Перейти к содержанию
инструкция 17 февраля 2028 По состоянию на 17 февраля 2028

СКУД по лицу: спецкатегория или нет

Биометрия в СКУД — это специальная категория персональных данных по ст. 11 ФЗ-152. Изображение лица, используемое для идентификации, требует письменного согласия работника отдельным документом.
С 01.09.2025 (ФЗ-156 от 24.06.2025) согласие нельзя включать в трудовой договор или другой документ. Нарушение — штраф до 700 000 ₽ по ч. 2 ст. 13.11 КоАП за каждый факт обработки без надлежащего согласия.
Если вы HRD и СКУД по лицу уже работает, а согласия — в трудовых договорах, читайте инструкцию: как переоформить документы без остановки системы. → Аудит ОРД под СКУД

Биометрические системы контроля доступа по лицу — стандарт для офисов, производств и клиник. Для HRD это точка наибольшего правового риска: СКУД по лицу затрагивает сразу три режима — биометрические ПДн (ст. 11 ФЗ-152), специальные категории (ст. 10 ФЗ-152) и требования к согласию (ст. 9 ФЗ-152 в редакции ФЗ-156). В 2025 году практика РКН и арбитражных судов показала: отсутствие отдельного письменного согласия или его включение в трудовой договор — нарушение, которое фиксируется при любой проверке.

Шаг 1. Разберитесь: является ли данные СКУД спецкатегорией?

Ответ зависит от того, как именно СКУД использует изображение лица. Закон разграничивает два режима, и HR-директору важно понять разницу до оформления документов.

Если СКУД хранит фотографию сотрудника и сравнивает её с реальным лицом при каждом проходе — это биометрические персональные данные по ст. 11 ФЗ-152. Система использует физиологическую характеристику человека для его идентификации. Такие данные по умолчанию относятся к специальным категориям с повышенным режимом защиты.

Если СКУД хранит только математический шаблон (числовой вектор) без самого изображения лица, а оператор не может по этому шаблону восстановить внешность — Роскомнадзор допускает квалификацию как общие ПДн. Но это исключение, а не правило: большинство коммерческих СКУД (Hikvision, Dahua, Suprema, ZKTeco) хранят именно фотографии или возможность их воспроизведения.

«Ст. 11 ФЗ-152 — биометрические ПДн: сведения, характеризующие физиологические и биологические особенности человека, на основании которых можно установить его личность. Обработка — только с письменного согласия субъекта, кроме случаев, прямо предусмотренных законом.»

Практическое правило для HRD: если поставщик СКУД не может предоставить техническую документацию, подтверждающую отсутствие хранения изображения, — работайте с системой как с биометрией. Это защитная позиция, признанная РКН.

СКУД уже установлен, а режим данных не определён?

Неверная квалификация данных СКУД — одна из наиболее частых ошибок при проверках РКН в HR-департаментах. Если вы не уверены в техническом режиме вашей системы, потребуется запрос к поставщику и юридическая оценка до переоформления согласий. Ошибка в квалификации означает, что согласия оформлены по неверному основанию — и вся процедура повторяется заново.

Заказать аудит 152-ФЗ

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Шаг 2. Проверьте текущие согласия работников на соответствие ФЗ-156

С 01.09.2025 согласие на обработку персональных данных должно быть оформлено отдельным документом. Это требование ч. 1 ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025. Согласие нельзя включать в трудовой договор, анкету, положение о КЭДО или любой иной документ, который работник подписывает по другому поводу.

Для СКУД по лицу это означает: письменное согласие на обработку биометрических ПДн оформляется как самостоятельный документ с обязательными реквизитами по ч. 4 ст. 9 ФЗ-152. В нём должны быть указаны: ФИО и контактные данные работника, наименование и адрес оператора, цель обработки (контроль доступа), перечень данных (изображение лица, математический шаблон — по ситуации), перечень действий (сбор, хранение, использование для идентификации), срок согласия и порядок его отзыва.

«Ст. 9 ФЗ-152 (ред. ФЗ-156, действует с 01.09.2025) — согласие субъекта персональных данных оформляется в виде отдельного документа и не может быть объединено с иными документами. Ранее выданные согласия, включённые в другие документы до 01.09.2025, не требуют принудительного переоформления — обратной силы поправки не имеют.»

Важный нюанс: согласия, подписанные работниками до 01.09.2025 и включённые в трудовой договор, формально не аннулированы. Их не нужно немедленно переоформлять для уже принятых сотрудников. Но все новые согласия с 01.09.2025 — только отдельным документом. Если компания проводит плановую актуализацию ОРД, имеет смысл переоформить и старые согласия — это снимает риск при будущих проверках.

Шаг 3. Как оформить согласие на биометрию СКУД правильно?

