Перейти к содержанию
инструкция 3 февраля 2027 По состоянию на 3 февраля 2027

Согласие на сбор биометрии (СКУД по лицу)

Биометрические персональные данные — специальная категория по ст. 11 ФЗ-152. Обработка без письменного согласия работника запрещена. Штраф для юрлица — до 700 000 ₽ по ч. 2 ст. 13.11 КоАП, а при повторном нарушении — до 1 500 000 ₽.
С 01.09.2025 согласие на обработку ПДн — отдельный документ, не объединяемый с трудовым договором (ФЗ-156 от 24.06.2025). Согласие на биометрию СКУД составляется по отдельным требованиям ст. 11 ФЗ-152: обязательна письменная форма, конкретная цель, перечень биометрических данных и способ отзыва.
→ Если вы HRD и в компании уже работает СКУД по лицу — проверьте согласия: старые формы, включённые в трудовой договор или анкету кандидата, с 01.09.2025 недействительны.

СКУД на основе распознавания лица применяется в средних и крупных компаниях как замена пропускам. Но за удобство приходится платить юридической точностью: изображение лица — биометрические ПДн по ст. 11 ФЗ-152, и любая ошибка в согласии создаёт основание для протокола Роскомнадзора. В 2025 году РКН зафиксировал 135 случаев компрометации баз ПДн; в числе типовых нарушений на проверках — отсутствие отдельного письменного согласия на биометрию или включение его в состав трудового договора. Эта инструкция описывает порядок оформления согласия шаг за шагом — от определения правового основания до хранения и уничтожения.

Что такое биометрия в СКУД и почему это не «обычные» ПДн?

Система контроля и управления доступом по лицу захватывает и обрабатывает изображение лица работника для идентификации. Именно изображение лица и голосовые данные прямо названы биометрическими в ст. 11 ФЗ-152 — при условии, что они используются для установления личности. СКУД делает именно это: сопоставляет фотошаблон в базе с лицом на камере.

Специальный статус биометрии означает три принципиальных отличия от обычной обработки ПДн. Первое — согласие обязательно в письменной форме, независимо от иных оснований. Второе — согласие не подменяется трудовым договором, должностной инструкцией или иным документом. Третье — перечень биометрических данных должен быть прямо назван в согласии: «изображение лица, полученное при захвате видеокамерой СКУД».

«Ст. 11 ФЗ-152 — обработка биометрических ПДн допускается только с письменного согласия субъекта, кроме прямо предусмотренных законом исключений (охрана правопорядка, правосудие, оборона). Работодатель ни под одно исключение не подпадает.»

Важно понять практическое следствие: работник вправе отказаться от биометрии СКУД. Ст. 86 ТК РФ запрещает причинять вред работнику из-за отказа предоставить ПДн, если обработка этих данных не предусмотрена законом как обязанность. Организовать альтернативный способ доступа — пропуск, PIN — работодатель обязан.

Согласия на биометрию ещё в трудовом договоре или анкете?

Если HRD не выделил согласия в отдельный документ до 01.09.2025, каждое такое согласие создаёт основание для штрафа по ч. 2 ст. 13.11 КоАП — до 700 000 ₽ за факт. Срок не восстанавливается: чем дольше нарушение продолжается, тем выше риск протокола при плановой проверке РКН. Юристы DATUM соберут пакет согласий по требованиям ФЗ-156 и проведут аудит ОРД HR-департамента.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Шаг 1. Определите правовое основание и категорию данных

Перед составлением согласия зафиксируйте три параметра: какие именно биометрические данные собирает СКУД, с какой целью и кто является оператором. Это влияет на содержание согласия.

Какие данные собирает СКУД по лицу. Типичный состав: статичное изображение лица (фотошаблон) и/или динамическое видеоизображение. Если система также фиксирует видео из коридора для просмотра HR-службой — это отдельный вид обработки (видеонаблюдение), требующий собственного основания. Не смешивайте биометрию СКУД и видеонаблюдение в одном согласии: РКН при проверке расценивает это как нарушение принципа конкретности цели по ст. 5 ФЗ-152.

