Дисклеймер: Статья носит информационный характер и не является юридической консультацией. Актуальность: апрель 2026 года. Законодательство о биометрических данных активно развивается — уточняйте актуальные требования у специалиста перед внедрением системы.

Почему биометрия стала проблемой для бизнеса прямо сейчас

В 2024–2025 годах в Россию пришла волна «биометрических» технологий: турникеты с Face ID в офисах, камеры с распознаванием лиц в ритейле, голосовые помощники в колл-центрах, Face Pay в супермаркетах. Системы дешевеют, интеграция упрощается — и многие компании подключают их, не задумываясь о правовых последствиях.

Между тем согласно ст. 11 Федерального закона № 152-ФЗ «О персональных данных», биометрические данные — это особая категория, которая обрабатывается только при наличии письменного согласия субъекта. Не обычного чекбокса на сайте, а отдельного документа с собственноручной или усиленной квалифицированной электронной подписью.

Роскомнадзор в 2025–2026 годах сделал биометрию одним из приоритетных направлений проверок. По данным РКН, в 2025 году было возбуждено более 200 дел в отношении операторов, применявших биометрические системы без надлежащего правового оформления. Штрафы — от 100 000 до 500 000 ₽ за каждый эпизод, а при массовом нарушении — оборотные санкции.

Если ваша компания использует или планирует использовать любую из следующих технологий — эта статья обязательна к прочтению:

  • Системы контроля и управления доступом (СКУД) с распознаванием лиц
  • Видеонаблюдение с идентификацией личности (не просто запись, а именно сопоставление с базой)
  • Голосовые помощники и системы, распознающие конкретного человека по голосу
  • Оплата по лицу (Face Pay) — в магазинах, банках, общепите
  • Системы контроля эмоций сотрудников или покупателей
  • HR-системы с анализом внешности кандидатов

Что такое биометрические данные по российскому праву

Статья 11 152-ФЗ даёт следующее определение: биометрические персональные данные — это сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность.

Что однозначно является биометрией:

  • Изображение лица (фотография для идентификации, не просто хранения)
  • Отпечатки пальцев (дактилоскопия)
  • Сетчатка и радужная оболочка глаза
  • Геометрия руки или ладони
  • Голос (при использовании для верификации личности)
  • ДНК-данные
  • Рисунок вен
  • Термограмма лица

Ключевой нюанс: фото ≠ биометрия автоматически

Здесь многие совершают ошибку. Само по себе хранение фотографии сотрудника в личном деле — это не обработка биометрических данных в смысле ст. 11. Фотография становится биометрическими данными только тогда, когда используется для автоматической идентификации личности — то есть когда камера или система сравнивает лицо с базой и выдаёт результат «это конкретный человек».

Аналогично: запись голоса для архива (например, запись звонка в колл-центре) — это не биометрия. Но если система автоматически определяет, кто звонит, по голосу — это уже биометрические данные.

Согласно позиции Роскомнадзора (письмо от 10.02.2023 № 09-45):

Обработка фотографических изображений граждан в системах контроля доступа, когда принятие решения о предоставлении доступа осуществляется на основе автоматического сопоставления биометрических характеристик, является обработкой биометрических персональных данных.

Единая биометрическая система (ЕБС): что это и зачем

ЕБС — государственная биометрическая платформа, созданная по Федеральному закону № 572-ФЗ «Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных». Оператор системы — ООО «Центр биометрических технологий» (ЦБТ), подконтрольное государству.

Для каких целей используется ЕБС:

  • Удалённое открытие банковских счетов без визита в отделение
  • Госуслуги с биометрической аутентификацией
  • Получение квалифицированной электронной подписи
  • Удалённая сдача экзаменов (в том числе ЕГЭ и профессиональных)
  • Оплата в метро «по лицу» (московский проект «Оплата взглядом»)

Что должны знать банки и госсервисы:

Банки обязаны предоставить клиентам возможность сдачи биометрии для внесения в ЕБС, но не могут принуждать к этому. При сдаче биометрии клиент подписывает специальное согласие, которое можно в любой момент отозвать через Госуслуги.

С апреля 2025 года ЕБС поддерживает трёхфакторную идентификацию: лицо + голос + номер телефона. Это более высокий уровень доверия, который открывает доступ к сервисам с повышенными требованиями безопасности.

Коммерческий бизнес и ЕБС:

Коммерческие компании могут подключиться к ЕБС как к платформе идентификации — для биометрических платёжных сервисов, доступа к сервисам без пароля и т.д. Это требует заключения договора с ЦБТ и соответствия техническим требованиям. Использование ЕБС не освобождает от обязанности получить согласие субъекта — оно только меняет формат: вместо вашего согласия работает согласие, данное при регистрации в ЕБС.

