справочник 3 февраля 2027 По состоянию на 3 февраля 2027

Шаблон лица из видеонаблюдения: позиция РКН

Изображение лица, полученное с камеры видеонаблюдения, РКН квалифицирует как биометрические персональные данные, если оно используется для идентификации конкретного человека.

Обработка такого шаблона требует отдельного письменного согласия субъекта по ст. 11 ФЗ-152, а нарушение влечёт штраф до 700 000 ₽ по ч. 2 ст. 13.11 КоАП или до 20 000 000 ₽ по ч. 17 при утечке.

Если вы юрист компании и оцениваете правомерность видеонаблюдения — этот справочник даёт опорные нормы и позицию регулятора.

Системы видеонаблюдения с функцией распознавания лиц стали стандартом в офисах, торговых центрах и на производствах. При этом правовой статус «шаблона лица» — цифрового вектора, извлечённого из видеопотока, — до сих пор вызывает споры на практике. РКН последовательно придерживается позиции: шаблон лица является биометрическими ПДн в смысле ст. 11 ФЗ-152 и требует самостоятельного правового основания для обработки.

Что такое шаблон лица и почему это биометрические ПДн?

Биометрические персональные данные по ст. 11 ФЗ-152 — это сведения, характеризующие физиологические и биологические особенности человека, на основании которых можно установить его личность. Типичные примеры: изображение лица, голос, отпечатки пальцев, радужная оболочка глаза.

Шаблон лица (face template, face embedding) — цифровое математическое представление геометрических характеристик лица, извлечённое из изображения или видеопотока алгоритмом распознавания. Фактически это числовой вектор в многомерном пространстве, однозначно описывающий внешность конкретного человека.

«Ст. 11 ФЗ-152: обработка биометрических ПДн допускается только с письменного согласия субъекта, за исключением случаев, прямо предусмотренных федеральным законом (оборона, безопасность, противодействие терроризму, транспортная безопасность и ряд других).»

РКН в разъяснениях и в ходе проверок квалифицирует шаблон лица как биометрические ПДн независимо от того, хранится ли исходное изображение. Критерий один: возможность идентификации лица на основании обрабатываемых данных. Если система сопоставляет шаблон с базой и выдаёт идентификатор конкретного человека — это обработка биометрических ПДн.

Оператор ПДн по ст. 3 ФЗ-152 — государственный орган, муниципальный орган, юридическое или физическое лицо, организующее и (или) осуществляющее обработку ПДн. Компания, установившая систему видеонаблюдения с распознаванием лиц, является оператором вне зависимости от того, использует ли она данные самостоятельно или передаёт подрядчику.

Как соотносятся видеозапись и шаблон лица: два разных объекта?

Обработка персональных данных по ст. 3 ФЗ-152 — любое действие с ПДн: сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, удаление, уничтожение.

На практике важно разграничивать три ситуации:

Видеозапись без распознавания. Запись изображения в целях охраны периметра, где лица не идентифицируются, — общие ПДн по ст. 6 ФЗ-152. Правовое основание — законный интерес оператора или иное основание из ч. 1 ст. 6. Согласие необязательно при соблюдении принципа соразмерности.
Создание и хранение шаблона лица. Извлечение математического вектора из изображения и его хранение — обработка биометрических ПДн по ст. 11 ФЗ-152. Требует письменного согласия субъекта.
Верификация в режиме реального времени без хранения. Мнения расходятся: ряд специалистов полагает, что мгновенное сравнение без записи шаблона не образует обработки. РКН эту позицию не закрепил официально, поэтому ориентироваться на неё рискованно.

Субъект персональных данных по ст. 3 ФЗ-152 — физическое лицо, которое прямо или косвенно определяется с помощью обрабатываемых данных. В контексте видеонаблюдения субъектами являются сотрудники, посетители, клиенты — все, чьи лица попадают в зону камеры.

Юрист оценивает правомерность видеонаблюдения в компании?

Квалификация шаблона лица как биометрических ПДн напрямую влияет на состав необходимой ОРД и наличие правового основания для обработки. Ошибка в этой точке — штраф по ч. 2 ст. 13.11 КоАП до 700 000 ₽ или предписание РКН. Юристы DATUM проведут аудит обработки ПДн по чек-листу из 38 пунктов и выдадут отчёт с приоритизированным планом устранения нарушений.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Какие правовые основания применимы к обработке шаблона лица?

