Нужно ли согласие на биометрию на сайте и можно ли хранить вне ЕБС

12 мин
биометрияперсональные данные152-фз572-фзсогласие
Нужно ли согласие на биометрию на сайте, обложка статьи sitelaw

Слово «биометрия» пугает владельцев сайтов сильнее, чем стоило бы. Фотография сотрудника на странице «О нас», камера видеонаблюдения у входа, поле для загрузки аватара в личном кабинете: кажется, что всё это уже биометрические данные с особым режимом и письменным согласием. На деле закон устроен тоньше. Само по себе фото или видео биометрией не становится, а режим включается только при одном условии. Разберём, что именно закон считает биометрическими персональными данными, нужно ли согласие на биометрию на сайте и можно ли хранить такие данные вне Единой биометрической системы.

Что считается биометрическими персональными данными

Ключ к теме в одной формулировке закона. Биометрические персональные данные это сведения, которые характеризуют физиологические и биологические особенности человека и на основании которых можно установить его личность, при этом используемые оператором именно для установления личности.

В этом определении два слоя, и оба обязательны одновременно. Первый: данные описывают физиологию или биологию (черты лица, отпечаток пальца, радужка глаза, голос, рисунок вен). Второй чаще всего и упускают: оператор использует эти данные, чтобы установить, кто перед ним.

Без второго условия особый режим биометрии не включается. Закон смотрит не на сам файл, а на то, как изображение применяется. Снимок, по которому сверяют, кто перед оператором, попадает под режим биометрии. Тот же снимок без такой сверки остаётся обычной обработкой.

Дальше проще на примерах: именно здесь и рождается большинство ложных тревог.

  • Фотография юриста в разделе «Команда» или портфолио фотографа: это персональные данные (изображение конкретного человека), но не биометрия, пока по ней никто не сверяет лица посетителей.
  • Камера видеонаблюдения «для охраны помещения», которая просто пишет картинку: это обработка изображений. Режим биометрии не наступает, пока запись не подключена к распознаванию лиц.
  • Система контроля доступа, которая открывает дверь, узнав сотрудника в лицо: вот это уже биометрия, потому что лицо используется для установления личности.
  • Вход в личный кабинет по Face ID или по голосу: биометрия, цель использования прямо идентификационная.
  • Поле «загрузите селфи, чтобы подтвердить, что это вы» при регистрации или верификации: биометрия, селфи сверяется с человеком.

Границу задаёт цель обработки, а не тип файла. Один и тот же снимок лица, смотря зачем его используют, либо остаётся обычным изображением, либо переходит в режим биометрических данных.

Когда фото или видео на сайте становится биометрией

Перенесём это разграничение на обычный сайт. Вопрос обычно звучит так: «у меня на сайте есть фото и форма, значит, я уже работаю с биометрией?»

Чаще всего нет. Типичный сайт собирает через формы имя, телефон и email, показывает фотографии сотрудников и товаров, иногда ведёт видеонаблюдение в офлайн-точке. Ни один из этих сценариев сам по себе биометрию в смысле закона не образует: нигде лицо или голос не служат для установления личности.

Режим биометрии на сайте включается в более узких ситуациях:

  • верификация личности по селфи (часто в финтехе, аренде, сервисах с возрастным ограничением);
  • вход или подтверждение операции по распознаванию лица или голоса;
  • загрузка фотографии, которая затем сверяется с эталоном для допуска;
  • интеграция распознавания лиц в видеопоток (например, узнавание постоянных клиентов).

Два отраслевых примера для наглядности. Фитнес-клуб ставит на турникете распознавание лица вместо карты: посетитель подходит, система сверяет лицо с базой и пропускает по абонементу. Это биометрия, потому что лицо служит ключом и устанавливает, кто именно проходит; без письменного согласия на биометрию такой турникет работать не должен. Второй пример: пункт выдачи просит загрузить селфи, чтобы убедиться, что заказ забирает сам получатель, а не посторонний. Селфи сверяется с человеком ради верификации, и это тоже биометрия. А вот когда тот же фитнес-клуб просто публикует на сайте фотографии зала и тренеров, а пункт выдачи показывает снимки витрины, никакого установления личности нет, и режим биометрии не наступает.

