 не имеет обратной силы. Согласия, полученные до 01.09.2025 по действовавшим требованиям, продолжают действовать. Переподписание требуется только для новых работников, принятых с 01.09.2025: их согласия оформляются исключительно как отдельный документ по ст. 9 ФЗ-152 в новой редакции. Если прежняя форма была вшита в трудовой договор — новый работник всё равно должен подписать отдельное согласие.

2. Какие данные нельзя спрашивать в анкете при приёме на работу?

Ст. 86 ТК РФ запрещает запрашивать данные, не связанные с трудовой деятельностью. Политические взгляды, религиозные убеждения, членство в общественных организациях — спецкатегории по ст. 10 ФЗ-152, их обработка без явного основания запрещена. Нельзя требовать сведения о состоянии здоровья, кроме случаев, когда это обусловлено характером работы (ст. 87 ТК РФ). Биометрию — только с отдельного письменного согласия по ст. 11 ФЗ-152.

3. Можно ли вести видеонаблюдение в офисе без согласия работников?

Видеонаблюдение в производственных целях (охрана, контроль доступа) допустимо без согласия работника при соблюдении ряда условий: работник уведомлён об этом при заключении трудового договора (ст. 22.2 ТК РФ), цель зафиксирована в локальном акте, обработка записей ограничена заявленной целью. Если видеозапись используется для идентификации — это уже биометрия по ст. 11 ФЗ-152, и требуется отдельное письменное согласие.

4. Сколько хранить согласия после увольнения работника?

Срок хранения согласий на обработку ПДн работников определяется типовыми перечнями документов. Согласие, связанное с личным делом, хранится 75 лет по нормам архивного законодательства. Биометрические данные после увольнения подлежат уничтожению при отзыве согласия субъектом — если иное не предусмотрено законом. Факт уничтожения фиксируется в акте и журнале учёта обращений субъектов.

5. Кто является оператором ПДн при использовании КЭДО?

При использовании КЭДО оператором ПДн остаётся работодатель: он определяет цели и способы обработки документов и персональных данных работников. Провайдер КЭДО-платформы выступает обработчиком по поручению в терминах п. 3 ст. 6 ФЗ-152. Работодатель обязан заключить с провайдером договор поручения обработки с обязательными условиями по ст. 6 ФЗ-152, включая перечень действий, цели и требования по безопасности.

6. Что проверяет ФСТЭК при сертификации СЗИ для биометрии?

ФСТЭК сертифицирует СЗИ на соответствие требованиям по уровням доверия (УД) и профилям защиты. Для ИСПДн с биометрией на УЗ-3 применяются СЗИ не ниже 6-го уровня доверия по НДВ. Проверяются функциональные возможности: идентификация и аутентификация, управление доступом, регистрация событий, защита среды выполнения. Наличие сертификата подтверждается в реестре ФСТЭК по наименованию и номеру — fstec.ru.

Итог

Сертификация СЗИ для биометрии — это пересечение зон ответственности HR, ИБ и ИТ. HR-директор обеспечивает согласия работников по ст. 11 ФЗ-152 в редакции ФЗ-156, формирует кадровую часть ОРД и контролирует уведомление РКН. ИБ-служба отвечает за выбор уровня защищённости по ПП РФ №1119 и применение сертифицированных ФСТЭК средств. Разрыв между этими функциями — главная причина нарушений при проверке.

DATUM сопровождает HR-директоров при подготовке к проверкам РКН по биометрии СКУД: аудит согласий, проверка ОРД, взаимодействие с ИБ-службой по требованиям Приказа ФСТЭК №21.

АС

Анна Соколова

Партнёр · ПДн в HR

Партнёр практики DATUM по защите персональных данных в HR. Специализация — согласия работников по ст. 9 152-ФЗ в редакции с 01.09.2025 (ФЗ-156), обработка через КЭДО, биометрия в СКУД, передача в зарплатных проектах.

11 февраля 2028 года