Перейти к содержанию
инструкция 12 февраля 2027 По состоянию на 12 февраля 2027

Согласие на биометрию: ст. 11 + правила ЕБС

Биометрические персональные данные — особая категория: ст. 11 ФЗ-152 требует письменного согласия субъекта, а с 01.06.2023 хранение исходной биометрии вне ЕБС запрещено по ФЗ-572.
Нарушение порядка обработки биометрии влечёт штраф по ч. 16 ст. 13.11 КоАП; утечка биометрических ПДн — от 15 до 20 млн ₽ по ч. 17 ст. 13.11 в редакции с 30.05.2025.
→ Если вы юрист и проверяете комплаенс оператора по биометрии — эта инструкция покрывает весь обязательный пакет ОРД: от согласия до уведомления РКН.

С 30.05.2025 ст. 13.11 КоАП действует в редакции ФЗ-420 от 30.11.2024: появились отдельные составы по биометрии, а повторное нарушение обрабатывается как оборотный штраф по ч. 18 — до 3% совокупной выручки, но не менее установленного минимума. Одновременно ФЗ-156 от 24.06.2025 изменил ст. 9 ФЗ-152: с 01.09.2025 согласие оформляется отдельным документом, не встроенным в договор или политику. Ниже — пошаговый порядок оформления согласия на биометрию и работы с ЕБС, которому следует оператор, чтобы пройти проверку РКН без замечаний.

Шаг 1. Определите, является ли обрабатываемая информация биометрическими ПДн

Биометрические персональные данные — физиологические и биологические характеристики, по которым можно установить личность человека: изображение лица, голосовой слепок, отпечатки пальцев, радужная оболочка глаза, ДНК. Фотография в личном деле работника биометрией не считается, если она используется только для идентификации внешности, а не для автоматизированного распознавания. Это разграничение зафиксировано в позиции РКН: обработка данных в целях установления личности через автоматизированные системы — биометрия; простое хранение снимка — общая категория.

Практически значимое деление: если в организации установлен СКУД с распознаванием лица или системой контроля по отпечатку пальца — это биометрия по ст. 11 ФЗ-152. Если банк верифицирует клиента через ЕБС — биометрия с режимом ФЗ-572. Если оператор хранит голосовые записи звонков без цели идентификации личности — как правило, это не биометрия, хотя граница размыта.

«Ст. 11 ФЗ-152 — обработка биометрических ПДн допускается только с письменного согласия субъекта, за исключением случаев, прямо предусмотренных законом: государственная безопасность, правосудие, оперативно-розыскная деятельность и иные основания п. 2 ст. 11.»

Шаг 2. Установите правовое основание — ЕБС или собственная система оператора?

Режим обработки биометрии кардинально различается в зависимости от того, действует ли оператор в рамках ГИС ЕБС (Единая биометрическая система по ФЗ-572 от 29.12.2022) или использует собственную биометрическую систему.

Собственная биометрическая система оператора. Применяется для СКУД на предприятии, системы распознавания лиц в ретейле, биометрической идентификации в медицинских информационных системах. Правовое основание — письменное согласие субъекта по ст. 11 ФЗ-152. Согласие должно содержать все реквизиты ст. 9 ФЗ-152. С 01.09.2025 по ФЗ-156 — оформляется отдельным документом, не совмещённым с трудовым договором, офертой или политикой конфиденциальности.

ЕБС (банки, МФЦ, иные участники). Размещение биометрии в ЕБС регулируется ФЗ-572, оператор ЕБС — АО «Центр Биометрических Технологий». С 01.06.2023 хранение исходных биометрических данных вне ЕБС запрещено для участников системы. Банк, МФЦ или иная организация, подключённая к ЕБС, работает в двойном режиме: собственное согласие по ст. 11 ФЗ-152 плюс согласие на размещение в ЕБС. Нарушения при размещении в ЕБС образуют самостоятельный состав — ст. 13.11.3 КоАП.

