Биометрические данные: понятие и правила обработки

Любые персональные данные позволяют идентифицировать определенного человека, например, его год рождения, адрес, номер паспорта. Но есть специальный вид персональных данных, который позволяет установить личность с помощью его физиологии и биологических характеристик. В статье рассмотрим понятие «биометрические персональные данные»: что к ним относится, какие категории выделяют, как обрабатывать и брать согласие на обработку таких персданных.

Образец согласия на обработку биометрических персданных Памятка по согласиям на обработку персданных Правила использования изображения гражданина при обработке персданных  Правила обработки биометрических персданных

Биометрические персональные данные: что к ним относится

Биометрические персональные данные – это, по определению Закона № 152-ФЗ (статья 11), любые сведения, которые характеризуют физиологические и биологические особенности человека, при помощи которых можно установить его личность. Главное, чтобы эти данные использовались именно с целью идентификации человека – тогда их считают биометрией. То есть, при конкретных обстоятельствах, даже видео- или фотосъемку сотрудника можно отнести к биометрическим персданным.

К биометрическим персональным данным относят:

• Параметры физиологического характера – внешние характерные черты человека. Это его ДНК, снимок глаз (рисунок радужки), отпечатки пальцев, голос и т.д.
• Иные характеристики, которые могут передавать особенности субъекта, в том числе видео и фото (письмо Минкомсвязи от 28.08.2020 года № ЛБ-С-074-24059)
• Запись голоса на диктофон или иную аппаратуру для записи звуков (п. 4 ст. 3 Закона 572-ФЗ).
• Цифровые фото в цвете на загранпаспорте (письмо Роскомнадзора от 29.08.2022 № 08-78032).

Для категории биометрических персональных данных характерна необязательность ее сбора у работодателя, в отличие от прочей информации (например, ФИО, адрес и паспортные данные для приема на работу). Но в некоторых компаниях, например, с пропускной системой биометрию обрабатывают.

В каких случаях фотографию и видео относят к биометрии. Биометрические данные могут быть в форме фото или видео, но только если их используют для установления личности. По сути, фотография, как и запись с камеры является ПД, но их отношение именно к биометрии нужно определять из целей фото-, видеосъемки.

Это возможно если:

• В личном деле сотрудника может находиться скан паспорта с фотографией, но для идентификации его не используют, поэтому к биометрическим ПД такое фото не относится.
• Фотография же на пропуске помогает охраннику убедиться, что перед ним сотрудник предприятия. То есть в этом случае фото выступает как биометрия.

Варианты, когда фото- и видеосъемку не будут считать биометрическими данными (ст. 152.1 ГК РФ):

• камеры в общественных местах и охраняемых территориях (магазины, заводы стадионы, ТРЦ;
• общая съемка мероприятий без фокусировки на отдельном человеке;
• субъект сам позирует на камеру за вознаграждение;
• съемка велась в целях безопасности, а оператор не планирует ее обнародовать или использовать.

Обратите внимание! На размещение сведений о человеке в Единой биометрической системе (ЕБС) положение статьи 11 Закона 152-ФЗ не распространяются (п. 5 ст. 3 Закона № 572-ФЗ). Но на получение данных из ЕБС для установления личности действуют ограничения Закона 152-ФЗ.

Обработка биометрических персональных данных

Для обработки биометрических персональных данных существует целый ряд условий, которые прописаны в ст. 11, 19 Закона № 152-ФЗ. Организациям требуется выполнить следующие действия, чтобы пользоваться данными для идентификации.

Для этого нужно:

• взять с сотрудников письменное согласие;
• выполнять требования к обработке ПД согласно закону;
• использовать рекомендованные меры безопасности и шифровальные средства.

Спорный вопрос об использовании в компании камер наблюдения. Если они просто установлены в целях безопасности и сотрудники предупреждены о съемке, биометрическими персональными данными их записи формально не считаются. Но, если придется использовать это видео для подтверждения дисциплинарного проступка, то такую запись уже относят к биометрии. Поэтому лучше взять заранее согласие на обработку этих данных с сотрудников.

