Биометрические персональные данные: определение, примеры, требования к обработке

Биометрические персональные данные — сведения, характеризующие физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для идентификации субъекта персональных данных (ст. 11 Федерального закона № 152-ФЗ).

Ключевое слово в определении — «используются для идентификации». Именно цель обработки отличает биометрические ПДн от иных. Одна и та же фотография может быть биометрией, а может — нет. Всё зависит от того, зачем оператор её собирает и как применяет.

Биометрические данные — одна из четырёх категорий персональных данных, выделяемых законодательством наряду со специальными, общедоступными и иными. При этом биометрия занимает особое место: для неё установлены наиболее жёсткие требования к согласию, хранению и уровню защищённости ИСПДн.

Нормативная база по биометрическим ПДн включает:

• Статья 11 Федерального закона № 152-ФЗ — общие правила обработки биометрических данных
• Федеральный закон № 572-ФЗ от 29.12.2022 — о Единой биометрической системе (ЕБС) и государственном регулировании биометрии
• Постановление Правительства РФ № 1119 — определение уровня защищённости ИСПДн, в том числе при обработке биометрии
• Приказ ФСТЭК № 21 — технические и организационные меры защиты ПДн
• Разъяснения Роскомнадзора — о разграничении биометрических и иных ПДн

Перечень биометрических данных не является закрытым — закон определяет их через признаки (физиологические и биологические характеристики для идентификации), а не через исчерпывающий список. На практике к биометрическим ПДн относят:

Важно: биометрическими эти данные становятся только при выполнении двух условий одновременно: (1) они характеризуют физиологические или биологические особенности, и (2) оператор использует их именно для установления личности конкретного человека.

К биометрии не относятся (согласно разъяснениям Роскомнадзора):

• Фотография в личном деле сотрудника — хранится для кадрового учёта, а не для идентификации
• Результаты медицинских анализов (анализ крови, рентген) — это специальные ПДн (ст. 10), а не биометрические
• Почерк и подпись — характеризуют навык, а не физиологию, и, как правило, не используются в автоматизированных системах идентификации
• Рост, вес, цвет глаз — описательные характеристики, не используемые в системах биометрической идентификации

Вопрос «является ли фото персональными биометрическими данными» — один из самых частых в практике. Ответ зависит от цели обработки, а не от самого факта наличия фотографии.

Фотография = биометрия, когда:

• Используется в системе распознавания лиц (видеоаналитика, СКУД с камерами)
• Загружена в ЕБС или коммерческую биометрическую систему для последующей идентификации
• Применяется для верификации личности при удалённом обслуживании (банки, госуслуги)
• Сопоставляется с эталонным изображением для пропуска на территорию

Фотография ≠ биометрия, когда:

• Хранится в личном деле работника — для визуальной ассоциации, а не для автоматической идентификации
• Размещена на пропуске (бейдже) — визуальный контроль охранником не является биометрической идентификацией в смысле закона
• Используется на сайте организации в разделе «О команде»
• Прикреплена к медицинской карте — цель: кадровый/медицинский учёт

Роскомнадзор подчёркивает: критерий — не носитель (цифровой файл vs. бумажное фото), а способ использования. Если организация внедряет систему распознавания лиц на проходной, то фотографии сотрудников в этой системе — биометрические ПДн со всеми вытекающими обязанностями: письменное согласие, УЗ-1 или УЗ-2, полный комплект ОРД.

Аналогичная логика применяется к видеозаписям. Запись с камеры наблюдения в архиве — не биометрия. Та же запись, пропущенная через систему распознавания лиц для идентификации конкретных людей, — биометрия.

СКУД с биометрией — отдельный случай. Подробнее о СКУД и видеонаблюдении как обработке ПДн — в отдельной статье. Если организация устанавливает систему контроля и управления доступом (СКУД) с терминалами распознавания лиц или сканерами отпечатков пальцев, то все биометрические шаблоны в базе СКУД — это биометрические ПДн. Для каждого сотрудника необходимо: (1) получить отдельное письменное согласие именно на биометрическую обработку, (2) обеспечить УЗ-2 для ИСПДн СКУД, (3) разработать модель угроз, (4) предусмотреть альтернативный способ прохода для тех, кто отказался от биометрии. На практике многие организации устанавливают биометрический СКУД, не оформляя ни одного документа — это прямое нарушение ст. 11 152-ФЗ с потенциальным штрафом до 700 000 рублей за каждого сотрудника без согласия.

