Статьи

Нужнo ли согласие сотрудников на обработку биометрических данных (СКУД по лицу/пальцу)

Опубликовано
Нужнo ли согласие сотрудников на обработку биометрических данных (скуд по лицу/пальцу) 1

Внедрение систем контроля доступа (СКУД) по лицу или отпечатку пальца стало трендом в повышении безопасности и автоматизации учета рабочего времени. Но вместе с технологиями приходят и юридические вопросы. Главный из них: «Нужно ли брать письменное согласие с сотрудников на обработку их биометрических данных?»

Нужнo ли согласие сотрудников на обработку биометрических данных (скуд по лицу/пальцу)

Спойлер: да, нужно. Почти всегда. Игнорирование этого требования, особенно с учетом новых законов и гигантских штрафов, может стоить компании миллионы рублей. Как маркетолог и специалист с 10-летним опытом в системах безопасности, я вижу свою задачу не просто в продаже оборудования, а в том, чтобы помочь клиентам внедрить его законно и эффективно. Мы в «Камера39» ценим долгосрочные отношения, а они строятся на качестве и юридической чистоте.

Давайте разберемся в этом запутанном вопросе раз и навсегда.

Что закон считает биометрическими персональными данными?

Чтобы понять, почему СКУД по лицу требует бумажной работы, нужно сперва обратиться к первоисточнику — Федеральному закону № 152-ФЗ «О персональных данных».

Согласно статье 11 этого закона, **биометрические персональные данные** — это сведения, которые характеризуют физиологические и биологические особенности человека, на основе которых можно установить его личность.

Ключевое слово здесь — **»установить личность»**. Закон выделяет их в особую, строго охраняемую категорию, потому что они уникальны и неотделимы от человека.

Нужнo ли согласие сотрудников на обработку биометрических данных (скуд по лицу/пальцу)

Какие законы регулируют обработку биометрии?

Вопрос находится на стыке нескольких отраслей права:

  1. **ФЗ-152 «О персональных данных»**: Основной закон, который вводит само понятие биометрии и устанавливает главное правило — обработка биометрии (за редким исключением) возможна **только с письменного согласия** субъекта.
  2. **Трудовой кодекс РФ (ТК РФ)**: Регулирует отношения между работником и работодателем. Глава 14 ТК РФ посвящена защите персональных данных работника.
  3. **ФЗ-572 «Об осуществлении идентификации…»**: Новый закон, который ввел понятие Единой Биометрической Системы (ЕБС) и ужесточил правила игры для всех, кто работает с биометрией.
  4. **КоАП РФ (ст. 13.11)**: Устанавливает размеры штрафов за нарушения в области персональных данных. И поверьте, они вас неприятно удивят.
Важный момент: Обработка биометрии — это не только хранение. Это любое действие: сбор (сканирование лица/пальца), запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, удаление.

Являются ли фото, отпечаток пальца и скан лица биометрией?

Вот здесь и начинается путаница, в которую мы сейчас внесем ясность.

Разъяснения Роскомнадзора: когда фото — не биометрия

Роскомнадзор (РКН) — главный надзорный орган в этой сфере — дал четкие разъяснения. Не любое изображение человека является биометрией.

**Пример 1: Фото на пропуске или в личном деле.**

Обычная фотография сотрудника, которая хранится в его личном деле или напечатана на пластиковом пропуске, сама по себе **не является биометрией**. Почему? Потому что цель ее хранения — не установление личности по физиологическим особенностям, а визуальное подтверждение (например, охранник сравнивает лицо сотрудника с фото на пропуске). Работодатель не использует специальное ПО для анализа этой фотографии.

