Дата публикации: 10.07.2026

572-ФЗ перевернул правила работы с биометрией в России: определять личность по лицу или голосу теперь можно только через государственную Единую биометрическую систему (ЕБС), а заставлять людей сдавать биометрию запрещено. Закон касается не только банков – под него попадает любой бизнес, где техника узнаёт человека: СКУД на проходной, учёт рабочего времени по лицу, голосовой бот в колл-центре. Разбираем 572-ФЗ о биометрии простыми словами: что это за закон, кому и что он предписывает, что запрещает и во что обходятся нарушения.

Актуально на июль 2026 года. Штрафы указаны в редакции 420-ФЗ от 30.05.2025.

Коротко. 572-ФЗ разделил работу с биометрией на два режима. Идентификация («кто это») – только через государственную ЕБС. Аутентификация («тот ли это») – через ЕБС или аккредитованную систему организации, взаимодействующую с ЕБС. Понуждать к сдаче биометрии нельзя, отказ от неё – не основание отказать в услуге. Согласие на биометрию по общему правилу – письменное (ст. 11 152-ФЗ). Штраф за биометрию без согласия – до 700 тыс. ₽ для юрлица, за утечку биометрии – 15–20 млн ₽ (ст. 13.11 КоАП РФ).

Что такое 572-ФЗ простыми словами

Федеральный закон от 29.12.2022 № 572-ФЗ «Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных…» – главный закон о том, как в России разрешено узнавать человека по биометрии. Подписан 29 декабря 2022 года, вступил в силу со дня официального опубликования, а основная часть требований к бизнесу заработала с 1 июня 2023 года.

Суть закона – централизация. До 572-ФЗ каждый оператор копил биометрию у себя: банк – слепки голоса, работодатель – шаблоны лиц, фитнес-клуб – отпечатки. Теперь биометрические шаблоны для идентификации хранятся в одной государственной системе – ЕБС, а бизнес работает с ними по строгим правилам закона. Логика простая: чем меньше разрозненных баз с лицами и голосами, тем ниже риск утечек и злоупотреблений.

Что именно считается биометрией, определяет 152-ФЗ – базовый закон о биометрических персональных данных и любых других ПДн:

Биометрические персональные данные – сведения, которые характеризуют физиологические и биологические особенности человека и на основании которых можно установить его личность (ст. 11 152-ФЗ). Примеры: изображение лица для распознавания, слепок голоса, отпечаток пальца, радужная оболочка глаза.

Ключевой признак – цель обработки. Фото в личном деле или запись с камеры видеонаблюдения сами по себе ещё не биометрия. Особый режим включается, когда оператор использует данные для установления личности: система смотрит на лицо и отвечает, кто это.

Единая биометрическая система (ЕБС) и другие ключевые понятия

ЕБС – государственная информационная система «Единая система идентификации и аутентификации физических лиц с использованием биометрических персональных данных» (ст. 1 572-ФЗ). Оператор ЕБС назначен Правительством РФ – это АО «Центр биометрических технологий».

По сути ЕБС – единое государственное хранилище биометрических шаблонов. Гражданин сдаёт биометрию один раз (в банке или через приложение с подтверждением на Госуслугах), а дальше ею пользуются банки, госорганы и аккредитованные компании. «Сырые» данные к себе никто не забирает.

Весь 572-ФЗ держится на разнице двух операций.

