справочник 14 августа 2026 По состоянию на 14 августа 2026

Записи видеонаблюдения как ПДн: 3 ситуации

Видеозапись с изображением лица человека — это персональные данные по ст. 3 ФЗ-152, если позволяет идентифицировать конкретного субъекта.

С 30.05.2025 за утечку видеозаписей с ПДн от 1 000 субъектов грозит штраф от 3 до 15 млн ₽ по ч. 12–14 ст. 13.11 КоАП; при повторности — оборотный штраф до 500 млн ₽ по ч. 15.

→ Если вы юрист и проверяете комплаенс по видеонаблюдению — разберите три ключевые ситуации и проверьте, какое правовое основание прикрывает каждую из них.

Видеонаблюдение в офисе, магазине или на производстве — типичный источник правовой неопределённости. Юристы сталкиваются с тремя разными правовыми режимами в зависимости от того, кто попадает в кадр, как записи хранятся и кому передаются. Ст. 3 ФЗ-152 относит изображение к ПДн, если оно идентифицирует субъекта. Ст. 11 ФЗ-152 выделяет биометрические ПДн в отдельную категорию с повышенными требованиями. Ниже — три ситуации с разбором правового основания, обязанностей оператора и санкций.

Что такое персональные данные применительно к видеозаписям?

Персональные данные по ст. 3 ФЗ-152 — любая информация, относящаяся к прямо или косвенно определённому физическому лицу. Видеозапись, на которой различимо лицо человека и можно установить его личность, подпадает под это определение. Записи с нечитаемыми лицами, охватывающие только территорию без людей, ПДн не являются.

Биометрические персональные данные по ст. 11 ФЗ-152 — физиологические и биологические особенности человека, позволяющие установить его личность. Изображение лица становится биометрическими ПДн в момент, когда оператор использует его для идентификации субъекта — например, запускает систему распознавания лиц. До этого момента запись остаётся «обычными» ПДн.

«Ст. 3 ФЗ-152: персональные данные — любая информация, относящаяся прямо или косвенно к определённому или определяемому физическому лицу (субъекту ПДн). Ст. 11 ФЗ-152: биометрические ПДн обрабатываются только с письменного согласия субъекта, кроме случаев, предусмотренных п. 2 той же статьи.»

Оператор персональных данных по ст. 3 ФЗ-152 — организация или физическое лицо, самостоятельно или совместно с другими определяющее цели и состав обработки ПДн. Компания, установившая камеры и хранящая записи, — оператор. Подрядчик по охране, которому переданы записи, — лицо, осуществляющее обработку по поручению (ч. 3 ст. 6 ФЗ-152).

Ситуация 1. Видеонаблюдение за работниками в офисе или на производстве

Правовой режим. Запись сотрудников на рабочем месте — обработка ПДн на основании п. 5 ч. 1 ст. 6 ФЗ-152 (исполнение трудового договора) в совокупности со ст. 86–88 ТК РФ. Работодатель вправе обрабатывать ПДн работника в объёме, необходимом для выполнения трудовых обязанностей. Отдельное согласие по ст. 9 ФЗ-152 в этом случае не требуется, если видеонаблюдение преследует законную цель — охрану труда или контроль производственного процесса.

Обязанности оператора. До начала видеонаблюдения работников нужно уведомить об обработке их ПДн (ст. 18.1 ФЗ-152). Факт наблюдения фиксируется в локальном нормативном акте (ЛНА): приказе или положении о видеонаблюдении. Работник знакомится с ЛНА под роспись. Политика обработки ПДн должна содержать раздел о видеозаписях: цель, срок хранения, список лиц с доступом.

Риски. Если видеозаписи используются для распознавания лиц (например, контроль входа), они переходят в категорию биометрических ПДн по ст. 11 ФЗ-152. В этом случае требуется отдельное письменное согласие каждого работника. Без него — нарушение ч. 2 ст. 13.11 КоАП, штраф для юрлица 300 000–700 000 ₽.

Проверяете комплаенс по видеонаблюдению в компании?

Видеозаписи охватывают сразу три правовых режима: трудовые отношения, биометрия и публичный доступ. Ошибка в квалификации — и оператор без согласия обрабатывает биометрические ПДн. По ч. 2 ст. 13.11 КоАП это до 700 000 ₽ за каждое нарушение. Юристы DATUM проведут аудит обработки ПДн по чек-листу из 38 пунктов и выдадут отчёт с приоритизированным планом устранения нарушений.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Ситуация 2. Видеонаблюдение в торговом зале или общественном месте

Правовой режим. Запись посетителей магазина, офиса или иного места с публичным доступом — обработка ПДн на основании п. 7 ч. 1 ст. 6 ФЗ-152: обработка необходима для осуществления законных интересов оператора (охрана собственности, безопасность) при условии, что эти интересы не нарушают права субъектов. Согласие посетителя не требуется, если зона наблюдения обозначена соответствующими знаками.