**Пример 2: Скан лица или отпечаток пальца для СКУД.**

Ситуация кардинально меняется, когда вы используете терминал распознавания лиц или сканер отпечатков. Здесь происходит следующее:

  1. Система не хранит вашу фотографию. Она **сканирует** ваше лицо или палец.
  2. На основе скана создается уникальный цифровой шаблон (векторная модель), описывающий ключевые точки (расстояние между глазами, форма носа, узор папиллярных линий).
  3. Именно этот **цифровой шаблон** и есть биометрия.
  4. Цель его использования — **автоматическая идентификация** (кто это?) или **аутентификация** (действительно ли это тот, за кого он себя выдает?) для установления личности и предоставления доступа.

Отпечаток пальца

Всегда биометрия, если используется для идентификации в СКУД. Система анализирует уникальный узор папиллярных линий.

Скан лица

Всегда биометрия, если используется для идентификации в СКУД. Система строит цифровой шаблон (слепок) лица.

Фото (на пропуске)

Не биометрия, так как используется для визуального сличения человеком, а не автоматической идентификации.

Таким образом, как только вы устанавливаете терминал, который «узнает» сотрудника по лицу или пальцу, вы автоматически становитесь **оператором биометрических персональных данных**. Со всеми вытекающими обязанностями и рисками.

Менеджер
Баннер с формой

Биометрическая СКУД (по лицу/пальцу): особенности обработки данных

Давайте закрепим. Использование биометрической СКУД — это не то же самое, что установка обычного видеонаблюдения. Камера на входе, которая просто пишет видео, фиксирует события. Терминал СКУД, который «узнает» лицо, — **идентифицирует** личность.

Как только система начинает отвечать на вопрос «Кто этот человек?», она обращается к базе данных цифровых шаблонов. Этот процесс и есть «обработка биометрических персональных данных с целью установления личности», о которой говорит ФЗ-152.

Переходим к главному вопросу. Ответ на него однозначный: **ДА, НУЖНО.**

Статья 11 ФЗ-152 прямо говорит, что биометрические персональные данные могут обрабатываться **только при наличии письменного согласия** субъекта.

Многие годы существовала «серая зона». Работодатели ссылались на Трудовой кодекс, который якобы позволяет обрабатывать данные работника без его согласия, если это необходимо для «содействия в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников… и контроля количества и качества выполняемой работы».

Однако Роскомнадзор и суды давно поставили в этом вопросе точку.

Позиция Роскомнадзора и судебная практика

РКН неоднократно разъяснял: обеспечение пропускного режима или учета рабочего времени **не является** той целью, для которой ТК РФ позволяет обрабатывать биометрию без согласия.

Позиция РКН: Цели «контроль доступа» и «учет рабочего времени» могут быть достигнуты **без использования биометрии** (например, с помощью карт-пропусков или журналов учета). Следовательно, сбор биометрии не является обязательным и носит избыточный характер. А раз так — требуется добровольное письменное согласие.

Судебная практика полностью это подтверждает. Компании, которые внедряли СКУД по лицу или пальцам «приказным» порядком, массово проигрывали суды и получали крупные штрафы от Прокуратуры и РКН.

Нужнo ли согласие сотрудников на обработку биометрических данных (скуд по лицу/пальцу)

Сравнение: СКУД по карте-пропуску vs. СКУД по лицу

Чтобы окончательно понять разницу в юридических требованиях, давайте сравним два популярных типа СКУД.

Параметр СКУД по карте-пропуску (E-Marine, Mifare) СКУД по лицу / отпечатку пальца
Тип обрабатываемых данных Обычные ПДн (ФИО, должность, номер пропуска). Биометрические ПДн (цифровой шаблон лица/пальца) + Обычные ПДн.
Нужно ли письменное согласие? Достаточно общего согласия на обработку ПДн при приеме на работу. Обязательно отдельное, письменное, добровольное согласие на обработку именно биометрических данных.
Что делать при отказе сотрудника? Сотрудник не может отказаться, т.к. это часть рабочего процесса. Работодатель обязан предоставить альтернативный способ прохода (например, ту же карту-пропуск).
Риски и штрафы (ст. 13.11 КоАП) Штрафы за общие нарушения (до 150 000 руб.) Специальные «биометрические» штрафы (до 1 000 000 руб. и выше).

