Вход по лицу, голосовая верификация, распознавание клиента по фото — всё это биометрические персональные данные, к которым закон относится строже, чем к любым другим. С 2022 года действует отдельный закон — 572-ФЗ, и по нему хранить биометрию для идентификации в собственной базе, как правило, нельзя: она идёт через государственную Единую биометрическую систему (ЕБС). Разбираем, кого это касается и что должно быть на сайте.
Это узкая, но дорогая по рискам тема — часть требований 152-ФЗ. Общий обзор всего, что проверяют у сайта, — в чек-листе соответствия сайта законам РФ. Здесь — только про биометрию.
1. Что закон считает биометрией (а что — нет)
Биометрия по закону — это физиологические особенности человека (лицо, голос, отпечаток, радужка), которые оператор использует, чтобы установить личность. Ключевое слово — «для установления личности». Обычная аватарка в профиле или фото товара с моделью биометрией не являются — пока по ним никого не идентифицируют.
«Сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные) и которые используются оператором для установления личности субъекта персональных данных, могут обрабатываться только при наличии согласия в письменной форме…»
2. Главное правило: своя база биометрии — нельзя
Это — то, о чём чаще всего не знают. По 572-ФЗ (Федеральный закон от 29.12.2022 № 572-ФЗ) коммерческая биометрическая идентификация проводится через государственную ЕБС, а не в собственной базе компании. С 1 июня 2023 года организации, у которых были свои биометрические системы, обязаны были передать образцы в ЕБС (с согласия людей) либо прекратить их использование для идентификации. То есть «соберём лица клиентов в свою CRM и будем узнавать на входе» — вне закона.
3. Согласие на биометрию — особое
Согласие на обработку биометрии — отдельное, письменное, добровольное и отзываемое. Его нельзя «зашить» в общее согласие на обработку ПД и нельзя навязывать: у человека должен быть альтернативный способ без биометрии (логин-пароль, документ, карта). Принудительная биометрия — нарушение.
4. Кого это касается
Касается сервисов, где личность устанавливают по биометрии: банки и финтех, телеком, СКУД и HR-системы с распознаванием лиц, ретейл с оплатой «взглядом», сервисы онлайн-верификации и KYC. Не касается, если сайт просто показывает фото или хранит аватары и не использует их для идентификации.
5. Что должно быть на сайте / в сервисе
- Отдельное письменное согласие именно на биометрию (152-ФЗ ст. 11).
- Альтернативный способ входа/верификации без биометрии.
- Работа через ЕБС, если проводится идентификация по биометрии (572-ФЗ), а не хранение в своей базе.
- Политика и уведомление РКН как оператора ПД (см. чек-лист проверки РКН).
- Возможность отозвать согласие и удалить биометрию.
6. Чем грозит нарушение
Обработка биометрии без надлежащего согласия — нарушение 152-ФЗ по ст. 13.11 КоАП (после реформы 2025 года суммы заметно выросли, а за утечку ПД введены отдельные крупные штрафы — см. про утечки). Использование биометрической системы в обход ЕБС — основание для предписаний и приостановки. Плюс репутационный удар: биометрия — чувствительная тема для клиентов.
Нужна экспертная оценка
Биометрия — одна из самых сложных зон: здесь пересекаются 152-ФЗ, 572-ФЗ и требования к ЕБС. Базовую проверку сайта (реквизиты, политика, cookie, формы сбора ПД) запустите бесплатно на главной — полная проверка по 18 параметрам в платном отчёте. А если вы собираете биометрию — это тот случай, когда стоит взять консультацию юриста (тариф от 6 900 ₽): разберём вашу схему и подключение к ЕБС индивидуально.