Что необходимо учесть компании, если она планирует обрабатывать биометрические данные пользователей (идентификация, фотовидео лица, аудио голоса). Требуется ли оформление согласия в письменном виде, внесение в ЕБС?

На основании анализа материалов системы и действующего законодательства, мы пришли к выводу, что если компания планирует обрабатывать биометрические данные пользователей (идентификация, фотовидео лица, аудио голоса), ей необходимо учесть следующее:

• Согласие на обработку персональных данных ч. 1 ст. 9,ФЗ N 152-ФЗ. Оно должно соответствовать требованиям  ч. 4 ст. 9 и ч. 1 ст. 10.1 № 152-ФЗ: указание цели обработки, перечня данных, срока действия, информации об операторе, а также возможность отзыва согласия (Приказ Роскомнадзора от 24.02.2021 № 18);
• Уведомить Роскомнадзор (ч. 1 ст. 22, ФЗ N 152-ФЗ);
• Использовать Единую биометрическую систему (ЕБС) при обработке биометрических персональных данных.

 

Обоснование

 

В соответствии с разъяснениями Роскомнадзора, к биометрическим персональным данным относятся сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность, и которые используются оператором именно для установления личности.

• Если вы используете фото или видео для идентификации (например, для входа в личный кабинет по лицу), это биометрия.
• Если вы используете запись голоса для подтверждения личности (голосовая биометрия), это тоже биометрия.
• Если же вы просто храните фото в личном деле или делаете ксерокопию паспорта без цели идентификации (например, для формирования договора), такие действия могут не подпадать под ст. 11,ФЗ N 152-ФЗ.

Если вы обрабатываете биометрические персональные данные, то, как правило, вам нужно получить согласие гражданина на это (ч. 1 ст. 11 Закона о персональных данных). Например, это требуется, если вы фотографируете своих клиентов, чтобы оформить им пропуск (Письмо Минцифры России от 17.07.2020 N ОП-П24-070-19433).

Согласие требуется, если обработку производите именно вы. Если же, например, гражданин оплачивает ваш товар с использованием сканера отпечатков пальцев на своем смартфоне, согласие получать не нужно, поскольку вы непосредственно не обрабатываете его биометрические данные.

Обратите внимание, что под биометрическими данными понимаются только такие сведения, которые вы используете для установления личности гражданина. Так, не являются достаточными для установления личности сведения об отдельных физиологических признаках гражданина (например, только о его весе или росте).

Готовое решение: В каком порядке должна осуществляться обработка персональных данных физлиц (КонсультантПлюс, 2026)

 

Согласно ч. 1 ст. 15 Федерального закона от 29.12.2022 № 572-ФЗ, обработка биометрических персональных данных вне ЕБС запрещена, за исключением случаев, установленных федеральными законами.

Таким образом, если организация собирается использовать биометрические данные (например, изображение лица или запись голоса) для идентификации или аутентификации, она должна взаимодействовать с ЕБС.

Помимо Закона "О персональных данных" нужно учитываться положения Федерального закона N 572-ФЗ "Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных". Биометрические данные граждан должны храниться в ГИС "Единая биометрическая система" (ЕБС) для их эффективной защиты. Доступ к ЕБС получат уполномоченные и аккредитованные компании, соответствующие требованиям.

Работать с ГИС ЕБС обязаны далеко не все. Действие данного Закона N 572-ФЗ не распространяется на компании, где проверка соответствия биометрических данных работника его биометрическим данным в системе не автоматизирована полностью. В проверке участвует представитель компании. Например, при входе в офис работник предъявляет свой пропуск и охранник самостоятельно сверяет его фото с его внешним видом.

Если на предприятии используется автоматическая идентификация личности работников по биометрическим данным, нужно соблюдать требования Закона N 572-ФЗ:

- придется установить порядок взаимодействия с ГИС ЕБС;

- выбрать устройства и оборудование, подходящие для взаимодействия с ЕБС;

- организовать защищенные каналы передачи данных;

- вести журналы учета СКЗИ.

Статья: Биометрические данные: согласие работника должно быть! (Горин И.Т.) ("Практическая бухгалтерия", 2024, N 4)

 

Риски

 

Нарушение порядка обработки биометрических персональных данных может повлечь административную ответственность по ст. 13.11 КоАП РФ.

 

1. Форма: Запрос согласия субъекта персональных данных на обработку его биометрических персональных данных (Подготовлен для системы КонсультантПлюс, 2026),
2. Форма: Согласие субъекта персональных данных на обработку его биометрических персональных данных (Подготовлен для системы КонсультантПлюс, 2025),
3. Приказ Роскомнадзора от 24.02.2021 N 18 "Об утверждении требований к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения" {КонсультантПлюс},
4. Статья: Биометрические данные: согласие работника должно быть! (Горин И.Т.) ("Практическая бухгалтерия", 2024, N 4),
5. Готовое решение: В каком порядке должна осуществляться обработка персональных данных физлиц (КонсультантПлюс, 2026),
6. Вопрос: В каких случаях обработка биометрических персональных данных может осуществляться без согласия субъекта персональных данных? (Подборки и консультации Горячей линии, 2025),
7. Вопрос: Об осуществлении обработки биометрических персональных данных. (Письмо Минфина России от 31.10.2025 N 05-07-12/105838),
8. Вопрос: Об обработке биометрических персональных данных. (Письмо Минфина России от 13.10.2025 N 05-07-12/98793).