инструкция 14 января 2028 По состоянию на 14 января 2028

СКУД по отпечатку пальца: правовая основа

Отпечаток пальца — биометрические персональные данные по ст. 11 ФЗ-152. Обработка без письменного согласия работника образует состав нарушения по ч. 2 ст. 13.11 КоАП — штраф от 300 000 до 700 000 ₽.

С 01.09.2025 согласие на обработку ПДн обязано быть отдельным документом (ФЗ-156 от 24.06.2025). Это требование распространяется на биометрию СКУД в полной мере. Уведомление Роскомнадзора о намерении обрабатывать биометрические ПДн обязательно до запуска системы.

→ Если вы HRD и компания внедряет или уже эксплуатирует СКУД по отпечатку пальца — проверьте согласия, уведомление и ОРД по этой инструкции.

Системы контроля доступа по отпечатку пальца внедряют для учёта рабочего времени и безопасности периметра. Юридически это означает обработку биометрии — наиболее чувствительной категории ПДн. Роскомнадзор фиксирует нарушения в этой области при плановых и внеплановых проверках работодателей. С 30.05.2025 штрафы по ст. 13.11 КоАП кратно выросли. Инструкция даёт пошаговый порядок действий для HRD: от оформления согласий до настройки хранения биометрии.

Шаг 1. Определите правовой режим биометрии в СКУД

Отпечаток пальца — физиологическая характеристика человека. По ст. 11 ФЗ-152 сведения, которые позволяют установить личность субъекта с помощью его биологических параметров, признаются биометрическими персональными данными. СКУД, идентифицирующий сотрудника по отпечатку, обрабатывает именно биометрию — вне зависимости от того, хранится ли изображение папиллярного узора или его математический шаблон.

Ряд работодателей полагает, что шаблон (hash) отпечатка — не персональные данные. Позиция РКН: если шаблон позволяет идентифицировать конкретного человека при сверке, он остаётся биометрией. Это подтверждает практика проверок 2024–2025 годов. Исходить нужно из худшего сценария — биометрический режим применяется.

«Ст. 11 ФЗ-152: биометрические персональные данные — сведения, характеризующие физиологические и биологические особенности человека, на основании которых можно установить его личность. Обработка допустима только с письменного согласия субъекта, если иное не предусмотрено законом.»

Трудовые отношения не являются основанием для обработки биометрии без согласия. Ст. 86–88 ТК РФ регулируют обработку персональных данных работников, но биометрия — специальное регулирование ст. 11 ФЗ-152. Письменное согласие обязательно, даже если СКУД используется только для учёта рабочего времени.

Шаг 2. Оформите письменное согласие по требованиям ФЗ-156

С 01.09.2025 согласие на обработку персональных данных нельзя включать в трудовой договор, правила внутреннего трудового распорядка, должностную инструкцию или любой другой составной документ. Требование ФЗ-156 от 24.06.2025: согласие — отдельный документ с собственной подписью работника.

Согласие на обработку биометрии для СКУД должно содержать обязательные реквизиты по ст. 9 ФЗ-152:

фамилия, имя, отчество и контактные данные работника;
наименование и адрес работодателя-оператора;
цель обработки — контроль и управление доступом, учёт рабочего времени;
перечень биометрических ПДн — шаблон отпечатка пальца (указать конкретную технологию);
перечень действий с ПДн — сбор, запись, хранение, сверка, уничтожение;
срок действия согласия или условие прекращения;
способ отзыва — письменное заявление работника.

Согласие для биометрии — всегда письменное (на бумаге или в форме электронного документа с УКЭП работника). Электронная подпись простого вида не подходит для биометрии. Если компания ведёт КЭДО, для подписания согласия на биометрию СКУД нужна усиленная квалифицированная электронная подпись работника или обмен оригиналами.

Согласия работников уже включены в трудовые договоры?

После 01.09.2025 такие согласия не соответствуют требованиям ФЗ-156. Каждое из них — потенциальное основание для штрафа по ч. 2 ст. 13.11 КоАП до 700 000 ₽. Юристы DATUM проведут аудит пакета согласий и ОРД HR-департамента, подготовят корректные формы под биометрию СКУД.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Шаг 3. Уведомите Роскомнадзор о намерении обрабатывать биометрические ПДн

Обработка биометрических персональных данных подпадает под обязанность уведомления РКН по ст. 22 ФЗ-152. Уведомление подаётся до начала обработки — то есть до включения СКУД в промышленную эксплуатацию. Если система уже работает без уведомления, это нарушение ч. 10 ст. 13.11 КоАП — штраф от 100 000 до 300 000 ₽.

Форма уведомления установлена Приказом РКН №180 от 28.10.2022. Подача — через личный кабинет pd.rkn.gov.ru с УКЭП организации или через ЕСИА. В уведомлении отдельно указывается категория «биометрические персональные данные» и цель обработки. Срок включения в реестр операторов — 30 дней с даты подачи.

