Перейти к содержанию
инструкция 14 января 2028 По состоянию на 14 января 2028

Шаблон политики обработки биометрии

Биометрические персональные данные — специальная категория по ст. 11 ФЗ-152: изображение лица, голос, отпечатки пальцев, радужка. Обработка без письменного согласия и без отдельной политики — нарушение, за которое с 30.05.2025 грозит штраф до 700 000 ₽ по ч. 2 ст. 13.11 КоАП или до 15–20 млн ₽ по ч. 17 при утечке.
С 01.09.2025 согласие работника на биометрию — отдельный документ, не вшитый в трудовой договор или правила внутреннего распорядка (ФЗ-156 от 24.06.2025). Политика обработки биометрии — обязательный элемент ОРД по ст. 18.1 ФЗ-152.
Если вы HRD и в компании есть СКУД по отпечатку или лицу — проверьте, есть ли политика и действующие согласия. Ниже — пошаговая инструкция по составлению и внедрению.

Биометрия в HR-процессах — СКУД по лицу или отпечатку пальца, видеоверификация при дистанционном трудоустройстве, голосовая аутентификация в корпоративных системах — стала рядовой практикой в среднем и крупном бизнесе. Одновременно ужесточилось регулирование: ФЗ-420 от 30.11.2024 ввёл отдельные составы за нарушения при обработке биометрии (ч. 16 и ч. 17 ст. 13.11 КоАП), а ФЗ-156 от 24.06.2025 — требование отдельного согласия с 01.09.2025. Эта инструкция даёт готовую структуру политики обработки биометрических ПДн и объясняет, какие разделы обязательны, как выстроить согласие работника и что проверить при внеплановой проверке РКН.

Что должна содержать политика обработки биометрических персональных данных?

Политика — публичный документ, обязанность опубликовать который закреплена в ст. 18.1 ФЗ-152. Для биометрии требования жёстче: помимо стандартных разделов политики ПДн, нужно описать специфику оснований, системы и порядка обработки биометрических данных. Вот обязательная структура.

Раздел 1. Наименование и реквизиты оператора. Полное название организации, ИНН, адрес, контакты ответственного за обработку ПДн (по ст. 22.1 ФЗ-152). Если назначен DPO-аутсорсер — указывается его наименование и контактный адрес.

Раздел 2. Категории биометрических ПДн и цели обработки. Перечислите конкретные виды: изображение лица (для СКУД), голосовые данные (для автоответчика), отпечатки пальцев (для турникета). Для каждой категории — отдельная цель. Нельзя указывать цель «контроль доступа» и одновременно «учёт рабочего времени» без явного разделения: ст. 5 ФЗ-152 запрещает объединение баз с несовместимыми целями.

Раздел 3. Правовое основание обработки. Для биометрии — письменное согласие по ст. 11 ФЗ-152 (п. 1 ч. 2). Исключения: установленные ч. 2 ст. 11 случаи (например, осуществление правосудия, безопасность государства). Для большинства работодателей исключений нет — согласие обязательно.

Раздел 4. Состав обрабатываемых биометрических ПДн. Конкретный перечень полей и признаков: «двумерное изображение лица, получаемое с камеры контроллера СКУД модели Х», «шаблон отпечатка пальца в зашифрованном виде». Важно: хранить изображение лица как файл отдельно от шаблона, используемого системой — это разные данные с разными требованиями.

Раздел 5. Порядок получения, обработки и хранения. Описание технологии: где хранятся шаблоны (локальный контроллер СКУД, сервер в ЦОД), кто имеет доступ, как передаются поставщику системы. Если поставщик СКУД обрабатывает данные — он должен быть оформлен как обработчик по поручению (п. 3 ст. 6 ФЗ-152) с отдельным договором.

Раздел 6. Сроки хранения и порядок уничтожения. По общему правилу — не дольше достижения цели (ст. 5 ФЗ-152). При увольнении работника — шаблон биометрии уничтожается в срок, установленный политикой (рекомендуется 30 дней). Порядок уничтожения — с составлением акта.

Раздел 7. Меры защиты. Ссылка на уровень защищённости ИСПДн (ПП РФ №1119). Биометрические данные при угрозах 1-го типа дают УЗ-1; при типовых угрозах 3-го типа — как минимум УЗ-3. Конкретные меры по Приказу ФСТЭК №21: шифрование при передаче, контроль доступа, резервирование, журналирование.