Юрист проверяет комплаенс по биометрии — с чего начать?

Если организация обрабатывает биометрию через СКУД, банковское приложение или систему идентификации, и у вас нет уверенности, что ОРД соответствует ст. 11 ФЗ-152 и требованиям ФЗ-572, — риск штрафа по ч. 16 или ч. 17 ст. 13.11 реален с 30.05.2025. Срок оформления отдельного согласия по ФЗ-156 — с 01.09.2025: переходного периода нет.

Юристы DATUM соберут комплект ОРД по биометрии: согласия по ст. 11 с реквизитами ФЗ-156, политику обработки, приказ об ответственном по ст. 22.1 и уведомление РКН по форме Приказа №180.

Собрать ОРД под ключ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Шаг 3. Составьте согласие на обработку биометрических ПДн по ст. 11 ФЗ-152

Согласие на биометрию — письменный документ (включая электронную форму с квалифицированной подписью). С 01.09.2025 он не может быть частью другого документа. Обязательные реквизиты согласия установлены ст. 9 ФЗ-152:

  • фамилия, имя, отчество субъекта и его контактные данные;
  • наименование и адрес оператора;
  • цель обработки (конкретная, не «в целях идентификации» — это слишком широко; указывается: «контроль доступа в помещения по изображению лица» или «дистанционная идентификация в мобильном приложении»);
  • перечень биометрических ПДн: «изображение лица», «голосовой слепок», «отпечаток пальца» — каждая категория отдельно;
  • перечень действий с ПДн: сбор, запись, хранение, извлечение, использование — точный список без избыточности;
  • срок действия согласия или указание на бессрочность;
  • способ отзыва согласия — обязательно, с указанием адреса/email/формы.

Принципиальная ошибка в практике: операторы включают формулировку «в том числе биометрических» в общее согласие на обработку ПДн. После 01.09.2025 это прямое нарушение ФЗ-156. Согласие на биометрию — самостоятельный документ с собственной подписью субъекта.

Если оператор обрабатывает биометрию для распространения (публикует фото в СМИ, рекламных материалах), потребуется дополнительное согласие по ст. 10.1 ФЗ-152 — на распространение.

Шаг 4. Обновите политику конфиденциальности и внутренние ОРД

Политика обработки ПДн по ч. 2 ст. 18.1 ФЗ-152 должна отражать обработку биометрии: наименование категории, цели, основания, сроки хранения, меры защиты, сведения о передаче третьим лицам (включая ЕБС). Публикация политики на сайте — обязательна по ч. 3 ст. 18.1; отсутствие или несоответствие реальной обработке — штраф по ч. 3 ст. 13.11 КоАП (30–60 тыс. ₽ для юрлица).

Дополнительные ОРД, которые должны быть у оператора биометрии:

  • приказ о назначении ответственного за организацию обработки ПДн по ст. 22.1 ФЗ-152 — с описанием функций и квалификационными требованиями;
  • регламент обработки биометрических ПДн — описывает технологическую цепочку от сбора до уничтожения;
  • инструкция по работе с биометрической системой для лиц, допущенных к обработке;
  • журнал учёта согласий субъектов — с датой, формой подписи и датой возможного отзыва;
  • регламент уничтожения биометрических ПДн при отзыве согласия или достижении цели обработки.
«Ст. 18.1 ч. 2 ФЗ-152 — оператор обязан утвердить документы, определяющие его политику в отношении обработки ПДн, локальные акты, устанавливающие меры защиты. Содержание политики включает: перечень обрабатываемых ПДн, цели, правовые основания, сроки, порядок реагирования на обращения субъектов.»

