Биометрический СКУД и 152-ФЗ: чек-лист соответствия и что хранить нельзя

После усиления 152-ФЗ в 2024 году вопрос «можно ли нам поставить биометрию на проходной» из чисто технического превратился в правовой. Штрафы за нарушение порядка обработки биометрических ПДн для юрлиц достигли 1.5 млн ₽, плюс отдельная статья за утечку. Многие заказчики приходят с биометрическим скуд и просят «сделать так, чтобы было законно».

В этой статье — что именно считается биометрией по закону, где должны храниться шаблоны лиц и отпечатков, какие документы должны быть подписаны, и что грозит за нарушения. Без юридической каши, на уровне «что должно быть в проекте СКУД и что подписать сотрудникам».

Что считается биометрическими ПДн по 152-ФЗ

Это самая частая путаница на старте. Юристы и интеграторы говорят разное.

Закон (152-ФЗ, статья 11): биометрические персональные данные — это «сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность».

На практике это значит:

Данные	Биометрия по 152-ФЗ?	Комментарий
Математический шаблон лица (вектор признаков)	ДА	Это и есть биометрия в чистом виде
Шаблон отпечатка пальца	ДА	Аналогично
Шаблон голоса, рисунок вен, сетчатка	ДА	Любая биометрическая характеристика
Изображение лица (фото, кадр с камеры)	НЕТ (но другая категория ПДн)	Если фото загружено для генерации шаблона — ситуация спорная, лучше как биометрию
Видео с камеры наблюдения	НЕТ (общие ПДн)	Если на видео не запускается распознавание лиц
Номер пропуска, табельный номер	НЕТ	Это идентификатор, не биометрия

Вывод: ставите биометрический СКУД с распознаванием лиц или отпечатков — у вас идёт обработка биометрических ПДн. И это требует отдельного режима соответствия.

5 обязательных требований по обработке биометрии

1. Письменное согласие сотрудника

Сотрудник должен подписать отдельное согласие на обработку биометрических персональных данных. Не общее согласие при приёме на работу, а конкретное:

• Какие данные обрабатываются (шаблон лица, отпечаток).
• Для какой цели (контроль доступа, учёт рабочего времени).
• Где хранятся (на терминале по адресу… или на сервере СКУД).
• Кто оператор (юрлицо работодателя).
• Срок хранения и порядок отзыва согласия.

Шаблон такого согласия даём заказчикам в составе проекта СКУД. Без подписанных согласий запускать терминал на проходной — нарушение.

2. Хранение шаблонов внутри периметра объекта

Шаблон лица или отпечатка должен храниться:

• На самом терминале (большинство современных терминалов имеют локальную память на 5 000 – 50 000 шаблонов),
• ИЛИ на сервере СКУД внутри периметра объекта заказчика.

Чего быть НЕ должно: передачи шаблонов в облако вендора (Hikvision Cloud, ZKTeco BioStar Cloud и т.д.). Это нарушение требований по локализации обработки.

При проектировании СКУД явно проверяем, чтобы:

• Терминал работал в режиме offline (без обязательной связи с облаком вендора).
• Сервер СКУД стоял в серверной заказчика, не в облаке за рубежом.
• Резервное копирование шаблонов не уходило на «третьи площадки».

3. Защита канала между терминалом и сервером

Шаблоны и события передаются по шифрованному каналу (TLS 1.2+). Это технический минимум — у современных терминалов идёт «из коробки», но в проекте надо явно указать.

4. Политика обработки персональных данных

Юрлицо-оператор (работодатель) должен иметь утверждённую политику обработки ПДн, в которой явно прописана работа с биометрическими данными. Размещается на сайте компании. На этапе СКУД-проекта помогаем подготовить раздел «биометрия» в этой политике.

5. Уведомление в Роскомнадзор

Если до этого не подавали уведомление об обработке ПДн в РКН — нужно подать. Если подавали, но не указывали биометрию — нужно подать уточнение. Срок — до начала обработки. Через сайт rkn.gov.ru, заявка идёт ~10 рабочих дней.