Когда бизнесу реально нужна биометрия: 5 кейсов

Кейс 1: СКУД с распознаванием лиц

Офисные турникеты, проходные на производстве, шлагбаумы — всё чаще вместо карточек используется лицо сотрудника. Удобно: карточку можно забыть или потерять, лицо — нет.

Правовой статус: обработка биометрических данных (ст. 11 152-ФЗ).

Что требуется:

  • Письменное согласие каждого сотрудника (ст. 11 ч. 1)
  • Приказ о введении системы биометрической идентификации
  • Регламент обработки биометрических данных
  • Регистрация в РКН как оператора биометрических данных
  • Меры защиты по приказу ФСТЭК № 21

Важно: отказ сотрудника от биометрической идентификации не может быть основанием для увольнения или иных санкций. Работодатель обязан обеспечить альтернативный способ доступа (пропуск, ПИН-код).

Кейс 2: Видеонаблюдение с идентификацией в ритейле

Крупные торговые сети устанавливают системы, которые не просто записывают видео, но автоматически сверяют лица покупателей с базами «нежелательных лиц» (воры, мошенники) или постоянных клиентов для персонализации предложений.

Правовой статус: ключевой вопрос — есть ли автоматическая идентификация?

  • Обычные камеры наблюдения (запись без идентификации) → не биометрия
  • Камеры с распознаванием лиц и сопоставлением с базой → биометрия, нужно согласие

Проблема ритейла: получить согласие случайного покупателя практически невозможно. Поэтому большинство систем распознавания лиц в российском ритейле работают незаконно. Штрафы уже применяются: в 2025 году несколько крупных сетей получили предписания РКН.

Законный вариант: идентификация участников программы лояльности — они дали согласие при регистрации. Всех остальных — только обезличенное видеонаблюдение.

Кейс 3: Face Pay в магазине или кафе

Клиент регистрирует лицо, привязывает к карте — и платит без карты и телефона. Технология активно продвигается Сбербанком («СберFace Pay»), внедряется в сетях общепита.

Правовой статус: обработка биометрических данных + финансовая операция.

Что требуется:

  • Однозначное информированное согласие при регистрации (через мобильное приложение или терминал)
  • Возможность отозвать согласие в любой момент с немедленным прекращением обработки
  • Шифрование биометрических шаблонов
  • Договор с платёжной системой о разграничении ответственности
  • Уведомление РКН с указанием биометрии как категории обрабатываемых данных

Кейс 4: Голосовые помощники и верификация по голосу

Колл-центры и сервисные службы всё чаще используют голосовую биометрию: система автоматически определяет, кто звонит, и подтягивает историю клиента ещё до того, как оператор снял трубку.

Правовой статус: если система идентифицирует конкретного человека по голосу — это биометрические данные.

Разграничение:

  • «Запись разговора ведётся» → не биометрия (просто запись)
  • «Голос используется для верификации личности клиента» → биометрия, нужно согласие

Что требуется:

  • Явное информирование клиента до начала разговора: «Для верификации используется голосовая биометрия»
  • Возможность отказаться и пройти иную идентификацию (кодовое слово, СНИЛС и т.д.)
  • Письменное (или электронное с УКЭП) согласие

Кейс 5: HR-системы с анализом кандидатов

Некоторые платформы для видеоинтервью предлагают анализ «эмоций», «стресса», «вовлечённости» кандидата по видеозаписи. По сути — это обработка биометрических данных с попыткой сделать психологические выводы.

Правовой статус: двойная проблема: биометрические данные (лицо) + специальные категории (психологический профиль как proxy для данных о личности).

РКН в 2025 году прямо предупредил, что подобные системы требуют согласия кандидата на обработку биометрических и специальных категорий персональных данных, а также оценки рисков перед их применением.

Таблица: тип биометрии → требования → документы

Тип использованияПравовая основаОбязательные документыАльтернатива без биометрии
СКУД (пропуск по лицу)Ст. 11 152-ФЗ, трудовые отношенияСогласие сотрудника, приказ, регламент, ИСПДнКарточка-пропуск, ПИН
Face Pay (оплата по лицу)Ст. 11, договор с ПССогласие клиента в приложении, договор с процессингомКарта, телефон
Распознавание лиц (база нежелательных)Ст. 11Согласие невозможно без регистрации → риск нарушенияОписание, ЧОП
Голосовая верификацияСт. 11Информирование, согласие, отказ от биометрииКодовое слово
Видеозапись без идентификацииСт. 6 (законный интерес / безопасность)Уведомление «ведётся видеозапись», срок хранения
ЕБС (банк, госсервис)ФЗ-572, договор с ЦБТДоговор с ЦБТ, согласие через ЕБСОфисная идентификация
Биометрия кандидатов (HR)Ст. 11 + ст. 10Согласие на биометрию + специальные категорииСтандартное видеоинтервью
Отпечатки пальцев (банки, нотариат)Ст. 11Согласие, регламент, ИСПДнПодпись, паспорт

Требования к операторам биометрических данных

Обработка биометрии — это не просто «тяжёлые» персональные данные. Это особый режим, который влечёт дополнительные обязательства сверх общих требований 152-ФЗ.