КритерийИдентификацияАутентификация
Вопрос«Кто это?»«Тот ли это, за кого себя выдаёт?»
Механикасистема ищет совпадение по всей базе (1:N)система сверяет биометрию с шаблоном конкретного человека (1:1)
Режим по 572-ФЗтолько через ЕБС – своя система идентификацию не выполняетчерез ЕБС или аккредитованную систему организации, взаимодействующую с ЕБС
Примеркамера на входе узнаёт клиента из всей базысотрудник подтверждает личность у закреплённого за ним турникета

Отдельно про «коммерческую биометрическую систему» (КБС): в 572-ФЗ такого термина нет, это рыночный жаргон. Закон говорит об аккредитованной информационной системе организации, осуществляющей аутентификацию. Данные при этом разделены: исходная биометрия – образцы – остаётся в ЕБС, а аккредитованная система получает из ЕБС векторы, математические модели, и сама отвечает за их защиту: передавать векторы третьим лицам запрещено, а по запросу оператора ЕБС их придётся заблокировать и уничтожить (ч. 7, 14, 15 ст. 16 572-ФЗ). Хранить у себя сами биометрические образцы организация не вправе: максимум 10 суток – и только для разбора обращений (п. 3 ч. 1 ст. 15 572-ФЗ). Если вендор обещает «КБС, которая работает без всякой ЕБС» или «вся биометрия остаётся у вас», перепроверьте схему, прежде чем радоваться экономии.

Кому и что обязательно по 572-ФЗ

Банк вы или фитнес-клуб – неважно. Режим определяет операция: что именно система делает с биометрией.

СценарийРежим по 572-ФЗ
Банк удалённо идентифицирует клиента по лицу и голосутолько через ЕБС
Госорган оказывает услуги с использованием биометриичерез ЕБС
Компания подтверждает личность уже известного клиента – в приложении, у стойкиЕБС или аккредитованная система, взаимодействующая с ЕБС
СКУД или учёт рабочего времени по лицузависит от механики: идентификация (1:N) – через ЕБС, аутентификация (1:1) – через ЕБС или аккредитованную систему
Охранник вручную сверяет лицо с фотографией в пропуске572-ФЗ не применяется – исключение для неавтоматизированной сверки (ст. 1 ч. 2 п. 2)

Последняя строка – единственный «полностью автономный» режим, и он узкий: неавтоматизированная сверка с участием уполномоченного должностного лица. Человек глазами сравнивает лицо с фотографией – закон не применяется. Автоматический лицевой СКУД под это исключение, как правило, не подпадает: сверку выполняет алгоритм, а не человек. Как легализовать проходную с распознаванием лиц – разобрали отдельно в статье «Биометрия сотрудников: СКУД по лицу и 152-ФЗ».

Определить свой сценарий – главный вопрос всей легализации, и ошибка в нём стоит дороже всего. Если сомневаетесь, закажите экспресс-оценку правомерности обработки биометрии – за один день разложим ваши процессы по режимам 572-ФЗ и покажем, что исправить.

Что запрещает 572-ФЗ

Три запрета, на которых чаще всего попадаются:

  • Понуждение к сдаче биометрии. Прямо запрещено: ни работодатель, ни банк не вправе ставить человека перед выбором «сдай лицо или до свидания».
  • Отказ в услуге за отказ от биометрии. Человеку, который не сдал биометрию, нельзя отказать в обслуживании – оператор обязан предусмотреть альтернативу: паспорт, карту, пропуск, обслуживание у сотрудника. Та же логика в ч. 3 ст. 11 152-ФЗ: предоставление биометрических данных не может быть обязательным.
  • Сбор «на всякий случай». Обработка ПДн ограничена конкретными, заранее заявленными целями (ст. 5 152-ФЗ). Копить шаблоны лиц про запас нельзя: это обработка без цели и без правового основания.

Для человека всё это означает право спокойно сказать «нет». Для оператора – обязанность выстроить процессы так, чтобы отказавшийся от биометрии получил ту же услугу другим способом.

Письменное согласие: как 572-ФЗ связан со ст. 11 152-ФЗ

572-ФЗ не заменяет 152-ФЗ – они работают в связке. По общему правилу ст. 11 152-ФЗ биометрию обрабатывают только с письменного согласия субъекта. Исключения перечислены в ч. 2 ст. 11 – оборона, безопасность, противодействие терроризму, правосудие, обязательная дактилоскопия – и к типовым сценариям коммерческого оператора они, как правило, не относятся.