Шаг 5. Подайте уведомление в РКН и выберите уровень защищённости

Оператор обязан уведомить РКН о намерении обрабатывать ПДн до начала обработки (ст. 22 ФЗ-152). Обработка биометрических ПДн — обязательное основание для уведомления; исключений, предусмотренных ч. 2 ст. 22, здесь нет. Уведомление подаётся через pd.rkn.gov.ru с использованием ЕСИА или УКЭП по форме Приказа РКН №180 от 28.10.2022. Срок включения в реестр — 30 дней.

Биометрические ПДн — специальная категория для целей ПП РФ №1119. Уровень защищённости ИСПДн определяется пересечением типа угроз (1–3) и числа субъектов. При обработке биометрии и угрозах типа 2 — минимально УЗ-2; при угрозах типа 1 — УЗ-1. Меры защиты по каждому уровню задаёт Приказ ФСТЭК №21 от 18.02.2013 (109 мер в 15 группах). В части биометрии особое внимание уделяется группам ИАФ (идентификация и аутентификация), ЗНИ (защита носителей) и РСБ (регистрация событий).

«Ст. 22 ФЗ-152 — уведомление о намерении обрабатывать ПДн подаётся в РКН до начала обработки. Неподача или нарушение сроков — штраф 100–300 тыс. ₽ по ч. 10 ст. 13.11 КоАП в редакции с 30.05.2025.»

Что подготовить оператору биометрии

  • Отдельное письменное согласие на обработку биометрических ПДн с реквизитами ст. 9 ФЗ-152 (отдельный документ с 01.09.2025 по ФЗ-156).
  • Актуальная политика обработки ПДн с разделом о биометрии, опубликованная на сайте (ст. 18.1 ФЗ-152).
  • Приказ о назначении ответственного за организацию обработки ПДн (ст. 22.1 ФЗ-152).
  • Уведомление в реестре РКН с указанием категории «биометрические ПДн» (ст. 22 ФЗ-152, форма Приказа РКН №180).
  • Подтверждение уровня защищённости ИСПДн (ПП РФ №1119) и акт выполнения мер по Приказу ФСТЭК №21.

Если юрист обнаружил, что согласие на биометрию встроено в трудовой договор или оферту, — с 01.09.2025 это нарушение ч. 2 ст. 13.11 КоАП (штраф до 700 тыс. ₽). Проведите аудит ОРД до получения запроса от РКН.

Заказать аудит 152-ФЗ

Как применяется на практике: типовые сценарии

Сценарий 1. СКУД с распознаванием лица на производственном предприятии

Ситуация. Производственная компания установила систему контроля доступа с распознаванием лиц сотрудников. Согласие включено в типовой трудовой договор общей фразой: «в том числе биометрических данных». Уведомление в РКН подано как «общие ПДн».

Доказательства нарушения. Согласие не выделено в отдельный документ (нарушение ст. 9 в редакции ФЗ-156, актуально с 01.09.2025). Уведомление в РКН не отражает категорию «биометрические ПДн» (нарушение ст. 22). Уровень защищённости ИСПДн не определён.

Вероятный исход. При плановой или внеплановой проверке РКН — протокол по ч. 16 ст. 13.11 (нарушение требований к обработке биометрии) и по ч. 10 ст. 13.11 (неверное уведомление).

Стратегия. Оформить отдельное согласие, обновить уведомление в РКН, установить УЗ и зафиксировать меры защиты по Приказу ФСТЭК №21.

Сценарий 2. Банк и обязательная биометрия для ЕБС

Ситуация. Банк собирает биометрию клиентов при открытии счёта и направляет в ЕБС. Сотрудник фронт-офиса предлагает клиенту подписать единый пакет документов, где согласие на биометрию для ЕБС объединено с договором банковского обслуживания.

Доказательства нарушения. С 01.09.2025 согласие — отдельный документ (ФЗ-156). Совмещение с договором нарушает ст. 9 ФЗ-152. Кроме того, оператор несёт ответственность перед субъектом за нарушения при размещении в ЕБС отдельно по ст. 13.11.3 КоАП.

