Ваша компания распознаёт лица в СКУД, считает рабочее время по лицу, узнаёт клиентов по голосу или отпечатку? Тогда вы оператор биометрических персональных данных.

Обработка идёт под особым режимом статьи 11 152-ФЗ и правил 572-ФЗ. Кредо-С проверит, законна ли эта обработка, оформит письменное согласие и организационно-распорядительные документы, настроит взаимодействие с ЕБС и локализацию, закроет техническую защиту ИСПДн.

Работаем с юрлицами по договору, по всей России. Экспресс-оценка рисков – за 1 день.

Лицензия ФСТЭК на ТЗКИ
Экспресс-оценка за 1 день
Договор, юрлица, вся Россия

Когда обработка биометрии становится риском

Распознавание лиц на проходной, учёт рабочего времени по лицу, биометрия сотрудников и клиентов, голосовая идентификация в колл-центре – всё это биометрические персональные данные под особым режимом статьи 11 152-ФЗ.

Пока процесс не оформлен, он работает против вас. Что грозит оператору, который обрабатывает биометрию без правовых оснований:

  • предписание Роскомнадзора и внеплановая проверка;
  • административный штраф по статье 13.11 КоАП РФ;
  • репутационный удар и претензии субъектов при утечке биометрии.

Проверьте себя. У вас это есть?

Проходная, турникет или СКУД распознают сотрудников по лицу.
Учёт рабочего времени (УРВ) ведётся по биометрии, а не по картам-пропускам.
Клиента идентифицируют по лицу, голосу или отпечатку (банк, ритейл, сервис).
Колл-центр использует голосовую биометрию для подтверждения личности.
Биометрия хранится в облаке или у вендора, и вы не уверены, где именно.

Отметили хотя бы один пункт – вы оператор биометрических персональных данных, и обработку нужно легализовать. Ниже разбираем, как это сделать без предписания. Если биометрия – лишь часть ваших процессов с ПДн, начните с общего аудита по 152-ФЗ, а биометрию закройте этой услугой.

Что считается биометрическими персональными данными

Биометрические персональные данные – это сведения, которые характеризуют физиологические и биологические особенности человека и на основании которых можно установить его личность. Ключевой признак: оператор использует эти сведения именно для установления личности. Примеры: изображение лица для распознавания, отпечаток пальца, рисунок вен ладони, радужная оболочка глаза, слепок голоса. Правовое основание – статья 11 152-ФЗ.

Здесь операторы чаще всего ошибаются. Фото в личном деле, видео с камеры, отсканированный отпечаток становятся биометрией только в одном случае: когда оператор использует их для установления личности. Обычное видеонаблюдение за территорией – ещё не биометрия, это обычные ПДн под общей защитой персональных данных. Как только система по тому же видео определяет «кто это», включается особый режим статьи 11.

Биометрия vs обычные ПДн: в чём разница режима

ПризнакОбычные ПДнБиометрические ПДн
ПримерФИО, телефон, e-mailлицо для распознавания, отпечаток, слепок голоса
Правовое основаниестатья 6 152-ФЗ (договор, закон, согласие и др.)статья 11 – по общему правилу письменное согласие
Форма согласиядопустима в любой формеписьменное, отдельное согласие на биометрию
Режим обработкиобщийособый режим ст. 11 152-ФЗ (не путать со спец. категориями ст. 10)
Хранениев РФ (ч. 5 ст. 18)в РФ + правила ЕБС по 572-ФЗ (для аутентификации – через аккредитованную систему, взаимодействующую с ЕБС)

Правомерна ли ваша обработка: 152-ФЗ + 572-ФЗ

Это ядро проекта. Прежде чем настраивать защиту, ответьте на два вопроса: есть ли у обработки биометрии законное основание и по какому сценарию она идёт – через ЕБС или в своей системе.