1. Письменное согласие — обязательно

Согласно ст. 11 ч. 1 152-ФЗ, обработка биометрических данных допускается только при наличии письменного согласия субъекта. Исключения — строго ограниченные случаи: государственная безопасность, судопроизводство, транспортная безопасность.

Для бизнеса это означает:

  • Согласие должно быть собственноручно подписано (на бумаге)
  • Или подписано усиленной квалифицированной электронной подписью (УКЭП)
  • Обычная «галочка» в форме или простая ЭП — не подходят
  • Согласие может быть электронным, если использована УКЭП или через подтверждённый аккаунт на Госуслугах

2. Отдельное согласие — не включать в общее

Согласие на обработку биометрических данных не может быть частью общего согласия на обработку персональных данных. Это должен быть отдельный документ или отдельный раздел с отдельной подписью.

Почему это важно: субъект должен чётко понимать, что он соглашается именно на биометрию, — это требование информированности и конкретности согласия.

3. Усиленная защита — требования ФСТЭК

Биометрические данные относятся к ИСПДн 1-го класса (наивысший уровень требований к безопасности). Это означает:

  • Шифрование биометрических шаблонов при хранении и передаче
  • Разграничение доступа — минимально необходимый круг лиц с доступом
  • Журналирование всех операций с биометрическими данными
  • Оценка угроз безопасности информации по методике ФСТЭК
  • Использование сертифицированных СКЗИ (средств криптографической защиты)

4. Реестр ИСПДн с биометрией

С 2025 года операторы, обрабатывающие биометрические данные, обязаны включить соответствующую ИСПДн в реестр информационных систем, представляемый по запросу РКН. В документации должно быть указано:

  • Описание системы и её цели
  • Модель угроз безопасности
  • Перечень технических и организационных мер защиты
  • Сроки хранения и уничтожения биометрических данных

5. Срок хранения и уничтожение

Биометрические данные хранятся только в период, необходимый для достижения цели обработки. При отзыве согласия — уничтожаются в течение 7 рабочих дней (ст. 21 ч. 1 152-ФЗ), а не 30 дней как информационные данные.

Уничтожение должно быть документально подтверждено — актом об уничтожении с указанием даты, ответственного лица и перечня уничтоженных данных.

6. Уведомление РКН с указанием биометрии

В уведомлении об обработке персональных данных необходимо явно указать категорию «биометрические персональные данные» и описать цели их обработки. Отсутствие этого указания при фактической обработке биометрии — отдельное нарушение.

Что нельзя делать без согласия: красные линии

Согласно ст. 11 152-ФЗ и позиции Роскомнадзора, недопустимо без согласия:

  • Идентифицировать посетителей торговых залов по лицу
  • Вести базу «нежелательных лиц» с автоматической идентификацией
  • Записывать голос клиента в биометрическую базу без его ведома
  • Использовать данные ЕБС без наличия действующего согласия субъекта
  • Проводить верификацию кандидата по биометрии без его письменного согласия
  • Передавать биометрические данные третьим лицам без отдельного согласия

Исключения из правила согласия (ст. 11 ч. 2):

ИсключениеКомментарий
Осуществление правосудияТолько для судов
Государственная безопасностьСпецслужбы, строго регулируется
Транспортная безопасностьАэропорты, метро — с соблюдением спецтребований
Идентификация субъекта по договоруЕсли биометрия является существенным условием договора

Последнее исключение — «по договору» — часто пытаются применить коммерческие компании. Но РКН настаивает: исключение применяется только если биометрия является целью договора (например, договор на разработку биометрической системы), а не просто удобным способом идентификации при исполнении обычного договора.

Пошаговый план для компании, внедряющей биометрию

Шаг 1: Правовая оценка системы (1–3 дня)

Ответьте на вопросы:

  • Идентифицирует ли система конкретного человека (не просто фиксирует присутствие)?
  • Создаётся ли биометрический шаблон или применяется автоматическое сравнение?
  • Кто будет иметь доступ к данным?
  • Каков срок хранения?

