По лицу и пальцу: правовая база организации системы контроля доступа в офис

11/02/26

Б-152

В условиях цифровизации бизнеса все больше компаний внедряют автоматизированные системы контроля и управления доступом (СКУД), основанные на биометрических технологиях. Наиболее распространенными способами идентификации становятся сканирование отпечатков пальцев и распознавание лица. Эти технологии позволяют оптимизировать учет рабочего времени, повысить безопасность объектов и исключить использование пропусков третьими лицами.

Однако использование биометрических данных работников и посетителей ставит перед организациями серьезные правовые вопросы. Российское законодательство в сфере персональных данных и биометрии отличается высокой степенью детализации и при этом неоднозначностью толкования.

На практике компании нередко оказываются между противоречивыми позициями государственных органов, где одни указывают на недопустимость обработки отпечатков пальцев вне рамок государственной дактилоскопической регистрации, а другие допускают использование таких данных при соблюдении определенных условий.

В этой статье мы рассмотрим действующие нормы законодательства, официальные разъяснения регуляторов и сформируем вывод о правомерности использования систем контроля доступа, основанных на распознавании отпечатков пальцев и лица. 

Отпечатки пальцев относятся к категории дактилоскопической информации, то есть сведений об особенностях строения папиллярных узоров пальцев и (или) ладоней рук человека, позволяющих установить его личность (п. 2 ст. 1 Федерального закона от 25 июля 1998 г. № 128-ФЗ «О государственной дактилоскопической регистрации в Российской Федерации»).

С точки зрения законодательства о персональных данных, такая информация является биометрическими персональными данными (п. 1 ст. 11 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных»), поскольку позволяет идентифицировать личность субъекта.

Однако следует различать понятия дактилоскопической регистрации и обработки биометрических данных. Если в первом случае речь идет о государственном учете (регистрации), то во втором — о применении технологий идентификации в частных целях. Именно этот нюанс и становится предметом спора между ведомствами.

Согласно позиции Роскомнадзора, изложенной в ответе от 28 апреля 2020 г. № 08−24 451, положения ст. 14 Федерального закона № 128-ФЗ закрепляют исключительное право государственных органов на проведение дактилоскопической регистрации. 

Таким образом, сбор и использование отпечатков пальцев коммерческими организациями, в том числе в целях организации пропускного режима, рассматривается регулятором как неправомерная обработка биометрических персональных данных. 

Аналогичной позиции придерживается и Роструд, указывая, Федерального закона № 128-ФЗ не предоставлено право ни работодателю, ни нанятой им организации снимать отпечатки пальцев работников для целей организации пропускного режима.

Следовательно, с точки зрения этих органов, использование отпечатков пальцев для прохода в помещения организации может квалифицироваться как обработка данных, не предусмотренная законом, что влечет административную ответственность по ч. 1 ст. 13.11 КоАП РФ.

Несмотря на консервативную позицию Роскомнадзора и Роструда, в последнее время наблюдается смещение подхода к вопросу использования биометрии частными организациями.

Ключевым источником альтернативного толкования стал ответ Минцифры России от 15 октября 2025 г. № П24−16 856-ОГ, в котором ведомство высказало позицию о допустимости использования биометрических данных, включая отпечатки пальцев, коммерческими организациями при обеспечении пропускного режима.

Минцифры исходит из того, что дактилоскопическая регистрация в смысле Федерального закона № 128-ФЗ и использование отпечатков пальцев в целях идентификации работников — не тождественные понятия. Если проведение государственной дактилоскопической регистрации действительно находится в исключительном ведении государства, то применение технологии распознавания отпечатков пальцев в частных целях может рассматриваться как обработка биометрических персональных данных по правилам статьи 11 Закона № 152-ФЗ.

Иными словами, Минцифры предлагает рассматривать такую обработку вне рамок Закона № 128-ФЗ, но в пределах общего регулирования персональных данных.

При этом ключевыми условиями правомерности использования отпечатков пальцев в частных целях являются:

Таким образом, при соблюдении этих условий компания может обосновать правомерность внедрения системы контроля доступа на основе отпечатков пальцев, опираясь на позицию Минцифры как на приоритетное толкование.

