инструкция 19 августа 2024 года По состоянию на 19 августа 2024 года

Штраф 15-20 млн по ч. 17 ст. 13.11 за утечку биометрии

Часть 17 ст. 13.11 КоАП (в редакции с 30.05.2025) устанавливает штраф за утечку биометрических персональных данных в размере от 15 до 20 млн рублей для юридических лиц.

HR-департаменты обрабатывают биометрию ежедневно: системы СКУД с распознаванием лица или отпечатков пальцев, КЭДО с биометрической аутентификацией, медицинские осмотры. Утечка любого из этих массивов переводит компанию в зону ч. 17 ст. 13.11 автоматически.

→ Если HRD не уверен, что биометрические данные работников защищены по требованиям ст. 11 ФЗ-152 — проверьте согласия и инфраструктуру по шагам ниже до того, как это сделает РКН.

С 30 мая 2025 года за утечку биометрических ПДн компания платит 15–20 млн рублей по ч. 17 ст. 13.11 КоАП. Это не абстрактный риск: СКУД с биометрией установлен в большинстве офисных зданий, а ответственность за согласия работников и защиту данных лежит на HR-службе. Инструкция описывает шесть конкретных шагов, которые HRD должен пройти до проверки РКН.

Что считается биометрическими ПДн в HR-контексте?

Биометрические персональные данные — это физиологические и биологические характеристики человека, по которым можно установить его личность. В HR-практике к ним относятся: изображение лица (в том числе фотография в личном деле, если используется для идентификации), отпечатки пальцев в СКУД, рисунок сетчатки и радужной оболочки. Голос — биометрия, если применяется для идентификации работника при удалённом входе в КЭДО.

Ст. 11 ФЗ-152 разграничивает обычные фотографии (не биометрия, если хранятся в личном деле без цели идентификации) и те же снимки, когда система СКУД или программа распознавания лиц сравнивает их с лицом работника. Во втором случае — биометрия, нужно письменное согласие. Многие HR-департаменты этого различия не делают, что уже является нарушением ч. 16 ст. 13.11.

«Ст. 11 ФЗ-152 — обработка биометрических ПДн допускается только при наличии письменного согласия субъекта. Исключения: судопроизводство, государственная безопасность, оперативно-разыскная деятельность и иные случаи, прямо предусмотренные федеральным законом.»

Ошибка в квалификации данных — первый и самый распространённый тип нарушения. HR-директор, внедривший СКУД без письменных согласий, создаёт основание сразу для двух составов: ч. 16 (нарушение порядка обработки биометрии) и ч. 17 (если впоследствии произойдёт утечка).

Шаг 1. Инвентаризуйте биометрические данные в HR-процессах

Составьте реестр систем, которые обрабатывают биометрию работников. В него должны войти: системы контроля и управления доступом (СКУД) с функцией распознавания лица или сканирования отпечатков; программное обеспечение видеонаблюдения с идентификацией личности; КЭДО-платформы с биометрической аутентификацией; внешние сервисы медосмотров, если передают биометрические шаблоны; кадровые системы, хранящие фотографии для целей идентификации.

Для каждой системы зафиксируйте: наименование вендора или подрядчика, перечень обрабатываемых биометрических признаков, наличие договора поручения обработки ПДн по п. 3 ст. 6 ФЗ-152, срок хранения данных. Если договор поручения отсутствует — подрядчик де-факто является самостоятельным оператором, что создаёт дополнительный риск по ч. 1 ст. 13.11.

Шаг 2. Проверьте согласия работников на обработку биометрии

Согласие на обработку биометрических ПДн должно быть письменным и отдельным от трудового договора. С 1 сентября 2025 года ФЗ-156 от 24.06.2025 ввёл требование о том, что согласие на обработку ПДн вообще не может объединяться с другими документами. Для биометрии это требование действовало и до этой даты — письменная форма по ст. 11 ФЗ-152 означает самостоятельный документ.

В согласии на биометрию обязательно указать: ФИО работника, наименование оператора, цель обработки (например, «идентификация при проходе через систему СКУД»), конкретный биометрический признак (изображение лица, отпечаток пальца), перечень действий с данными (съём, хранение, сравнение), срок действия согласия, способ отзыва. Отзыв согласия не означает обязанности прекратить трудовые отношения — это разграничение важно зафиксировать в тексте.

