инструкция 21 января 2028 По состоянию на 21 января 2028

Согласие на сбор биометрии (отпечатки пальцев)

Отпечатки пальцев — биометрические персональные данные по ст. 11 ФЗ-152. Их обработка без письменного согласия работника запрещена и влечёт штраф до 700 000 ₽ по ч. 2 ст. 13.11 КоАП.

С 01.09.2025 согласие работника оформляется отдельным документом по ФЗ-156. Объединить его с трудовым договором или анкетой нельзя. Нарушение реквизитов согласия — самостоятельный состав для штрафа.

Если HRD внедряет СКУД с дактилоскопией — действовать нужно до первого сбора данных, не после. → Разбор по шагам ниже.

Дактилоскопические системы контроля доступа (СКУД) охватывают уже большинство офисных и производственных объектов. Для HR-директора это означает конкретный риск: каждый работник, приложивший палец к считывателю без оформленного письменного согласия, создаёт основание для протокола Роскомнадзора. Ниже — пошаговая инструкция от сбора правового основания до хранения документов после увольнения.

Шаг 1. Определите правовое основание и категорию данных

Отпечатки пальцев однозначно признаются биометрическими персональными данными по ст. 11 ФЗ-152. Биометрия — это физиологические и биологические особенности человека, позволяющие установить его личность. Дактилоскопический узор подпадает под это определение без каких-либо оговорок.

По умолчанию обработка биометрии запрещена. Единственное основание для СКУД в коммерческой организации — письменное согласие работника (п. 1 ч. 2 ст. 11 ФЗ-152). Исключения для медицинских, правоохранительных и иных целей здесь неприменимы.

«Ст. 11 ФЗ-152: обработка биометрических персональных данных допускается только при наличии письменного согласия субъекта. Исключения установлены п. 2 той же статьи и к СКУД в частных компаниях не относятся.»

Если СКУД сопряжена с КЭДО или облачной системой учёта рабочего времени, определите, кто выступает оператором — ваша компания или провайдер. Провайдер КЭДО действует по поручению (ст. 6 ФЗ-152) и не становится самостоятельным оператором биометрии без отдельного договора поручения.

Что должно быть в письменном согласии на отпечатки пальцев?

Согласие — отдельный документ. После 01.09.2025 включать его в текст трудового договора, анкеты при приёме или политики конфиденциальности нельзя (ФЗ-156, изменения в ч. 1 ст. 9 ФЗ-152). Каждое согласие — самостоятельный лист с подписью.

Обязательные реквизиты по ст. 9 ФЗ-152:

фамилия, имя, отчество и контактные данные работника;
наименование и адрес оператора (вашей компании);
цель обработки — «идентификация при проходе через СКУД» (формулировать конкретно, а не «в целях обеспечения безопасности»);
перечень обрабатываемых данных — «дактилоскопический шаблон (отпечаток пальца)»;
перечень действий: сбор, запись, хранение в базе СКУД, сравнение при каждом проходе, уничтожение при увольнении;
срок действия согласия или условие его прекращения (например, «до расторжения трудового договора»);
способ отзыва — письменное заявление на имя работодателя.

Отсутствие хотя бы одного реквизита приравнивается к отсутствию согласия. РКН на проверках фиксирует неполный состав как нарушение ч. 2 ст. 13.11 КоАП.

«Ч. 2 ст. 13.11 КоАП (ред. с 30.05.2025): обработка персональных данных без письменного согласия или с нарушением требований к его составу — штраф для юрлица 300 000 — 700 000 ₽. При повторном нарушении (ч. 2.1) — 1 000 000 — 1 500 000 ₽.»

Согласия работников составлены, но не уверены в реквизитах?

Если HRD уже внедрил СКУД с биометрией, но согласия собирались по старым формам или включались в трудовой договор — каждый такой документ несёт риск штрафа по ч. 2 ст. 13.11. Срок устранения нарушения не останавливает течение срока давности по КоАП. Юристы DATUM проверят действующий пакет согласий на соответствие ст. 9 ФЗ-152 в редакции ФЗ-156 и подготовят актуальные формы.

Заказать аудит 152-ФЗ

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Шаг 2. Составьте и подпишите согласие до начала сбора данных

Временной порядок критичен: биометрия не собирается раньше, чем подписано согласие. Если считыватель фиксирует шаблон отпечатка при первом проходе — согласие должно быть уже в личном деле работника. Нельзя «догонять» подписание постфактум.

Для новых работников: согласие подписывается в день приёма, до прохождения инструктажа по СКУД. Для действующих: оформите отдельную кампанию по переподписанию. Если работник отказывается — он не обязан давать согласие; принуждение запрещено ст. 9 ФЗ-152. В этом случае обеспечьте альтернативный способ прохода (магнитная карта, PIN-код).

Согласие подписывается в двух экземплярах: один — работнику, второй — в личное дело. Электронный формат допустим при наличии у работника усиленной квалифицированной электронной подписи или в рамках КЭДО с соблюдением порядка ст. 22.2 ТК РФ.