Раздел 8. Права субъекта. Перечень прав по ФЗ-152: отозвать согласие, потребовать уничтожения, получить информацию об обработке. Срок ответа на запрос — 10 рабочих дней (ст. 20 ФЗ-152), с возможностью продления ещё на 5 рабочих дней при уведомлении субъекта. После отзыва согласия — обязанность прекратить обработку и уничтожить данные.

«Ст. 11 ФЗ-152: обработка биометрических ПДн допускается только при наличии письменного согласия субъекта, за исключением случаев, прямо установленных ч. 2 той же статьи.»

Раздел 9. Порядок внесения изменений в политику. Дата утверждения, версия, порядок ознакомления работников с изменениями. Политика должна быть доступна на сайте работодателя и на информационных стендах при входе в зону СКУД.

Согласия работников ещё в трудовом договоре или правилах распорядка?

С 01.09.2025 согласие на биометрию — только отдельный документ (ФЗ-156 от 24.06.2025). Если оно вшито в трудовой договор или локальный акт, при проверке РКН это основание для штрафа по ч. 2 ст. 13.11 КоАП — до 700 000 ₽. Срок исправления не ждёт.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Как правильно оформить согласие работника на биометрию после 01.09.2025?

С 01.09.2025 ч. 1 ст. 9 ФЗ-152 в редакции ФЗ-156 требует, чтобы согласие на обработку ПДн было оформлено отдельным документом — не объединялось с трудовым договором, офертой, правилами внутреннего распорядка или любым другим актом. Для биометрии это правило существовало и раньше (ст. 11 ФЗ-152 требует письменной формы), теперь оно закреплено ещё жёстче.

Обязательные реквизиты согласия на биометрию (ст. 9 ФЗ-152):

  • Фамилия, имя, отчество работника, паспортные данные или иной идентификатор
  • Полное наименование и реквизиты оператора (работодателя)
  • Цель обработки — конкретная («контроль доступа в здание по изображению лица»), не общая («обеспечение безопасности»)
  • Перечень биометрических ПДн — с указанием вида и технологии получения
  • Перечень действий с ПДн: получение, хранение, использование для верификации, уничтожение
  • Срок действия согласия или условие его прекращения (например, «до увольнения работника»)
  • Способ отзыва: письменное заявление на имя руководителя или ответственного за обработку ПДн
  • Подпись работника с датой

Что изменилось с 01.09.2025: ранее многие компании включали согласие на биометрию СКУД в текст трудового договора или дополнительного соглашения. После вступления в силу ФЗ-156 такое согласие формально не соответствует требованиям — оно не является отдельным документом. Ранее полученные согласия переоформлять не требуется (ФЗ-156 обратной силы не имеет), но все новые согласия после 01.09.2025 должны быть отдельными. При переводе работника, смене системы СКУД или добавлении новой цели — новое согласие оформляется отдельно.

Работник вправе отказаться. Отказ от согласия на биометрию не может быть основанием для отказа в приёме на работу или увольнения — это прямо следует из ст. 86 ТК РФ (нельзя принудить к предоставлению ПДн сверх необходимого для трудовых отношений) и ст. 9 ФЗ-152. Если биометрия не является обязательным условием выполнения трудовой функции, работодатель обязан обеспечить альтернативный способ контроля доступа.

Что подготовить до внедрения или аудита биометрии

  • Политика обработки биометрических ПДн — утверждена и опубликована на сайте и стендах
  • Отдельные письменные согласия каждого работника — по новой форме (ФЗ-156), не вшитые в трудовой договор
  • Договор с поставщиком СКУД — включает положение об обработке по поручению (п. 3 ст. 6 ФЗ-152) с перечнем допустимых действий
  • Приказ о назначении ответственного за обработку ПДн (ст. 22.1 ФЗ-152) с указанием полномочий по биометрии
  • Регламент уничтожения биометрических данных при увольнении — с формой акта и сроком

Какие нарушения при обработке биометрии чаще всего выявляет РКН?

По материалам проверок 2024–2025 годов и публичной практике по ст. 13.11 КоАП можно выделить несколько типовых нарушений, которые HR-департаменты допускают при работе с биометрией.