Федеральный закон № 572-ФЗ от 29.12.2022 кардинально изменил регулирование биометрии в России. Закон ввёл государственную монополию на хранение биометрических данных и установил правила для Единой биометрической системы (ЕБС).

Единая биометрическая система (ЕБС) — государственная информационная система, оператором которой является АО «Центр Биометрических Технологий» (ЦБТ). ЕБС хранит биометрические образцы (изображение лица + голосовой слепок) и предоставляет сервис идентификации и верификации.

Ключевые нормы ФЗ-572:

• Добровольность регистрации. Никто не может быть принуждён к сдаче биометрии в ЕБС. Отказ от регистрации не может являться основанием для ограничения прав или отказа в услугах
• Согласие — только в письменной форме. Для размещения биометрических ПДн в ЕБС требуется отдельное письменное согласие субъекта. Оно может быть отозвано в любой момент, при этом биометрические данные подлежат уничтожению
• Коммерческие биометрические системы (КБС) обязаны использовать ЕБС как единый источник биометрических данных. Самостоятельное хранение биометрических образцов коммерческими организациями запрещено с переходным периодом (до 01.09.2024)
• Передача данных. Банки, МФЦ и иные организации, ранее собиравшие биометрию самостоятельно, обязаны были передать биометрические образцы в ЕБС
• Контроль. Надзор за ЕБС осуществляют Роскомнадзор, ФСБ и ФСТЭК в пределах своих полномочий

Для коммерческих организаций это означает: если вы планируете использовать биометрическую идентификацию клиентов (например, в банке, страховой, телеком-компании), вы не можете создать собственную базу биометрических образцов. Необходимо подключиться к ЕБС через ЦБТ и работать с биометрией через государственную инфраструктуру.

Исключения из обязанности использовать ЕБС:

• Обработка биометрии в трудовых отношениях (СКУД на проходной — для собственных сотрудников)
• Обработка для обеспечения обороны, безопасности, противодействия терроризму
• Обработка в оперативно-розыскной деятельности
• Обработка для нотариальных действий

Таким образом, работодатель, использующий СКУД с биометрией для собственных сотрудников, не обязан подключаться к ЕБС, но обязан соблюдать все требования ст. 11 152-ФЗ: письменное согласие, уровень защищённости, ОРД.

Алгоритм для бизнеса: перед внедрением биометрической идентификации определите, попадаете ли вы под обязанность использовать ЕБС. Если вы идентифицируете клиентов (банк, страховая, телеком, ритейл) — подключение к ЕБС обязательно. Если вы используете биометрию только для собственных сотрудников (проходная, серверная, режимное помещение) — ЕБС не нужна, но полный комплект ОРД по 152-ФЗ и УЗ-2 минимум обязательны. Независимо от сценария, начните с оценки: можно ли решить задачу без биометрии (карта + PIN, RFID-метка). Если нет — подготовьте документацию до запуска системы, а не после.

Статья 11 152-ФЗ устанавливает императивное правило: обработка биометрических персональных данных допускается только при наличии письменного согласия субъекта. Это самый строгий режим согласия — строже, чем для иных и даже специальных ПДн.

Требования к согласию на обработку биометрии:

1. Форма — исключительно письменная. Электронное согласие через «галочку» на сайте недопустимо (в отличие от иных ПДн). Допускается электронная форма с усиленной квалифицированной электронной подписью (УКЭП)
2. Конкретность. Согласие должно содержать перечень конкретных биометрических данных, цель обработки, срок, перечень действий
3. Информированность. Субъект должен быть уведомлён о последствиях отказа от предоставления биометрии и о своём праве отозвать согласие
4. Отзыв. Субъект вправе отозвать согласие в любой момент. После отзыва оператор обязан прекратить обработку и уничтожить данные (или обеспечить их уничтожение)

Содержание письменного согласия (по аналогии с ч. 4 ст. 9 152-ФЗ):

• ФИО, адрес субъекта, реквизиты документа, удостоверяющего личность
• Наименование и адрес оператора
• Цель обработки биометрических ПДн
• Перечень биометрических данных (отпечатки, изображение лица, голос и т.д.)
• Перечень действий с данными (сбор, хранение, сопоставление, удаление)
• Срок действия согласия и способ его отзыва
• Собственноручная подпись субъекта

