А следом — штраф на сотни тысяч рублей. Знакомая история? К сожалению, для многих российских компаний — да.

Путаница в законодательстве вокруг биометрии долгое время была головной болью для HR-директоров и юристов. Можно ли использовать отпечатки пальцев? Требуется ли согласие? Что важнее — 152-ФЗ или закон о дактилоскопии?

В 2025 году Министерство цифрового развития, связи и массовых коммуникаций России (Минцифры РФ) поставило точку в этом вопросе. В своем официальном письме (№ П24-16856-ОГ от 15.10.2025) ведомство дало исчерпывающие разъяснения. Эта статья — ваш надежный гид в мире биометрических данных, основанный исключительно на официальной позиции государства.

Биометрия под прицелом: что говорит закон?

Прежде чем говорить о правомерности, нужно четко понимать, с чем мы имеем дело.

Что такое биометрические персональные данные?

Согласно части 1 статьи 11 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (152-ФЗ), к биометрическим персональным данным относятся сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность.

Ключевой вывод: Отпечаток пальца (папиллярный узор) — это эталонный пример биометрических данных. Его уникальность позволяет однозначно идентифицировать сотрудника при проходе в офис.

Что такое обработка персональных данных?

Это любое действие с вашими данными. Пункт 3 статьи 3 Закона № 152-ФЗ дает открытый перечень операций: сбор, запись, хранение, использование, удаление и т.д.

Простыми словами, когда система сканирует палец сотрудника, преобразует отпечаток в цифровой шаблон и сверяет его с базой для предоставления доступа — это полноценная обработка биометрических персональных данных.

152-ФЗ, 128-ФЗ или 572-ФЗ? Какой закон главный для вашего СКУД?

Здесь возникает главная правовая неоднозначность, которую разрешило Минцифры. Рассмотрим три ключевых закона.

Роль Федерального закона № 128-ФЗ «О государственной дактилоскопической регистрации»

Многие ошибочно полагают, что этот закон запрещает коммерческим структурам использовать отпечатки пальцев. Это не так.

Закон № 128-ФЗ регулирует исключительно государственную дактилоскопическую регистрацию. Его исполняют органы исполнительной власти и федеральные государственные учреждения (МВД, ФСБ, МЧС и т.д.) для следующих целей: оформление загранпаспортов нового образца, регистрация военнослужащих, осужденных, мигрантов и т.п.

Позиция Минцифры: «Таким образом, обработка биометрических персональных данных, не относящихся к сфере регулирования Закона № 128-ФЗ, должна осуществляться в соответствии с общими нормами законодательства Российской Федерации в области персональных данных».

Вывод: закон № 128-ФЗ не распространяется на коммерческие компании, использующие дактилоскопию для СКУД. Он не является для них запрещающим.

Роль Федерального закона № 572-ФЗ о биометрической идентификации

Этот относительно новый закон регулирует использование биометрии в Единой биометрической системе (ЕБС) для получения госуслуг и удаленной идентификации в банках.

Закон № 572-ФЗ распространяется только на два конкретных вида биометрии:

• изображение лица человека;
• запись голоса человека.

Что не регулирует: закон прямо не распространяется на дактилоскопические данные, используемые в корпоративных СКУД.

Позиция Минцифры: «На отношения, связанные с обработкой видов биометрических персональных данных, отличных от вышеуказанных, действие Закона № 572 в настоящее время не распространяется».

Вывод: для систем контроля доступа по отпечаткам пальцев закон № 572-ФЗ не применяется.

152-ФЗ «О персональных данных» — основной закон

Таким образом, именно 152-ФЗ является основным и единственным законом, который устанавливает правила игры для работодателей, внедряющих биометрические СКУД:

• определяет, что такое биометрические данные;
• устанавливает порядок их обработки;
• предъявляет требования к согласию и безопасности.

Законное основание: почему без письменного согласия не обойтись?

Статья 11 закона о персональных данных № 152-ФЗ устанавливает исключительный порядок работы с биометрией.

Когда согласие не требуется?

Часть 2 статьи 11 152-ФЗ содержит закрытый перечень исключений. Согласие не нужно, если обработка биометрии связана с:

• осуществлением правосудия;
• исполнением полномочий государственных органов;
• оперативно-розыскной деятельностью;
• безопасностью и обороной;
• производством по делам о правонарушениях;
• обязательной государственной дактилоскопической регистрацией (по 128-ФЗ).

Важно! Корпоративные цели, такие как учет рабочего времени и обеспечение режима доступа, не входят в этот перечень. Следовательно, для них действует общее правило.

Общее правило: обязательность согласия в письменной форме

Статья 11 ФЗ-152 четко гласит: обработка биометрических данных для установления личности субъекта может осуществляться только при наличии согласия субъекта в письменной форме.

Что должно быть в письменном согласии?