Шаг 3. Настройте систему хранения и ограничения доступа

Дактилоскопические шаблоны — биометрические ПДн, требующие повышенного уровня защиты. Определите уровень защищённости информационной системы (ИСПДн) по ПП РФ №1119. Для биометрии при угрозах 2-го и 3-го типа и числе субъектов менее 100 000 — как правило УЗ-3; при угрозах 1-го типа или более 100 000 субъектов — УЗ-2 или выше.

Меры технической защиты — по Приказу ФСТЭК №21: идентификация и аутентификация (ИАФ), управление доступом (УПД), защита носителей (ЗНИ), аудит безопасности (РСБ). Шаблоны отпечатков нельзя хранить в открытом виде в общих базах данных компании.

Регламент доступа: только уполномоченные сотрудники службы безопасности и ИТ. Список лиц с доступом фиксируется приказом. Журнал событий СКУД хранится обособленно от основной HR-системы.

«Ст. 19 ФЗ-152: оператор обязан применять организационные и технические меры для защиты ПДн от неправомерного доступа, уничтожения, изменения, блокирования, копирования, распространения. Конкретный состав мер — ПП РФ №1119 и Приказ ФСТЭК №21.»

Что подготовить для законного сбора биометрии СКУД

Письменные согласия по ст. 11 и ст. 9 ФЗ-152 — отдельный документ для каждого работника, подписан до первого сбора данных.
Приказ о назначении ответственного за обработку биометрических ПДн (ст. 22.1 ФЗ-152).
Политика обработки персональных данных с разделом о биометрии, размещённая на сайте или в локальной сети (ст. 18.1 ФЗ-152).
Регламент хранения и уничтожения дактилоскопических шаблонов — с указанием сроков и ответственных.
Актуальное уведомление в реестре РКН с указанием категории «биометрические ПДн» (ст. 22 ФЗ-152, форма по Приказу РКН №180).

Шаг 4. Обновите уведомление в реестре РКН

Если компания уже внесена в реестр операторов ПДн, но биометрия в уведомлении не указана — внесите изменения через pd.rkn.gov.ru до начала обработки. Форма изменений — по Приказу РКН №180 от 28.10.2022. Неуведомление или неактуальные сведения — штраф 100 000 — 300 000 ₽ по ч. 10 ст. 13.11 КоАП.

В разделе «категории ПДн» отметьте «биометрические». В разделе «цели обработки» — «идентификация при проходе через систему контроля и управления доступом». Укажите срок обработки, перечень действий и наличие передачи третьим лицам (если провайдер СКУД имеет доступ к шаблонам — это передача по поручению, укажите).

Шаг 5. Пропишите порядок отзыва согласия и уничтожения данных

Работник вправе отозвать согласие в любой момент (ч. 2 ст. 9 ФЗ-152). После отзыва вы обязаны прекратить обработку и уничтожить биометрические данные в срок, который устанавливается локальным актом (как правило — 30 дней с даты отзыва). При увольнении отзыв согласия наступает автоматически по истечении трудовых отношений или в дату, указанную в самом согласии.

Уничтожение шаблона в базе СКУД должно быть задокументировано: акт об уничтожении с датой, наименованием системы и подписью ответственного. Акты хранятся 3 года для подтверждения перед РКН.

Если работник отозвал согласие, но продолжает работать — обеспечьте ему альтернативный способ прохода немедленно. Принудительное сохранение биометрии после отзыва — самостоятельный состав нарушения по ч. 5 ст. 13.11 КоАП (невыполнение требования об уничтожении, штраф 50 000 — 90 000 ₽).

HRD: работник потребовал удалить отпечаток, а СКУД не позволяет это сделать оперативно — у вас 7 рабочих дней до нарушения ч. 5 ст. 13.11. Юристы DATUM подготовят регламент реагирования на запросы субъектов и договор с провайдером СКУД с обязанностью по уничтожению данных.

Собрать ОРД под ключ

Как выглядят типовые нарушения на практике: три сценария для HR-директора

Сценарий 1. Биометрия собирается, согласия нет. Производственное предприятие Сибирского ФО установило СКУД с дактилоскопией при реконструкции. Согласия работников подписать «не успели». При плановой проверке РКН инспектор фиксирует: шаблоны в базе есть, письменных согласий нет ни у кого из 240 работников. Протокол по ч. 2 ст. 13.11 КоАП. Штраф для юрлица — в диапазоне от 300 000 до 700 000 ₽. Доказать добросовестность не получится: факт обработки подтверждён журналом событий СКУД.

Сценарий 2. Согласие есть, но включено в трудовой договор. Торговая сеть Приволжского ФО использовала единую форму трудового договора с блоком «согласен на обработку ПДн, включая биометрические». После 01.09.2025 это согласие перестало быть действительным: ФЗ-156 требует отдельного документа. Проверка по жалобе уволенного работника выявила нарушение. Вынесено предписание об устранении, возбуждено дело по ч. 2 ст. 13.11. HR-директор получил предписание переподписать согласия со всеми действующими работниками в течение 30 дней.