Когда согласие не требуется (исключения из ст. 11 152-ФЗ):

• Реализация международных договоров РФ о реадмиссии
• Осуществление правосудия и исполнение судебных актов
• Обязательная государственная дактилоскопическая регистрация
• Случаи, предусмотренные законодательством об обороне, безопасности, противодействии терроризму, оперативно-розыскной деятельности

На практике для большинства коммерческих организаций и работодателей ни одно из исключений не применимо. Это означает: без письменного согласия — обработка биометрии незаконна. Создать согласие, соответствующее всем требованиям, можно в нашем конструкторе документов или скачав шаблон согласия на обработку ПДн.

Согласно Постановлению Правительства РФ № 1119, обработка биометрических ПДн требует обеспечения одного из двух высших уровней защищённости — УЗ-1 или УЗ-2. Это существенно строже, чем для иных ПДн, где допускается УЗ-3 и даже УЗ-4.

Где НДВВ — недекларированные возможности в программном обеспечении. На практике большинство организаций определяют угрозы 3-го типа (без НДВВ), что даёт минимальный УЗ-2 для биометрии.

Для сравнения: обработка иных ПДн при угрозах 3-го типа и менее 100 000 субъектов требует всего лишь УЗ-4. Подробнее — в нашей статье об уровнях защищённости ПДн.

Что означает УЗ-2 на практике (по Приказу ФСТЭК № 21):

• Организационные меры: назначение ответственного за безопасность ПДн, утверждение модели угроз, разработка полного комплекта ОРД (политика, приказы, инструкции, журналы)
• Управление доступом: идентификация и аутентификация пользователей, разграничение доступа, блокировка неактивных сессий
• Защита среды виртуализации (при использовании виртуализации)
• Антивирусная защита: на всех компонентах ИСПДн
• Обнаружение вторжений: IDS/IPS на периметре
• Контроль целостности: программной среды и данных
• Обеспечение доступности: резервное копирование
• Защита каналов связи: шифрование при передаче по сетям общего пользования (с использованием СКЗИ — о правилах учёта криптосредств читайте в статье Журнал учёта СКЗИ)
• Аудит безопасности: регистрация событий безопасности и регулярный анализ

Для организаций, внедряющих СКУД с биометрией, это означает серьёзные вложения: криптографическая защита каналов передачи, средства обнаружения вторжений, аттестация ИСПДн по требованиям ФСТЭК. Многие компании недооценивают эти затраты при планировании перехода на биометрический контроль доступа.

Нарушения при обработке биометрических ПДн влекут ответственность по нескольким составам КоАП РФ и УК РФ. С учётом поправок 2023–2025 годов штрафы существенно выросли.

Административная ответственность (КоАП РФ):

Уголовная ответственность (УК РФ):

• Статья 137 УК РФ — незаконное собирание или распространение сведений о частной жизни (до 2 лет лишения свободы). Применяется при умышленном незаконном сборе биометрии
• Статья 272 УК РФ — неправомерный доступ к компьютерной информации (до 7 лет при тяжких последствиях). Применяется при взломе биометрической базы

С введением оборотных штрафов за утечки ПДн (до 3% годовой выручки) биометрические данные стали зоной повышенного финансового риска. Утечка базы биометрических образцов — это не просто штраф; в отличие от пароля, человек не может «сменить» свои отпечатки пальцев или радужку. Ущерб от компрометации биометрии — необратим.

Практические рекомендации по снижению рисков:

1. Минимизация. Не собирайте биометрию, если задачу можно решить иными ПДн (карта + PIN вместо отпечатка)
2. ОРД. Полный комплект документов: согласие, модель угроз, приказы, инструкции, журналы. Создать весь пакет можно в конструкторе
3. УЗ-2 минимум. Обеспечить уровень защищённости не ниже второго — технические и организационные меры по Приказу ФСТЭК № 21
4. Аудит. Ежегодная проверка соответствия требованиям и актуализация модели угроз
5. Инцидент-менеджмент. Уведомление Роскомнадзора в течение 24 часов при утечке, уведомление субъектов в течение 72 часов