Вероятный исход. Жалоба клиента в РКН — основание для внеплановой проверки. Штраф по ч. 2 ст. 13.11 (до 700 тыс. ₽ за нарушение требований к согласию) и по ст. 13.11.3 за нарушения при размещении в ЕБС.

Стратегия. Разделить документы: отдельное согласие на обработку биометрии по ст. 11 ФЗ-152 и отдельный документ о согласии на размещение в ЕБС по ФЗ-572. Обучить фронт-офис.

Сценарий 3. Отзыв согласия субъектом — порядок действий оператора

Ситуация. Работник потребовал отозвать согласие на обработку биометрии через СКУД. Оператор не имеет регламента уничтожения биометрических ПДн и не знает, в течение какого срока обязан их уничтожить.

Доказательства нарушения. Ст. 21 ФЗ-152 обязывает оператора прекратить обработку и уничтожить ПДн в установленный срок при отзыве согласия. Отсутствие регламента уничтожения фиксируется как нарушение мер по ст. 18.1 при проверке.

Вероятный исход. Жалоба субъекта в РКН → предписание об устранении → штраф по ч. 5 ст. 13.11 за неисполнение требования об уничтожении (50–90 тыс. ₽).

Стратегия. Утвердить регламент уничтожения биометрических ПДн: сроки (не более 30 дней с момента отзыва по общей практике), технический порядок удаления из системы, акт уничтожения с подписью ответственного по ст. 22.1.

Кейс 1. В компании финансового сектора (Приволжский ФО, осень 2025) юрист при подготовке к проверке РКН обнаружил, что согласия на биометрию для СКУД подписывались как часть трудового договора с 2021 года. После 01.09.2025 такие согласия создавали прямое нарушение ч. 2 ст. 13.11 КоАП. Компания самостоятельно собрала новые отдельные согласия от всех сотрудников за три недели до плановой проверки. РКН провёл проверку без протоколов по составу согласия.

Кейс 2. Медицинская организация (Центральный ФО, начало 2026) использовала систему распознавания лиц у входа в клинику. Уведомление в РКН подавалось без указания биометрической категории ПДн. При внеплановой проверке РКН зафиксировал несоответствие реестровой записи фактической обработке. Арбитражный суд региона рассмотрел дело по ч. 10 ст. 13.11 (неверное уведомление — 100–300 тыс. ₽). Штраф снижен с учётом устранения нарушения до вынесения постановления. ⚠️ Конкретный номер дела и точная дата — менеджер уточняет при публикации.

Услуги DATUM по теме

  • Комплект ОРД под ключ — согласия, политика, приказы, регламенты по ст. 11 ФЗ-152 и ФЗ-572.
  • Аудит соответствия 152-ФЗ — проверка биометрического блока ОРД по чек-листу из 38 пунктов.
  • DPO-аутсорсинг — ответственный по ст. 22.1 на абонентском обслуживании, включая ответы на обращения субъектов по биометрии.

Частые вопросы

1. Какие документы должны быть у оператора ПДн при обработке биометрии?

Обязательный минимум включает: отдельное письменное согласие субъекта по ст. 11 ФЗ-152 с реквизитами ст. 9 (с 01.09.2025 — отдельный документ по ФЗ-156), политику обработки ПДн с разделом о биометрии по ст. 18.1 ФЗ-152, приказ об ответственном по ст. 22.1 ФЗ-152, действующее уведомление в реестре РКН с категорией «биометрические ПДн» (Приказ РКН №180), акт об определении уровня защищённости ИСПДн по ПП РФ №1119 и перечень мер по Приказу ФСТЭК №21.

2. Как составить политику обработки ПДн, чтобы она охватывала биометрию?

