С 1 сентября 2025 года обработка биометрических данных переходит в категорию повышенного риска. Штрафы за нарушения достигают 1 миллиона рублей, а требования к защите ужесточаются. Если вы используете системы распознавания лиц, отпечатков пальцев или другие биометрические технологии — эта информация критически важна.
Реальный кейс: Бизнес-центр установил систему контроля доступа по распознаванию лиц без надлежащего оформления документов. При проверке Роскомнадзор оштрафовал управляющую компанию на 600 000 рублей и обязал демонтировать систему до приведения процессов в соответствие с законом.
Что относится к биометрическим данным в 2025 году?
Биометрические ПДн — это сведения, которые характеризуют физиологические и биологические особенности человека:
-
Изображение лица (фотография, видео)
-
Отпечатки пальцев, ладоней
-
Сканы радужной оболочки глаз
-
Голосовые записи
-
ДНК-данные
-
Геометрия тела
⚠️ Важно: С 2025 года к биометрическим данным также относятся поведенческие характеристики, используемые для идентификации: почерк, походка, ритм работы на клавиатуре.
Условия обработки биометрических данных (ст. 11 152-ФЗ):
-
Обязательное письменное согласие субъекта
-
Обработка только в целях идентификации
-
Отдельное уведомление Роскомнадзора
-
Повышенные требования к защите
-
Запрет кросс-использования (данные для одной цели нельзя использовать для другой)
Образец согласия на обработку биометрических ПДн:
"Я, [ФИО], даю согласие ООО «Компания» на обработку моих биометрических персональных данных (изображение лица) исключительно для следующих целей:
Контроль и управление доступом на территорию офиса
Идентификация при использовании пропускной системы
Срок действия согласия: 3 года
Способ отзыва согласия: письменное заявление
Последствия отзыва: прекращение доступа на территорию"
Таблица требований к защите биометрических данных:
| Мера защиты | Обязательность | Срок реализации |
|---|---|---|
| Шифрование данных | Обязательно | При передаче и хранении |
| Раздельное хранение шаблонов | Обязательно | Постоянно |
| Протоколирование доступа | Обязательно | 5 лет |
| Регулярный аудит защиты | Рекомендовано | Ежеквартально |
| Сертифицированные СКЗИ | При использовании в ЕГИС | Обязательно |
Пошаговая инструкция по легализации обработки:
Шаг 1: Определение оснований обработки
-
Только идентификация
-
Только с согласия субъекта
-
Отдельные цели для разных систем
Шаг 2: Получение письменных согласий
-
От каждого субъекта
-
С конкретными целями
-
С указанием срока и способа отзыва
Шаг 3: Уведомление Роскомнадзора
-
Отдельный блок в форме уведомления
-
Подробное описание целей и мер защиты
Шаг 4: Организация защиты данных
-
Внедрение технических мер
-
Разработка регламентов
-
Обучение сотрудников
Кейс: Внедрение системы распознавания лиц в корпоративном кампусе
Задача: Легализовать систему контроля доступа для 2000 сотрудников
Решение:
-
Разработали форму согласия с конкретными целями
-
Организовали сбор согласий через HR-службу
-
Внедрили систему шифрования биометрических шаблонов
-
Настроили разграничение прав доступа к системе
-
Обновили уведомление в Роскомнадзоре
Результат: Полное соответствие требованиям 152-ФЗ, успешное прохождение проверки.
FAQ по биометрическим данным:
Вопрос: Нужно ли согласие на использование фотографии для пропуска?
Ответ: Да, если фотография используется для автоматической идентификации (распознавания лиц).
Вопрос: Можно ли использовать биометрию для учета рабочего времени?
Ответ: Только с письменного согласия сотрудника и только для целей идентификации.
Вопрос: Какие штрафы за нарушение правил обработки биометрии?
Ответ: До 1 000 000 рублей для юридических лиц по ч. 2 ст. 13.11 КоАП.
Наша услуга "Сопровождение обработки биометрических данных" включает:
-
Аудит текущих процессов
-
Разработку полного пакета документов
-
Консультации по выбору систем защиты
-
Поддержку при проверках Роскомнадзора