Если ваш сайт ничего из этого не делает, особый режим биометрии к вам не применяется и письменное согласие именно на биометрию не нужно. Но обязанностей это не отменяет. Обычные изображения людей остаются персональными данными, и для них действуют общие правила 152-ФЗ: основание обработки, политика, информирование. Подробнее об этом в материале о сборе персональных данных через формы на сайте.

Ошибиться можно в обе стороны, и стоит понимать, какая ошибка опаснее. Если переоценить риск, получите лишние документы и страхи там, где особого режима не требуется: неприятно, но не критично. Куда хуже недооценить. Когда вы реально сверяете селфи или распознаёте лица, но оформили это как обычную фотографию, режим нарушен по-настоящему, и именно за это прилетает штраф.

Нужно ли согласие на биометрию: что требует закон

Когда обработка действительно квалифицируется как биометрическая, закон выставляет повышенное требование к согласию. Биометрические персональные данные обрабатываются только при наличии согласия субъекта в письменной форме. Это строже, чем для обычных персональных данных, где в части случаев достаточно иного основания (например, договора) без отдельного согласия.

Узкие исключения из письменного согласия закон оставляет для специфических сфер: правосудие, оборона и безопасность государства, дактилоскопическая и геномная регистрация в установленном порядке. Для коммерческого сайта эти исключения не работают: если вы используете биометрию, согласие в письменной форме обязательно.

«Письменная форма» в цифровой среде не означает обязательно бумагу с подписью. Закон допускает формы волеизъявления, которые приравниваются к письменным, в том числе с использованием электронной подписи. Но это всегда отдельное, осознанное и конкретное согласие именно на биометрию, а не галочка, спрятанная в общем пользовательском соглашении. С 1 сентября 2025 года требования к форме согласия на персональные данные ужесточились: согласие должно быть оформлено отдельно от других документов, которые подписывает человек, и быть конкретным и однозначным. Для биометрии это особенно чувствительно: общий чекбокс «согласен со всем» здесь не подходит.

Можно ли хранить биометрию вне ЕБС

Это второй частый вопрос, и путаницы вокруг него хватает именно из-за 572-ФЗ. Закон 2022 года создал Единую биометрическую систему, государственную инфраструктуру для идентификации и аутентификации граждан по биометрии. Из-за заголовков про ЕБС складывается впечатление, будто теперь любая биометрия обязана лежать в государственной системе, а у себя её хранить нельзя.

Это упрощение. 572-ФЗ распределяет роли. Обязанность работать через ЕБС, размещать в ней биометрию или использовать её для идентификации закон возлагает на конкретные категории субъектов в случаях, прямо определённых федеральным законом: это банки, МФЦ и отдельные организации, которым закон предписал работать с государственной биометрической идентификацией. Для них действует особый порядок, и за его нарушение предусмотрен отдельный состав в КоАП.

Обычный коммерческий сайт в эту категорию по умолчанию не попадает. Если закон не относит вас к субъектам, обязанным работать через ЕБС, вы не обязаны размещать биометрию в государственной системе, и собственная обработка (например, верификация селфи внутри вашего сервиса) ведётся по общим правилам 152-ФЗ: письменное согласие, законное основание, локализация баз на территории России, политика и информирование.

Коротко по вопросу «можно ли хранить биометрию вне ЕБС»: для большинства коммерческих операторов да, при условии соблюдения общего режима 152-ФЗ. ЕБС обязательна не для всех, а для тех, кому это предписал закон. Но обязанности по защите и согласию остаются в полном объёме независимо от того, лежат данные в ЕБС или у вас.

Чем рискует нарушитель: вилка штрафов

Здесь нужна аккуратность: составы разные и адресованы разным лицам. Поэтому разберём их по отдельности, не складывая в одну сумму.