Цель обработки. Единственная законная цель биометрии СКУД — организация контроля доступа на территорию работодателя. Использование биометрического шаблона для иных целей (учёт рабочего времени, аналитика передвижений) требует отдельного согласия с иной целью.

Кто оператор. Если СКУД обслуживает сторонняя компания-интегратор и хранит базу шаблонов у себя — она является самостоятельным оператором или обработчиком по поручению (ст. 6 ч. 3 ФЗ-152). Договор поручения обязателен; работник должен быть осведомлён о передаче данных третьему лицу. Укажите это в согласии.

Шаг 2. Составьте согласие с обязательными реквизитами

Согласие на биометрию СКУД — отдельный документ. С 01.09.2025 (ФЗ-156 от 24.06.2025) его нельзя включать в трудовой договор, анкету, правила внутреннего распорядка или иной документ. Ранее полученные согласия, оформленные отдельным документом и содержащие все реквизиты, переоформлять не нужно — обратной силы у ФЗ-156 нет.

Обязательные реквизиты согласия по ст. 9 ФЗ-152 (в редакции ФЗ-156):

  • Фамилия, имя, отчество субъекта и его контактные данные.
  • Наименование и адрес оператора (работодателя), а при наличии — обработчика по поручению (компания-интегратор СКУД).
  • Цель обработки: «организация контроля доступа на территорию работодателя с использованием СКУД».
  • Перечень биометрических ПДн: «изображение лица, получаемое видеокамерой СКУД при проходе через контрольно-пропускной пункт».
  • Перечень действий: сбор, запись, систематизация, хранение, использование (идентификация), уничтожение.
  • Срок действия согласия — например, «на период действия трудового договора».
  • Способ отзыва: «путём подачи письменного заявления в HR-департамент».

Укажите также, что отзыв согласия не влечёт негативных последствий для работника и что в случае отзыва работодатель обязан обеспечить альтернативный способ доступа.

«Ст. 9 ФЗ-152 в ред. ФЗ-156 от 24.06.2025 — согласие оформляется отдельным документом, не объединяется с иными соглашениями. Нарушение требований к составу согласия — ч. 2 ст. 13.11 КоАП, штраф для юрлица 300 000 — 700 000 ₽.»

Шаг 3. Организуйте подписание и фиксацию факта согласия

Письменная форма по ст. 11 ФЗ-152 — это собственноручная подпись работника на бумажном документе или усиленная квалифицированная электронная подпись (УКЭП). Простая электронная подпись (ПЭП) через КЭДО для биометрии недостаточна: РКН и суды в 2024–2025 годах последовательно указывали, что требование письменной формы по ст. 11 означает собственноручную подпись или УКЭП.

Если компания ведёт КЭДО. ПДн в КЭДО регулируются по общим правилам ФЗ-152, но согласие на биометрию нельзя оформить через КЭДО с ПЭП. Либо собственноручная подпись на бумаге, либо УКЭП работника. Это дополнительный аргумент в пользу бумажного экземпляра в личном деле.

Фиксация факта подписания. Ведите журнал получения согласий на биометрию: дата, ФИО работника, отметка о вручении копии. Работник получает один экземпляр согласия на руки — это требование ст. 9 ФЗ-152.

При найме новых работников согласие подписывается до момента фактического занесения биометрического шаблона в СКУД. Последовательность: подписание → занесение данных → пропуск выдан. Нарушение порядка — нарушение ст. 5 ФЗ-152 (принцип законности обработки).

Если в компании СКУД по лицу уже работает, а согласия оформлялись в составе трудового договора или не оформлялись вовсе — риск штрафа по ч. 2 ст. 13.11 КоАП актуален прямо сейчас. Юристы DATUM подготовят комплект документов ОРД под ключ, включая согласия на биометрию, приказ о назначении ответственного и договор поручения с интегратором СКУД.

Собрать ОРД под ключ

Шаг 4. Настройте хранение и уничтожение биометрических данных

Биометрический шаблон хранится ровно столько, сколько действует цель его обработки — организация доступа. Как только работник увольняется или отзывает согласие, шаблон подлежит уничтожению. Срок уничтожения по ст. 21 ФЗ-152 — 30 дней с даты прекращения основания обработки.