Нарушение 1. Согласие вшито в трудовой договор. До 01.09.2025 это был серый рынок практики: часть РКН принимала, часть — нет. С 01.09.2025 — однозначное нарушение ч. 1 ст. 9 ФЗ-152 в редакции ФЗ-156. Риск: штраф по ч. 2 ст. 13.11 КоАП до 700 000 ₽ за юрлицо. Стратегия: переход на отдельные бланки согласий при найме всех новых сотрудников после 01.09.2025.

Нарушение 2. Поставщик СКУД не оформлен как обработчик по поручению. Типичная ситуация: СКУД установлена подрядчиком, который также хранит базу шаблонов на своих серверах и предоставляет облачный личный кабинет. Формально он обрабатывает биометрические ПДн работников. Без договора поручения (п. 3 ст. 6 ФЗ-152) это самостоятельная обработка без правового основания. Риск: ч. 1 ст. 13.11 КоАП (обработка в случаях, не предусмотренных законом) — 150 000–300 000 ₽. Стратегия: включить в договор с поставщиком СКУД раздел об обработке ПДн по поручению с перечнем допустимых действий, запретом передачи третьим лицам и обязанностью уничтожить данные по окончании договора.

Нарушение 3. Биометрия хранится в незащищённой форме. Хранение изображений лиц в незашифрованной папке на сервере при отсутствии контроля доступа — нарушение мер защиты по ст. 19 ФЗ-152 и Приказу ФСТЭК №21. При утечке — ч. 17 ст. 13.11 КоАП: 15–20 млн ₽. Стратегия: отделить хранение шаблонов СКУД от хранения исходных изображений; обеспечить шифрование на уровне диска и разграничение прав доступа.

Нарушение 4. Нет акта уничтожения биометрии после увольнения. При проверке РКН запрашивает документы об уничтожении ПДн уволенных сотрудников. Отсутствие подтверждения — нарушение ст. 5 и ст. 21 ФЗ-152 (хранение после достижения цели). Стратегия: встроить процедуру уничтожения биометрии в HR-процесс при увольнении — как пункт чек-листа завершения трудовых отношений, с актом и подписью ответственного.

Если HRD получил предписание РКН или протокол по ст. 13.11 в связи с биометрией СКУД — 30 дней на исполнение. Юристы DATUM проверят состав нарушения и подготовят возражения или план устранения.

Заказать аудит 152-ФЗ

Как применяется ответственность за нарушения на практике

Ситуация 1. Компания с СКУД по лицу, согласия в трудовом договоре. Промышленное предприятие (Приволжский ФО, осень 2025) при плановой проверке РКН выявило, что согласия на биометрию 340 работников вшиты в трудовой договор — отдельных документов нет. По ч. 2 ст. 13.11 КоАП составлен протокол. Компания переоформила согласия до вынесения постановления, заявила о добровольном устранении. Мировой суд района назначил штраф в нижней части диапазона. Урок: переоформление согласий до постановления — весомый аргумент для суда.

Ситуация 2. Поставщик СКУД передал базу шаблонов третьему лицу. Транспортная компания (Центральный ФО, начало 2026) обнаружила, что поставщик СКУД передал шаблоны отпечатков пальцев субподрядчику по техобслуживанию. Договора поручения не было, субподрядчик в согласиях не упоминался. Оператор-работодатель уведомил РКН об инциденте в течение 24 часов (ч. 3.1 ст. 21 ФЗ-152), через 72 часа направил отчёт. Возбуждено дело по ч. 17 ст. 13.11 КоАП (утечка биометрических ПДн — 15–20 млн ₽ для юрлица). Принцип ВС РФ: оператор отвечает за утечку через подрядчика. Стратегия: договор с поставщиком СКУД должен содержать запрет привлечения субподрядчиков для обработки биометрии без письменного согласия оператора.

Услуги DATUM по теме

  • Аудит соответствия 152-ФЗ — проверка ОРД по биометрии, СКУД, КЭДО по чек-листу из 38 пунктов
  • Комплект ОРД под ключ — политика биометрии, согласия работников по ФЗ-156, договор поручения с поставщиком СКУД
  • DPO-аутсорсинг — ответственный по ст. 22.1 ФЗ-152, включая ответы на запросы субъектов по биометрии

Частые вопросы

1. Нужно ли переподписывать согласия работников после 01.09.2025?