Когда согласие на обработку биометрии НЕ требуется?

Закон (все та же ст. 11 ФЗ-152) предусматривает исчерпывающий список исключений, когда письменное согласие не нужно. Важно понимать, что бизнес к ним почти никогда не относится.

Согласие не требуется, если обработка биометрии нужна:

  • В связи с реализацией международных договоров РФ.
  • В связи с осуществлением правосудия и исполнением судебных актов.
  • В связи с проведением **обязательной** государственной дактилоскопической регистрации (например, для силовиков).
  • Для органов ФСБ, СВР, ФСО, Минобороны, МВД (в рамках их деятельности по безопасности, борьбе с терроризмом и т.д.).

Миф: «Обеспечение пропускного режима» — это исключение

Это самое опасное заблуждение. Некоторые работодатели пытаются сослаться на пп. 2 ст. 10 ФЗ-152 (обработка спецкатегорий ПДн) или на требования по антитеррористической защищенности. Суды и РКН однозначны: эти требования **не обязывают** вас использовать именно биометрию. Вы можете обеспечить безопасность и картами. Раз выбираете биометрию — берите согласие.

Вывод: для 99.9% коммерческих компаний, которые хотят поставить СКУД для своих сотрудников, **ни одно из этих исключений не подходит**.

СДЕЛАТЬ ЗАКАЗ

Получить консультацию

Получить консультацию
СДЕЛАТЬ ЗАКАЗ

Получить консультацию

Получить консультацию

Итак, мы выяснили, что согласие — это фундамент. Но простой подписи «я согласен» недостаточно. Закон предъявляет к письменному согласию на обработку биометрии строгие требования (ст. 9 ФЗ-152). Если в документе не будет хотя бы одного пункта, оно будет считаться недействительным, а вся ваша обработка — незаконной.

Мы в «Камера39» всегда подчеркиваем: наша работа — установить систему, а ваша — обеспечить юридическую базу. Мы можем в этом помочь консультацией.

Что обязательно должно быть в письменном согласии:

1. Конкретика

ФИО, паспортные данные сотрудника. Наименование и адрес работодателя (оператора).

2. Цель (Критически важно!)

Четкая и конкретная цель. «Для прохода на территорию» — плохо. «Для обеспечения идентификации при проходе через СКУД и учета рабочего времени» — хорошо.

3. Перечень данных

Точный перечень: «биометрические персональные данные (цифровой шаблон отпечатка пальца)» или «биометрические персональные данные (цифровой шаблон лица)».

4. Перечень действий

Что вы будете делать: «сбор, запись, хранение, использование, блокирование, удаление».

А также:

  • Срок действия: Согласие не может быть бессрочным. Обычно его привязывают к сроку действия трудового договора («до момента прекращения трудовых отношений»).
  • Порядок отзыва: Обязательно указать, что сотрудник имеет право отозвать согласие в любой момент, подав письменное заявление.
  • «Живая» подпись: Это должен быть отдельный документ, подписанный сотрудником собственноручно.

Можно ли включить согласие в трудовой договор?

**Категорически нет.** Это прямое нарушение. Роскомнадзор и суды считают, что такое «вшитое» согласие не является добровольным, так как сотрудник вынужден либо подписать все, либо не получить работу. Согласие на биометрию — это **всегда** отдельный, добровольный документ.

СДЕЛАТЬ ЗАКАЗ

Получить консультацию

Получить консультацию
СДЕЛАТЬ ЗАКАЗ

Получить консультацию

Получить консультацию

Сотрудник отказывается давать согласие: что делать работодателю?

Это самый частый страх наших клиентов. «Я куплю дорогое оборудование, а у меня половина коллектива откажется, и что тогда?»

Это законное право сотрудника. Помните: согласие на то и согласие, что оно добровольное. Давление, принуждение или угрозы здесь незаконны.