Сценарий 3. Работник потребовал удалить биометрию при увольнении. Логистическая компания Центрального ФО не прописала в согласии срок уничтожения данных после расторжения договора. Уволенный работник направил заявление об уничтожении. Компания не ответила в установленный срок. Арбитражный суд региона рассмотрел дело по ч. 5 ст. 13.11 КоАП — штраф 50 000 — 90 000 ₽ и обязание уничтожить данные. Причина — отсутствие регламента уничтожения в локальных актах.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка согласий, ОРД и уведомления РКН по чек-листу из 38 пунктов.
Комплект ОРД под ключ — формы согласий по ст. 9 и 11 ФЗ-152, регламенты, приказы.
DPO-аутсорсинг — ответственный за обработку ПДн по ст. 22.1 ФЗ-152 на абонементе.

Частые вопросы

1. Нужно ли переподписывать согласия работников после 01.09.2025?

Согласия, полученные до 01.09.2025, не признаются недействительными автоматически — ФЗ-156 не имеет обратной силы. Однако если старое согласие было встроено в текст трудового договора, анкеты или политики, оно не соответствует требованию об отдельном документе по новой редакции ч. 1 ст. 9 ФЗ-152. Такие согласия нужно переоформить при первой возможности. Отдельно подписанные согласия с полным составом реквизитов, полученные до 01.09.2025, продолжают действовать.

2. Какие данные нельзя спрашивать в анкете работника или кандидата?

По ст. 86 ТК РФ работодатель вправе обрабатывать только те ПДн, которые необходимы для исполнения трудовых обязанностей. Нельзя собирать данные о политических взглядах, религии, членстве в профсоюзах, состоянии здоровья (кроме случаев, установленных ТК и специальными законами), а также биометрию без письменного согласия по ст. 11 ФЗ-152. Включать в анкету соискателя строки для сбора биометрии без оформленного согласия запрещено — согласие должно предшествовать сбору.

3. Можно ли вести видеонаблюдение в офисе без дополнительных согласий?

Видеозапись в офисе сама по себе — обработка ПДн (изображение работника). Работодатель вправе вести её на основании ст. 87 ТК РФ при условии, что работники письменно уведомлены о факте наблюдения (это часть трудового договора или дополнительного соглашения). Отдельное согласие по ст. 11 ФЗ-152 требуется, если система использует распознавание лиц для идентификации — тогда видео переходит в категорию биометрии. Простая запись без идентификации отдельного согласия не требует, но уведомить работников обязательно.

4. Сколько хранить согласия после увольнения работника?

Само согласие как документ хранится в личном деле. По типовым срокам хранения документов по личному составу — 75 лет (для документов, созданных до 2003 года) или 50 лет (после 2003 года) по Приказу Росархива №236 от 20.12.2019. Акт об уничтожении биометрических данных хранится минимум 3 года для подтверждения перед РКН. Хранить сами шаблоны отпечатков после увольнения и отзыва согласия нельзя.

5. Кто является оператором при использовании КЭДО?

При подключении КЭДО оператором персональных данных остаётся работодатель — именно он определяет цели и состав обрабатываемых данных. Провайдер КЭДО действует по поручению оператора на основании договора поручения (п. 3 ст. 6 ФЗ-152). Договор с провайдером должен содержать обязательный перечень действий, которые он вправе совершать с ПДн, цели обработки и требования к защите. Без такого договора провайдер КЭДО — несанкционированный получатель данных работников.

6. Что делать, если работник отказывается давать биометрию?

Обязать работника предоставить биометрию нельзя — согласие по ст. 9 ФЗ-152 должно быть добровольным. Отказ от согласия не является основанием для дисциплинарного взыскания или увольнения. Работодатель обязан обеспечить альтернативный способ идентификации при проходе (пропуск, PIN-код). Если альтернативы нет и работник не может попасть на объект — это нарушение прав работника по ст. 86 ТК РФ со стороны работодателя.

Итог

Сбор отпечатков пальцев через СКУД — законная практика при строгом соблюдении трёх условий: письменное согласие с полным составом реквизитов до первого сбора, актуальное уведомление в реестре РКН с категорией «биометрические ПДн», и задокументированный порядок уничтожения данных при увольнении или отзыве согласия. После 01.09.2025 все три требования усилены: согласие — только отдельным документом, ответственный — назначен приказом, политика — опубликована.

Практика DATUM охватывает сопровождение HR-департаментов при внедрении биометрических СКУД: от разработки форм согласий по ст. 9 и 11 ФЗ-152 до подготовки к проверке РКН и защиты в арбитраже при штрафе по ст. 13.11 КоАП.

АС

Анна Соколова

Партнёр · ПДн в HR

Партнёр практики DATUM. Специализация — согласия работников по ст. 9 ФЗ-152 в редакции ФЗ-156, биометрия в СКУД, КЭДО, проверки РКН в HR-департаментах.

21 января 2028 года