ГрамотаИБ ГрамотаИБ

Биометрия в фитнес-клубе: вход по лицу или отпечатку — что требует закон

22.06.2026

Что обязан сделать фитнес-клуб, если пускает клиентов по отпечатку пальца или распознаванию лица. Пошагово: почему это биометрические персональные данные, зачем отдельное письменное согласие, как биометрия поднимает уровень защищённости до УЗ-3 по ПП-1119, требования 572-ФЗ и ЕБС, документы и меры. И почему многим клубам проще обойтись картой или браслетом.

Многие фитнес-клубы ставят турникеты с распознаванием лица или входом по отпечатку. Удобно, но юридически это переводит клуб в особый, более строгий режим: отпечаток и геометрия лица для идентификации — это биометрические персональные данные, а к ним применяются статья 11 152-ФЗ и отдельный закон о биометрии. Разберём по шагам, что нужно сделать и стоит ли вообще связываться с биометрией.

Шаг 1. Понять, что у вас именно биометрия

Биометрические ПДнПерсональные данные — Любая информация, относящаяся к прямо или косвенно определённому физическому лицу (субъекту ПДн). — это физиологические данные, которые используются для установления личности: отпечаток пальца, геометрия лица, рисунок вен. Если турникет узнаёт клиента по лицу или пальцу — это биометрия со всеми вытекающими требованиями. А вот обычное фото в анкете «для красоты», которое не используется для автоматической идентификации, биометрией не считается.

Шаг 2. Взять отдельное письменное согласие

Обработка биометрии по общему правилу допускается только при наличии письменного согласия субъекта (часть 1 статьи 11 152-ФЗ). Согласие должно быть отдельным и осознанным — нельзя включать биометрию по умолчанию в общий договор. Обязательна и альтернатива: клиент, отказавшийся от биометрии, должен иметь возможность проходить по карте или браслету и не лишаться услуги из-за отказа.

Шаг 3. Учесть 572-ФЗ и Единую биометрическую систему

Помимо 152-ФЗ действует Федеральный закон №572-ФЗ о биометрии. Он жёстко регулирует сбор и хранение биометрии коммерческими организациями и предусматривает работу через Единую биометрическую систему (ЕБС) с рядом ограничений. Это значит, что самостоятельное хранение биометрической базы клиентов в клубе сопряжено с серьёзными требованиями и рисками — к этому нужно подходить осознанно.

Шаг 4. Определить уровень защищённости по ПП-1119

По постановлению №1119 биометрические ПДн при угрозах 3-го типа дают УЗУровень защищённости персональных данных — Один из четырёх уровней (УЗ-1…УЗ-4) для ИСПДн по постановлению Правительства №1119; определяет состав мер.-3 независимо от числа клиентов. То есть биометрический проход поднимает клуб с минимального УЗ-4 (как у обычного салона) на уровень выше — со всеми дополнительными мерами защиты. Проверить расчёт можно в калькуляторе уровня защищённости.

Шаг 5. Документы и меры

Понадобятся: отдельное согласие на обработку биометрии, политика обработки ПДн, перечень ИСПДнИнформационная система персональных данных — Совокупность персональных данных в базах данных и обеспечивающих их обработку информационных технологий и технических средств., модель угроз и набор мер по приказу ФСТЭКФедеральная служба по техническому и экспортному контролю — Регулятор технической защиты информации (ИСПДн, ГИС, КИИ); ведёт реестр сертифицированных СЗИ. №21 для УЗ-3. Биометрические шаблоны хранятся отдельно и защищённо, доступ к ним строго ограничивается. И, как у любого оператора, подаётся уведомление в Роскомнадзор с отметкой об обработке биометрии.

Когда проще не собирать биометрию

Для большинства клубов задачу прохода полностью закрывают карта, QR-код или браслет — без биометрического режима. Это резко снижает расходы и юридические риски: уровень остаётся УЗ-4, нет требований 572-ФЗ и отдельного хранения биометрии. Биометрию стоит внедрять, только если она действительно нужна и риски оценены.

Главное

Вход по лицу или отпечатку превращает фитнес-клуб в оператора биометрических ПДн: нужно отдельное письменное согласие, соблюдение 572-ФЗ, уровень УЗ-3 и усиленные меры. Часто разумнее остаться на картах и браслетах. ГрамотаИБ помогает оценить, какой режим возникает при вашем способе прохода, и собрать нужные документы — попробовать можно в сервисе.

Попробовать ГрамотаИБ

Читайте также

Все по теме «Персональные данные и Роскомнадзор» →

Обезличивание персональных данных: что это, зачем и как сделать

Что такое обезличивание персональных данных по 152-ФЗ и чем оно отличается от удаления и псевдонимизации, зачем оно нужно бизнесу (аналитика и тестирование без согласия, снижение ущерба при утечке, исполнение требования об удалении), какие методы обезличивания признаёт Роскомнадзор и в чём риск обратной идентификации.

Персональные данные в салоне красоты и барбершопе: пошаговый алгоритм

Минимальный, но полный алгоритм для салона красоты, барбершопа или студии: как небольшому бизнесу с онлайн-записью и CRM законно работать с персональными данными клиентов. По шагам — от 152-ФЗ и оснований обработки до расчёта уровня защищённости по ПП-1119 (обычно УЗ-4), уведомления Роскомнадзора, документов, мер по приказу ФСТЭК №21 и поручений сервисам записи.

Персональные данные в стоматологии: пошаговый алгоритм для частной клиники

Полный алгоритм действий частной стоматологической клиники по защите персональных данных пациентов: от признания себя оператором (152-ФЗ) и определения уровня защищённости по ПП-1119 (спецкатегория «здоровье» даёт УЗ-3) до уведомления Роскомнадзора, комплекта документов, мер по приказу ФСТЭК №21, поручений обработчикам и врачебной тайны. Характерный пример для малого бизнеса в медицине.

Утечка персональных данных: пошаговый алгоритм действий

Что делать оператору при утечке персональных данных: как зафиксировать инцидент, уведомить Роскомнадзор в течение 24 часов и о результатах расследования за 72 часа (статья 21 152-ФЗ), провести внутреннее расследование, устранить последствия и зафиксировать всё в журнале. Пошаговый план, чтобы не получить отдельный штраф за молчание.