инструкция 21 апреля 2028 По состоянию на 21 апреля 2028

Согласие на биометрию для СКУД

Q: Сколько хранить согласия после увольнения работника?

Согласие на обработку биометрических ПДн хранится не менее 3 лет после прекращения обработки или отзыва согласия — по Перечню типовых управленческих архивных документов (Приказ Росархива №236 от 20.12.2019). Иные кадровые документы личного дела — 50 или 75 лет в зависимости от даты документа. Биометрический шаблон в базе СКУД уничтожается при увольнении; согласие как документ остаётся в деле на установленный срок хранения.

Q: Что будет, если работник откажется давать биометрию для СКУД?

Согласие на обработку биометрических ПДн добровольное по ст. 9 ФЗ-152. Работодатель не вправе отказать в приёме на работу или уволить работника за отказ предоставить биометрию, если её сбор не предусмотрен федеральным законом как обязательный для данной должности. Предусмотрите в регламенте альтернативный способ идентификации — пропуск, PIN-код. Зафиксируйте отказ в журнале согласий с подписью работника.

Отпечаток пальца или скан лица в СКУД — биометрические персональные данные по ст. 11 ФЗ-152. Обработка допустима только при наличии письменного согласия работника, оформленного отдельным документом.

С 01.09.2025 согласие на обработку ПДн не может быть частью трудового договора, должностной инструкции или анкеты — требование ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025. Отдельный документ обязателен.

Если HRD не переоформил согласия работников под СКУД после 01.09.2025 — каждый турникет с биометрией создаёт основание для штрафа по ч. 2 ст. 13.11 КоАП до 700 000 ₽. → Проверьте документы сейчас.

Системы контроля и управления доступом на биометрии используют HR-департаменты как удобный инструмент учёта рабочего времени. Но за каждым сканером стоит правовая конструкция: оператор биометрических ПДн, письменное согласие, уровень защищённости ИСПДн и обязанность уведомить Роскомнадзор. Эта инструкция даёт HRD пошаговый порядок оформления документов, проверки их актуальности после 01.09.2025 и ответы на типовые вопросы при проверке РКН.

Шаг 1. Определите правовой статус биометрии в вашем СКУД

Биометрическими персональными данными закон считает сведения, которые характеризуют физиологические или биологические особенности человека и позволяют установить его личность. Изображение лица в базе СКУД, отпечаток пальца, рисунок вены ладони, радужная оболочка глаза — всё это биометрия по смыслу ст. 11 ФЗ-152.

Важно разграничить два случая. Первый: СКУД считывает карту-пропуск или PIN-код, а камера лишь пишет видео в архив — в этом случае видеозапись сама по себе не является обработкой биометрических ПДн, пока не применяется автоматическое распознавание лиц для идентификации. Второй: СКУД хранит шаблон лица или отпечатка и сравнивает его при каждом проходе для идентификации работника — это обработка биометрических ПДн, требующая письменного согласия и отдельного пакета ОРД.

«Ст. 11 ФЗ-152: обработка биометрических персональных данных допускается только при наличии письменного согласия субъекта, за исключением прямо предусмотренных законом случаев (осуществление правосудия, оборонная и безопасность государства и ряд иных).»

Проверьте техническую документацию вашего СКУД: что хранится в базе данных — шаблон или просто видеопоток без распознавания. От ответа зависит, нужно ли согласие по ст. 11 или достаточно общего основания по ст. 6 ФЗ-152.

Шаг 2. Составьте согласие как отдельный документ с обязательными реквизитами

После ФЗ-156 от 24.06.2025 согласие на обработку ПДн нельзя включать в текст трудового договора, анкеты при приёме, политики обработки ПДн или любого иного составного документа. Согласие работника под СКУД должно быть самостоятельным документом с конкретными реквизитами по ст. 9 ФЗ-152.

Обязательные реквизиты согласия на биометрию для СКУД

Фамилия, имя, отчество работника и его контактные данные (номер телефона или email).
Полное наименование работодателя-оператора, адрес, ИНН.
Цель обработки: «идентификация работника при проходе через СКУД и учёт рабочего времени».
Перечень обрабатываемых биометрических ПДн: «шаблон изображения лица» или «дактилоскопический шаблон» — указывать конкретный биометрический признак.
Перечень действий: «сбор, запись, хранение, сравнение (верификация), уничтожение».
Срок действия согласия и способ его отзыва (например, «письменное заявление на имя руководителя HR-департамента»).
Личная подпись субъекта и дата.