Первый блок касается тех, кто обязан работать через ЕБС. За нарушение порядка размещения и обработки биометрии в Единой биометрической системе отдельный состав КоАП предусматривает штраф для должностных лиц от 100 до 300 тысяч рублей и для юридических лиц от 500 тысяч до 1 миллиона рублей. Этот состав адресован банкам, МФЦ и иным организациям из специального перечня, а не любому сайту с фотографиями.

Второй блок жёстче и касается утечки биометрических данных вне случаев, относящихся к ЕБС. За такую утечку предусмотрены повышенные штрафы: для граждан от 400 до 500 тысяч рублей, для должностных лиц от 1,3 до 1,5 миллиона рублей, для юридических лиц от 15 до 20 миллионов рублей. Биометрия отнесена к самой чувствительной категории данных, и санкция за её компрометацию выделена отдельно и намеренно высока.

СоставКому адресованШтраф
Нарушение порядка размещения и обработки биометрии в ЕБСДолжностное лицоот 100 до 300 тыс. ₽
То жеЮридическое лицоот 500 тыс. до 1 млн ₽
Утечка биометрических данных вне случаев ЕБСГражданинот 400 до 500 тыс. ₽
То жеДолжностное лицоот 1,3 до 1,5 млн ₽
То жеЮридическое лицоот 15 до 20 млн ₽

Это вилка по КоАП, а не юридическое заключение. Конкретный размер определяет уполномоченный орган с учётом обстоятельств дела, и квалификация зависит от того, под какой состав попадает ситуация. Цифры приведены не ради запугивания, а чтобы было видно: биометрия выделена в отдельную, более строгую категорию, и ошибка в режиме здесь обходится дороже, чем с обычными формами.

Как проверить свой сайт

Самопроверку проще вести по одной логике: где у меня вообще может возникнуть установление личности.

  1. Пройдите по всем формам и сценариям, где загружается фото или видео человека: регистрация, верификация, личный кабинет, поддержка.
  2. По каждому ответьте на один вопрос: используется ли это изображение или голос, чтобы установить, кто перед вами? Если да, это биометрия.
  3. Проверьте видеонаблюдение и любые интеграции распознавания лиц: картинка подключена к идентификации или просто пишется в архив?
  4. Там, где биометрия есть, убедитесь, что собрано отдельное письменное согласие именно на неё, а не общая галочка соглашения.
  5. Проверьте, относит ли вас закон к субъектам, обязанным работать через ЕБС. Если нет, обработка ведётся по общим правилам 152-ФЗ, но согласие, основание, локализация и политика обязательны.
  6. Отдельно проверьте обычные изображения людей на сайте: они не биометрия, но остаются персональными данными и требуют законного основания и информирования.

Пройти такой разбор по всему сайту разом удобнее автоматически, чем вручную открывать каждую страницу и форму. На странице проверки сайта по 152-ФЗ сканер находит формы, загрузку файлов и внешние сервисы и показывает, где рядом со сбором данных не хватает согласия или ссылки на политику. Индивидуальную оценку, действительно ли конкретный сценарий образует биометрию, он не заменит, но подскажет, с каких форм и страниц начинать разбираться.

Как привести в порядок

Если проверка показала, что биометрия у вас действительно есть, порядок действий такой.

Сначала оформите отдельное согласие на обработку биометрических персональных данных в письменной форме, изолированно от пользовательского соглашения и других документов. В согласии прямо назовите, что речь о биометрических данных, для какой цели они используются и сколько хранятся.

Затем проверьте основание и инфраструктуру: данные граждан России должны храниться в базах на территории страны, а если закон относит вас к субъектам ЕБС, обработка идёт по специальному порядку через государственную систему. Обновите политику обработки персональных данных так, чтобы в ней была отражена работа с биометрией. Что должно быть в самом документе, разобрано в материале о содержании политики конфиденциальности.

