аналитика 14 февраля 2027 По состоянию на 14 февраля 2027

Согласие на сдачу биометрии в ЕБС

Согласие на размещение биометрических данных в Единой биометрической системе — это отдельный письменный документ, без которого любая обработка изображения лица или записи голоса клиента незаконна по ст. 11 ФЗ-152.

С 30.05.2025 штраф за нарушение требований к биометрическому согласию — от 300 000 до 700 000 ₽ по ч. 2 ст. 13.11 КоАП; при повторении — 1–1,5 млн ₽. Утечка биометрии влечёт 15–20 млн ₽ по ч. 17 той же статьи.

→ Если вы финдиректор финтех-компании, банка или МФО и не уверены, что форма согласия соответствует ФЗ-572 и актуальному ФЗ-152, — прочитайте этот материал до того, как РКН придёт с проверкой.

Обязательная идентификация через ЕБС затронула банки, МФО, страховщиков и платёжных агентов. С 01.06.2023 исходная биометрия не может храниться вне ЕБС — оператор АО «Центр Биометрических Технологий» принимает и хранит шаблоны. Но прежде чем передать данные, организация обязана получить согласие клиента. Именно это согласие стало основным источником нарушений: финансовые организации используют старые, «встроенные» в договор формы, не отвечающие требованиям ни ФЗ-572, ни ФЗ-152 в редакции с 01.09.2025. Ниже — что именно должно быть в согласии, какие риски возникают при ошибках и как финдиректор может оценить стоимость проблемы.

Что такое согласие на сдачу биометрии в ЕБС и чем оно отличается от обычного?

Биометрические персональные данные — особая категория по ст. 11 ФЗ-152: изображение лица и запись голоса, используемые для идентификации личности. Общее правило — обработка таких данных допустима только с письменного согласия субъекта, если нет прямого исключения в законе. ФЗ-572 от 29.12.2022 установил для ЕБС специальный порядок: клиент даёт согласие на размещение биометрического шаблона в государственной информационной системе, а банк или МФО выступает агентом сбора, но не хранит исходные данные у себя.

Ключевое отличие от «обычного» согласия по ст. 9 ФЗ-152 — три уровня требований. Первый: письменная форма обязательна, электронный аналог допустим только с усиленной квалифицированной электронной подписью или через портал Госуслуг. Второй: согласие должно быть отдельным документом — с 01.09.2025 по ФЗ-156 объединять его с договором банковского счёта или офертой нельзя. Третий: перечень обязательных реквизитов включает цель передачи в ЕБС, перечень биометрических характеристик, наименование оператора ЕБС (АО «ЦБТ») и порядок отзыва.

«Ст. 11 ФЗ-152 — обработка биометрических ПДн без письменного согласия субъекта запрещена, если специальная норма федерального закона не устанавливает иное. ФЗ-572 специальной нормой не отменяет согласие — он определяет, куда и как биометрия передаётся.»

Для МФО ситуация сложнее: закон об идентификации клиентов по 115-ФЗ допускает удалённую идентификацию через ЕБС, но не обязывает клиента предоставлять биометрию. Это означает, что МФО не вправе отказать в обслуживании тому, кто не захотел сдавать биометрию. Нарушение этого запрета — штраф по ч. 8 ст. 14.8 КоАП (введена ФЗ-420), до 500 тыс. ₽ для юридического лица.

Какие реквизиты должны быть в согласии на размещение биометрии в ЕБС?

Ст. 9 ФЗ-152 в редакции с 01.09.2025 (ФЗ-156) устанавливает минимальный состав любого согласия на обработку ПДн. Для биометрии этот состав расширяется требованиями ФЗ-572 и подзаконными актами Банка России в части идентификации. Финдиректор, проверяющий комплаенс, должен убедиться, что форма согласия содержит все обязательные элементы.