Согласие составляется в двух экземплярах: один хранится у оператора, второй вручается работнику под роспись. Электронное согласие допустимо при использовании КЭДО — при условии, что КЭДО настроен на работу с квалифицированной электронной подписью или усиленной неквалифицированной подписью и работодатель как оператор КЭДО сам является субъектом ПДн для работника. В этом случае КЭДО и ПДн — связанные системы, требующие отдельного анализа ролей оператора.

Согласия работников ещё в трудовом договоре?

Если HRD не выделил согласия в отдельный документ до 01.09.2025 — каждое совмещённое согласие нарушает ст. 9 ФЗ-152 в редакции ФЗ-156. Штраф по ч. 2 ст. 13.11 КоАП достигает 700 000 ₽ за каждый эпизод. Для биометрии под СКУД — дополнительно ч. 16 ст. 13.11. Юристы DATUM соберут пакет согласий под новые требования и проведут аудит ОРД HR-департамента.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Шаг 3. Проверьте уведомление в реестре РКН и сведения об ИСПДн

Работодатель как оператор биометрических ПДн обязан уведомить Роскомнадзор о намерении обрабатывать биометрию до начала обработки — по ст. 22 ФЗ-152. Форма уведомления утверждена Приказом РКН №180 от 28.10.2022; подача — через pd.rkn.gov.ru с ЕСИА или УКЭП.

В уведомлении необходимо отразить: категорию ПДн (биометрические), цель обработки, перечень действий, наименование СКУД как информационной системы, меры защиты. Если уведомление подавалось до внедрения СКУД или в нём не указаны биометрические ПДн — подайте изменение сведений через ту же форму.

«Ст. 22 ФЗ-152: оператор обязан уведомить уполномоченный орган до начала обработки ПДн. Неуведомление или несвоевременное уведомление влечёт штраф по ч. 10 ст. 13.11 КоАП: для юридического лица — от 100 000 до 300 000 ₽ (в редакции с 30.05.2025).»

Параллельно определите уровень защищённости информационной системы ПДн. Биометрические ПДн относятся к специальным категориям по смыслу ПП РФ №1119 от 01.11.2012. При числе субъектов свыше 100 000 и угрозах 2-го типа — УЗ-1. При числе субъектов до 100 000 и угрозах 3-го типа — УЗ-3. Конкретный уровень фиксируется приказом по организации и влияет на перечень мер защиты по Приказу ФСТЭК №21.

Шаг 4. Подготовьте локальные акты и журналы

Согласие — только один документ из пакета ОРД. Для СКУД с биометрией HR-департамент совместно с ИБ-службой формирует следующий минимальный набор.

Локальные акты для СКУД с биометрией

Политика обработки ПДн с разделом о биометрических данных — обязательна к публикации по ст. 18.1 ФЗ-152.
Приказ о назначении ответственного за обработку ПДн по ст. 22.1 ФЗ-152.
Приказ об утверждении перечня ИСПДн с указанием СКУД, уровня защищённости и ответственного.
Регламент обработки биометрических ПДн в СКУД: порядок сбора, хранения, уничтожения при увольнении.
Журнал учёта согласий: дата подписания, ФИО работника, номер согласия, дата отзыва или уничтожения.

Ст. 86 и 87 ТК РФ обязывают работодателя ознакомить работников с порядком обработки их ПДн под роспись. Факт ознакомления фиксируется в листе ознакомления с политикой обработки или в отдельном журнале. При использовании КЭДО факт ознакомления фиксируется электронной подписью работника в системе КЭДО — это допустимо при условии соблюдения требований ст. 22.2 ТК РФ.

Если СКУД уже работает, а пакет ОРД не собран — проверка РКН по индикатору «биометрия без уведомления» создаст нарушения сразу по нескольким частям ст. 13.11 КоАП. Юристы DATUM соберут ОРД под ключ за фиксированную стоимость, включая все документы по биометрическому СКУД.

