Биометрия в бизнесе: требования 152-ФЗ и ФЗ-572

Биометрия в бизнесе — это не просто «особые ПДн», это отдельный закон со своими правилами

Если вы планируете внедрить биометрическую идентификацию (лицо, голос, отпечаток пальца) для сотрудников или клиентов — обычного согласия на обработку ПДн недостаточно.

Что нужно учитывать:

— Биометрические данные — спецкатегория по ст. 11 152-ФЗ. Обрабатывать их можно только с явного письменного согласия субъекта. Согласие в рамках трудового договора или оферты не считается — только отдельный документ.

— Если вы используете Единую биометрическую систему (ЕБС), работает ФЗ-572 от 29.12.2022. Подключение к ЕБС строго регламентировано: нужна аккредитация, специальные технические требования, взаимодействие с Центром биометрических технологий.

— Хранить биометрию можно только на серверах в РФ (ч. 5 ст. 18 152-ФЗ). Никаких облаков с зарубежной инфраструктурой.

— Сотрудника нельзя принудить сдать биометрию. Отказ от биометрической идентификации не может быть основанием для увольнения или лишения доступа к рабочему месту — если есть альтернативный способ верификации.

Перед внедрением любого биометрического решения стоит проверить: есть ли у вендора лицензия ФСБ на СКЗИ и входит ли он в реестр аккредитованных организаций РКН.