Порядок обработки биометрических ПД можно добавить в общее Положение о персональных данных. 

Важно! К организациям, которые по специфике своей работы собирают биометрические данные с клиентов (например, банкам, МФЦ) предъявляются особые требования. Они обязаны пройти государственную аккредитацию и далее регистрировать все полученные биометрические ПД в Единой биометрической системе (ЕБС), как поставщик таких данных (ст.4 Закона № 572-ФЗ).

Согласие на обработку биометрических персональных данных

На сбор и обработку биометрии обязательно должно быть письменное согласие владельца ПД (ч. 1 ст. 11 Закона № 152-ФЗ). Исключения – только использование такой информации в целях госбезопасности и для обеспечения правосудия (ч. 2 ст. 11 Закона 152-ФЗ). Причем ввести обязанность предоставлять такие данные невозможно, за исключением случаев, указанных в части второй 11 статьи.

К форме согласия на обработку биометрических персональных данных применяются те же требования, что и при обработке любых ПД.

То есть:

• документ должен быть предельно конкретным, предметным, информированным, сознательным и однозначным,
• не допускаются общие формулировки,
• положения документа не могут расходиться с законодательством.

Действующей унифицированной формы согласия на обработку биометрии пока нет, но в содержании документа должны быть определенные условия, чтобы его признали законным (Приказ Роскомнадзора от 24.02.2021 года № 18). 

Что должно содержать согласие на биометрические персональные данные:

• ФИО субъекта ПД, паспортные данные, адрес, подпись.
• наименование оператора (организации) и реквизиты.
• с какой целью будет обрабатываться биометрические данные.
• перечень ПД, которые субъект разрешает обрабатывать.
• какой период будет действовать согласие и как можно его будет отозвать при необходимости.

Также в документ нужно добавить пункты, из которых станет ясно, что сотруднику разъяснили все его положения, а также предупредили о возможной ответственности при искажении ПД и о последствиях отказа от их предоставления.

Для разрешения на передачу биометрии в Единую систему и векторов ЕБС разработаны отдельные формы согласия: для передачи в бумажном и электронном формате. Формы утверждены Распоряжением Правительства России от т 09.04.2024 года № 856-р.

Что сделать, чтобы обезопасить хранение ПД в компании – читайте в статье

Чем грозит незаконная обработка биометрических персональных данных

С 30 мая 2025 года суммы штрафов в статье 13.11.3 КоАП значительно увеличились и добавились новые критерии правонарушения (Федеральный закон от 30.11.2024 № 420-ФЗ).

В частности:

• введены оборотные штрафы за повторные нарушения, также добавили наказание за неуведомление РКН;
• увеличились штрафы за незаконную обработку и распространение любых ПД;
• для компаний отказ в обслуживании потребителя из-за неполучения согласия по биометрии грозит штраф до 500 000 рублей (ч.8 ст. 14.8 КоАП РФ);
• нарушение порядка обработки биометрии – 100 000–300 000 рублей должностному лицу и до 1 млн для юрлиц;
• при непринятии мер для защиты биометрических персданных штрафы увеличиваются уже до 500 000 и 1,5 млн рублей для должностных и юрлиц соответственно;
• за утечку биометрии организации могут оштрафовать на 15–20 млн рублей.

Если у вас остались вопросы по обработке биометрических персональных данных или вам нужна консультация по применению норм трудового права, позвоните нам по телефону 8 (800) 775 29 55 или напишите на почту: support@profkadrovik.ru 

Читайте на сайте статьи по теме Ответственный за персональные данные: кого и как назначить Трансграничная передача персональных данных по новым требованиям Согласие на обработку персональных данных: последние требования закона Аудит персональных данных: как провести по новым правилам Ответственность за разглашение персональных данных Уничтожение персональных данных: как соблюсти новые требования