Само согласие (бумажный документ) — другое. Оно хранится в личном деле работника. Роструд рекомендует хранить документы, связанные с трудовыми отношениями, не менее срока хранения личного дела. Типовой срок личного дела — 75 лет. Согласие служит доказательством правомерности обработки на случай проверки РКН или жалобы работника после увольнения.

Уничтожение шаблона при увольнении. Зафиксируйте факт уничтожения актом об уничтожении ПДн с указанием даты, ответственного, перечня уничтоженных данных и способа уничтожения (удаление из базы СКУД с подтверждением от интегратора). Акт — в личное дело.

«Ст. 21 ФЗ-152 — при достижении цели обработки или отзыве согласия оператор обязан уничтожить ПДн в течение 30 дней, если иное не установлено договором или законом.»

Шаг 5. Проверьте договор с интегратором СКУД

Интегратор СКУД, который хранит биометрические шаблоны на своих серверах, — обработчик по поручению оператора (ст. 6 ч. 3 ФЗ-152). Без письменного договора поручения работодатель-оператор несёт полную ответственность за любые действия интегратора с данными работников.

Договор поручения должен содержать: перечень действий с ПДн, разрешённых интегратору; обязанность соблюдать конфиденциальность; требование обеспечить технические меры защиты по уровню УЗ-3 (ПП РФ №1119 — биометрия без спецкатегорий при числе субъектов до 100 000 и угрозе 3-го типа); запрет передавать ПДн третьим лицам без согласования с оператором.

Локализация: биометрические шаблоны граждан РФ должны храниться на серверах в России (ч. 5 ст. 18 ФЗ-152). Уточните у интегратора физическое расположение серверов — если облако зарубежное, это нарушение локализации с штрафом по ч. 8 ст. 13.11 КоАП (1 000 000 — 6 000 000 ₽).

Что подготовить HR-департаменту

  • Отдельные письменные согласия на биометрию СКУД для всех работников — по реквизитам ст. 9 ФЗ-152 в ред. ФЗ-156.
  • Приказ о назначении ответственного за организацию обработки ПДн по ст. 22.1 ФЗ-152.
  • Договор поручения с интегратором СКУД, включающий требования по защите и локализации.
  • Регламент уничтожения биометрических данных при увольнении с формой акта уничтожения.
  • Журнал получения согласий на биометрию с отметками о вручении копии работнику.

Типовые ситуации: где HR-директора допускают ошибки

Ситуация 1. Согласие в трудовом договоре. Компания из Уральского ФО включила пункт о согласии на биометрию СКУД в типовую форму трудового договора (осень 2025). При плановой проверке РКН инспектор квалифицировал это как нарушение ст. 9 ФЗ-152 в ред. ФЗ-156: согласие не является отдельным документом. Составлен протокол по ч. 2 ст. 13.11 КоАП. Штраф для юрлица — в диапазоне нескольких сотен тысяч рублей. Стратегия исправления: немедленно вывести согласия в отдельные документы и подписать со всеми работниками заново.

Ситуация 2. Отказ работника и его последствия. HR-директор производственной компании (Приволжский ФО, начало 2026) отказал кандидату в оформлении из-за нежелания сдавать биометрию. Работник подал жалобу в РКН, указав на ст. 86 ТК РФ: работодатель не вправе требовать ПДн, обработка которых не предусмотрена законом как обязательная. РКН возбудил дело. Стратегия: при отказе от биометрии — альтернативный пропуск, отсутствие санкций для работника.

Ситуация 3. Интегратор хранит данные за рубежом. IT-компания (Центральный ФО, лето 2025) использовала облачный СКУД европейского провайдера. Биометрические шаблоны хранились на серверах в Германии. Нарушение ч. 5 ст. 18 ФЗ-152 влечёт штраф по ч. 8 ст. 13.11 КоАП — 1 000 000 — 6 000 000 ₽. Стратегия: до подключения облачного СКУД уточнить у провайдера юрисдикцию хранения данных и при необходимости перейти на отечественного интегратора.