Принципы ст. 5 ФЗ-152. Оператор обязан соблюдать принцип минимизации: хранить записи не дольше, чем требует цель наблюдения. Типовой срок — 30 суток. Хранение сверх цели нарушает п. 7 ч. 1 ст. 5 ФЗ-152. Записи нельзя использовать для иных целей, несовместимых с охраной объекта (например, для таргетированной рекламы), — это нарушает принцип ограничения цели по п. 2 ч. 1 ст. 5 ФЗ-152.

Передача подрядчику. Если записи передаются охранной организации или сервисному центру видеонаблюдения, необходимо оформить поручение на обработку ПДн по ч. 3 ст. 6 ФЗ-152. Без поручения подрядчик обрабатывает ПДн как самостоятельный оператор, что нарушает ч. 1 ст. 6 ФЗ-152 — обработка без надлежащего правового основания. Штраф по ч. 1 ст. 13.11 КоАП — 150 000–300 000 ₽.

Что подготовить для видеонаблюдения в торговом зале

Приказ о введении видеонаблюдения с указанием цели, зон охвата и сроков хранения записей
Договор-поручение с охранной организацией или провайдером видеосервиса (ч. 3 ст. 6 ФЗ-152)
Информационные знаки о ведении видеонаблюдения на входе в зону
Раздел о видеозаписях в политике обработки ПДн (ч. 2 ст. 18.1 ФЗ-152)
Журнал учёта доступа к записям с датой, должностью и целью просмотра

Ситуация 3. Системы распознавания лиц: биометрические ПДн и повышенные требования

Смена категории. Как только оператор применяет программное обеспечение для идентификации личности по изображению лица, запись переходит из «обычных» ПДн в биометрические по ст. 11 ФЗ-152. Это меняет весь правовой режим: основание обработки — письменное согласие субъекта (ч. 1 ст. 11 ФЗ-152), а не законный интерес или трудовой договор.

Требования к согласию. Согласие на обработку биометрических ПДн — отдельный письменный документ с реквизитами ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025: ФИО субъекта, наименование оператора, цель, перечень биометрических данных, перечень действий, срок и способ отзыва. С 01.09.2025 это согласие не может быть включено в состав трудового договора, политики или оферты.

Санкции специально для биометрии. Обработка биометрических ПДн без письменного согласия — нарушение ч. 16 ст. 13.11 КоАП. Утечка биометрических ПДн — ч. 17 ст. 13.11 КоАП, штраф для юрлица 15 000 000–20 000 000 ₽. Повторное нарушение по ч. 16 или ч. 17 — оборотный штраф по ч. 18 ст. 13.11: 1–3% совокупной годовой выручки, не более 500 млн ₽. Параллельно возможна уголовная ответственность по ст. 272.1 УК РФ (введена ФЗ-421 от 30.11.2024, действует с 11.12.2024): за незаконный сбор биометрических ПДн — до 10 лет лишения свободы по ч. 5 при тяжких последствиях.

Если в компании установлены системы распознавания лиц и согласия работников или посетителей не переоформлены под требования ФЗ-156 — с 01.09.2025 каждая запись создаёт основание для штрафа по ч. 16 ст. 13.11 КоАП. Юристы DATUM соберут пакет ОРД под ключ, включая согласия на биометрию.

Собрать ОРД под ключ

Типовые ситуации: сценарии и исходы

Сценарий 1. Офис подключил СКУД с распознаванием лиц без согласий. Компания установила турникеты с камерами и программой идентификации. Согласий работников на биометрию нет — система настроена как «технический контроль». При проверке РКН квалифицирует обработку как биометрическую по ст. 11 ФЗ-152. Нарушение ч. 16 ст. 13.11 КоАП. Стратегия: до проверки — получить письменные согласия по обновлённой форме ст. 9 ФЗ-152, внести биометрию в уведомление реестра РКН, закрепить в ЛНА. Если проверка уже идёт — юрист фиксирует формальные недостатки протокола для последующего обжалования.