Согласие должно отвечать ст. 9 152-ФЗ: содержать цель обработки, перечень биометрических данных, срок действия и порядок отзыва. Для сотрудников дополнительно действуют ст. 86 и 88 ТК РФ.

Деталь, о которую спотыкаются: форма согласия зависит от контура. Классическое письменное согласие по ст. 11 152-ФЗ нужно для обработки биометрии вне контура ЕБС – например, при сборе образцов для размещения в ЕБС или в сценариях-исключениях. Согласие на аутентификацию в аккредитованной системе субъект подписывает электронно – усиленной неквалифицированной или простой электронной подписью, такой документ равнозначен бумажному (ч. 16, 18 ст. 16 572-ФЗ). А согласие на размещение биометрии в ЕБС человек оформляет сам через Госуслуги (ЕСИА) – бумажный шаблон здесь не применяется.

Не забудьте про локализацию: ч. 5 ст. 18 152-ФЗ требует вести запись, систематизацию, накопление, хранение, уточнение (обновление, изменение) и извлечение ПДн россиян в базах данных на территории РФ. Для биометрии послаблений нет: первичная база шаблонов в зарубежном облаке исключена.

Штрафы за биометрию без согласия и за утечку: 300 тыс. – 20 млн ₽

Ответственность за нарушения при работе с биометрией собрана в ст. 13.11 КоАП РФ.

НарушениеНормаШтраф для юрлица
Обработка биометрии без письменного согласияч. 2 ст. 13.11 КоАП РФ300–700 тыс. ₽
Утечка биометрических данныхч. 17 ст. 13.11 КоАП РФ15–20 млн ₽

Штраф за утечку биометрии – самый высокий «первичный» состав всей статьи: 15–20 млн ₽ для юрлица (редакция 420-ФЗ, действует с 30.05.2025). Кроме денег оператора ждут предписание Роскомнадзора, внеплановая проверка и обязанность уничтожить неправомерно собранную биометрию. Все составы ст. 13.11 – от неопубликованной политики до оборотных штрафов до 500 млн ₽ за повторную утечку – разобрали в статье «Штрафы за нарушение 152-ФЗ».

Что делать оператору биометрии: чек-лист из 5 шагов

  1. Проведите инвентаризацию. Найдите все процессы, где техника узнаёт людей: СКУД, учёт рабочего времени, колл-центр, мобильное приложение, видеоаналитика. Зафиксируйте, чья биометрия обрабатывается, зачем и где физически лежат данные.
  2. Определите режим по 572-ФЗ. Для каждого процесса ответьте: это идентификация (только через ЕБС), аутентификация (через ЕБС или аккредитованную систему) или узкое исключение вроде неавтоматизированной сверки. От ответа зависит вся дальнейшая схема.
  3. Оформите согласия и документы. Письменное согласие на обработку биометрии (ст. 11 152-ФЗ), положение об обработке биометрических ПДн, приказ об ответственном, модель угроз, оценка вреда субъектам.
  4. Настройте ЕБС, локализацию и уведомление. Разместите биометрические образцы в ЕБС или запустите аккредитацию системы аутентификации, перенесите базы данных в РФ, подайте или актуализируйте уведомление в Роскомнадзор.
  5. Защитите систему и наладьте контроль. Внедрите меры защиты ИСПДн по приказу ФСТЭК № 21; для аккредитованной системы аутентификации – дополнительно СКЗИ согласованного с ФСБ класса, требования к защите ГИС/КИИ и подключение к ГосСОПКА (ч. 3 ст. 16 572-ФЗ). Настройте учёт согласий, отработку отзывов и удаление биометрии, когда цель обработки достигнута.

Пройти пять шагов своими силами реально, но долго: правовая часть цепляется за техническую, а ошибка в определении режима обнуляет остальное. Кредо-С проходит этот путь вместе с оператором – от экспресс-оценки до комплекта документов, настройки взаимодействия с ЕБС и мониторинга событий безопасности под требования ГосСОПКА. Лицензия ФСТЭК России на ТЗКИ № Л024-00107-00. Оценить правомерность обработки биометрии – бесплатно.