Если работник отказывается подписывать согласие на биометрию для СКУД — оператор обязан предоставить альтернативный способ доступа (карта, код). Принуждение к биометрической идентификации запрещено.

Согласия на биометрию в СКУД оформлены в трудовом договоре?

Если HRD включил согласие на биометрию в текст трудового договора или приложения к нему, это нарушение ст. 11 ФЗ-152 и ч. 1 ст. 9 ФЗ-152 в редакции ФЗ-156. Штраф по ч. 16 ст. 13.11 — до нескольких миллионов рублей, а при утечке добавляется ч. 17 на 15–20 млн ₽. Времени на исправление до следующей проверки РКН может быть меньше, чем кажется.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Шаг 3. Проверьте организационно-распорядительную документацию по биометрии

Помимо согласий, для правомерной обработки биометрии необходим комплект ОРД. Политика обработки ПДн должна содержать отдельный раздел о биометрических данных с описанием целей, оснований, мер защиты. Обязателен приказ о назначении ответственного за организацию обработки ПДн по ст. 22.1 ФЗ-152 — в крупной компании это, как правило, отдельное лицо или подразделение.

Для СКУД с биометрией требуется также регламент технической эксплуатации системы, описывающий порядок удаления биометрических шаблонов при увольнении работника. По ст. 21 ФЗ-152 оператор обязан уничтожить ПДн в течение 30 дней с момента достижения целей обработки — в данном случае с даты прекращения трудового договора. Биометрический шаблон в СКУД, принадлежащий уволенному, — это нарушение принципов ст. 5 ФЗ-152.

Если СКУД обслуживает подрядчик, договор поручения должен содержать обязательство уничтожить биометрические данные в установленный срок и предоставить подтверждение уничтожения.

Шаг 4. Оцените уровень защищённости ИСПДн с биометрическими данными

Информационные системы, обрабатывающие биометрические ПДн, относятся к специальным категориям по ПП РФ №1119. Уровень защищённости для них — не ниже УЗ-3, а при числе субъектов свыше 100 000 или при наличии угроз 1-го и 2-го типов — УЗ-2 или УЗ-1.

Для HR-директора это означает: СКУД с биометрией должен быть аттестован или сертифицирован в части технических мер по Приказу ФСТЭК №21. Минимальный состав мер УЗ-3 включает идентификацию и аутентификацию, управление доступом, защиту носителей информации, регистрацию событий безопасности, антивирусную защиту. Отсутствие модели угроз и технического паспорта системы — это не только риск РКН, но и фактор, увеличивающий вероятность самой утечки.

Запросите у вендора СКУД документацию об уровне защищённости и о применяемых технических мерах. Если документов нет — вендор не может быть надёжным обработчиком по поручению.

Что подготовить HRD до проверки РКН по биометрии

Реестр систем, обрабатывающих биометрию работников, с указанием вендора и договора поручения
Письменные отдельные согласия каждого работника на каждый биометрический признак и систему
Политика обработки ПДн с разделом о биометрии, опубликованная на сайте или стенде
Регламент удаления биометрических шаблонов при увольнении и журнал фактических удалений
Технический паспорт и модель угроз для ИСПДн с биометрией (УЗ-3 или выше)

Шаг 5. Выстройте порядок реагирования на утечку биометрии за 24 и 72 часа

Порядок реагирования на инциденты с ПДн установлен ч. 3.1 ст. 21 ФЗ-152 и Приказом РКН №187 от 14.11.2022. При обнаружении утечки или инцидента, затронувшего биометрические данные, оператор обязан направить первичное уведомление в РКН в течение 24 часов. Через 72 часа — отчёт о результатах внутреннего расследования.

В первичном уведомлении указываются: предполагаемые причины инцидента, перечень затронутых категорий ПДн (в том числе признак биометрии), примерное число субъектов, принятые меры по ограничению ущерба. Если 24 часа пропущены — штраф по ч. 11 ст. 13.11 составит 1–3 млн рублей отдельно от штрафа за саму утечку.

