По лицу и пальцу: правовая база организации системы контроля доступа в офис
Изображение: recraft
В условиях цифровизации бизнеса все больше компаний внедряют автоматизированные системы контроля и управления доступом (СКУД), основанные на биометрических технологиях. Наиболее распространенными способами идентификации становятся сканирование отпечатков пальцев и распознавание лица. Эти технологии позволяют оптимизировать учет рабочего времени, повысить безопасность объектов и исключить использование пропусков третьими лицами.
Однако использование биометрических данных работников и посетителей ставит перед организациями серьезные правовые вопросы. Российское законодательство в сфере персональных данных и биометрии отличается высокой степенью детализации и при этом неоднозначностью толкования.
На практике компании нередко оказываются между противоречивыми позициями государственных органов, где одни указывают на недопустимость обработки отпечатков пальцев вне рамок государственной дактилоскопической регистрации, а другие допускают использование таких данных при соблюдении определенных условий.
В этой статье мы рассмотрим действующие нормы законодательства, официальные разъяснения регуляторов и сформируем вывод о правомерности использования систем контроля доступа, основанных на распознавании отпечатков пальцев и лица.
Правовое регулирование использования отпечатков пальцев
Отпечатки пальцев относятся к категории дактилоскопической информации, то есть сведений об особенностях строения папиллярных узоров пальцев и (или) ладоней рук человека, позволяющих установить его личность (п. 2 ст. 1 Федерального закона от 25 июля 1998 г. № 128-ФЗ «О государственной дактилоскопической регистрации в Российской Федерации»).
С точки зрения законодательства о персональных данных, такая информация является биометрическими персональными данными (п. 1 ст. 11 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных»), поскольку позволяет идентифицировать личность субъекта.
Однако следует различать понятия дактилоскопической регистрации и обработки биометрических данных. Если в первом случае речь идет о государственном учете (регистрации), то во втором — о применении технологий идентификации в частных целях. Именно этот нюанс и становится предметом спора между ведомствами.
Согласно позиции Роскомнадзора, изложенной в ответе от 28 апреля 2020 г. № 08-24451, положения ст. 14 Федерального закона № 128-ФЗ закрепляют исключительное право государственных органов на проведение дактилоскопической регистрации.
Таким образом, сбор и использование отпечатков пальцев коммерческими организациями, в том числе в целях организации пропускного режима, рассматривается регулятором как неправомерная обработка биометрических персональных данных.
Аналогичной позиции придерживается и Роструд, указывая, что Федеральным законом № 128-ФЗ не предоставлено право ни работодателю, ни нанятой им организации снимать отпечатки пальцев работников для целей организации пропускного режима.
Следовательно, с точки зрения этих органов, использование отпечатков пальцев для прохода в помещения организации может квалифицироваться как обработка данных, не предусмотренная законом, что влечет административную ответственность по ч. 1 ст. 13.11 КоАП РФ.
Несмотря на консервативную позицию Роскомнадзора и Роструда, в последнее время наблюдается смещение подхода к вопросу использования биометрии частными организациями.
Ключевым источником альтернативного толкования стал ответ Минцифры России от 15 октября 2025 г. № П24-16856-ОГ, в котором ведомство высказало позицию о допустимости использования биометрических данных, включая отпечатки пальцев, коммерческими организациями при обеспечении пропускного режима.
Минцифры исходит из того, что дактилоскопическая регистрация в смысле Федерального закона № 128-ФЗ и использование отпечатков пальцев в целях идентификации работников — не тождественные понятия. Если проведение государственной дактилоскопической регистрации действительно находится в исключительном ведении государства, то применение технологии распознавания отпечатков пальцев в частных целях может рассматриваться как обработка биометрических персональных данных по правилам статьи 11 Закона № 152-ФЗ.
Иными словами, Минцифры предлагает рассматривать такую обработку вне рамок Закона № 128-ФЗ, но в пределах общего регулирования персональных данных.
При этом ключевыми условиями правомерности использования отпечатков пальцев в частных целях являются:
- Наличие письменного согласия субъекта персональных данных (работника, подрядчика, посетителя) на обработку биометрических ПДн;
- Определение конкретной цели обработки (например, обеспечение пропускного и внутриобъектового режима);
- Обеспечение мер защиты персональных данных, предусмотренных ст. 19 Закона № 152-ФЗ;
- Исключение передачи отпечатков третьим лицам и использование их исключительно в рамках внутренних систем организации.