Часто задаваемые вопросы

Что такое Единая биометрическая система (ЕБС)?
ЕБС – государственная информационная система «Единая система идентификации и аутентификации физических лиц с использованием биометрических персональных данных» (ст. 1 572-ФЗ). Единое хранилище биометрических шаблонов граждан: человек сдаёт биометрию один раз, а пользуется ею в банках, госсервисах и аккредитованных системах. Оператор ЕБС назначен Правительством РФ – АО «Центр биометрических технологий».
Обязана ли компания передавать биометрию в ЕБС и что такое «КБС»?
Зависит от операции. Идентификация («кто это» – поиск по всей базе) ведётся только через ЕБС: использовать для неё собственную базу шаблонов нельзя. Аутентификация («тот ли это») возможна через ЕБС или собственную систему организации – для этого система проходит аккредитацию и взаимодействует с ЕБС. На практике такой режим называют «коммерческой биометрической системой» (КБС), хотя в 572-ФЗ этого термина нет. Данные при этом разделены: исходные образцы остаются в ЕБС, аккредитованная система получает из ЕБС векторы – математические модели – и отвечает за их защиту: передавать их третьим лицам нельзя, по запросу оператора ЕБС – уничтожить (ч. 7, 14, 15 ст. 16 572-ФЗ), а хранить у себя сами образцы дольше 10 суток запрещено (п. 3 ч. 1 ст. 15 572-ФЗ). Полностью автономный режим возможен лишь по узкому исключению, например при неавтоматизированной сверке с участием уполномоченного должностного лица (ст. 1 ч. 2 п. 2). Нужна ли вашей системе аккредитация – определяем на <a href="/uslugi/organize_def/obrabotka-biometricheskih-pdn/">экспресс-оценке за один день</a>.
Можно ли отказаться от сдачи биометрии?
Да. Понуждать к сдаче биометрии запрещено, а отказ не может быть основанием для отказа в услуге – оператор обязан предложить альтернативный способ: паспорт, карту, обслуживание у сотрудника. Для работников правило то же: предоставление биометрических данных не может быть обязательным (ч. 3 ст. 11 152-ФЗ), отказавшимся оставляют пропуск, карту или PIN.
Подпадает ли СКУД с распознаванием лиц под 572-ФЗ?
Да: СКУД по лицу обрабатывает биометрию, и режим зависит от механики. Идентификация (1:N, поиск по всей базе) – только через ЕБС; аутентификация (1:1, подтверждение конкретного человека) – через ЕБС или аккредитованную систему, взаимодействующую с ЕБС. Исключение для неавтоматизированной сверки к автоматическому лицевому СКУД, как правило, не применяется. Плюс всегда нужны письменное согласие сотрудника и альтернатива для отказавшихся – детали в статье <a href="/articles-info/biometriya-sotrudnikov-skud/">«Биометрия сотрудников: СКУД по лицу и 152-ФЗ»</a>.
Какие штрафы за нарушение правил работы с биометрией?
Обработка биометрии без письменного согласия – ч. 2 ст. 13.11 КоАП РФ: для юрлиц 300–700 тыс. ₽. Утечка биометрических данных – ч. 17 ст. 13.11 КоАП РФ: для юрлиц 15–20 млн ₽ (редакция 420-ФЗ, в силе с 30.05.2025). Дополнительно – предписание Роскомнадзора, внеплановая проверка и обязанность уничтожить неправомерно собранные данные. Полная таблица составов – в статье <a href="/articles-info/shtrafy-za-narushenie-152-fz/">«Штрафы за нарушение 152-ФЗ»</a>.

Остались вопросы? Оставьте заявку

Ваше имя:*
Телефон:*
E-mail:*
Опишите вашу задачу:

Я соглашаюсь на обработку персональных данных