Нужнo ли согласие сотрудников на обработку биометрических данных (скуд по лицу/пальцу)

Можно ли уволить или не принять на работу?

**Однозначно нет.**

  • **Отказ в приеме на работу** по причине нежелания «сдавать пальчики» является прямой дискриминацией (ст. 64 ТК РФ).
  • **Увольнение** или дисциплинарное взыскание (штраф, выговор) по этой причине также незаконно.

Любой суд восстановит такого сотрудника на работе, взыщет с компании компенсацию и зарплату за время вынужденного прогула, а прокуратура с Роскомнадзором выпишут отдельные штрафы за принуждение.

Обязанность работодателя: предоставить альтернативный способ прохода

Вот он, ключевой момент всего процесса. Если сотрудник отказался подписывать согласие на биометрию, работодатель **обязан** обеспечить ему альтернативный, не-биометрический способ прохода и учета времени.

Это ваша «подушка безопасности». Внедряя СКУД по лицу, вы не должны демонтировать старую карточную систему. Она должна остаться как резервный и альтернативный вариант.

Практический совет от «Камера39»: При выборе оборудования, если вы не уверены в 100% согласии коллектива, выбирайте **мультимодальные терминалы**. Это устройства, которые умеют считывать и лицо/палец, и карту, и PIN-код. Для «согласных» — удобный проход по лицу, для «отказников» — тот же терминал, но по карте. Это идеальный компромисс.

Такой подход убивает двух зайцев:

  1. Вы соблюдаете закон, предоставляя выбор.
  2. Вы не ущемляете права «отказника» — он так же проходит через турникет и его время так же учитывается.

У вас просто нет юридических рычагов, чтобы заставить сотрудника, и нет смысла портить с ним отношения. Предоставьте альтернативу — и вопрос снят.

Менеджер
Баннер с формой

Ответственность и штрафы за нарушения при работе с биометрией

Если аргументы о правах человека вас не убедили, возможно, это сделают цифры. С 2023-2024 года ответственность за нарушения при работе с персональными данными, и особенно с биометрией, была многократно усилена.

Нас интересует статья 13.11 КоАП РФ. Вот лишь некоторые штрафы для юридических лиц:

Ч. 1: Обработка ПДн не по закону

Нет законного основания (например, нет согласия).
Штраф: 60 000 – 100 000 руб.

Ч. 2: Обработка без письменного согласия

Когда оно требуется (наш случай со СКУД!).
Штраф: 100 000 – 300 000 руб.

А с 23 декабря 2023 года ввели новые, еще более суровые штрафы за невыполнение обязанностей оператора:

Новые штрафы (ФЗ-589)

  • Размещение и обновление биометрии в ЕБС с нарушениями: 100 000 – 300 000 руб.
  • Обработка биометрии в обход ЕБС, когда это запрещено: 500 000 – 1 000 000 руб.
  • Повторное нарушение: до 1 500 000 руб.

Суммы уже сопоставимы со стоимостью всей системы безопасности. Проще (и дешевле) один раз сделать все по закону.

Единая Биометрическая Система (ЕБС) и ФЗ-572

Многих напугал новый закон ФЗ-572, который обязал все коммерческие организации, собравшие биометрию, передать ее в государственную Единую Биометрическую Систему (ЕБС) и удалить у себя.

**Хорошая новость:** Прямого запрета на использование «своих» СКУД для работодателей нет. Закон регулирует в первую очередь предоставление государственных и финансовых услуг.

**Плохая новость:** Регулирование ужесточается. РКН крайне негативно относится к «зоопарку» разрозненных и слабозащищенных баз биометрии. Требования к защите таких данных (шифрование, аттестация, сертификация ПО) становятся практически невыполнимыми для малого и среднего бизнеса.

Практический совет: Использование СКУД, которые хранят шаблоны биометрии **не на сервере, а в зашифрованном виде на самом терминале или на карте сотрудника (Mifare)**, является более безопасным юридическим решением. Это снижает риски утечки и упрощает выполнение требований закона.