Для HR-департамента критично иметь внутренний регламент: кто принимает решение об уведомлении, кто формирует уведомление через портал pd.rkn.gov.ru, кто координирует работу с ИТ и юридической службой в первые часы. Отсутствие регламента означает, что 24-часовой срок будет потрачен на согласование, а не на действие.

Шаг 6. Проверьте кэдо и кадровые системы на предмет биометрической аутентификации

КЭДО-платформы всё чаще предлагают биометрическую аутентификацию работника при подписании электронных документов. Если такая функция включена, данные работника становятся биометрическими ПДн по ст. 11 ФЗ-152 вне зависимости от того, хранятся они у оператора или у вендора платформы.

Проверьте: получено ли отдельное письменное согласие на биометрическую аутентификацию в КЭДО; заключён ли с вендором договор поручения обработки ПДн; где физически хранятся биометрические шаблоны — на серверах вендора или в инфраструктуре компании. Хранение за рубежом без уведомления РКН о трансграничной передаче — нарушение ст. 12 и ч. 5 ст. 18 ФЗ-152 одновременно.

Ст. 22.2 ТК РФ регулирует использование КЭДО, однако не освобождает оператора от требований ФЗ-152 в части биометрии. Если КЭДО работает с биометрией — это самостоятельная ИСПДн, требующая отдельного технического паспорта и мер защиты.

Если HRD внедрил КЭДО с биометрической аутентификацией без отдельного согласия и договора поручения — компания нарушает ст. 11 ФЗ-152 прямо сейчас. При утечке таких данных штраф по ч. 17 ст. 13.11 составит 15–20 млн рублей. Юристы DATUM проведут аудит КЭДО и СКУД на соответствие требованиям ФЗ-152 и ФЗ-156.

Заказать аудит 152-ФЗ

Как это применяется на практике

Ситуация 1. Производственная компания в Уральском федеральном округе (начало 2025 года) внедрила СКУД с распознаванием лиц для 400 работников. Согласие на биометрию было включено в текст трудового договора в виде отдельного пункта. РКН при плановой проверке квалифицировал это как нарушение ст. 11 ФЗ-152 — отсутствие самостоятельного письменного согласия. По итогам проверки составлен протокол по ч. 16 ст. 13.11 КоАП. Компания переоформила согласия всех работников на отдельные документы и обратилась за смягчением в рамках административного производства. Штраф был снижен до минимального диапазона с учётом первичности и устранения нарушения. При наличии утечки в период действия неправомерной обработки компания получила бы дополнительный состав по ч. 17 на 15–20 млн рублей. ⚠️ Конкретный номер дела и точная сумма — менеджер уточняет при публикации.

Ситуация 2. IT-компания в Северо-Западном федеральном округе (осень 2024 года) использовала КЭДО-платформу с биометрической аутентификацией. Договор поручения обработки ПДн с вендором платформы содержал общий перечень данных без упоминания биометрических. После хакерской атаки на инфраструктуру вендора утекли биометрические шаблоны 1 200 работников. Оператор уведомил РКН в течение 20 часов, 72-часовой отчёт был направлен в срок. Тем не менее арбитражный суд региона квалифицировал произошедшее по ч. 17 ст. 13.11 — утечка биометрии. Оперативное уведомление было учтено судом как смягчающее обстоятельство. Отдельно был взыскан штраф по ч. 11 за ненадлежащее содержание договора поручения в части биометрии. ⚠️ Конкретный номер дела и точные суммы — менеджер уточняет при публикации.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка согласий на биометрию, ОРД, СКУД и КЭДО по чек-листу 38 пунктов
Комплект ОРД под ключ — разработка политики, согласий на биометрию, регламентов удаления данных
DPO-аутсорсинг — ведение функции ответственного по ст. 22.1, ответы на запросы субъектов и РКН

Частые вопросы

1. Нужно ли переподписывать согласия работников после 01.09.2025?

Согласия, полученные до 01.09.2025, по общему правилу сохраняют силу — ФЗ-156 от 24.06.2025 не имеет обратной силы для ранее оформленных документов. Однако если согласие на биометрию было включено в трудовой договор или иной документ в нарушение требования письменной формы по ст. 11 ФЗ-152 — такое согласие недействительно независимо от даты, его необходимо переоформить как самостоятельный документ. После 01.09.2025 все новые согласия — только отдельным документом.