Согласие на биометрические ПДн в СКУД имеет особенности по сравнению с обычным согласием на обработку общих категорий данных. Закон требует письменной формы (ч. 1 ст. 11 ФЗ-152) — электронный документ допустим только при наличии квалифицированной электронной подписи или в рамках КЭДО с соответствующим регламентом.

Структура согласия на биометрию СКУД должна включать: блок идентификации субъекта и оператора, цель — строго «организация и обеспечение пропускного режима на объекте», перечень действных — сбор, запись, хранение, сравнение, уничтожение, срок хранения (как правило, на период трудовых отношений плюс срок хранения документов по номенклатуре), условие уничтожения при увольнении или отзыве согласия, подпись работника с датой.

Если используется КЭДО, согласие на биометрию СКУД всё равно требует отдельного документа. Оператором в части КЭДО может выступать как сам работодатель, так и платформа КЭДО — в зависимости от договорной конструкции. Это влияет на то, кто несёт ответственность за хранение согласий и обеспечение их доступности при проверке.

Что подготовить HRD для СКУД по лицу

  • Техническая документация от поставщика СКУД: подтверждение режима хранения данных (фото / шаблон / оба)
  • Отдельное письменное согласие на биометрические ПДн (ст. 11 ФЗ-152) — для каждого работника, имеющего доступ через СКУД
  • Приказ о введении пропускного режима с биометрической идентификацией и перечнем должностей
  • Договор с поставщиком СКУД с разделом о поручении обработки ПДн (ст. 6 ч. 3 ФЗ-152) — если данные обрабатываются на серверах вендора
  • Регламент уничтожения биометрических данных при увольнении работника с журналом фактов уничтожения

Шаг 4. Что происходит с данными при увольнении и отзыве согласия?

Работник вправе в любой момент отозвать согласие на обработку биометрических ПДн в СКУД. Отзыв не требует обоснования — это право субъекта по ст. 9 ч. 2 ФЗ-152. После отзыва оператор обязан прекратить обработку и уничтожить данные, если нет иного законного основания для их хранения.

Проблема, с которой сталкиваются HR-директора: работник отозвал согласие, но СКУД физически продолжает хранить шаблон или фото в базе вендора. Это нарушение, и ответственность несёт оператор, а не вендор — если договор с вендором не содержит обязанности по немедленному уничтожению по запросу оператора. Срок исполнения требования об уничтожении — 7 рабочих дней по ст. 21 ФЗ-152.

При увольнении ситуация аналогична: цель обработки (обеспечение пропускного режима) утрачивается в день увольнения. Данные подлежат уничтожению. Исключение — если работодатель обязан хранить документы по иным основаниям (например, если биометрические данные включены в личное дело с 75-летним сроком хранения по закону об архивном деле — но это нетипичная ситуация для СКУД).

Если работник потребовал уничтожить биометрию из СКУД, а вендор не реагирует — у вас 7 рабочих дней на исполнение. Просрочка даёт РКН основание для протокола по ч. 5 ст. 13.11 КоАП (до 90 000 ₽). Юристы DATUM помогут выстроить процедуру уничтожения и составить договор с вендором с нужными обязательствами.

Собрать ОРД под ключ

Как применяется на практике: типовые ситуации

Ситуация 1. Согласие в трудовом договоре, СКУД работает с 2023 года. Производственная компания (Уральский ФО, осень 2025) прошла плановую проверку РКН. Инспектор установил: согласия на биометрию СКУД включены в трудовой договор как отдельный пункт, а не отдельный документ. Нарушение ч. 4 ст. 9 ФЗ-152. По ч. 2 ст. 13.11 КоАП вынесено постановление с штрафом в сотни тысяч рублей. Компания обжаловала: суд снизил сумму, применив ст. 4.1 КоАП, с учётом того что часть согласий была переоформлена уже в ходе проверки. Вывод для HRD: переоформление в процессе проверки учитывается как смягчающее, но не отменяет штраф.

Ситуация 2. Вендор СКУД хранит данные на облачном сервере без договора поручения. Торговая сеть (Центральный ФО, зима 2025–2026) использовала СКУД в режиме SaaS: данные о лицах обрабатывались на серверах вендора. Договора поручения обработки ПДн (ст. 6 ч. 3 ФЗ-152) не было. РКН квалифицировал это как передачу ПДн третьему лицу без законного основания. Штраф по ч. 1 ст. 13.11 КоАП. Дополнительно — предписание на заключение договора поручения и переоформление согласий с указанием вендора как лица, осуществляющего обработку по поручению. Вывод: договор с вендором СКУД — обязательный элемент ОРД, не факультативный.

Услуги DATUM по теме

  • Аудит соответствия 152-ФЗ — проверка ОРД HR-департамента, включая согласия на биометрию СКУД, по 38-пунктному чек-листу
  • Комплект ОРД под ключ — полный пакет документов: согласия, приказы, регламент уничтожения, договор поручения с вендором
  • DPO-аутсорсинг — ведение функции ответственного по ст. 22.1 ФЗ-152, включая ответы на запросы работников об отзыве согласий

Частые вопросы

1. Нужно ли переподписывать согласия работников после 01.09.2025?