Когда нужно письменное согласие, а когда допустимо без него

СитуацияПисьменное согласиеОснование
СКУД / УРВ по лицу для сотрудниковнужност. 11 ч. 1 152-ФЗ
Идентификация клиентов по лицу или голосунужност. 11 ч. 1 152-ФЗ
Оборона, безопасность, противодействие терроризмуне требуетсяст. 11 ч. 2 152-ФЗ
Правосудие, исполнение судебных актовне требуетсяст. 11 ч. 2 152-ФЗ
Обязательная дактилоскопия и иные случаи по ФЗне требуетсяст. 11 ч. 2 152-ФЗ

По общему правилу коммерческий оператор попадает в первую половину таблицы: без письменного согласия обрабатывать биометрию нельзя. Исключения части 2 – это специальные публично-правовые основания, а не «мы же для удобства».

Развилка: через ЕБС или в своей системе

От сценария зависит весь режим работы:

Идентификация («кто это»)

Ведётся только через Единую биометрическую систему (ЕБС): своя система идентификацию не выполняет. ЕБС – это государственная информационная система «Единая система идентификации и аутентификации физических лиц с использованием биометрических персональных данных»; её оператор назначен Правительством РФ (АО «Центр биометрических технологий»).

Аутентификация («тот ли это»)

В своей системе – через аккредитацию и взаимодействие с ЕБС (векторы хранятся в ЕБС). Это режим, который на практике называют коммерческой биометрической системой (КБС) – но в 572-ФЗ такого термина нет: закон говорит об аккредитованной информационной системе организации, осуществляющей аутентификацию.

Автономный режим без ЕБС

Правомерен лишь по узкому исключению 572-ФЗ – например, при неавтоматизированной сверке с участием уполномоченного должностного лица (ст. 1 ч. 2 п. 2). Автоматический лицевой СКУД под него, как правило, не подпадает.

Отдельное правило 572-ФЗ: понуждать субъекта к сдаче биометрии запрещено. Отказ от биометрии не может быть основанием для отказа в услуге – нужен альтернативный способ.

Подробный разбор закона – в статье «572-ФЗ о биометрии простыми словами».

Мы определяем ваш сценарий на аудите и фиксируем, что именно требуется: размещение в ЕБС, аккредитация системы аутентификации или отказ от биометрии в пользу обычных ПДн.

Не уверены, идентификация у вас или аутентификация? Разберём за один созвон.

Определить сценарий

Что входит в услугу обработки биометрических персональных данных

  1. Аудит правомерности обработки биометрии – gap-анализ по 152-ФЗ и 572-ФЗ: есть ли основание, согласие, документы, где хранится биометрия.
  2. Инвентаризация процессов и носителей – какие процессы используют биометрию, какие субъекты, где физически лежат данные.
  3. Форма письменного согласия на обработку биометрических персональных данных – под ваши процессы и цели.
  4. Положение (политика) обработки биометрических ПДн и остальной комплект ОРД.
  5. Модель угроз и оценка вреда субъектам для ИСПДн с биометрией – в том числе как основа для последующей аттестации ИСПДн.
  6. Взаимодействие с ЕБС или оценка необходимости аккредитации системы аутентификации (режим, известный на практике как КБС).
  7. Локализация (хранение в РФ) и уведомление Роскомнадзора об обработке.
  8. Техническая защита ИСПДн – меры по приказу ФСТЭК № 21, для ГИС – по приказу ФСТЭК № 117 (с 01.03.2026 заменил № 17), СКЗИ по требованиям ФСБ.

Этапы работ

Экспресс-оценка рисков – 1 день

Смотрим процессы с биометрией и даём вердикт: где вы сейчас нарушаете и что критично.

Аудит и gap-анализ

Полная проверка по 152-ФЗ и 572-ФЗ, перечень несоответствий с приоритетами.

Комплект ОРД

Согласие, положение об обработке биометрических ПДн, приказ об ответственном, модель угроз, оценка вреда.

Техническая защита и настройка ЕБС / локализации

Меры защиты ИСПДн, размещение в ЕБС или аккредитация системы аутентификации, взаимодействующей с ЕБС, хранение данных в РФ. Если система относится к ГИС или значимым объектам КИИ, подключаем профильные требования – защита КИИ и аттестация ГИС.