Согласие субъекта по ст. 9 ФЗ-152 — добровольное, конкретное, информированное и однозначное волеизъявление субъекта, которым он разрешает обработку своих ПДн. С 01.09.2025 (ФЗ-156 от 24.06.2025) согласие оформляется отдельным документом и не может быть встроено в трудовой договор, оферту или иной документ.

Для биометрических ПДн ст. 11 ФЗ-152 устанавливает специальное требование: письменная форма согласия. Обязательные реквизиты совпадают с требованиями ст. 9, но форма строже: подпись субъекта или квалифицированная электронная подпись.

Принципы обработки персональных данных по ст. 5 ФЗ-152 — семь требований к любой обработке: законность и справедливость; конкретные заранее определённые цели; запрет на объединение несовместимых баз; соответствие объёма целям; точность и достаточность данных; хранение не дольше необходимого; уничтожение или обезличивание при достижении цели.

При использовании систем распознавания лиц принцип соответствия объёма целям нарушается чаще всего: компании собирают шаблоны всех посетителей, хотя для контроля доступа достаточно шаблонов сотрудников с пропуском.

Правовые основания обработки ПДн по ст. 6 ФЗ-152 — закрытый перечень из 11 позиций. Для биометрических ПДн ст. 11 является специальной нормой и сужает этот перечень: вне исключений, предусмотренных федеральным законом, единственное основание — письменное согласие субъекта.

Что подготовить юристу при аудите видеонаблюдения

Техническая документация системы: хранит ли она шаблоны или только исходное видео — это определяет применимость ст. 11 ФЗ-152.
Отдельные письменные согласия на обработку биометрических ПДн для всех субъектов, чьи шаблоны хранятся (сотрудники, посетители с постоянным пропуском).
Политика обработки ПДн с разделом о биометрических данных и видеонаблюдении.
Уведомление РКН с указанием категории «биометрические ПДн» и цели обработки (ст. 22 ФЗ-152).
Договор-поручение с вендором системы распознавания по п. 3 ст. 6 ФЗ-152 с указанием его обязанностей по защите данных.

Какова ответственность за нарушение порядка обработки шаблонов лиц?

Ответственность зависит от конкретного нарушения. Основные риски для юриста при анализе компании:

Обработка без письменного согласия (ч. 2 ст. 13.11 КоАП, ред. с 30.05.2025): штраф для юридического лица — 300 000–700 000 ₽. При повторном нарушении по ч. 2.1 — 1 000 000–1 500 000 ₽.
Утечка биометрических ПДн (ч. 17 ст. 13.11 КоАП, ред. с 30.05.2025): 15 000 000–20 000 000 ₽ для юридического лица.
Повторная утечка биометрии (ч. 18 ст. 13.11 КоАП): оборотный штраф — 1–3% совокупной годовой выручки, не более 500 000 000 ₽.
Неуведомление РКН об утечке в 24 часа (ч. 11 ст. 13.11 КоАП): 1 000 000–3 000 000 ₽. Срок исчисляется с момента обнаружения инцидента по ч. 3.1 ст. 21 ФЗ-152.

«Ч. 17 ст. 13.11 КоАП (в ред. с 30.05.2025): утечка биометрических ПДн влечёт штраф для юридического лица 15 000 000–20 000 000 ₽. Состав — специальный по отношению к общим нормам об утечках (ч. 12–14).»

Если компания хранит шаблоны лиц без письменных согласий — это готовый протокол по ч. 2 ст. 13.11 КоАП. Юристы DATUM соберут комплект ОРД под ключ, включая согласия на биометрию.

Собрать ОРД под ключ

Как это применяется на практике

Кейс 1. Торговая сеть (Центральный ФО, осень 2025) установила систему распознавания лиц для выявления магазинных воров. Шаблоны хранились в базе вендора по договору поручения. РКН в ходе внеплановой проверки установил отсутствие письменных согласий покупателей и отсутствие в уведомлении категории биометрических ПДн. Вынесены протоколы по ч. 2 ст. 13.11 и ч. 10 ст. 13.11 КоАП. Штраф — в сотнях тысяч рублей. Компания устранила нарушения, переработав политику и форму согласия; уведомление обновлено в части категорий ПДн. ⚠️ Конкретный номер дела и точная дата — менеджер уточняет при публикации.