Если организация уже внесена в реестр по другим основаниям, необходимо направить уведомление об изменении сведений — с добавлением биометрической категории и описания СКУД. Действующая запись в реестре не освобождает от этой обязанности.

«Ст. 22 ФЗ-152: оператор обязан уведомить РКН о намерении обрабатывать персональные данные до начала такой обработки. Изменение сведений — в течение 10 рабочих дней с момента изменений.»

Шаг 4. Подготовьте организационно-распорядительную документацию

Помимо согласий и уведомления РКН, СКУД по биометрии требует отдельного блока ОРД. Без этих документов при проверке оператор получит нарушение по ч. 3 ст. 13.11 КоАП (отсутствие политики) и по ч. 1 ст. 13.11 (обработка без надлежащего правового основания).

Что подготовить для СКУД по биометрии

Приказ о назначении ответственного за обработку ПДн по ст. 22.1 ФЗ-152 — с указанием полномочий по биометрии.
Политика обработки персональных данных с разделом о биометрии СКУД — цели, объём, сроки хранения, меры защиты.
Положение о порядке обработки биометрических ПДн — основания, процедура получения согласия, порядок уничтожения при увольнении.
Договор или дополнительное соглашение с поставщиком СКУД — поручение обработки по п. 3 ст. 6 ФЗ-152, если вендор имеет доступ к данным.
Журнал учёта согласий на обработку биометрических ПДн — с датой подписания, номером документа, датой отзыва.

Если поставщик СКУД хранит шаблоны на своих серверах или имеет удалённый доступ к системе, он является лицом, осуществляющим обработку по поручению (ст. 6 ФЗ-152). С ним необходим договор, в котором перечислены разрешённые действия, требования конфиденциальности и порядок уничтожения данных по окончании договора.

Шаг 5. Настройте хранение и уничтожение биометрии при увольнении

Биометрические ПДн обрабатываются только для достижения конкретной цели. Цель СКУД — контроль доступа и учёт рабочего времени в период трудовых отношений. При увольнении работника цель прекращается. По ст. 5 ФЗ-152 оператор обязан уничтожить ПДн, когда цель обработки достигнута или отпала.

Порядок действий при увольнении работника, давшего согласие на биометрию:

в день расторжения трудового договора или не позднее следующего рабочего дня — удалить шаблон отпечатка из базы СКУД;
составить акт об уничтожении биометрических ПДн с указанием даты, метода уничтожения и ответственного;
внести запись в журнал учёта согласий — дата уничтожения, основание.

Само согласие как бумажный или электронный документ хранится отдельно от биометрии. Срок хранения согласия — не менее 3 лет после уничтожения биометрии (доказательство правомерной обработки). Если трудовое дело хранится 75 лет — согласие допустимо хранить в составе личного дела, но биометрия к этому сроку не привязывается.

Если HRD не выстроил процедуру уничтожения биометрии при увольнениях — каждое личное дело уволенного с сохранённым шаблоном отпечатка создаёт риск штрафа по ч. 1 ст. 13.11 КоАП. Срок давности — 1 год с момента нарушения. Юристы DATUM помогут выстроить регламент и собрать ОРД под ключ.

Собрать ОРД под ключ

Как применяются эти требования на практике

Кейс 1. Производственное предприятие (Уральский ФО, осень 2025) внедрило СКУД по отпечатку для 400 сотрудников. Согласия были включены в трудовые договоры, уведомление РКН не подавалось. При плановой проверке РКН зафиксировал три нарушения: отсутствие уведомления (ч. 10 ст. 13.11), отсутствие письменного согласия в требуемой форме (ч. 2 ст. 13.11) и отсутствие раздела о биометрии в политике обработки ПДн (ч. 3 ст. 13.11). Совокупный штраф составил несколько сотен тысяч рублей. После получения предписания предприятие в течение месяца переоформило согласия, подало уведомление и обновило политику. Повторного нарушения не последовало.

Кейс 2. Логистическая компания (Центральный ФО, начало 2026) передала функцию СКУД внешнему провайдеру без договора поручения обработки. Провайдер хранил шаблоны отпечатков на облачном сервере. При аудите юристов DATUM выявлено: передача биометрии третьему лицу без основания по ст. 6 ФЗ-152 образует самостоятельный состав нарушения. Договор поручения обработки был оформлен, добавлено требование локализации данных на серверах в РФ по ч. 5 ст. 18 ФЗ-152. Уведомление РКН подано с корректным указанием лица, осуществляющего обработку по поручению.

Типичные ситуации при проверке СКУД по биометрии

Ситуация 1. Система работает, уведомление РКН не подавалось. Доказательства нарушения — выписка из реестра операторов, акт проверки. Вероятный исход — штраф по ч. 10 ст. 13.11 от 100 000 до 300 000 ₽. Стратегия: подать уведомление до проверки; если проверка уже назначена — подать в первый день, использовать это как смягчающее обстоятельство по ст. 4.1 КоАП.