Сопровождение и подготовка к проверке РКН

Отработка сценария проверки, ответы на запросы, поддержка при инцидентах.

Стоимость обработки биометрии

Экспресс-оценка рисков – бесплатно. Точную цену на работы называем уже после неё – она зависит от объёма.

На стоимость влияют:

  • число процессов, где используется биометрия;
  • количество субъектов (сотрудники, клиенты);
  • сценарий: ЕБС или своя аккредитованная система аутентификации;
  • статус системы: ГИС или ИСПДн;
  • число филиалов и площадок.

Форматы работы

Аудит биометрии

Отдельным этапом; стоимость называем после экспресс-оценки за 1 день.

Комплект ОРД

Согласие, положение, модель угроз – рассчитываем после экспресс-оценки, по объёму документов.

Под ключ

Аудит, документы, техническая защита и сопровождение; цену фиксируем в смете после аудита.

Работаем с юридическими лицами по договору. Стоимость фиксируем в смете после экспресс-оценки, без скрытых доплат.

Начните с бесплатной экспресс-оценки – за 1 день покажем, что критично именно у вас.

Запросить экспресс-оценку

Результаты проектов по 152-ФЗ и биометрии

Названия не раскрываем – работаем под NDA. Показываем результат.

Ритейл

Привели оператора биометрии (идентификация клиентов) в соответствие 152-ФЗ и 572-ФЗ, сняли риск предписания РКН перед плановой проверкой. Полный комплект ОРД и локализация – за 3 недели.

Производство

Оформили согласие и положение для СКУД с распознаванием лиц на проходной, легализовали учёт рабочего времени по биометрии сотрудников. Закрыли 12 несоответствий из аудита.

Услуги / колл-центр

Развели идентификацию и аутентификацию, перевели голосовую биометрию в корректный режим аутентификации через аккредитованную систему, настроили хранение в РФ.

Средняя оценка клиентов Кредо-С – 5,0 из 5 (41 отзыв).

Лицензии и экспертиза

  • Лицензия ФСТЭК России на техническую защиту конфиденциальной информации (ТЗКИ) № Л024-00107-00 (реестровая запись № 00581724) – правовое основание оказывать услуги по защите ИСПДн и биометрии.
  • Опыт проектов по 152-ФЗ, аттестации ИСПДн и ГИС, приведения операторов биометрии в соответствие.
  • Работаем по всей России. Исполнитель – ООО «КРЕДО-С», ИНН 7106014366, ОГРН 1027100747596.
  • Проекты ведут профильные эксперты по ПДн и 152-ФЗ.
ФСТЭК
Лицензия ФСТЭК России на ТЗКИ № Л024-00107-00реестровая запись № 00581724 · техническая защита конфиденциальной информации

Оценить правомерность обработки биометрии

Оставьте заявку – проведём экспресс-оценку рисков за 1 день и назовём, что нужно исправить в первую очередь. Перезвоним в течение рабочего дня.

Оставить заявку

ООО «КРЕДО-С» · ИНН 7106014366 · ОГРН 1027100747596 · Лицензия ФСТЭК России на ТЗКИ · Работаем по всей России, дистанционно.