Услуги DATUM по теме

Частые вопросы

1. Нужно ли переподписывать согласия работников после 01.09.2025?

Если согласие было оформлено до 01.09.2025 в виде отдельного документа и содержало все реквизиты ст. 9 ФЗ-152, переоформлять его не нужно — ФЗ-156 от 24.06.2025 не имеет обратной силы. Если же согласие было включено в трудовой договор, анкету или иной документ — оно не отвечает требованию отдельного документа и должно быть заменено. Применительно к биометрии СКУД: проверьте, не было ли согласие частью другого документа, и при наличии риска — переподпишите.

2. Какие данные нельзя спрашивать в анкете кандидата?

Ст. 86 ТК РФ запрещает требовать ПДн, не необходимые для исполнения трудового договора. Ст. 10 ФЗ-152 запрещает обрабатывать специальные категории (расовая принадлежность, здоровье, судимость, религиозные взгляды) без отдельного явного согласия или иного законного основания. В анкету кандидата нельзя включать: вопросы о состоянии здоровья (кроме случаев обязательного медосмотра), религиозных и политических взглядах, семейном положении (если не связано с льготами), членстве в профсоюзе.

3. Можно ли вести видеонаблюдение в офисе?

Видеонаблюдение допустимо при выполнении трёх условий: работник уведомлён о факте наблюдения (ст. 22.2 ТК РФ — введена с 2024 года), цель законна и соразмерна (контроль безопасности, фиксация инцидентов), локальный акт закрепляет порядок обработки. Если видеозапись используется для идентификации личности — это биометрия по ст. 11 ФЗ-152, требуется письменное согласие. Если лишь для охраны периметра без идентификации — достаточно уведомления.

4. Сколько хранить согласия после увольнения?

Согласие на биометрию хранится в личном деле работника. Типовой срок личного дела — 75 лет (для работников, занятых на работах с особыми условиями труда — 50 лет). Биометрический шаблон уничтожается в течение 30 дней с даты увольнения или отзыва согласия (ст. 21 ФЗ-152). Факт уничтожения фиксируется актом, который также хранится в личном деле.

5. Кто оператор при использовании КЭДО?

При использовании КЭДО через внешнюю платформу (например, сервис кадрового ЭДО) работодатель остаётся оператором ПДн работников — именно он определяет цели и состав обработки. Платформа КЭДО — обработчик по поручению (ст. 6 ч. 3 ФЗ-152). Договор поручения с платформой обязателен. Применительно к биометрии: КЭДО не снимает требование письменного согласия с УКЭП или собственноручной подписью для биометрических данных СКУД — ПЭП через КЭДО недостаточна.

6. Что делать, если работник отозвал согласие?

При отзыве согласия на биометрию работодатель обязан: уничтожить биометрический шаблон в течение 30 дней (ст. 21 ФЗ-152), обеспечить альтернативный способ доступа (пропуск, PIN-код) без каких-либо санкций для работника. Отзыв согласия не является основанием для дисциплинарного взыскания или отказа в допуске на рабочее место. Зафиксируйте дату получения заявления об отзыве и дату уничтожения шаблона в журнале.

Итог

Биометрия в СКУД по лицу — наиболее уязвимая зона HR-комплаенса по ФЗ-152: письменное согласие обязательно, отдельный документ с 01.09.2025 обязателен, договор поручения с интегратором обязателен, локализация данных в России обязательна. Каждый из этих элементов при отсутствии — самостоятельное основание для протокола РКН.

Практика DATUM в HR-сегменте показывает, что большинство нарушений выявляется не при инцидентах, а при плановых проверках Роскомнадзора: инспектор запрашивает согласия работников и договоры с подрядчиками в первый же день. Наличие актуального пакета ОРД сокращает риск штрафа с нескольких сотен тысяч рублей до нуля.

Смотрите также

АС
Анна Соколова
Партнёр · ПДн в HR
Партнёр практики DATUM по защите персональных данных в HR. Согласия работников по ст. 9 ФЗ-152 в ред. ФЗ-156, КЭДО, биометрия СКУД, зарплатные проекты, проверки РКН в HR-департаментах.

3 февраля 2027 года