Обязательные реквизиты согласия на биометрию в ЕБС

Полные наименование и адрес организации-сборщика (банк, МФО, МФЦ), которая передаёт биометрию в ЕБС
Наименование оператора ЕБС — АО «Центр Биометрических Технологий» с указанием его функции как получателя данных
Перечень биометрических характеристик: изображение лица и (или) голосовой слепок — конкретно, без обобщений
Цель обработки: удалённая идентификация через ЕБС при обращении за финансовыми (иными) услугами
Срок действия согласия и порядок его отзыва — с указанием, куда подавать заявление на отзыв

Отдельного внимания заслуживает требование об отзыве. Клиент вправе отозвать согласие в любой момент (ст. 9 ч. 2 ФЗ-152). При этом организация обязана прекратить обработку и направить запрос в ЕБС на удаление шаблона. Срок — 7 рабочих дней с даты поступления заявления. Если форма согласия не содержит механизма отзыва или содержит усложнённый порядок — это самостоятельное нарушение ч. 2 ст. 9 ФЗ-152.

Согласие встроено в договор или оферту — что делать финдиректору?

Если форма согласия на биометрию у вас объединена с договором банковского счёта, кредитным договором или публичной офертой — с 01.09.2025 это нарушение ФЗ-156. Штраф по ч. 2 ст. 13.11 КоАП — от 300 000 до 700 000 ₽ за каждый случай. При повторном нарушении — 1–1,5 млн ₽. Переделать формы до проверки РКН дешевле. Юристы DATUM проведут аудит обработки ПДн по чек-листу из 38 пунктов и выдадут отчёт с приоритизированным планом устранения нарушений.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Как соотносятся согласие по ФЗ-572 и скоринг по ст. 16 ФЗ-152?

Ст. 16 ФЗ-152 регулирует автоматизированные решения, которые влекут правовые последствия для субъекта — в частности, отказ в кредите или изменение его условий на основе скоринга. Оператор обязан уведомить субъекта о таком решении и по его запросу объяснить логику автоматизированной обработки. Отказ от предоставления биометрии не может быть автоматическим основанием для отказа в кредите: это создаёт дискриминационный эффект, прямо запрещённый ч. 8 ст. 14.8 КоАП.

На практике в банках и МФО возникает коллизия: скоринговая модель присваивает более высокий риск клиентам без биометрии в ЕБС, что косвенно снижает вероятность одобрения. Регулятор — Банк России в части НПС и Роскомнадзор в части ПДн — трактуют такую практику как обход запрета. Банки, получившие запрос от РКН по этому основанию, вынуждены доказывать, что скоринговая переменная не связана с фактом наличия или отсутствия биометрии в ЕБС, а отражает иные факторы идентификационного риска.

Для МФО проблема острее: у них меньше ресурсов для комплаенса, а доля удалённых выдач выше. По статистике РКН за 2024 год зафиксировано более 135 утечек с более чем 710 млн записей — значительная часть приходится на финансовый сектор. Утечка биометрических данных из МФО квалифицируется по ч. 17 ст. 13.11 КоАП — штраф 15–20 млн ₽, что для МФО среднего масштаба критично.

«Ст. 16 ФЗ-152 — оператор, принимающий автоматизированное решение с правовыми последствиями для субъекта, обязан по его запросу раскрыть основания такого решения и предоставить возможность оспорить его у уполномоченного лица.»

Какие сценарии нарушений встречаются чаще всего в финтехе?

На основе практики взаимодействия с РКН и судебных дел по ст. 13.11 КоАП можно выделить три типовых сценария для финансовых организаций.

Сценарий 1. Согласие объединено с договором. Банк включил формулировку о согласии на биометрию в стандартный договор банковского обслуживания, который клиент подписывает при открытии счёта. До 01.09.2025 это создавало правовой риск, после — прямое нарушение ФЗ-156. Роскомнадзор квалифицирует такие случаи по ч. 2 ст. 13.11 КоАП. Доказательная база — сам договор и журнал согласий. Стратегия: немедленно вывести согласие в отдельный документ, провести ретроспективное переоформление для активных клиентов через личный кабинет или отделение. Цена промедления — штраф на каждое из нескольких тысяч согласий при массовой проверке.