Собрать ОРД под ключ

Шаг 5. Установите порядок отзыва согласия и уничтожения биометрии

Работник вправе в любой момент отозвать согласие на обработку биометрических ПДн — ст. 9 ФЗ-152. После отзыва оператор обязан прекратить обработку и уничтожить биометрические данные в срок, установленный законом или локальным актом. Удаление шаблона из базы СКУД должно быть задокументировано.

При увольнении — отдельная ситуация. Биометрические данные в СКУД используются исключительно для идентификации при проходе на объект. После прекращения трудовых отношений цель обработки исчезает. Шаблон должен быть удалён в день увольнения или в ближайший рабочий день. Иные кадровые ПДн (данные личного дела) хранятся 75 лет по типовым правилам архивного хранения.

«Ст. 21 ФЗ-152: при достижении целей обработки или утрате необходимости в достижении этих целей оператор обязан уничтожить ПДн в срок, не превышающий 30 дней, если иное не предусмотрено договором или законодательством.»

Зафиксируйте в регламенте: кто технически удаляет шаблон из базы СКУД, в какой срок, кто подписывает акт уничтожения. Если СКУД обслуживает подрядчик — проверьте договор поручения обработки ПДн по ст. 6 ФЗ-152: подрядчик действует строго по инструкции оператора и не вправе использовать биометрию в иных целях.

Как это работает на практике: типовые сценарии

Сценарий 1. Согласие в анкете при приёме до 01.09.2025. Производственная компания (Сибирский ФО, осень 2025) включала согласие на биометрию СКУД в анкету соискателя одним пунктом. После 01.09.2025 РКН при плановой проверке установил нарушение ст. 9 ФЗ-152 в новой редакции. Протокол по ч. 2 ст. 13.11 КоАП. HR-директор получил предписание переоформить все согласия в отдельные документы в течение 30 дней. Компания выполнила предписание и избежала максимального штрафа, опираясь на ст. 4.1.1 КоАП (первичность нарушения). Ситуация: совмещённое согласие в анкете. Доказательства: анкета с единым полем «согласен на обработку всех ПДн». Исход: предписание + предупреждение при первичном нарушении. Стратегия: немедленно выделить согласия в отдельный документ, зафиксировать переоформление.

Сценарий 2. СКУД без уведомления РКН о биометрии. Логистический центр (Центральный ФО, начало 2026) установил СКУД с распознаванием лиц, однако уведомление РКН не содержало сведений о биометрических ПДн. Внеплановая проверка по жалобе работника выявила расхождение реестровых сведений и фактической обработки. Нарушение квалифицировано по ч. 10 ст. 13.11 КоАП (неполное уведомление) и по ч. 16 (обработка биометрии без надлежащего согласия). Совокупный штраф — в диапазоне нескольких сотен тысяч рублей. Ситуация: уведомление не охватывает биометрию. Исход: два состава. Стратегия: до внедрения биометрического СКУД — подать изменение сведений в реестр РКН и получить письменные согласия.

Сценарий 3. Подрядчик обслуживает СКУД без договора поручения. Торговая сеть (Северо-Западный ФО, лето 2025) передала управление СКУД ИТ-подрядчику. Договор на техобслуживание не содержал условий поручения обработки ПДн по ст. 6 ФЗ-152. Подрядчик имел доступ к базе биометрических шаблонов. При проверке РКН оператор не смог подтвердить законность передачи данных. Ситуация: отсутствие договора поручения. Доказательства: договор без раздела об обработке ПДн. Стратегия: включить в договор с подрядчиком раздел о поручении обработки с перечнем допустимых действий и запретом на использование в иных целях.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка документов HR-департамента и СКУД по чек-листу из 38 пунктов.
Комплект ОРД под ключ — согласия, регламенты, журналы, приказы для биометрического СКУД.
DPO-аутсорсинг — ответственный по ст. 22.1 ФЗ-152 на абонентском обслуживании, включая ответы работникам.

Частые вопросы

1. Нужно ли переподписывать согласия работников после 01.09.2025?