Политика должна содержать отдельный раздел о биометрических ПДн: конкретный перечень категорий (изображение лица, голос, отпечаток), цели обработки, правовое основание (ст. 11 ФЗ-152 + письменное согласие), срок хранения, порядок уничтожения при отзыве согласия, сведения о передаче в ЕБС (если применимо). Шаблон из интернета, как правило, не учитывает специфику конкретной биометрической системы и не отражает актуальные изменения ФЗ-156 от 24.06.2025.

3. Кого назначить ответственным по ст. 22.1 ФЗ-152 при обработке биометрии?

Ответственный за организацию обработки ПДн по ст. 22.1 ФЗ-152 — сотрудник, которому оператор-юрлицо делегирует функции контроля. Требования к квалификации закреплены в ч. 4 ст. 22.1: юридическое или техническое образование, знание законодательства о ПДн. При обработке биометрии требования к компетенциям фактически выше — необходимо понимание режима ФЗ-572 и технических мер ФСТЭК. Допустимо назначить внешнего исполнителя по договору (DPO-аутсорсинг), что не снимает ответственности с оператора.

4. Можно ли использовать шаблон политики из интернета для биометрии?

Готовый шаблон политики конфиденциальности из открытых источников в большинстве случаев не соответствует требованиям к обработке биометрии. Он не учитывает конкретный тип биометрической системы, не отражает требования ФЗ-572 для операторов ЕБС, не адаптирован под изменения ФЗ-156 от 24.06.2025 в части отдельного согласия. РКН при проверке сверяет содержание политики с фактической обработкой, и несоответствие фиксируется как нарушение ст. 18.1 ФЗ-152.

5. Какие согласия нужны после 01.09.2025 при обработке биометрии?

После 01.09.2025 (ФЗ-156 от 24.06.2025) согласие на любую обработку ПДн, включая биометрию, оформляется отдельным документом — не частью трудового договора, оферты, пользовательского соглашения или политики конфиденциальности. Для биометрии дополнительно действует требование ст. 11 ФЗ-152 о письменной форме. Если оператор работает с ЕБС — потребуется два отдельных согласия: по ст. 11 ФЗ-152 на обработку биометрии и по ФЗ-572 на размещение в ЕБС. Ранее полученные согласия переоформлять не требуется — ФЗ-156 не имеет обратной силы.

6. Что делать оператору, если субъект отозвал согласие на биометрию?

При отзыве согласия оператор обязан прекратить обработку биометрических ПДн и уничтожить их в срок, установленный регламентом (по общей практике — не более 30 дней). Уничтожение фиксируется актом с подписью ответственного по ст. 22.1. Для систем СКУД — данные удаляются из базы данных системы и резервных копий. Продолжение обработки после отзыва согласия — нарушение ст. 21 ФЗ-152, при повторности — штраф по ч. 5.1 ст. 13.11 КоАП (300–500 тыс. ₽).

Итог

Согласие на биометрию — многоуровневый документ: он одновременно удовлетворяет требованиям ст. 11 ФЗ-152 (письменная форма), ст. 9 ФЗ-152 (обязательные реквизиты), ФЗ-156 от 24.06.2025 (отдельный документ с 01.09.2025) и, при работе с ЕБС, ФЗ-572. Ошибка в любом из уровней создаёт основание для штрафа по ч. 16 или ч. 17 ст. 13.11 КоАП в редакции с 30.05.2025, а при повторности — оборотный штраф по ч. 18.

DATUM сопровождает операторов биометрии в подготовке полного пакета ОРД: от согласия с реквизитами ФЗ-156 до акта об уровне защищённости по ПП РФ №1119. Практика работы по 152-ФЗ — с 2014 года.

Смотрите также

СЛ
Сергей Лобанов
Аналитик · Финансовый сектор
Аналитик DATUM по финансовому сектору. Специализация — ПДн в банках, МФО, БКИ, биометрия в ЕБС (572-ФЗ), отказ от биометрии по ч. 8 ст. 14.8 КоАП, антиотмывочный контроль.

12 февраля 2027 года