Зарегистрироваться
Ежедневные онлайн встречи на которых эксперты учебного центра Pro-ability
разбирают с вами актуальные вопросы (госзаказа, кадров и бух. учета)
Посмотреть расписание и записаться бесплатно
статьи кадры

Обработка биометрии сотрудников: когда нужно согласие, а когда закон позволяет обойтись без него?

Внедрение биометрических систем контроля доступа, учета рабочего времени или обеспечения безопасности на предприятии — это современный и эффективный тренд. Однако использование отпечатков пальцев, сканов лица или сетчатки глаза сотрудников жестко регулируется законом. Письмо Минфина РФ от 31.10.2025 № 05-07-12/105838 дает официальные разъяснения, напоминая о ключевых правилах и важных исключениях.

Основное правило: согласие обязательно

Согласно статье 11 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», биометрические персональные данные (сведения, характеризующие физиологические и биологические особенности человека, позволяющие установить его личность) могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных.
Что это значит для работодателя? Если компания устанавливает турникеты с функцией распознавания лица или систему доступа в помещение по отпечатку пальца, она обязана:
  1. Получить от каждого сотрудника отдельное, информированное, конкретное и письменное согласие на обработку именно биометрических данных.
  2. В согласии четко указать цели обработки (контроль доступа, учет рабочего времени).
  3. Обеспечить безопасное хранение этих данных и защиту от утечек.
Отсутствие такого согласия делает обработку биометрии незаконной и влечет за собой административную ответственность по ст. 13.11 КоАП РФ.

Исключения: когда согласие не требуется

Пункт 2 статьи 11 Закона № 152-ФЗ, на который ссылается Минфин, устанавливает исчерпывающий перечень ситуаций, когда биометрию можно обрабатывать без согласия человека. Эти случаи связаны с реализацией государственных, правоохранительных и судебных функций.
Таблица 1: Случаи обработки биометрических данных без согласия
Сфера применения / Цель обработки Краткое пояснение и примеры
1 Реализация международных договоров о реадмиссии Установление личности лиц, подлежащих передаче или приёму между государствами. Применяется при депортации и возврате мигрантов на основании двусторонних соглашений.
2 Осуществление правосудия и исполнение судебных актов Использование биометрии в судах для идентификации участников процесса, а также при исполнении решений (например, установление местонахождения должника).
3 Оборона, безопасность, противодействие терроризму Деятельность спецслужб, Минобороны, антитеррористических подразделений. Примеры: сканирование лиц в аэропортах, контроль доступа к закрытым объектам.
4 Обеспечение транспортной безопасности Биометрический контроль на объектах транспорта: аэропорты, вокзалы, метро. Основание — Федеральный закон № 16-FZ «О транспортной безопасности».
5 Оперативно-розыскная деятельность Работа оперативных подразделений МВД, ФСБ и других уполномоченных органов: сбор, хранение и использование биометрии для раскрытия преступлений.
6 Государственная и муниципальная служба Может применяться для контроля доступа в здания госорганов, защиты служебной информации, дистанционного удостоверения личности сотрудника.
7 Противодействие коррупции В рамках специальных проверок и мероприятий, предусмотренных антикоррупционным законодательством (например, при допуске к госинформации).
8 Уголовно-исполнительная система Идентификация осуждённых в СИЗО и исправительных учреждениях, контроль за перемещением, предотвращение побегов.
9 Вопросы гражданства, выезда из РФ и въезда в РФ Работа пограничных служб, использование биометрических паспортов и загранпаспортов, автоматический контроль на границе (система eGate).
Ключевой вывод для бизнеса: Подавляющее большинство перечисленных исключений не относятся к обычным коммерческим компаниям или частным работодателям. Они касаются государственных органов и специальных ситуаций, регулируемых отдельными законами.