Сценарий 2. Торговая сеть передала видеоархив облачному сервису без поручения. Видеозаписи посетителей хранятся на серверах зарубежного облачного провайдера. Поручение на обработку не оформлено. Если серверы находятся за пределами России — нарушение ч. 5 ст. 18 ФЗ-152 (локализация ПДн граждан РФ). Штраф по ч. 8 ст. 13.11 КоАП — 1 000 000–6 000 000 ₽. Стратегия: перевести первичное хранение на российскую инфраструктуру, оформить поручение с зарубежным провайдером как с обработчиком по ч. 3 ст. 6 ФЗ-152 и уведомить РКН о трансграничной передаче по ст. 12 ФЗ-152.

Сценарий 3. Запись уволенного работника хранится свыше цели. Компания хранит видеоархив по всем сотрудникам за 5 лет «на всякий случай». Уволенный работник направил требование об уничтожении его ПДн. Оператор обязан рассмотреть требование в течение 10 рабочих дней (ст. 20 ФЗ-152) и уничтожить данные, цель хранения которых утрачена (п. 7 ч. 1 ст. 5 ФЗ-152). Неисполнение — нарушение ч. 5 ст. 13.11 КоАП, штраф 50 000–90 000 ₽; повторно — ч. 5.1, штраф 300 000–500 000 ₽.

Частые вопросы

1. Что считается обработкой ПДн по 152-ФЗ?

Обработка ПДн по ст. 3 ФЗ-152 — любое действие с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, удаление или уничтожение. Видеосъёмка — это сбор и запись ПДн. Хранение видеоархива — накопление и хранение. Просмотр записи сотрудником охраны — извлечение и использование. Все эти действия образуют обработку и влекут обязанности оператора по ФЗ-152.

2. На основании чего можно обрабатывать ПДн с видеозаписей?

Для работников — п. 5 ч. 1 ст. 6 ФЗ-152 (исполнение трудового договора) при наличии уведомления в ЛНА. Для посетителей публичных мест — п. 7 ч. 1 ст. 6 (законные интересы оператора) при обозначении зоны наблюдения. Для биометрической идентификации — только письменное согласие по ч. 1 ст. 11 ФЗ-152. Смешивать основания нельзя: трудовой договор не прикрывает биометрию.

3. Что грозит за нарушение 152-ФЗ при видеонаблюдении?

Диапазон санкций широк. Обработка без надлежащего основания — ч. 1 ст. 13.11 КоАП, штраф 150 000–300 000 ₽. Биометрия без согласия — ч. 16 ст. 13.11. Утечка биометрических ПДн — ч. 17, штраф 15–20 млн ₽. Нарушение локализации (хранение за рубежом) — ч. 8 ст. 13.11, штраф 1–6 млн ₽. Незаконное использование биометрии с тяжкими последствиями — ст. 272.1 УК РФ, до 10 лет лишения свободы.

4. Нужно ли уведомлять РКН о видеонаблюдении?

Да, если видеонаблюдение является автоматизированной обработкой ПДн и не подпадает под исключения ч. 2 ст. 22 ФЗ-152. Большинство корпоративных систем видеонаблюдения не подпадают под исключения — оператор обязан подать уведомление через pd.rkn.gov.ru до начала обработки (ст. 22 ФЗ-152). Неуведомление — штраф 100 000–300 000 ₽ по ч. 10 ст. 13.11 КоАП. Биометрическая обработка всегда требует уведомления и отдельного раздела в реестре.

Итог

Видеозаписи — это ПДн с момента, когда они идентифицируют человека. Три правовых режима зависят от субъекта (работник или посетитель) и способа обработки (хранение или распознавание). Биометрическая идентификация — повышенный режим с письменным согласием, отдельным уведомлением в РКН и санкциями до 20 млн ₽ за утечку. Поручение подрядчику и соблюдение локализации — обязательные условия при любом облачном хранении.

Юристы DATUM сопровождают операторов, использующих видеонаблюдение: от аудита правового основания до оформления поручений и биометрических согласий под требования ФЗ-156.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка правового основания видеонаблюдения, биометрии и поручений
Комплект ОРД под ключ — положение о видеонаблюдении, согласия на биометрию, договор-поручение
DPO-аутсорсинг — ответы на запросы субъектов и сопровождение обработки ПДн

ИБ

Игорь Беляев

Партнёр · РКН и арбитраж

Партнёр практики DATUM. Специализация — уведомления и проверки РКН, обжалование протоколов по ст. 13.11 КоАП (ред. ФЗ-420 от 30.11.2024), защита от оборотных штрафов с 30.05.2025. Подсудность после ФЗ-508 от 28.12.2025 — мировые судьи.

14 августа 2026 года