Что грозит за нарушение

После усиления 2024 года штрафы (КоАП РФ, ст. 13.11 и 13.11.3):

Нарушение	Штраф для юрлица
Обработка биометрии без согласия	от 100 до 700 тыс. ₽
Неправильное хранение биометрии (например, в облаке вендора без локализации)	от 100 до 1 500 тыс. ₽
Утечка биометрических ПДн	от 5 до 15 млн ₽
Несоблюдение требований к информированию субъекта	от 30 до 150 тыс. ₽

Дополнительно — Роскомнадзор может приостановить обработку до устранения нарушений. На крупном объекте это означает «остановите проходную».

Обзор реальных штрафов 2024–2025: РКН активно проверяет компании по биометрии. По данным открытых решений судов, средний штраф за «обработку без надлежащего согласия» — 200–400 тыс. ₽ за инцидент.

Чек-лист на проект СКУД с биометрией

Когда мы делаем СКУД с распознаванием лиц или отпечатков, в составе проекта обязательно:

1. Согласие сотрудника (шаблон) — подписывается каждым сотрудником до регистрации в системе.
2. Раздел в политике обработки ПДн — обновляем имеющуюся политику или помогаем составить с нуля.
3. Уведомление в РКН — даём шаблон, помогаем заполнить.
4. Локальное хранение шаблонов — настройка терминала и сервера так, чтобы данные не уходили в облако.
5. Внутренний регламент — порядок обработки, срок хранения, кто имеет доступ.
6. Журнал доступа к биометрии — кто из сотрудников ИТ / СБ когда смотрел биометрические данные. Требование 152-ФЗ.

Если хотя бы одного пункта нет — система формально работает, но при первой проверке РКН попадёте на штраф.

Что НЕ нужно хранить (распространённые ошибки)

1. Исходные фото лица в архиве «на всякий случай». Шаблон — да, фото — нет. Если заказчик хочет видеть «кто прошёл», достаточно скриншота с камеры в момент прохода, который удаляется через 30 дней.
2. Шаблоны уволенных сотрудников. Подписанное согласие — на период работы. Уволили — удалили шаблон в течение 30 дней. Это часто пропускают, и при проверке РКН — штраф.
3. Отпечатки в облаке вендора. Многие зарубежные терминалы по умолчанию синхронизируются с облаком. Это надо отключить на этапе пусконаладки.
4. Биометрия членов семьи / посетителей «потому что приходят часто». Согласие нужно от каждого, чьи данные обрабатываются. Без согласия — штраф.

Альтернативы, если биометрию ставить нельзя

Иногда заказчик понимает, что соответствовать всем требованиям тяжело (нет юриста, нет ресурсов на регламенты). В этом случае альтернативы:

• Карты MIFARE с УРВ. Компромисс по точности, но без головной боли с 152-ФЗ.
• PIN-код + карта для режимных зон. Двухфакторная авторизация без биометрии.
• Гибрид: биометрия только для ключевых сотрудников (дирекция, серверная), карты — для остальных. Уменьшает количество людей, по которым нужно собирать согласия.

Подробнее, какие схемы УРВ работают, мы разбирали в отдельной статье.

FAQ

Q: Сотрудник отказался дать согласие на биометрию. Можно его уволить? A: Нет. Это его право. Альтернатива — оформить ему карту MIFARE и пускать через тот же турникет по карте. Если в компании несколько таких — на проходной должен быть и считыватель карт, и биометрический терминал.

Q: Кто отвечает за нарушение — мы как интегратор или заказчик? A: Оператор персональных данных по закону — заказчик (работодатель). Интегратор — поставщик технического решения. Но грамотный интегратор обязан предупредить заказчика о требованиях и помочь с шаблонами документов. Это часть нашей работы по проекту.

Q: Если у нас биометрия для гостей по предварительной регистрации — это тоже под 152-ФЗ? A: Да. Любая обработка биометрических ПДн — под законом. Гость должен подписать согласие. Поэтому биометрию для разовых посетителей обычно не делают — выпускают карту-однодневку.

Q: Шаблон лица — сколько он «весит» и можно ли его взломать? A: Шаблон — это вектор из 128–512 числовых признаков, ~1–2 КБ. Восстановить из него исходное фото нельзя (даже теоретически). Но утечка шаблона позволяет «поднести» лицо к чужой системе и пройти. Поэтому шаблоны защищаются как любые ПДн.