Согласие должно соответствовать требованиям статьи 9 ФЗ-152. Оно должно быть:

• Конкретным: четко указано, какие данные (отпечатки пальцев) и для каких целей (проход в офис, учет рабочего времени) обрабатываются;
• Информированным: сотрудник должен знать полную информацию об операторе, целях, перечне данных, своих правах;
• Сознательным и однозначным: нельзя получать согласие «мелким шрифтом» в трудовом договоре;
• Оформленным в письменной форме (по содержанию): с обязательным указанием ФИО, адреса, паспортных данных субъекта, цели обработки, перечня данных, срока действия согласия и условия его отзыва.

Не только согласие: 3 критических условия для легального использования СКУД

Получить согласие — необходимо, но недостаточно. Минцифры и 152-ФЗ предъявляют еще несколько жестких требований.

1. Добровольность и наличие альтернативы

Это, пожалуй, самый важный пункт после согласия. Часть 3 статьи 11 152-ФЗ прямо запрещает делать предоставление биометрии обязательным условием.

Цитата из письма Минцифры: «...предусмотрен запрет оператору отказывать в обслуживании в случае отказа субъекта персональных данных предоставить биометрические персональные данные».

Что это значит на практике?

Вы не можете уволить сотрудника или не допустить его до рабочего места только потому, что он отказался сдавать отпечатки пальцев. Вы обязаны предоставить ему альтернативный, небиометрический способ доступа, например:

• электронный ключ или карта пропуска (NFC, RFID);
• пин-код;
• иной идентификатор.

2. Обеспечение безопасности данных

Статья 19 152-ФЗ обязывает оператора обеспечить безопасность персональных данных. Для биометрии это особенно актуально. Минцифры отмечает, что использование оборудования, которое хранит не изображение отпечатка, а его криптографический хэш-код, — это правильный путь.

Меры защиты:

• Использование сертифицированного оборудования и ПО;
• Шифрование биометрических шаблонов;
• Ограничение физического и сетевого доступа к серверу СКУД;
• Регламентирование доступа сотрудников к базе биометрии.

3. Локальные документы и уведомление в Роскомнадзор

Порядок обработки биометрических данных должен быть закреплен в локальных актах организации или в отдельном регламенте по использованию СКУД. С этим документом всех сотрудников необходимо ознакомить под подпись.

Кроме того, необходимо направить уведомление об обработке персональных данных в Роскомнадзор или внести изменения в ранее направленное уведомление. Обработка биометрии для СКУД, как правило, требует такого уведомления, так как не является исключительно трудовой целью в чистом виде.

Цена ошибки: ответственность за незаконную обработку биометрии

Игнорирование описанных правил ведет к серьезной ответственности.

Административная ответственность (КоАП РФ)

Статья 13.11 КоАП РФ: Нарушение законодательства в области персональных данных.

Обработка данных в случаях, не предусмотренных законом (ч. 1): штраф для юрлиц — от 150 000 до 300 000 руб (до 500 000 руб — при повторном нарушении).

Обработка без согласия в письменной форме, когда оно требуется (ч. 2): штраф для юрлиц — от 300 000 до 700 000 руб (до 1,5 млн руб — при повторном нарушении).

Допущение утечки биометрических ПДн (ч. 17): штраф для юрлиц — от 15 до 20 млн руб.

Напоминание: Роскомнадзор является уполномоченным органом по контролю и надзору в этой сфере, активно проводит проверки и жестко реагирует на инциденты с персональными данными.

Репутационные и судебные риски

Незаконная обработка биометрии может привести к:

• искам от сотрудников о защите их прав;
• репутационным потерям и утрате доверия со стороны персонала;
• привлечению к уголовной ответственности по ст. 137 УК РФ (Нарушение неприкосновенности частной жизни) в особо тяжких случаях.

Выводы: пошаговая инструкция для легального внедрения биометрического СКУД

Резюмируя официальную позицию Минцифры РФ, можно составить четкий план действий.

1. Примите локальный акт — разработайте и утвердите Правила внутреннего трудового распорядка с разделом о биометрической пропускной системе или отдельный регламент по СКУД.
2. Подготовьте форму согласия — разработайте документ «Согласие на обработку биометрических персональных данных», полностью соответствующий ч.4 ст. 9 152-ФЗ.
3. Обеспечьте альтернативу — заранее предусмотрите и закупите альтернативные средства идентификации (карты, брелоки) для тех, кто откажется от предоставления биометрии.
4. Получите письменные согласия — предварительно ознакомив сотрудников с локальным актом, получите от них подписанные согласия. Помните: это добровольная процедура.
5. Обеспечьте безопасность — используйте специализированное оборудование, шифруйте данные, ограничьте доступ.
6. Подайте уведомление в Роскомнадзор — если это требуется по закону, направьте уведомление об обработке персональных данных.
7. Будьте готовы к отзывам согласий — имейте процедуру для быстрого и законного удаления биометрических данных сотрудника, если он отзовет свое согласие.

Обработка отпечатков пальцев в СКУД — это не правовой вакуум, а деятельность, четко регулируемая 152-ФЗ. Официальное разъяснение Минцифры России снимает все прежние противоречия и дает работодателям ясный и понятный алгоритм действий. Следуя ему, вы не только повысите безопасность и эффективность своего бизнеса, но и надежно защитите его от крупных финансовых и репутационных потерь.