2. Какие данные нельзя спрашивать у работника в анкете?

Ст. 86 и 87 ТК РФ ограничивают перечень ПДн, которые работодатель вправе запрашивать: допустимы данные, необходимые для трудовых отношений. Запрещено требовать сведения о политических взглядах, религиозных убеждениях, членстве в партиях и профсоюзах без связи с конкретной трудовой функцией. Медицинские данные — только в объёме, необходимом для оценки способности выполнять работу. Биометрические данные в анкете при найме — запрещены без отдельного согласия и обоснованной цели.

3. Можно ли вести видеонаблюдение в офисе без согласия работников?

Видеонаблюдение без функции идентификации личности не является обработкой биометрических ПДн по ст. 11 ФЗ-152. Для такого наблюдения достаточно уведомления работников под подпись и отражения его в локальном акте (политике обработки ПДн). Если к видеозаписи подключена система распознавания лиц и идентификации работников — это уже биометрия, требующая письменного согласия каждого работника. Скрытое видеонаблюдение с идентификацией личности без согласия создаёт риски по ст. 137 УК РФ.

4. Сколько хранить согласия работников после увольнения?

Согласие на обработку биометрических ПДн следует хранить в течение срока, установленного для документов кадрового учёта — не менее 3 лет с момента прекращения трудовых отношений. Само биометрическое ПДн (шаблон в СКУД) подлежит уничтожению в течение 30 дней после увольнения работника. Согласие, подтверждающее правомерность обработки в период трудовых отношений, сохраняется для защиты на случай претензий субъекта или проверки РКН. Срок хранения личного дела — 75 лет по Приказу Росархива №236 от 20.12.2019.

5. Кто является оператором ПДн при использовании КЭДО?

Оператором ПДн при использовании КЭДО является работодатель — он определяет цели и состав обрабатываемых данных. Вендор КЭДО-платформы выступает лицом, осуществляющим обработку по поручению (п. 3 ст. 6 ФЗ-152), и должен быть связан договором поручения с перечнем допустимых действий с ПДн. Если биометрическая аутентификация реализована на стороне вендора — договор поручения обязан явно охватывать биометрические данные. Отсутствие такого договора означает, что вендор становится самостоятельным нелегитимным оператором, что является нарушением ч. 1 ст. 13.11.

6. Что происходит при повторной утечке биометрии?

При повторном нарушении по ч. 16 или ч. 17 ст. 13.11 применяется ч. 18 — оборотный штраф: 1–3% совокупной годовой выручки за предшествующий календарный год. Минимальный порог — не менее нескольких десятков миллионов рублей (точный минимум — верифицировать), максимальный — 500 млн рублей. Скидка за быстрое исполнение постановления по ст. 32.2 КоАП к оборотным составам не применяется. Дополнительно возможно возбуждение уголовного дела по ст. 272.1 УК РФ при наличии умысла или грубой халатности должностного лица.

Итог

Часть 17 ст. 13.11 КоАП — это специальная норма, направленная именно против утечек биометрии. HR-директор, отвечающий за СКУД, КЭДО и кадровые системы, находится в зоне прямой ответственности: отсутствие письменных отдельных согласий, неполный договор поручения с вендором, отсутствие регламента удаления биометрических шаблонов при увольнении — каждый из этих пробелов при инциденте превращается в состав по ч. 17 на 15–20 млн рублей.

DATUM сопровождает HR-департаменты в части 152-ФЗ: проводит аудит обработки биометрии, формирует комплект ОРД и согласий, настраивает регламент реагирования на инциденты. Опыт — с 2014 года в составе практики «Ветров и партнёры».

АС

Анна Соколова

Партнёр · ПДн в HR

Партнёр практики DATUM по защите персональных данных в HR. Специализация — согласия работников по ст. 9 152-ФЗ в редакции с 01.09.2025 (ФЗ-156), обработка через КЭДО, биометрия в СКУД, передача в зарплатных проектах.