Статья 11 152‑ФЗ: Биометрические персональные данные

Статья 11 152‑ФЗ: Биометрические персональные данные

---

Коротко о сути статьи

Статья 11 152‑ФЗ (часто ищут как «ст 11 фз 152» или «статья 11 152 фз») устанавливает особый режим для биометрических персональных данных: их обработка допускается, как правило, только при наличии письменного согласия субъекта, если иное не предусмотрено федеральным законом. Биометрия — одна из самых чувствительных категорий ПДн, и к ней применяются повышенные требования безопасности, локализации и учета рисков распространения.

Для контекста по всему закону см. обзор: /o-zakone-152-fz, структура и оглавление: /struktura-i-stati-152-fz, актуальная редакция: /152-fz-tekst-poslednyaya-redaktsiya.

Определение и примеры биометрии

По смыслу 152‑ФЗ биометрические персональные данные — это сведения, которые:

• характеризуют физиологические и биологические особенности человека; и
• используются оператором для установления личности субъекта.

Ключевой критерий — именно использование для идентификации. То есть одно и то же изображение лица может быть либо обычным ПДн (например, фотография в профиле сотрудника на внутреннем портале), либо биометрией — если на его основе осуществляется сравнение и установление личности (системы распознавания лиц, проход по лицу, голосовая биометрия).

Типичные примеры биометрии:

• фото/видеозапись, применяемая для распознавания лица;
• отпечатки пальцев, ладони, рисунок вен;
• радужка, сетчатка глаза;
• голосовые слепки (voiceprint);
• геометрия лица/ушной раковины;
• ДНК‑профиль (в рамках законных целей).

Подробнее о категориях ПДн: /glossariy-152-fz, /spetsialnye-kategorii-pdn, /biometricheskie-pdn.

Общие правила законной обработки

Базовое правило ст. 11: обработка биометрии допускается только на основании письменного согласия субъекта, за исключением случаев, прямо предусмотренных федеральными законами.

Частые законные основания (примерно, не исчерпывающе):

• выполнение обязанностей по федеральным законам в сфере госуслуг, безопасности, миграции, транспорта и др.;
• идентификация в Единой биометрической системе (ЕБС) и для дистанционных финансовых услуг — в рамках специальных нормативных актов;
• иные случаи, прямо обозначенные в законах (подтверждаются внутренним правовым анализом).

Если специального закона нет — требуется письменное согласие. Устное/конклюдентное согласие для биометрии не подходит.

Полезно дополнить изучением общих оснований обработки: /printsipy-i-tseli-obrabotki, /obrabotka-bez-soglasiya.

Согласие: форма, реквизиты, распространение

• Форма: письменная. Это либо бумажный документ с подписью, либо электронный документ, подписанный электронной подписью в соответствии с 63‑ФЗ (рекомендуется КЭП). Смотрите: /soglasie-na-obrabotku-pdn и шаблоны: /shablony-i-formy-152-fz.
• Содержание: цель идентификации, состав биометрии, действия с ПДн, срок/условия обработки, сведения об операторе, правовые основания, порядок отзыва, последствия отказа.
• Распространение: для размещения/передачи биометрии в открытый доступ требуется отдельное согласие на распространение по ст. 10.1 152‑ФЗ, с возможностью указать запреты и ограничения. Биометрия — крайне рискованная для распространения категория. Подробнее: /soglasie-na-rasprostranenie-pdn, /obshchedostupnye-pdn.

Отзыв согласия: субъект вправе в любой момент отозвать согласие; оператор обязан прекратить обработку и уничтожить данные при отсутствии иных правовых оснований. См.: /otzyv-soglasiya-pdn, /prekrashchenie-obrabotki-pdn.

Отличия от специальных и медицинских данных

Медицинские данные — это специальная категория ПДн, подпадающая под ст. 10. Биометрия — отдельная категория (ст. 11). Их часто путают.