Кейс 2. IT-компания (Северо-Западный ФО, начало 2026) использовала СКУД с распознаванием лиц для контроля прохода сотрудников. Согласия были включены в трудовые договоры, заключённые до 01.09.2025. После проверки по индикатору риска РКН признал согласия ненадлежащими: с 01.09.2025 по ФЗ-156 согласие должно быть отдельным документом. Юрист компании переоформил все 214 согласий до составления протокола, что позволило квалифицировать нарушение как устранённое и получить предупреждение вместо штрафа по ст. 4.1.1 КоАП. ⚠️ Конкретный номер дела — менеджер уточняет при публикации.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка правомерности обработки биометрических ПДн по чек-листу из 38 пунктов.
Комплект ОРД под ключ — согласия на биометрию, политика, договор-поручение с вендором.
DPO-аутсорсинг — ответственный за обработку ПДн по ст. 22.1 ФЗ-152 на абонентском обслуживании.

Частые вопросы

1. Что считается обработкой ПДн по 152-ФЗ?

По ст. 3 ФЗ-152 обработкой признаётся любое действие с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, удаление, уничтожение — как с применением средств автоматизации, так и без них. Применительно к шаблону лица обработкой является уже сам факт извлечения вектора из изображения, не говоря о его хранении или сравнении с базой.

2. На основании чего можно обрабатывать шаблоны лиц?

Ст. 11 ФЗ-152 для биометрических ПДн устанавливает единственное универсальное основание — письменное согласие субъекта. Исключения допустимы только в случаях, прямо предусмотренных федеральным законом (транспортная безопасность, оборона, уголовное судопроизводство и ряд других). Ссылка на общие основания ст. 6 ФЗ-152 — например, на законный интерес или исполнение договора — для биометрических ПДн не работает.

3. Что грозит за нарушение 152-ФЗ при работе с видеонаблюдением?

Диапазон зависит от вида нарушения. Обработка без письменного согласия — штраф 300 000–700 000 ₽ по ч. 2 ст. 13.11 КоАП (в ред. с 30.05.2025). Утечка биометрических ПДн — 15 000 000–20 000 000 ₽ по ч. 17. При повторной утечке биометрии применяется оборотный штраф по ч. 18: 1–3% совокупной выручки, но не более 500 000 000 ₽. Уголовная ответственность возможна по ст. 272.1 УК РФ (действует с 11.12.2024), максимум — до 10 лет лишения свободы при тяжких последствиях.

4. Нужно ли уведомлять РКН при использовании систем распознавания лиц?

Да. По ст. 22 ФЗ-152 оператор обязан уведомить РКН о намерении обрабатывать ПДн до начала обработки. При использовании системы распознавания лиц в уведомлении необходимо указать категорию «биометрические персональные данные». Если уведомление уже подано без этой категории — подать изменение через pd.rkn.gov.ru. Неуведомление или несвоевременное уведомление — штраф 100 000–300 000 ₽ по ч. 10 ст. 13.11 КоАП.

Итог

Позиция РКН последовательна: шаблон лица, созданный системой распознавания, — это биометрические персональные данные по ст. 11 ФЗ-152. Правовое основание для обработки — только письменное согласие субъекта, оформленное отдельным документом с 01.09.2025. Отсутствие согласия, включение его в трудовой договор или обход через «законный интерес» создают прямой риск протокола по ч. 2 ст. 13.11 КоАП.

Юристы DATUM сопровождают аудиты компаний, использующих системы распознавания лиц: от оценки технической архитектуры до формирования полного комплекта ОРД и обновления уведомления в реестре РКН.

ИБ

Игорь Беляев

Партнёр · РКН и арбитраж

Партнёр практики DATUM по взаимодействию с Роскомнадзором и арбитражной защите. Специализация — уведомления и проверки РКН, обжалование протоколов по ст. 13.11 КоАП, защита от оборотных штрафов с 30.05.2025.

3 февраля 2027 года