Согласия, полученные до 01.09.2025 в составе трудового договора или анкеты, формально продолжают действовать — ФЗ-156 не имеет обратной силы в отношении ранее выданных согласий. Однако при проверке РКН инспектор может квалифицировать совмещённый документ как несоответствующий действующей редакции ст. 9 ФЗ-152 и потребовать переоформления. Для биометрии под СКУД риск выше: ч. 16 ст. 13.11 КоАП предусматривает самостоятельный состав за обработку биометрических ПДн без надлежащего согласия. Рекомендуется переоформить согласия для действующих работников в отдельный документ при первом удобном случае — в рамках планового обновления ОРД.

2. Какие данные нельзя спрашивать у работника при внедрении СКУД?

Работодатель не вправе запрашивать данные, не связанные с трудовой функцией, — ст. 86 ТК РФ. Для СКУД избыточными будут: расовая или национальная принадлежность, состояние здоровья (кроме медосмотров по должности), политические взгляды, религиозные убеждения, сведения о судимости (кроме работ, где закон прямо требует проверку). В форме согласия указывайте только те биометрические признаки, которые фактически собираются системой. Сбор лишних сведений под видом СКУД — основание для штрафа по ч. 1 ст. 13.11 КоАП.

3. Можно ли вести видеонаблюдение в офисе и это биометрия?

Видеозапись без автоматической идентификации лиц не является обработкой биометрических ПДн по смыслу ст. 11 ФЗ-152 — это позиция РКН, выраженная в разъяснениях регулятора. Однако работодатель обязан уведомить работников о видеонаблюдении в рамках ст. 86 ТК РФ и отразить это в локальном акте. Если видеоаналитика использует распознавание лиц для идентификации конкретных лиц — это уже биометрия, требующая письменного согласия по ст. 11 ФЗ-152. Граница: идентификация (установление личности) — биометрия; просто запись — нет.

4. Сколько хранить согласия после увольнения работника?

Согласие на обработку биометрических ПДн — документ кадрового учёта. Срок хранения определяется по Перечню типовых управленческих архивных документов (Приказ Росархива №236 от 20.12.2019): согласия на обработку ПДн хранятся не менее 3 лет после прекращения обработки или отзыва согласия. Иные кадровые документы личного дела — 50 или 75 лет в зависимости от даты документа (реформа 2003 года). Биометрический шаблон (сам файл данных в СКУД) уничтожается при увольнении; согласие как бумажный документ остаётся в деле на весь срок хранения.

5. Кто является оператором при использовании КЭДО?

При КЭДО работодатель выступает оператором ПДн работника в информационной системе КЭДО — независимо от того, чья платформа используется (собственная или SaaS-провайдера). Провайдер КЭДО — обработчик по поручению по ст. 6 ФЗ-152: договор с ним должен содержать условия обработки, перечень допустимых действий и запрет на использование данных в иных целях. Если КЭДО используется для подписания согласий на биометрию СКУД — убедитесь, что согласие формируется отдельным электронным документом, а не встроено в шаблон трудового договора в системе.

6. Что будет, если работник откажется давать биометрию для СКУД?

Согласие на обработку биометрических ПДн — добровольное по ст. 9 ФЗ-152. Работодатель не вправе отказать в приёме на работу или уволить работника за отказ предоставить биометрию, если её сбор не предусмотрен федеральным законом как обязательный для данной должности. На практике: предусмотрите в регламенте альтернативный способ идентификации для тех, кто отказался, — пропуск, PIN-код. Зафиксируйте отказ в журнале согласий с подписью работника.

Итог

Биометрический СКУД — это не только ИТ-инфраструктура, но и пакет документов: отдельное письменное согласие по ст. 11 и 9 ФЗ-152 в редакции ФЗ-156, уведомление РКН с отражением биометрии, ОРД с регламентом уничтожения данных при увольнении. Нарушение любого из этих элементов создаёт самостоятельный состав по ст. 13.11 КоАП.

Юристы DATUM специализируются на HR-комплаенсе по 152-ФЗ: проводят аудит согласий и ОРД, помогают при проверках РКН в HR-департаментах, обжалуют протоколы по ст. 13.11 в арбитраже.

АС

Анна Соколова

Партнёр · ПДн в HR

Партнёр практики DATUM по защите ПДн в HR. Специализация — согласия работников по ст. 9 152-ФЗ в ред. ФЗ-156, биометрия в СКУД, КЭДО и ПДн, проверки РКН в HR-департаментах.

21 апреля 2028 года