Сравнение категорий (кратко):

Категория	Примеры	Норма	Основание обработки	Особенности
Биометрические ПДн	отпечатки, «проход по лицу», voiceprint	ст. 11	письменное согласие либо прямое указание закона	строгие меры безопасности, риск‑ориентированный подход
Специальные ПДн	здоровье, раса, убеждения	ст. 10	согласие либо исключения (медицина, труд, соцзащита и др.)	запрет по умолчанию, исключения законом
Медицинские ПДн (частный случай спец.)	диагноз, история болезни, рецепты	ст. 10	специальные основания законодательства о здравоохранении	проф. тайны, доступ строго ограничен

Подробнее: /spetsialnye-kategorii-pdn, медицинские: /meditsinskie-pdn. По запросу «152 фз медицинские данные» важно не смешивать их с биометрией: правовые режимы различаются, хотя уровень защиты сопоставим.

Практические кейсы и типичные ошибки

• Видеонаблюдение с распознаванием лиц. Если система сопоставляет лицо с эталоном для пропуска или поиска — это биометрия. Нужны: письменное согласие/законное основание, уведомление субъектов, усиленные меры ИБ. Без распознавания (просто запись) — обычно не биометрия, но это все равно ПДн при возможности идентификации. Подробнее: /videonablyudenie-152-fz.
• Контроль доступа по отпечатку/через FaceID на проходной. Классический случай ст. 11. Если нет прямого основания в законе — собирайте письменные согласия и предлагайте альтернативу (карта/пропуск) для тех, кто отказался.
• Мобильное приложение «вход по лицу/голосу». Проверьте юридическую модель: цели, хранение шаблонов, локализация, срок хранения, договор с вендором (поручение обработки: /poruchenie-obrabotki-pdn).
• Маркетинговые сценарии «оплата взглядом» и т. п. Это повышенный риск. Нужны отдельные согласия, DPIA‑подход (оценка рисков), технические и организационные меры, запрет распространения.

Типичные ошибки:

• считать, что «фото = биометрия всегда». Критично именно использование для идентификации;
• собирать согласия галочкой на сайте без электронной подписи — для ст. 11 этого недостаточно;
• хранить биометрию в облаках без оценки трансграничности и мер защиты;
• не разделять доступ: биометрия должна храниться отдельно, доступ строго по ролям;
• забывать удалять биометрию после достижения цели. См.: /sroki-khraneniya-pdn, /unichtozhenie-i-blokirovka-pdn.

Хранение, трансграничная передача и безопасность

• Локализация: первичный учет/сбор биометрии — на территории РФ (локализация ПДн). Хранение в иностранном облаке допустимо лишь при соблюдении требований локализации и трансграничной передачи. Подробнее: /transgranichnaya-peredacha-pdn.
• Безопасность: нужны организационные и технические меры защиты с учетом актуальных угроз, включая шифрование. Рекомендуемая связка: /mery-bezopasnosti-pdn, /urovni-zashchishchennosti-ispdn, /model-ugroz-ispdn, /kriptografiya-shifrovanie-152-fz, /trebovaniya-fstek-i-fsb.
• Уведомление Роскомнадзора: обработка биометрии практически всегда требует уведомления и внесения сведений в реестр операторов ПДн. См.: /uvedomlenie-roskomnadzor, /reestr-operatorov-pdn.
• Передача третьим лицам: только при наличии оснований (согласие/закон), с заключением договора поручения и проверкой контрагента. См.: /peredacha-tretim-litsam.

ЕБС и новеллы 2023–2025

Законодательство о биометрии активно обновляется (ЕБС, дистанционная идентификация, ужесточение правил распространения и ИБ‑требований). Перед запуском проекта:

• проверьте актуальные поправки: /152-fz-izmeneniya-2025;
• учтите связанные акты в смежных сферах (связь, ИБ, финтех, госуслуги): /svyazannye-zakony-149-187-63-98;
• для банков/финансов — дополнительные требования и сценарии КИ/дистанционного обслуживания: /banki-i-152-fz.