Как «Камера39» помогает внедрить биометрическую СКУД законно

Мы верим, что наша работа — это не просто «продать и установить». Это обеспечить качественный сервис, который решает задачу клиента, а не создает ему новые проблемы.

  1. Подбор правильного оборудования: Мы предложим терминалы, которые соответствуют вашим задачам — от простых до мультимодальных (лицо + карта + код), чтобы у вас всегда была легальная альтернатива для «отказников».
  2. Экспертная консультация: Мы объясним технические и юридические нюансы еще «на берегу», до покупки. Мы честно скажем, какие документы вам нужно подготовить, и почему это важно.
  3. Надежный монтаж: Наши инженеры установят и настроят систему, покажут, как она работает, и обеспечат техническую поддержку.

Наша цель — ваша безопасность и спокойствие. И юридическое, и физическое.



      Не уверены, какая СКУД подойдет вам?

      Получите бесплатную консультацию от наших экспертов. Мы проанализируем ваши задачи и предложим законное и эффективное решение.

      Консультация в WhatsApp

      Часто задаваемые вопросы (FAQ)

      У нас в офисе просто видеонаблюдение. Это тоже биометрия?

      Нет, если это обычная камера, которая просто пишет видео в архив. Роскомнадзор разъяснил, что это не биометрия, так как нет цели установить личность конкретного человека автоматически. Но! Если вы подключите к этой камере сервер с ПО для распознавания лиц (чтобы, например, «ловить» нежелательных посетителей или считать уникальных клиентов), то это моментально станет обработкой биометрии. Для простого видеонаблюдения достаточно уведомить сотрудников и повесить табличку «Ведется видеонаблюдение».

      А если мы храним шаблоны пальцев не на сервере, а в самом терминале?

      Это техническая деталь, которая не отменяет главного. Вы все равно являетесь оператором, который «собрал» и «хранит» биометрию. Место хранения (сервер, ПК, сам терминал) не отменяет необходимости получать письменное согласие. Другое дело, что такое локальное хранение (особенно на карте сотрудника) снижает риски утечки и упрощает выполнение требований по защите.

      Мы — ЧОП, охраняем объект. Можем ли мы требовать биометрию от посетителей?

      Нет, не можете. Требовать — точно нет. Посетитель не состоит с вами в трудовых отношениях, и вы не можете принудить его к этому. Вы можете *предложить* такой способ прохода (например, для «своих» подрядчиков), но только при наличии их письменного согласия и обязательной альтернативы (разовый пропуск по паспорту).

      Слышал, что отпечатки пальцев в iPhone — это не то же самое. Почему?

      Совершенно верно. Это отличный пример! Когда вы используете Touch ID или Face ID, ваш биометрический шаблон хранится **только на вашем устройстве** в зашифрованном виде (в т.н. Secure Enclave) и никогда его не покидает. Apple (оператор) не имеет к нему доступа. Система телефона просто отвечает «да» или «нет» на запрос приложения. В случае с СКУД, оператором является работодатель, который собирает и хранит данные для *своих* целей. Это принципиальная юридическая разница.

      Что делать, если мы уже используем СКУД по пальцам, но согласий ни у кого не брали?

      Плохие новости. Вы работаете незаконно и «сидите на пороховой бочке». Первая же жалоба обиженного сотрудника в Прокуратуру или РКН (а это бесплатно и делается онлайн) гарантированно приведет к проверке и штрафу. Что делать? Немедленно «легализоваться»:
      1. Подготовить правильные формы согласий и локальные акты.
      2. Собрать подписи со всех сотрудников «задним числом».
      3. Тем, кто откажется, немедленно выдать карты-пропуска и обеспечить альтернативный доступ.
      4. Молиться, чтобы проверка не пришла раньше. Если нужна помощь с аудитом и модернизацией существующей системы — обращайтесь.