ГрамотаИБ ГрамотаИБ

Биометрия и ЕБС: сбор, хранение и согласие по 152-ФЗ и 572-ФЗ

Редакция ГрамотаИБ · Опубликовано 04.07.2026

Как организации законно работать с биометрическими персональными данными: биометрия как отдельная категория ПДн (статья 11 152-ФЗ), письменное согласие и добровольность, Единая биометрическая система (ЕБС) и Федеральный закон №572-ФЗ, требования к носителям биометрии (ПП-512). Когда вправе собирать биометрию и что нельзя делать.

Биометрия — лицо, голос, отпечатки — особый вид персональных данных с повышенными требованиями. Появление Единой биометрической системы (ЕБС) изменило правила работы с биометрией для бизнеса. Разберём, когда организация вправе её собирать и как это оформить.

Что такое биометрические ПДн

Биометрические персональные данные — это сведения, характеризующие физиологические и биологические особенности человека, на основании которых можно установить его личность, если оператор использует их именно для идентификации (статья 11 152-ФЗ). Типичные примеры — изображение лица для распознавания, голос, отпечаток пальца, рисунок вен. Обычная фотография в личном деле сама по себе биометрией не является, пока оператор не использует её именно для установления личности.

Согласие и добровольность

По общему правилу обработка биометрических ПДнПерсональные данные — Любая информация, относящаяся к прямо или косвенно определённому физическому лицу (субъекту ПДн). допускается только при наличии письменного согласия субъекта (есть исключения, установленные частью 2 статьи 11, — например обеспечение обороны и безопасности, правосудие, обязательная дактилоскопическая регистрация и другие). Сдача биометрии добровольна: человека нельзя принуждать, а организация обязана предусмотреть альтернативный способ обслуживания без биометрии.

Единая биометрическая система (ЕБС)

Единая биометрическая система — государственная информационная система, порядок работы с которой установлен Федеральным законом от 29.12.2022 №572-ФЗ. Для идентификации и аутентификации с использованием биометрии закон ориентирует на ЕБС: собранные для этих целей биометрические данные размещаются в системе, а создание организациями собственных биометрических систем ограничено и допускается лишь в установленных законом случаях и режимах.

Носители и защита

К материальным носителям биометрических персональных данных, обрабатываемых вне информационных систем, установлены отдельные требования (постановление Правительства РФ №512). При автоматизированной обработке биометрия защищается как ИСПДнИнформационная система персональных данных — Совокупность персональных данных в базах данных и обеспечивающих их обработку информационных технологий и технических средств. с соответствующим уровнем защищённости и, при необходимости, применением сертифицированных средств защиты.

Частая ситуация: распознавание лиц

Если система видеонаблюдения автоматически распознаёт людей по лицу для идентификации — это уже обработка биометрии с письменным согласием и повышенными требованиями. Обычное видеонаблюдение для охраны без распознавания биометрией не является. Подробнее — в статье про видеонаблюдение и ПДн.

Главное

Биометрические персональные данные — это данные, используемые для установления личности (статья 11 152-ФЗ); их обработка по общему правилу требует письменного согласия и всегда добровольна. Работа с биометрией для идентификации и аутентификации строится вокруг Единой биометрической системы (572-ФЗ): собранная биометрия размещается в ЕБС, а самостоятельное хранение организациями ограничено. К носителям биометрии применяются требования ПП-512, а автоматизированная обработка защищается как ИСПДн.

Частые вопросы

Нужно ли согласие на обработку биометрии?

По общему правилу — письменное согласие субъекта (статья 11 152-ФЗ), с узкими исключениями (гособорона, безопасность, правосудие). Сдача биометрии добровольна, и организация обязана предусмотреть альтернативный способ обслуживания без неё.

Можно ли хранить биометрию в своей базе?

По общему правилу собранная биометрия размещается в Единой биометрической системе (572-ФЗ), а самостоятельное хранение организациями ограничено и допускается лишь в установленных законом случаях.

Нужно подготовить документы и меры по защите данных под свой профиль?

Собрать в ГрамотаИБ

Новые правила обезличивания персональных данных с 1 сентября 2025 года

Что изменилось в обезличивании персональных данных с 1 сентября 2025 года: обновлённые требования к обезличиванию, обработка обезличенных данных для формирования составов данных в государственной информационной системе и обязанности оператора по обезличиванию и предоставлению данных по требованию уполномоченного органа. Что это значит для операторов на практике.

Персональные данные: итоги 2025 и что делать в 2026

Что изменилось в регулировании персональных данных в 2025 году и что нужно сделать оператору в 2026: крупные и оборотные штрафы за утечки (с 30 мая 2025), новые правила обезличивания (с 1 сентября 2025), уведомление Роскомнадзора об инцидентах, локализация и уведомление об обработке. Сводка изменений и практический чек-лист.

Достаточность и обоснованность персональных данных: как понять, сколько собирать

Что такое достаточность и обоснованность персональных данных с точки зрения Роскомнадзора: принципы статьи 5 152-ФЗ (соответствие объёма целям и недопустимость избыточности, достаточность данных для цели) и как оператору понять, в каком объёме собирать данные. Практический алгоритм определения состава под цель, частые ошибки избыточного сбора и как обосновать состав документально.

Сколько хранить персональные данные

Сколько времени оператор должен хранить персональные данные: почему единого срока в 152-ФЗ нет, как срок зависит от цели обработки, основания и требований других законов (налоговых, бухгалтерских, кадровых), ориентиры по типам данных (кадры по перечню Росархива, бухгалтерия и налоги — 5 лет, договоры — срок исковой давности), что делать по истечении срока (уничтожение или обезличивание) и как составить номенклатуру сроков.