Часто задаваемые вопросы

Что относится к биометрическим персональным данным по 152-ФЗ?
Сведения о физиологических и биологических особенностях человека – изображение лица, отпечаток пальца, слепок голоса, радужка, – когда оператор использует их для установления личности (ст. 11 152-ФЗ). Обычное фото в личном деле или видеозапись сами по себе биометрией не являются: режим статьи 11 включается в момент, когда система по этим данным определяет «кто это». Более подробный разбор режима 572-ФЗ – в отдельной статье «572-ФЗ о биометрии».
Нужно ли письменное согласие на обработку биометрии сотрудников и клиентов?
Да, по общему правилу статьи 11 152-ФЗ – в письменной форме. Такое согласие по статье 9 152-ФЗ должно содержать цель обработки, перечень биометрических данных, срок действия и порядок отзыва. Исключения перечислены в части 2 статьи 11 (оборона, безопасность, правосудие, обязательная дактилоскопия и др.). Для сотрудников дополнительно действуют статьи 86 и 88 ТК РФ. Важно: письменное согласие покрывает обработку в вашей ИСПДн; для размещения биометрии в ЕБС согласие субъект оформляет через Госуслуги (ЕСИА) в установленном порядке – бумажный шаблон здесь не применяется.
Обязательно ли размещать биометрию в ЕБС?
Зависит от сценария. Идентификация («кто это» – система определяет личность из всей базы, например узнаёт клиента по лицу на входе) ведётся только через ЕБС. Аутентификация («тот ли это» – подтверждение конкретного человека, например сотрудник прикладывает лицо к своему турникету) в своей системе идёт через аккредитацию и взаимодействие с ЕБС; на практике это называют коммерческой биометрической системой (КБС), хотя в 572-ФЗ такого термина нет. Что именно у вас – идентификация или аутентификация – проверяем на экспресс-оценке за 1 день.
Можно ли использовать распознавание лиц для СКУД или учёта рабочего времени без ЕБС?
Однозначного «да» здесь нет. Идентификация ведётся только через ЕБС – своя система её не выполняет. Аутентификация в своей системе допустима через аккредитацию и взаимодействие с ЕБС. Полностью автономный режим без ЕБС возможен лишь по узкому исключению 572-ФЗ – при неавтоматизированной сверке с участием уполномоченного должностного лица; автоматический лицевой СКУД под него обычно не подпадает. Одного письменного согласия недостаточно – корректный сценарий определяем на экспресс-оценке.
Какой штраф за обработку биометрии без согласия?
Обработка биометрических персональных данных без предусмотренного законом согласия квалифицируется по части 2 статьи 13.11 КоАП РФ: для юридических лиц штраф 300–700 тыс ₽. За утечку (юридически – неправомерную передачу, предоставление, распространение или доступ) биометрических ПДн действует отдельный, более строгий состав – часть 17 статьи 13.11 КоАП РФ, для юрлиц 15–20 млн ₽ (редакция 420-ФЗ, в силе с 30.05.2025). Дополнительно оператору грозит предписание Роскомнадзора и внеплановая проверка. Технически снизить риск самой утечки помогает защита от утечек данных (DLP).
Где должны храниться биометрические данные – можно ли в зарубежном облаке?
Нет. Часть 5 статьи 18 152-ФЗ требует, чтобы запись, систематизация, накопление, хранение, уточнение (обновление, изменение) и извлечение персональных данных граждан РФ велись в базах данных, расположенных на территории России. Правило локализации распространяется и на биометрию: держать первичную базу в зарубежном облаке нельзя. Зарубежные сервисы допустимы только как вторичные – и лишь после того, как первичная база локализована в РФ.

Отправить заявку на сотрудничество

Ваше имя:*
Телефон:*
E-mail:*
Опишите вашу задачу:

Я соглашаюсь на обработку персональных данных

Хочу получать новости и полезные материалы на email — необязательно

Условия сотрудничества

Закупки по 44-ФЗ и 223-ФЗПоставки и услуги для государственных и корпоративных заказчиков, участие в конкурсных процедурах.
ЭДО и постоплатаЭлектронный документооборот, закрывающие по этапам работ, отсрочка платежа по договору.
SLA с ответственностью исполнителяСроки, параметры сервиса и зоны ответственности закреплены договором, регулярная отчётность.
Лицензии ФСТЭК России и NDAРаботы по защите информации – легально: опыт с КИИ, ГИС и ИСПДн, соглашение о неразглашении.

ООО «КРЕДО-С» · ИНН 7106014366 · КПП 710601001 · ОГРН 1027100747596 · на рынке с 1993 года · 300034, г. Тула, ул. Демонстрации, 27 · офисы: Тула, Москва