Ситуация 2. Согласия подписаны до 01.09.2025 и включены в трудовой договор. Доказательства нарушения — оригинал договора без отдельного согласия. Вероятный исход — нарушение ч. 2 ст. 13.11, штраф от 300 000 до 700 000 ₽. Стратегия: ФЗ-156 не имеет обратной силы, старые согласия действительны до их изменения или отзыва. При приёме новых сотрудников и при плановом обновлении ОРД переходить на отдельные документы.

Ситуация 3. Работник отказывается давать согласие на биометрию. Доказательства ситуации — письменный отказ работника. Вероятный исход: принудить к согласию нельзя — ст. 9 ФЗ-152 требует добровольности. Стратегия: обеспечить альтернативный способ прохода (карта, код) и учёта рабочего времени. Увольнение за отказ от биометрии — незаконно по ст. 87 ТК РФ.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка согласий, ОРД, уведомления РКН по чек-листу из 38 пунктов.
Комплект ОРД под ключ — политика, согласия на биометрию, регламент СКУД, договоры поручения.
DPO-аутсорсинг — ведение функции ответственного за обработку ПДн по ст. 22.1 ФЗ-152.

Частые вопросы

1. Нужно ли переподписывать согласия работников после 01.09.2025?

Ранее выданные согласия, в том числе включённые в трудовой договор, сохраняют силу — ФЗ-156 не имеет обратной силы. Переоформление обязательно: при приёме новых сотрудников, при изменении целей или объёма обработки биометрии, а также при плановом обновлении ОРД. На практике рекомендуется плановая замена в течение 6–12 месяцев, чтобы к следующей проверке РКН весь пакет соответствовал актуальным требованиям ст. 9 ФЗ-152 в редакции ФЗ-156.

2. Какие данные нельзя спрашивать в анкете при приёме на работу?

Ст. 86 ТК РФ запрещает работодателю собирать ПДн о политических, религиозных убеждениях и частной жизни работника без его прямого согласия или законного основания. Нельзя включать в анкету вопросы о национальности, состоянии здоровья (кроме медосмотра по ст. 213 ТК), членстве в профсоюзах, а также любые биометрические параметры без отдельного согласия. Запрашивать отпечаток в анкете до оформления трудовых отношений — нарушение ст. 11 ФЗ-152 и ч. 2 ст. 13.11 КоАП.

3. Можно ли вести видеонаблюдение в офисе?

Видеозапись сама по себе может не считаться биометрическими ПДн, если не используется для идентификации личности. Однако если система видеонаблюдения связана с функцией распознавания лиц или идентификации по лицу — это биометрия по ст. 11 ФЗ-152 и требует отдельного письменного согласия. Обычное видеонаблюдение без идентификации допустимо на основании ст. 22.2 ТК РФ при условии уведомления работников, отражения в локальных актах и соблюдения принципа соразмерности цели.

4. Сколько хранить согласия после увольнения?

Биометрия уничтожается в день увольнения или не позднее следующего рабочего дня. Согласие как документ хранится как минимум 3 года после уничтожения биометрии — для доказательства правомерности обработки. Если согласие подшито в личное дело работника, срок хранения личного дела (75 лет по типовым перечням) не обязывает хранить биометрию. Личное дело хранится без биометрических данных.

5. Кто оператор при использовании КЭДО?

При внедрении КЭДО оператором персональных данных работников остаётся работодатель — он определяет цели и объём обработки. Платформа КЭДО выступает лицом, осуществляющим обработку по поручению по п. 3 ст. 6 ФЗ-152. С провайдером КЭДО необходим договор поручения с перечнем разрешённых действий. Если биометрия СКУД интегрирована с КЭДО — поручение должно прямо охватывать биометрические ПДн.

6. Что будет, если работник отзовёт согласие на биометрию?

Работодатель обязан прекратить обработку биометрических ПДн в течение 30 дней с момента получения отзыва согласия (ст. 9 ФЗ-152). На практике — немедленно удалить шаблон отпечатка из СКУД и составить акт уничтожения. Работнику обеспечивается альтернативный способ доступа и учёта рабочего времени. Отзыв согласия не является дисциплинарным нарушением и не может служить основанием для увольнения.

Итог

Эксплуатация СКУД по отпечатку пальца без письменного согласия, уведомления РКН и надлежащей ОРД — это три самостоятельных состава нарушения по ст. 13.11 КоАП с совокупным штрафом от нескольких сотен тысяч рублей. С 30.05.2025 санкции выросли кратно, а с 01.09.2025 требования к форме согласия ужесточились по ФЗ-156.

Практика DATUM по биометрии в HR охватывает аудит согласий, подготовку ОРД для СКУД, уведомление РКН и сопровождение проверок. Типовые ошибки — встроенное согласие в трудовой договор, отсутствие договора с вендором СКУД и необновлённая политика — устраняются в рамках комплексного аудита.

АС

Анна Соколова

Партнёр · ПДн в HR

Партнёр практики DATUM по защите персональных данных в HR. Специализация — согласия работников по ст. 9 152-ФЗ в редакции с 01.09.2025 (ФЗ-156), биометрия в СКУД, КЭДО, передача в зарплатных проектах.

14 января 2028 года