Если хотя бы один ответ «да» — вы обрабатываете биометрические данные и обязаны соблюдать ст. 11.

Шаг 2: Разработка документов (3–7 дней)

Минимальный пакет для биометрической системы:

  1. Согласие на обработку биометрических персональных данных — отдельный документ с описанием целей, сроков, системы обработки
  2. Приказ о введении биометрической системы — основание для обработки внутри организации
  3. Регламент обработки биометрических данных — процедуры сбора, хранения, уничтожения
  4. Модель угроз безопасности ИСПДн — по методике ФСТЭК
  5. Акт классификации ИСПДн — определение класса системы
  6. Инструкции для сотрудников — кто имеет доступ, что делать при инциденте
  7. Журнал обработки биометрических данных — учёт операций

Шаг 3: Технические меры защиты (1–2 недели)

  • Шифрование хранилища биометрических шаблонов
  • Разграничение прав доступа к базе
  • Настройка журналирования
  • Проверка сертификатов СКЗИ
  • Установка системы обнаружения вторжений (для ИСПДн 1 класса)

Шаг 4: Получение согласий (непрерывно)

  • Разработать процедуру получения согласий (на бумаге / через УКЭП)
  • Настроить учёт согласий и отзывов
  • Создать механизм альтернативного доступа для отказавшихся

Шаг 5: Уведомление РКН (30 минут)

Обновить или подать новое уведомление с указанием категории «биометрические данные». Сохранить подтверждение.

Шаг 6: Регулярный аудит (ежеквартально)

  • Проверять, все ли согласия в силе
  • Уничтожать данные уволившихся сотрудников / ушедших клиентов
  • Обновлять документацию при изменении системы

Типичные ошибки при работе с биометрией

Ошибка 1: «Вендор сказал, что это не биометрия»

Производители СКУД и видеоаналитических систем иногда используют формулировку «мы только анализируем паттерны движения» или «это не идентификация, это верификация». С юридической точки зрения это не меняет ничего: если система устанавливает личность конкретного человека — это биометрия по ст. 11.

Ошибка 2: «Достаточно написать в общей политике»

Упоминание биометрии в общей политике конфиденциальности — это не замена отдельному письменному согласию. Политика может дополнять, но не заменять прямое согласие субъекта.

Ошибка 3: «Сотрудник молча использует систему — значит, согласен»

Конклюдентные действия (молчаливое согласие) не работают для биометрических данных. Требуется явное, активное, письменное согласие. Факт прохода через турникет не является согласием.

Ошибка 4: «Храним не само лицо, а математический шаблон — это не биометрия»

Биометрический шаблон (vector embedding, математическое описание черт лица) является биометрическими данными в смысле 152-ФЗ — он позволяет идентифицировать личность, а значит, попадает под определение ст. 11. Роскомнадзор прямо подтверждает эту позицию.

Ошибка 5: «Мы используем ЕБС — нам не нужно своё согласие»

Подключение к ЕБС не отменяет ваши обязательства как оператора: договор с ЦБТ, уведомление РКН, документация. Вы остаётесь оператором и несёте ответственность за законность обработки в своей части системы.

Ошибка 6: Не удалять данные после отзыва согласия

Срок на уничтожение — 7 рабочих дней (ст. 21 ч. 1), не 30. За превышение срока — отдельный штраф. Процедура уничтожения должна быть автоматизирована или чётко регламентирована.

Актуальная практика РКН и суды в 2025–2026 годах

Судебная практика 2025–2026 годов по биометрии только формируется, но уже можно выделить несколько тенденций.

Ритейл под прицелом: несколько крупных торговых сетей получили предписания об устранении нарушений при использовании систем распознавания лиц. Ключевые претензии: отсутствие согласий, неинформирование покупателей, передача данных зарубежным поставщикам ПО без оформления трансграничной передачи.

«Молчаливый» СКУД: в 2025 году несколько работодателей получили штрафы за введение биометрических систем доступа без получения согласий сотрудников. Примечательно, что суды подтверждали нарушение даже там, где сотрудники фактически пользовались системой и не жаловались.

Голос в колл-центрах: РКН проверил несколько крупных банков и телеком-операторов на предмет голосовой биометрии. Компании, которые информировали клиентов и получали согласие — прошли. Те, кто строил биометрические профили «тихо» — получили предписания.

Камеры в общественных местах: Суды признают незаконным использование систем распознавания лиц в ТЦ, парках, транспортных узлах без массового получения согласий. Обход через «законный интерес» в данном контексте не применяется — биометрия требует явного согласия.