Сценарий 2. МФО принуждает к биометрии. МФО не принимает заявку на микрозаём без прохождения биометрической идентификации через ЕБС, хотя альтернативные способы установления личности (СНИЛС + паспортные данные) технически доступны. Клиент жалуется в РКН или Банк России. Возбуждается дело по ч. 8 ст. 14.8 КоАП — штраф до 500 тыс. ₽. Доказательства: скриншоты интерфейса, показания заявителя, технический регламент МФО. Стратегия: внедрить альтернативный маршрут идентификации в интерфейсе до момента проверки.

Сценарий 3. Утечка биометрии через подрядчика. Банк передал функцию первичной обработки биометрического изображения сторонней IT-компании (поручение обработки по п. 3 ст. 6 ФЗ-152). Подрядчик допустил утечку. По устоявшейся позиции, оператор отвечает за утечку через подрядчика наравне с ним — поручение обработки не снимает ответственности. Квалификация — ч. 17 ст. 13.11 КоАП (15–20 млн ₽) плюс возможная уголовная ответственность по ст. 272.1 УК РФ (введена с 11.12.2024) для конкретных должностных лиц. Стратегия: до заключения договора с подрядчиком провести DPIA, прописать обязательства по ИБ согласно Приказу ФСТЭК №21, установить обязанность уведомления в течение 2 часов с момента обнаружения инцидента.

Если финдиректор видит, что договоры с подрядчиком по биометрии не содержат требований ИБ, — это риск ч. 17 ст. 13.11 КоАП (15–20 млн ₽) уже сегодня. Срок устранения — до следующей плановой проверки РКН или первого инцидента, что наступит раньше. Юристы DATUM подготовят комплект ОРД, включая договор-поручение с требованиями ФСТЭК.

Собрать ОРД под ключ

Как это выглядит на практике: два кейса

Кейс 1. Региональный банк (Уральский ФО, осень 2025) использовал форму согласия на биометрию, встроенную в договор банковского счёта, с 2022 года. После вступления в силу ФЗ-156 с 01.09.2025 РКН провёл внеплановую проверку по жалобе клиента. Протокол составлен по ч. 2 ст. 13.11 КоАП. Банк представил доказательства того, что новая форма согласия разработана, утверждена и введена в действие ещё до получения уведомления о проверке. Мировой судья снизил штраф до нижней границы диапазона, применив смягчающие обстоятельства. Финансовые потери составили сотни тысяч рублей — включая расходы на юридическое сопровождение.

Кейс 2. МФО (Центральный ФО, начало 2026) получила жалобу от клиента на отказ принять заявку без прохождения биометрии. Банк России направил материалы в РКН. Дело квалифицировано по ч. 8 ст. 14.8 КоАП. МФО не имела альтернативного маршрута идентификации в своей системе — технические изменения потребовали нескольких недель. Штраф назначен в диапазоне до 500 тыс. ₽. Параллельно РКН инициировал проверку комплекта ОРД: отсутствовала актуальная политика обработки ПДн по ст. 18.1 ФЗ-152 — дополнительный штраф по ч. 3 ст. 13.11 (30–60 тыс. ₽).

Частые вопросы

1. Можно ли отказать клиенту без биометрии?

Нет. Ч. 8 ст. 14.8 КоАП, введённая ФЗ-420 от 30.11.2024, прямо запрещает отказывать в обслуживании потребителю, который не предоставил биометрию для ЕБС. Банк или МФО обязаны предложить альтернативный способ идентификации — по паспорту, СНИЛС или иным предусмотренным законом методам. Штраф за нарушение — до 500 тыс. ₽ для юридического лица. Исключение: если конкретная услуга по закону может предоставляться исключительно при биометрической идентификации — такие случаи единичны и прямо перечислены в отраслевых законах.

2. Что грозит МФО за утечку биометрических данных?