Следует отметить, что именно Минцифры России является федеральным органом исполнительной власти, уполномоченным на выработку государственной политики и нормативно-правовое регулирование в сфере информационных технологий, включая обработку биометрических персональных данных.

Соответственно, ее официальные разъяснения обладают большей юридической значимостью, чем позиция Роскомнадзора, чьи функции ограничиваются надзором за соблюдением законодательства о персональных данных. Кроме того, позиция Минцифры соответствует тенденциям развития законодательства, направленного на цифровизацию идентификационных процессов.

Прямого запрета на использование отпечатков пальцев частными организациями действующее законодательство не содержит — при условии, что такая обработка не имеет признаков государственной дактилоскопической регистрации и осуществляется с согласия субъектов данных.

Таким образом, при правильной правовой квалификации и документальном оформлении (в частности, при наличии согласия, локальных актов и процедур защиты информации) использование биометрической системы доступа по отпечатку пальца может быть признано законным.

Использование технологии распознавания лица регулируется специальными нормами, установленными Федеральным законом от 29 декабря 2021 г. № 572-ФЗ «О единой биометрической системе и о внесении изменений в отдельные законодательные акты Российской Федерации» (далее — Закон № 572-ФЗ).

В соответствии со статьей 15 указанного закона, обработка биометрических персональных данных, позволяющих подтвердить личность человека по изображению лица или записи голоса, допускается исключительно с использованием Единой биометрической системы (ЕБС).

Это означает, что коммерческие организации не вправе самостоятельно собирать, хранить и обрабатывать изображения лиц сотрудников для их последующей идентификации при проходе в помещения.

Фактически, использование СКУД, основанных на распознавании лиц вне ЕБС, не соответствует требованиям закона. Любая попытка внедрения такой системы в обход ЕБС (например, хранение шаблонов лиц на внутренних серверах или использование локальных решений) может квалифицироваться как неправомерная обработка биометрических персональных данных, влекущая ответственность по части 1 статьи 13.11 КоАП РФ.

Ваша СКУД с биометрией соответствует закону?

Проведем прикладную правовую оценку и подберем безопасный сценарий. Оставьте заявку, и мы начнем с аудита вашей ситуации.

На основании анализа действующего законодательства и официальных разъяснений регуляторов можно сделать следующие выводы относительно организации системы контроля доступа в офисах на основе биометрических технологий:

Государственная дактилоскопическая регистрация осуществляется исключительно уполномоченными органами.

Однако, с учетом позиции Минцифры России, коммерческая обработка отпечатков пальцев для пропускного режима допустима, если соблюдаются следующие условия:

При соблюдении этих условий использование СКУД по отпечаткам пальцев может считаться законным и безопасным с правовой точки зрения.

Закон допускает обработку биометрических данных лица только через ЕБС.

Использование изображений лица для идентификации в СКУД строго регулируется Законом № 572-ФЗ.

Внутренние системы, фиксирующие только факт прохода без идентификации конкретного лица, могут быть законны, но должны исключать возможность установления личности.

Любые попытки внедрить локальные системы распознавания лица с идентификацией конкретных сотрудников вне ЕБС не соответствуют требованиям закона и создают риск административной ответственности.

Для СКУД в офисах рекомендуется использовать отпечатки пальцев, оформляя обработку данных документально: согласия работников, локальные акты, инструкции по защите данных.

Использование распознавания лиц для идентификации сотрудников не рекомендуется вне ЕБС.

Все процессы обработки биометрических данных должны соответствовать принципам Закона № 152-ФЗ: законность, минимизация данных, ограничение цели, защита информации.

Таким образом, внедрение систем контроля доступа с использованием биометрии в офисах возможно, но требует внимательного соблюдения правового режима обработки персональных данных.

Отпечатки пальцев допустимы при соблюдении условий Минцифры и Закона о персональных данных.

Ввод оборотных штрафов за утечки откладывается минимум до 1 июля 2023 года

Практика применения биометрии в СКУД продолжает меняться: появляются новые разъяснения ведомств, корректируются подходы к оценке рисков и допустимых сценариев.

Разборы таких кейсов, позиции регуляторов и практические комментарии мы публикуем в нашем Telegram-канале, подписывайтесь

Материалы по теме