Согласия, полученные до 01.09.2025, обратной силой ФЗ-156 не затрагиваются — переподписывать их не нужно, если они получены в письменной форме и содержат обязательные реквизиты ст. 9 ФЗ-152. Но если согласие было вшито в трудовой договор или локальный акт — оно оформлено с нарушением ст. 11 ФЗ-152 (письменная форма как отдельный документ для биометрии требовалась и до ФЗ-156). Таких работников рекомендуется переподписать при первой возможности. Всех новых сотрудников, принятых с 01.09.2025, — только отдельный документ.

2. Какие данные нельзя спрашивать в анкете при приёме на работу?

Ст. 86 ТК РФ запрещает запрашивать ПДн, не связанные с трудовой деятельностью. В анкету нельзя включать вопросы о состоянии здоровья (кроме медосмотра по ст. 213 ТК), членстве в профсоюзе, политических взглядах, вероисповедании, расовой принадлежности. Биометрию — изображение лица, отпечатки — также нельзя запрашивать через анкету: это специальная категория по ст. 11 ФЗ-152, требующая отдельного согласия, а не анкетного заполнения. Ст. 87 ТК РФ обязывает установить порядок обработки ПДн работников в локальном акте.

3. Можно ли вести видеонаблюдение в офисе?

Видеонаблюдение в офисе допустимо при соблюдении нескольких условий. Работники должны быть уведомлены о факте наблюдения (уведомление в трудовом договоре или локальном акте — достаточно, отдельное согласие не требуется, если камеры в рабочих зонах и цель — контроль рабочего процесса). Если система распознаёт лица — это обработка биометрии по ст. 11 ФЗ-152, требующая письменного согласия. Камеры в раздевалках, туалетах, медпунктах — запрещены. В политике обработки ПДн нужно указать цель видеонаблюдения, категорию данных и срок хранения записей (обычно 30–90 дней).

4. Сколько хранить согласия после увольнения?

Само согласие как документ относится к личному делу работника. Типовой срок хранения личного дела — 75 лет (ст. 22.2 ТК РФ в действующей редакции). Биометрические шаблоны — уничтожаются при достижении цели, то есть при увольнении (ст. 5 ФЗ-152). Хранить шаблон отпечатка пальца уволенного работника нет законного основания. Акт уничтожения биометрии хранится вместе с личным делом. Таким образом: бумажное согласие — 75 лет, биометрический шаблон — уничтожается при увольнении.

5. Кто оператор при использовании КЭДО?

При КЭДО (кадровый электронный документооборот) оператором ПДн остаётся работодатель — он определяет цели и способы обработки. Провайдер КЭДО-платформы — обработчик по поручению (п. 3 ст. 6 ФЗ-152). Договор с провайдером должен включать: перечень допустимых действий с ПДн, запрет передачи третьим лицам, обязанность обеспечить меры защиты (ст. 19 ФЗ-152), порядок уничтожения при расторжении договора. Если КЭДО используется для подписания согласий на биометрию — нужна усиленная квалифицированная или усиленная неквалифицированная электронная подпись работника, иначе письменная форма считается несоблюдённой.

6. Что будет, если работник откажется давать согласие на биометрию СКУД?

Отказ от согласия на биометрию не является основанием для отказа в приёме на работу или дисциплинарного взыскания. Ст. 86 ТК РФ запрещает принуждение к предоставлению ПДн, не необходимых для исполнения трудовых обязанностей. Работодатель обязан обеспечить альтернативный способ контроля доступа — пропуск, ключ-карта. Если работодатель откажет в трудоустройстве из-за отказа дать биометрию — это нарушение трудового законодательства и ФЗ-152 одновременно.

Итог

Политика обработки биометрических ПДн — не формальный документ, а инструмент управления рисками. С 30.05.2025 нарушения при обработке биометрии квалифицируются по отдельным составам ст. 13.11 КоАП с максимальным штрафом 15–20 млн ₽ за утечку. С 01.09.2025 каждое новое согласие работника — только отдельный документ.

Практика DATUM охватывает аудиты ОРД по биометрии для промышленных предприятий, ритейла и IT-компаний: от проверки договора с поставщиком СКУД до разработки регламента уничтожения шаблонов при увольнении.

Смотрите также

АС
Анна Соколова
Партнёр · ПДн в HR
Партнёр практики DATUM по защите персональных данных в HR. Специализация — согласия работников по ст. 9 152-ФЗ в редакции с 01.09.2025 (ФЗ-156), биометрия в СКУД, КЭДО, передача ПДн в зарплатных проектах.

14 января 2028 года