Нужно ли иметь отдельную политику по обработке биометрических данных?

Алексей Ветров

Эксперт по защите данных IC-TECH

Задать вопрос

Да, если организация обрабатывает биометрические персональные данные (например, фото, видео, отпечатки пальцев, шаблоны голоса, данные систем Face ID, отпечатки сетчатки), то она обязана выделить их в отдельный регламентирующий документ. Это связано с тем, что работа с биометрией регулируется более строго, чем с «обычными» персональными данными.

Организация может либо разработать самостоятельную «Политику обработки биометрических персональных данных», либо включить отдельный детализированный раздел в общую политику по ПДн. Главное, чтобы документ содержал все требования закона — цели обработки, основания, меры защиты, порядок получения согласия и передачи биометрии.

Обоснование по законодательству

• Ст. 11 ФЗ-152 — обработка биометрических персональных данных возможна только при наличии письменного согласия субъекта (за исключением случаев, прямо установленных законом).
• Ст. 18.1 ФЗ-152 — оператор обязан опубликовать политику в отношении обработки ПДн в открытом доступе. Это требование распространяется и на биометрические данные.
• Федеральный закон № 572-ФЗ от 29.12.2022 (о регулировании биометрии) — ужесточил требования к обработке биометрических данных и установил дополнительные правила для операторов биометрических систем.

Позиция Роскомнадзора
При проверках Роскомнадзор уделяет особое внимание биометрическим данным, так как их неправомерная обработка считается высоким риском для субъектов. Наличие отдельной политики или специального раздела по биометрии в общей политике облегчает проверку и демонстрирует, что компания учитывает специфику этих данных. В ряде случаев инспекторы прямо требуют предоставить документ, регулирующий именно работу с биометрией.

Что важно учитывать организациям

• Для биометрии необходимо оформлять письменное согласие (электронное согласие допустимо только с квалифицированной электронной подписью).
• В политике нужно указать конкретные цели (например, контроль доступа в офис, идентификация при оказании услуг).
• Обязательно описываются меры защиты (разграничение доступа, шифрование, журналы доступа).
• Документ должен быть утверждён руководителем и доступен субъектам данных.

Рекомендации и выводы
Да, наличие отдельной политики по обработке биометрических данных или отдельного раздела в общей политике — это обязательное требование для всех компаний, работающих с биометрией. Чтобы избежать штрафов и претензий Роскомнадзора:

1. Разработайте документ, отражающий специфику обработки именно биометрии.
2. Убедитесь, что он соответствует ст. 11 ФЗ-152 и новым требованиям законодательства.
3. Оформите письменные согласия от всех сотрудников или клиентов, чьи биометрические данные вы используете.
4. Обеспечьте техническую защиту таких данных (шифрование, журналы доступа, разграничение прав).

Компания ICTech поможет подготовить отдельную политику или раздел по биометрии, оформить корректные формы согласий и включить документы в пакет по 152-ФЗ, чтобы ваша организация прошла любую проверку Роскомнадзора.

Хотите защитить себя от проверок и штрафов?

Подготовим документы по 152-ФЗ

Разработаем полный пакет документации по обработке персональных данных для вашей организации.

Заказать

О услуге