Согласия, полученные до 01.09.2025, формально продолжают действовать — ФЗ-156 не имеет обратной силы. Переоформление обязательно только для новых работников и для случаев, когда старое согласие не содержало обязательных реквизитов по ч. 4 ст. 9 ФЗ-152 (например, отсутствовал перечень действий или срок). На практике плановая актуализация ОРД с переоформлением всех согласий под новый стандарт снижает риск претензий при проверке РКН.

2. Какие данные нельзя спрашивать в анкете при приёме на работу?

Ст. 86 ТК РФ и ст. 10 ФЗ-152 запрещают запрашивать данные о политических, религиозных и иных убеждениях, членстве в партиях и профсоюзах, состоянии здоровья (кроме сведений, связанных с профпригодностью), сексуальной жизни. Эти данные относятся к специальным категориям ПДн по ст. 10 ФЗ-152. Сбор без явного законного основания — нарушение ч. 1 ст. 13.11 КоАП (штраф 150 000–300 000 ₽). Анкета соискателя должна запрашивать только данные, необходимые для исполнения трудового договора.

3. Можно ли вести видеонаблюдение в офисе без согласия работников?

Видеонаблюдение в офисе в целях охраны труда и обеспечения безопасности допустимо без согласия работников, если работники уведомлены о наблюдении (ст. 22.2 ТК РФ, введена в действие с 2023 года). Но если видеозапись используется для идентификации личности (передаётся в СКУД, обрабатывается алгоритмом распознавания лиц) — это биометрия по ст. 11 ФЗ-152, и требуется отдельное письменное согласие. Одно только уведомление о видеонаблюдении согласия на биометрическую обработку не заменяет.

4. Сколько хранить согласия после увольнения?

Согласие работника на обработку ПДн — документ кадрового делопроизводства. Минимальный срок хранения по номенклатуре — 3 года после прекращения трудовых отношений (по общим правилам ст. 22.1 ФЗ-152 об ответственном хранении). Если согласие включено в личное дело — 75 лет (по приказу Росархива). Согласие на биометрию само по себе хранится отдельно от личного дела; срок — до истечения исковой давности по возможным претензиям субъекта (3 года по ГК РФ). Биометрические данные при этом уничтожаются в день увольнения или при отзыве согласия.

5. Кто оператор при использовании КЭДО?

Оператором ПДн при использовании КЭДО является работодатель — он определяет цели и состав обрабатываемых данных. Платформа КЭДО (например, «Диадок», «СБИС», 1С-ЭДО) выступает лицом, осуществляющим обработку по поручению в смысле п. 3 ст. 6 ФЗ-152. Это означает: работодатель обязан заключить договор поручения с оператором КЭДО, в котором закреплены цели, состав данных, обязанность по их защите и уничтожению. Отсутствие такого договора — нарушение ст. 6 ФЗ-152 с риском штрафа по ч. 1 ст. 13.11 КоАП.

6. Можно ли отказать работнику в доступе, если он не дал согласие на биометрию СКУД?

Нет. Согласие на биометрию — добровольное (ст. 11 ч. 1 ФЗ-152). Работодатель не вправе обусловливать приём на работу или обеспечение доступа на рабочее место предоставлением биометрии. Если работник отказывается — работодатель обязан обеспечить ему иной способ прохождения пропускного режима (пропуск, карта, пин-код). Принуждение к сдаче биометрии нарушает ст. 11 ФЗ-152 и ст. 86 ТК РФ. Отказ в обслуживании (допуске на рабочее место) без биометрии — дополнительно нарушение трудового законодательства.

Итог

СКУД по лицу в большинстве коммерческих систем обрабатывает биометрические ПДн по ст. 11 ФЗ-152. Это специальная категория с повышенным режимом защиты: письменное отдельное согласие, ограниченный срок хранения, обязательное уничтожение при увольнении или отзыве согласия. С 01.09.2025 (ФЗ-156) согласие — только отдельный документ, не часть трудового договора или анкеты. Каждый элемент цепочки требует отдельного оформления: согласие, приказ о режиме, договор с вендором, регламент уничтожения.

Практика DATUM по биометрии СКУД в HR-департаментах показывает: наиболее частые нарушения — отсутствие договора поручения с вендором и включение согласия в трудовой договор. Оба нарушения выявляются при плановой проверке РКН в первые два часа аудита документации.

Смотрите также

АС
Анна Соколова
Партнёр · ПДн в HR
Партнёр практики DATUM по защите персональных данных в HR. Специализация — согласия работников по ст. 9 152-ФЗ в редакции с 01.09.2025 (ФЗ-156), обработка через КЭДО, биометрия в СКУД, передача в зарплатных проектах. Сопровождение проверок РКН в HR-департаментах.

17 февраля 2028 года