Документы и внутренняя организация процесса

С биометрией важна «бумажная» дисциплина и прозрачность:

• Политика и положения об обработке: /politika-obrabotki-pdn, /paket-dokumentov-152-fz.
• Назначение ответственного, обучение, контроль: /otvetstvennyy-za-obrabotku-pdn, /vnutrenniy-kontrol-i-obuchenie, /obuchenie-i-kursy-152-fz.
• Процедуры инцидентов и уведомлений: /incidenty-i-utechki-pdn, /deystviya-pri-narushenii-pdn.
• Генераторы и шаблоны согласий: /generator-politiki-i-soglasiy, /soglasie-na-obrabotku-pdn.

Если биометрия затрагивает веб‑сервисы, проверьте соответствие сайта: /trebovaniya-k-saytu-152-fz, /cookie-i-bannery-152-fz, /audit-sayta-152-fz, /onlayn-proverka-sayta-152-fz.

Ответственность и проверки

За нарушения по биометрии применяются повышенные штрафы и меры реагирования Роскомнадзора (вплоть до ограничений обработки и блокировок сервисов при грубых нарушениях). Рекомендуем ознакомиться с:

• составами КоАП: /koap-1311-pdn, общая ответственность: /otvetstvennost-i-shtrafy-152-fz;
• практикой проверок: /proverki-roskomnadzor, /sudebnaya-praktika-152-fz.

Чек‑лист соответствия ст. 11 152‑ФЗ

• Определите, действительно ли вы используете данные для идентификации (если да — это биометрия).
• Проверьте наличие прямого законного основания; если его нет — получите письменное согласие.
• Сформируйте полноценную цель обработки и минимизируйте состав данных.
• Обеспечьте локализацию хранения в РФ и оцените трансграничные потоки.
• Реализуйте усиленные меры ИБ: шифрование, контроль доступа, журналирование, модель угроз.
• Заключите договоры поручения с вендорами и провайдерами.
• Обновите политику/положения, назначьте ответственного, обучите персонал.
• Уведомьте Роскомнадзор и проверьте себя в реестре операторов.
• Организуйте процедуру отзыва согласия, удаления и сроки хранения.
• Запретите распространение биометрии без отдельного согласия и ограничений.

Сохраните и адаптируйте расширенный чек‑лист: /chek-list-152-fz. Нужна помощь под проверку? См. /podgotovka-k-proverke-152-fz.

FAQ по биометрии

• Фото сотрудника на пропуск — это биометрия? Если фото используется для сравнения и допуска — да. Если хранится лишь как элемент профиля без алгоритмов идентификации — обычно нет.
• Можно ли заменить биометрию альтернативой? Да, рекомендуется предлагать небиометрический вариант (карта/ПИН), чтобы не принуждать субъектов.
• Можно ли публиковать биометрию в соцсетях? Только при наличии отдельного согласия на распространение с заданными ограничениями — на практике крайне нежелательно.
• Медкарта с фото — это «152 фз медицинские данные» или биометрия? Медкарта — медданные (спецкатегория), а фото становится биометрией только если используется для идентификации.

Подробнее вопросы и ответы: /voprosy-i-otvety-152-fz.

Вывод и следующий шаг

Статья 11 152‑ФЗ о биометрических персональных данных требует строгой дисциплины: четкое основание (чаще — письменное согласие), минимизация данных, локализация и усиленная защита. Перед запуском любого сценария «распознавания» проведите правовой и технический аудит, подготовьте согласия и документы, настройте безопасную архитектуру и процедуры удаления.

Нужна практическая помощь? Мы подготовим пакет документов, согласия, чек‑листы и поможем пройти проверку Роскомнадзора. Выберите формат: /konsalting-i-dokumenty-pod-klyuch или соберите документы через /generator-politiki-i-soglasiy.