Практический пример для HR и руководителя

Ситуация: Частная производственная компания «СтальПрофи» решает установить систему прохода в цех по отпечатку пальца для усиления безопасности и точного учета рабочего времени.
Правильные действия:
  1. Разработать и утвердить локальный нормативный акт (например, Положение об использовании биометрической системы контроля доступа), где прописать цели, порядок обработки и защиты данных.
  2. Подготовить форму письменного согласия на обработку биометрических персональных данных.
  3. Получить это согласие от каждого сотрудника, который будет пользоваться системой. Сотрудник вправе отказаться.
  4. Предусмотреть для отказавшихся сотрудников альтернативный способ контроля доступа и учета времени (например, электронная пропускная карта или журнал).
Неправильные действия (ведущие к штрафам):
  • Внести условие об обязательной сдаче отпечатков пальца в трудовой договор или правила внутреннего трудового распорядка и считать это достаточным согласием.
  • Начать обработку биометрии на основании общего согласия на обработку персональных данных (для биометрии нужно отдельное согласие).
  • Угрожать увольнением или иными санкциями сотруднику, отказавшемуся предоставить биометрические данные.

Риски и ответственность за нарушение

Игнорирование требований Закона № 152-ФЗ — это прямой путь к крупным штрафам и репутационным потерям.
Таблица 2: Ответственность за незаконную обработку биометрических данных
Нарушение Статья КоАП РФ Санкция для должностных лиц / ИП Санкция для юридических лиц
Обработка персональных данных в случаях, не предусмотренных законом, или обработка, несовместимая с целями сбора ч. 1 ст. 13.11 Предупреждение
или
штраф 10 000 – 20 000 ₽ 		Штраф 60 000 – 100 000 ₽
Обработка персональных данных без письменного согласия субъекта, когда оно обязательно ч. 2 ст. 13.11 Штраф 20 000 – 40 000 ₽ Штраф 30 000 – 150 000 ₽

Как избежать штрафов за ПДн?

Чек-лист по требованиям ФЗ-152 «О персональных данных»

📌 1. Оформите письменное согласие на обработку ПДн
Когда нужно: при сборе данных от клиентов, сотрудников, контрагентов.
Форма: свободная, но с обязательными реквизитами:
• ФИО субъекта,
• цели обработки,
• подпись и дата.
📌 2. Указывайте конкретные цели обработки
Обработка должна быть совместима с заявленной целью.
Пример: нельзя использовать данные клиента для рассылки без его согласия.
📌 3. Ведите реестр обработки персональных данных
Обязательно для всех, кто обрабатывает ПДн (кроме ИП с минимальным объёмом).
Должен содержать:
• категории субъектов,
• цели,
• получателей,
• сроки хранения.
📌 4. Обеспечьте защиту персональных данных
Применяйте меры защиты:
• пароли,
• шифрование,
• ограничение доступа,
• антивирусы.
Рекомендуется пройти аттестацию средств защиты.
📌 5. Утвердите политику в области обработки ПДн
Локальный акт, утверждённый руководителем.
Должен описывать:
• порядок сбора,
• хранения,
• передачи,
• ответственность сотрудников.
Согласие
Цель
Реестр
Защита
Политика
❗ Помните:
Штрафы по ст. 13.11 КоАП РФ могут достигать:
• до 40 000 ₽ — для должностных лиц,
• до 150 000 ₽ — для юридических лиц.
Проверки проводит Роскомнадзор.
✅ Совет: Раз в год проводите внутренний аудит по обработке ПДн — это поможет выявить риски до прихода проверяющих.
Кроме штрафов, Роскомнадзор может вынести предписание о прекращении незаконной обработки данных, а сотрудник вправе подать в суд и требовать компенсации морального вреда.

Заключение и рекомендации для работодателей

Письмо Минфина от 31.10.2025 № 05-07-12/105838 — это четкий сигнал: законодательство в сфере биометрии ужесточается, а контроль усиливается.
  1. Принцип «Согласие прежде всего»: Для 99% коммерческих организаций единственный легальный путь использования биометрии сотрудников — получение их добровольного и осознанного письменного согласия.
  2. Исключения — не для бизнеса: Не пытайтесь трактовать исключения из закона в свою пользу. Они созданы для государственных, правоохранительных и судебных нужд, а не для оптимизации рабочего процесса в офисе.
  3. Действуйте прозрачно: Разработайте четкие внутренние документы, подробно информируйте коллектив и всегда предлагайте альтернативу для тех, кто по каким-либо причинам не хочет предоставлять биометрические данные.
Соблюдение этих правил не только убережет компанию от штрафов, но и создаст атмосферу доверия, показывая сотрудникам, что их права на частную жизнь и защиту персональных данных уважают.
2025-12-30 13:48