Таким образом, при соблюдении этих условий компания может обосновать правомерность внедрения системы контроля доступа на основе отпечатков пальцев, опираясь на позицию Минцифры как на приоритетное толкование.
Следует отметить, что именно Минцифры России является федеральным органом исполнительной власти, уполномоченным на выработку государственной политики и на нормативно-правовое регулирование в сфере информационных технологий, включая обработку биометрических персональных данных.
Соответственно, ее официальные разъяснения обладают большей юридической значимостью, чем позиция Роскомнадзора, чьи функции ограничиваются надзором за соблюдением законодательства о персональных данных. Кроме того, позиция Минцифры соответствует тенденциям развития законодательства, направленного на цифровизацию идентификационных процессов.
Прямого запрета на использование отпечатков пальцев частными организациями действующее законодательство не содержит — при условии, что такая обработка не имеет признаков государственной дактилоскопической регистрации и осуществляется с согласия субъектов данных.
Таким образом, при правильной правовой квалификации и документальном оформлении (в частности, при наличии согласия, локальных актов и процедур защиты информации) использование биометрической системы доступа по отпечатку пальца может быть признано законным.
Биометрия по лицу: правовое регулирование и ограничения для СКУД
Использование технологии распознавания лица регулируется специальными нормами, установленными Федеральным законом от 29 декабря 2021 г. № 572-ФЗ «О единой биометрической системе и о внесении изменений в отдельные законодательные акты Российской Федерации» (далее — Закон № 572-ФЗ).
В соответствии со статьей 15 указанного закона обработка биометрических персональных данных, позволяющих подтвердить личность человека по изображению лица или записи голоса, допускается исключительно с использованием Единой биометрической системы (ЕБС).
Это означает, что коммерческие организации не вправе самостоятельно собирать, хранить и обрабатывать изображения лиц сотрудников для их последующей идентификации при проходе в помещения.
Фактически, использование СКУД, основанных на распознавании лиц вне ЕБС, не соответствует требованиям закона. Любая попытка внедрения такой системы в обход ЕБС (например, хранение шаблонов лиц на внутренних серверах или использование локальных решений) может квалифицироваться как неправомерная обработка биометрических персональных данных, влекущая ответственность по части 1 статьи 13.11 КоАП РФ.
Выводы и рекомендации
На основании анализа действующего законодательства и официальных разъяснений регуляторов можно сделать следующие выводы относительно организации системы контроля доступа в офисах на основе биометрических технологий:
- Отпечатки пальцев;
- Отпечатки пальцев являются биометрическими персональными данными по смыслу Закона № 152-ФЗ, а также дактилоскопической информацией в смысле Закона № 128-ФЗ.
Государственная дактилоскопическая регистрация осуществляется исключительно уполномоченными органами.
Однако, с учетом позиции Минцифры России, коммерческая обработка отпечатков пальцев для пропускного режима допустима, если соблюдаются следующие условия:
- письменное согласие сотрудников и посетителей;
- четко определенная цель обработки (организация пропускного режима);
- надлежащие меры защиты персональных данных;
- данные используются исключительно внутри организации и не передаются третьим лицам.
При соблюдении этих условий использование СКУД по отпечаткам пальцев может считаться законным и безопасным с правовой точки зрения.
Распознавание лица
Использование изображений лица для идентификации в СКУД строго регулируется Законом № 572-ФЗ.
Закон допускает обработку биометрических данных лица только через ЕБС.
Любые попытки внедрить локальные системы распознавания лица с идентификацией конкретных сотрудников вне ЕБС не соответствуют требованиям закона и создают риск административной ответственности.
Внутренние системы, фиксирующие только факт прохода без идентификации конкретного лица, могут быть законны, но должны исключать возможность установления личности.
Практические рекомендации для компаний
Для СКУД в офисах рекомендуется использовать отпечатки пальцев, оформляя обработку данных документально: согласия работников, локальные акты, инструкции по защите данных.
Использование распознавания лиц для идентификации сотрудников не рекомендуется вне ЕБС.
Все процессы обработки биометрических данных должны соответствовать принципам Закона № 152-ФЗ: законность, минимизация данных, ограничение цели, защита информации.
Заключение
Таким образом, внедрение систем контроля доступа с использованием биометрии в офисах возможно, но требует внимательного соблюдения правового режима обработки персональных данных.
Отпечатки пальцев допустимы при соблюдении условий Минцифры и Закона о персональных данных.
