Алексей Ветров
Эксперт по защите данных IC-TECH
Если организация или ИП обрабатывают биометрические персональные данные (например, фото, видео, отпечатки пальцев, данные голоса, скан лица), это нужно обязательно отразить в уведомлении Роскомнадзора.
При этом важно учитывать:
Биометрические данные можно обрабатывать только с письменного согласия субъекта ПДн (или в случаях, прямо предусмотренных законом, например, в охранной деятельности).
В уведомлении обязательно указывается:
категория субъектов (сотрудники, клиенты и т. д.);
категории ПДн — «биометрические персональные данные (фотографии, изображение лица, иные данные, позволяющие установить личность)»;
основание обработки — согласие субъекта ПДн или требование закона;
цели обработки — строго ограниченные (например, «для идентификации при пропускном контроле»);
меры защиты — усиленные меры (разграничение доступа, шифрование, хранение в защищённых системах).
При этом важно учитывать:
Биометрические данные можно обрабатывать только с письменного согласия субъекта ПДн (или в случаях, прямо предусмотренных законом, например, в охранной деятельности).
В уведомлении обязательно указывается:
категория субъектов (сотрудники, клиенты и т. д.);
категории ПДн — «биометрические персональные данные (фотографии, изображение лица, иные данные, позволяющие установить личность)»;
основание обработки — согласие субъекта ПДн или требование закона;
цели обработки — строго ограниченные (например, «для идентификации при пропускном контроле»);
меры защиты — усиленные меры (разграничение доступа, шифрование, хранение в защищённых системах).
Обоснование по законодательству
- ФЗ-152, ст. 11: обработка биометрических ПДн допускается только с письменного согласия субъекта, за исключением случаев, установленных законом.
- ФЗ-152, ст. 22: уведомление должно содержать сведения о категории обрабатываемых данных, цели и основания обработки.
- КоАП РФ, ст. 13.11: за незаконную обработку биометрических данных предусмотрены повышенные штрафы.
Примеры формулировок
Для компании с пропускным режимом:
«Категории ПДн: ФИО, паспортные данные, биометрические персональные данные (фотографии, изображение лица).
Основание обработки: письменное согласие субъектов ПДн.
Цель обработки: организация пропускного и внутриобъектового режима.
Меры защиты: ограничение доступа, шифрование, хранение в защищённой системе.»
Для онлайн-сервиса с фото- или видеозаписями:
«Категории ПДн: ФИО, контактные данные, биометрические данные (фотографии пользователей).
Основание: согласие субъектов ПДн.
Цели: идентификация пользователей при регистрации.
Меры защиты: пароли, двухфакторная аутентификация, резервное копирование, шифрование каналов передачи данных.»
Частые ошибки
- Не указывать, что данные являются биометрическими (например, пишут просто «фотографии» в общих ПДн).
- Не оформлять отдельное согласие на обработку биометрии.
- Использовать биометрию без законного основания (например, фото для рекламы без письменного согласия).
Рекомендации и выводы
- Если у вас обрабатываются фото, видео, голос, отпечатки и др. — обязательно указывайте их как «биометрические персональные данные».
- Всегда оформляйте отдельное письменное согласие (бумажное или электронное с КЭП).
- В уведомлении прописывайте цели максимально конкретно (например, «для пропускного режима», «для идентификации»).
- Усильте меры защиты: Роскомнадзор к биометрии относится строже.
Нет времени разбираться в нюансах?
Услуга под ключ: подготовим, заполним и подадим уведомление в Роскомнадзор без ошибок, с учётом требований 2025 года.