Утечка биометрических ПДн квалифицируется по ч. 17 ст. 13.11 КоАП — штраф 15–20 млн ₽ для юридического лица. При повторном нарушении применяется оборотный штраф по ч. 18: 1–3% совокупной годовой выручки, не менее установленного законом минимума и не более 500 млн ₽. Помимо административной ответственности, с 11.12.2024 действует ст. 272.1 УК РФ: незаконные сбор, хранение или передача компьютерной информации, содержащей ПДн, могут повлечь уголовную ответственность должностных лиц — до 10 лет лишения свободы по ч. 5 при тяжких последствиях.

3. Какое правовое основание для обработки биометрии в банке?

Основание — письменное согласие субъекта по ст. 11 ФЗ-152 в сочетании с ФЗ-572. Исполнение обязанности по идентификации клиента по 115-ФЗ само по себе не заменяет согласие на биометрию: 115-ФЗ устанавливает обязанность идентифицировать клиента, но не обязывает использовать биометрический способ идентификации как единственный. Договорное основание (п. 5 ч. 1 ст. 6 ФЗ-152) здесь неприменимо — обработка биометрии выходит за рамки исполнения условий договора банковского счёта.

4. Где физически хранится биометрия после сдачи в ЕБС?

Биометрические шаблоны хранятся в ГИС ЕБС, оператором которой является АО «Центр Биометрических Технологий». С 01.06.2023 банкам и иным агентам сбора запрещено хранить исходные биометрические данные у себя — они обязаны передать шаблон в ЕБС и уничтожить локальную копию. Нарушение этого требования — самостоятельный состав по ст. 11 ФЗ-152 и ч. 16 ст. 13.11 КоАП. Данные в ЕБС также подпадают под требования ч. 5 ст. 18 ФЗ-152 о локализации — ЕБС размещена на серверах в Российской Федерации.

5. Как клиент может оспорить отказ в кредите, если скоринг учитывал биометрию?

По ст. 16 ФЗ-152 субъект вправе потребовать от оператора объяснения автоматизированного решения и возможности оспорить его у уполномоченного сотрудника. Если клиент полагает, что отказ в кредите связан с отсутствием биометрии в ЕБС, он вправе подать жалобу в Роскомнадзор и Банк России одновременно. РКН проверяет соответствие обработки ПДн требованиям ФЗ-152; Банк России — соблюдение НПС и антидискриминационных норм. Срок ответа оператора на запрос субъекта по ст. 20 ФЗ-152 — 10 рабочих дней.

Итог

Согласие на сдачу биометрии в ЕБС — не технический документ, а зона регуляторного риска с прямой финансовой оценкой. Ошибки в форме согласия, принуждение к биометрии и недостатки договора с подрядчиком суммируются в штрафы от 300 тыс. до 20 млн ₽ по ст. 13.11 КоАП, а при повторных нарушениях — в оборотный штраф по ч. 18.

Практика DATUM охватывает аудит биометрического комплаенса в банках, МФО и платёжных агентах, разработку форм согласия под требования ФЗ-572 и ФЗ-156, а также сопровождение при проверках РКН по вопросам обработки биометрических ПДн.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка форм согласия, ОРД и договоров с подрядчиками
Комплект ОРД под ключ — политика, согласия, приказы, регламент реагирования на инциденты
Защита при штрафе в арбитраже — обжалование протоколов и постановлений по ч. 2, ч. 17 ст. 13.11

СЛ

Сергей Лобанов

Аналитик · Финансовый сектор

Аналитик DATUM по финансовому сектору. Специализация — ПДн в банках, МФО, БКИ по 218-ФЗ, скоринг и автоматизированные решения по ст. 16 152-ФЗ, биометрия в ЕБС (572-ФЗ), отказ от биометрии по ч. 8 ст. 14.8 КоАП.

14 февраля 2027 года

Есть вопросы по биометрическому комплаенсу или согласиям для ЕБС?