Если же выяснилось, что биометрии у вас нет, а есть только обычные фотографии и формы, не плодите лишних документов про биометрию. Достаточно общего режима 152-ФЗ для персональных данных: законное основание, политика, информирование, корректные согласия там, где они нужны.

В пограничных случаях, например когда сценарий верификации только планируется или биометрию обрабатывает подрядчик, имеет смысл разовая консультация юриста. Автоматическая проверка покажет, где вообще возникает риск, но квалификацию конкретного спорного сценария лучше подтвердить адресно.

Частые вопросы

Является ли обычная фотография на сайте биометрией? Нет, пока она не используется для установления личности. Фото сотрудника в разделе «О нас» или снимок в портфолио это персональные данные (изображение конкретного человека), но не биометрические. Режим биометрии включается, только когда лицо сверяется для идентификации.

Когда фото становится биометрией? Когда оператор использует его, чтобы установить, кто перед ним: распознавание лиц, верификация по селфи, вход по Face ID. Цель использования, а не сам файл, переключает данные в режим биометрии с письменным согласием.

Нужно ли письменное согласие на биометрию? Да, если обработка действительно биометрическая. Закон требует согласие в письменной форме, и оно должно быть отдельным и конкретным, а не спрятанным в общем пользовательском соглашении. Для обычных фотографий, не используемых для идентификации, отдельное согласие именно на биометрию не нужно.

Можно ли хранить биометрию вне ЕБС? Для большинства коммерческих операторов да, при соблюдении общего режима 152-ФЗ: письменное согласие, законное основание, локализация баз в России, защита. Обязанность работать через ЕБС закон возлагает на отдельные категории субъектов, например банки и МФЦ, а не на любой сайт.

Является ли видеонаблюдение биометрией? Само по себе нет. Запись картинки для охраны это обработка изображений по общим правилам. Биометрия наступает тогда, когда видеопоток подключён к распознаванию лиц для установления личности конкретных людей.

Коротко

Биометрические данные это не любое фото или видео, а только те, что оператор использует для установления личности человека. Обычные снимки сотрудников, портфолио и видеонаблюдение для охраны под особый режим не попадают, пока к ним не подключено распознавание. Но если на сайте есть верификация по селфи, вход по лицу или голосу, распознавание лиц, это уже биометрия, и нужно отдельное письменное согласие именно на неё. Хранить биометрию вне ЕБС большинству коммерческих операторов можно при соблюдении общего режима 152-ФЗ; обязанность работать через государственную систему закон возлагает на отдельные категории субъектов. Санкции за биометрию выделены и строже обычных, поэтому ошибка в режиме здесь дороже, и начать стоит с честной самопроверки, где на сайте вообще возникает установление личности.

Нормативная база

  • Федеральный закон «О персональных данных» от 27.07.2006 № 152-ФЗ, часть 1 статьи 11: биометрические персональные данные, характеризующие физиологические и биологические особенности человека и используемые оператором для установления личности, обрабатываются только при наличии согласия в письменной форме (кроме узких исключений части 2).
  • Федеральный закон от 29.12.2022 № 572-ФЗ «Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных»: создал Единую биометрическую систему (ЕБС); обязанность размещать биометрию в ЕБС установлена для отдельных субъектов в случаях, определённых федеральным законом.
  • КоАП РФ, статья 13.11.3: нарушение порядка размещения и обработки биометрических персональных данных в ЕБС (адресовано банкам, МФЦ и иным организациям, обязанным работать через ЕБС); влечёт административный штраф для должностных лиц и юридических лиц.
  • КоАП РФ, часть 17 статьи 13.11: нарушение, связанное с утечкой биометрических персональных данных вне случаев статьи 13.11.3; влечёт административный штраф.

Проверьте свой сайт бесплатно

Сканер за ~30 секунд пройдёт по сайту и покажет нарушения с пунктами КоАП, вилкой штрафов и готовыми фиксами.

Бесплатно. Без регистрации. Полный отчёт со штрафами и КоАП.

Читайте также