FAQ

Q: Можно ли использовать распознавание лиц для охраны объекта без согласия? Только в строго ограниченных случаях: объекты транспортной инфраструктуры, государственные учреждения с особым режимом. Для обычного бизнеса — нет. Если охрана строится на идентификации конкретных лиц — нужно согласие каждого, кого идентифицируют. На практике это невозможно для случайных посетителей, поэтому законной альтернативой остаётся обычное (не идентифицирующее) видеонаблюдение.

Q: Нужно ли уведомление РКН, если мы только внедрили турникет с Face ID? Да, и немедленно. Обработка биометрических данных должна быть отражена в уведомлении до начала обработки. Если уведомление уже подано — его нужно обновить, добавив биометрию как категорию обрабатываемых данных.

Q: Сотрудник отказался давать биометрию — что делать? Обеспечить альтернативный способ идентификации: карточку-пропуск, ПИН-код, пропуск через охранника. Отказ от биометрии не может влечь дисциплинарных последствий или ограничений в работе.

Q: Можно ли получить согласие на биометрию через мобильное приложение? Да, если используется усиленная квалифицированная электронная подпись (УКЭП) или идентификация через подтверждённый аккаунт на Госуслугах (ГосКлюч). Обычная авторизация по логину/паролю в приложении — не является достаточным основанием.

Q: Если покупатель самостоятельно зарегистрировался в программе Face Pay — нужно ли ещё раз получать согласие? При регистрации в системе Face Pay пользователь должен подписать согласие на обработку биометрических данных. Это согласие и является основанием для обработки. Но оно должно быть правильно оформлено: отдельно, с описанием системы, целей, сроков и права на отзыв.

Q: Мы передаём биометрические данные вендору ПО для обслуживания системы — нужен ли договор? Да, обязательно. Передача биометрических данных для обработки по поручению требует договора поручения (ст. 6 ч. 3 152-ФЗ). Вендор становится обработчиком — ответственность перед субъектами и РКН остаётся на вас.

Q: Какой срок хранения биометрии в СКУД? Биометрические шаблоны хранятся на период действия трудового договора (для сотрудников) или до отзыва согласия. После увольнения — уничтожаются в течение 7 рабочих дней. Логи проходов могут храниться дольше (если есть отдельное основание и обезличены).

Q: Применяются ли к биометрии оборотные штрафы до 500 млн ₽? Оборотные штрафы (ФЗ № 420-ФЗ от 30.11.2024) применяются за утечку персональных данных, в том числе биометрических. Биометрия является «чувствительными» данными, а значит, при утечке биометрических данных размер штрафа будет в максимальной части шкалы.

Итоги

Биометрические технологии — это не будущее, а настоящее российского бизнеса. Системы дешевеют, внедрение упрощается. Но правовые требования не становятся проще: отдельное письменное согласие, усиленная защита, регламенты, документация — всё это обязательно для любого оператора биометрии.

Чеклист для компании, использующей биометрию:

  • [ ] Оценено, является ли используемая система обработкой биометрических данных по ст. 11
  • [ ] Получено письменное согласие от каждого субъекта (сотрудника / клиента)
  • [ ] Разработано отдельное согласие на биометрию (не включено в общее ПДн-согласие)
  • [ ] Обеспечена альтернатива для отказавшихся от биометрии
  • [ ] Принят приказ и регламент обработки биометрических данных
  • [ ] Разработана модель угроз и акт классификации ИСПДн
  • [ ] Применяется шифрование биометрических шаблонов (СКЗИ)
  • [ ] Ведётся журнал обработки биометрических данных
  • [ ] В уведомлении РКН указаны биометрические данные как категория
  • [ ] Заключены договоры поручения с вендорами и обработчиками
  • [ ] Настроена процедура уничтожения данных в течение 7 рабочих дней после отзыва

Цена ошибки при работе с биометрией — выше, чем при нарушениях в обычных ПДн. Это и штрафы, и репутационные риски, и — при утечке — оборотные санкции.

Нужны документы для биометрической системы или проверка уже работающей? Запустите бесплатный аудит вашего сайта →

Статья актуальна на апрель 2026 года. Нормативные акты: ФЗ № 152-ФЗ «О персональных данных» (ст. 11), ФЗ № 572-ФЗ «Об осуществлении идентификации с использованием биометрических персональных данных», ФЗ № 420-ФЗ от 30.11.2024 (оборотные штрафы), Приказ ФСТЭК № 21 (меры защиты ИСПДн), письмо РКН от 10.02.2023 № 09-45 (позиция по фотографиям). Ссылки на официальные ресурсы: pd.rkn.gov.ru, fstec.ru.