UMSecurity

Право

Биометрия и ЕБС: что изменил ФЗ-572 для систем распознавания лиц в бизнесе

18 июня 2026·9 мин чтения

«Нам теперь все лица сотрудников в государственную систему сдавать?» — с этого вопроса начинается почти каждый разговор с заводом, который хочет поставить распознавание лиц на проходной. За вопросом стоит реальный страх: компания слышала про ЕБС, про ФЗ-572, и боится, что любая камера с распознаванием автоматически означает выгрузку биометрии в чужую федеральную базу. Спойлер: нет, не означает. Но разобраться стоит предметно, потому что цена ошибки тут высокая.

Разложим, что такое ЕБС, что изменил ФЗ-572, обязан ли бизнес туда что-то грузить, и где проходит граница законной локальной биометрии без передачи в государственную систему. Образец самого согласия и обязательные реквизиты я уже подробно разбирал в материале согласие на обработку биометрии — здесь не дублирую, а захожу с угла ЕБС и ФЗ-572.

Что такое ЕБС и зачем её создали

ЕБС — Единая биометрическая система, государственная информационная система, куда стекаются биометрические данные граждан (изображение лица, образец голоса) для удалённой идентификации. Изначально её строили под банки — чтобы открыть счёт или получить услугу дистанционно, подтвердив личность по биометрии.

ФЗ-572 (закон об осуществлении идентификации и аутентификации с использованием биометрических данных) превратил ЕБС из банковского инструмента в централизованную государственную систему обработки биометрии. Ключевая идея закона: биометрические данные граждан для целей идентификации концентрируются в одной государственной системе под особым режимом защиты и контроля.

Это важный сдвиг. До ФЗ-572 рынок биометрии был фрагментирован — каждый оператор хранил свои шаблоны как умел. Закон задал жёсткую рамку: где, как и кем биометрия может обрабатываться, и какую роль в этом играет государственная система.

И ещё одна деталь, которая снимает часть паники: ЕБС строилась как инструмент для гражданина, а не дубинка для бизнеса. Человек сам сдаёт биометрию в систему добровольно, чтобы получать услуги дистанционно, и так же добровольно может её удалить. Закон не вводит правила «любая камера с распознаванием — это филиал ЕБС». Он разводит две разные истории: государственную идентификацию граждан и обработку биометрии операторами для собственных задач. Вторая — как раз про корпоративные проходные, и она живёт по правилам 152-ФЗ, а не по логике федеральной базы.

Обязан ли бизнес грузить лица в ЕБС

Главный практический вопрос. Короткий ответ: для типового сценария «распознавание лиц на своей проходной для своих сотрудников» — нет, не обязан.

ЕБС — это про удалённую идентификацию гражданина для оказания услуг (банковских, государственных и подобных), где личность нужно подтвердить дистанционно и юридически значимо. Контроль доступа сотрудников на собственную территорию — это другая задача. Вы не оказываете гражданину услугу через государственную идентификацию, вы пускаете своего работника через турникет по его же согласию.

Поэтому распространённый страх «поставлю распознавание — придётся сдать всех в ЕБС» в типовом корпоративном сценарии не подтверждается. Обязанность сдавать данные в ЕБС возникает в специально оговорённых законом случаях, а не от самого факта, что у вас на проходной стоит камера с распознаванием.

Это не значит, что можно расслабиться. Локальная биометрия — это всё равно строгий режим: согласие, защита, ограничение доступа. Просто это ваш контур, а не выгрузка в государственную систему.

Когда допустима локальная биометрия без передачи в ЕБС

Вот сценарий, который интересует большинство бизнеса, и он законен. Локальная (on-premise) биометрия — это когда:

  • система строит и хранит биометрические шаблоны внутри вашего контура, на вашем сервере;
  • данные не передаются в ЕБС и не уходят в чужое облако;
  • обработка идёт ради ваших собственных целей — контроль доступа, учёт рабочего времени, безопасность — на основании согласия субъекта.

Условия законности такой обработки:

  1. Согласие каждого в письменной форме — это базовое требование к обработке биометрии, и оно не отменяется от того, что вы не в ЕБС.
  2. Альтернатива идентификации по лицу — карта, пропуск, ручная отметка. Нельзя сделать распознавание единственным способом пройти; у человека должен быть выбор.
  3. Строгий режим защиты — ограниченный доступ к шаблонам, учёт, ответственный за обработку, политика.
  4. Конкретная цель — не «на всякий случай», а ясно сформулированная (доступ, учёт времени).

То есть закон не запрещает бизнесу обрабатывать биометрию у себя — он требует делать это по правилам и с согласием. ЕБС — параллельный, государственный механизм для своих задач, а не обязательный пункт назначения для каждого корпоративного шаблона лица.

Режим обработки биометрии: что под особым контролем

Биометрия по 152-ФЗ — это специальная, особо чувствительная категория данных. Что это значит на практике, помимо согласия:

  • Письменная форма согласия обязательна — молчаливое, «галочка по умолчанию» или «вошёл в зону, значит согласен» не работают.
  • Запрет на принуждение. Нельзя поставить работника перед выбором «распознавание или увольнение» — должна быть равноценная альтернатива прохода.
  • Локализация и защита. Биометрию разумно и безопасно держать в локальном контуре, а не отдавать в чужое облако без необходимости.
  • Отзыв согласия. Человек вправе отозвать согласие письменным заявлением, и оператор обязан прекратить обработку и уничтожить шаблоны, если нет иных законных оснований их хранить.

Этот режим строже обычного видеонаблюдения именно потому, что биометрический шаблон, в отличие от пароля, нельзя «сменить». Утёк отпечаток лица — он утёк навсегда. Отсюда и повышенные требования к тому, кто и как этот шаблон хранит.

Запреты и риски: чего нельзя

Чтобы не было иллюзий, что локальный контур развязывает руки. Нельзя:

  • обрабатывать биометрию без согласия — это состав нарушения по статье 13.11 КоАП, штрафы для юрлиц исчисляются сотнями тысяч, а при утечках выросли кратно;
  • делать распознавание единственным способом прохода — отсутствие альтернативы суды и РКН трактуют как принуждение;
  • прятать согласие мелким шрифтом в трудовом договоре — оно должно быть отдельным и осознанным;
  • передавать биометрию третьим лицам без отдельного основания и согласия на это.

Дела о принудительном сборе биометрии сотрудников охотно подхватывают и профсоюзы, и СМИ — репутационный удар тут не меньше штрафа.

On-premise распознавание лиц как законный путь

Вот к чему всё это сводится практически. Если бизнесу нужна идентификация по лицу — для проходной, СКУД, учёта времени — самый чистый с точки зрения закона путь это локальная биометрия на своём контуре без передачи в ЕБС и без чужого облака.

Именно так мы в UMSecurity и строим распознавание лиц: аналитика разворачивается on-premise, поверх ваших существующих камер, шаблоны лиц хранятся внутри вашего периметра и наружу не уходят. Это снимает целый класс рисков — нет трансграничной передачи, нет вопросов «а кто ещё имеет доступ», нет зависимости от чужого ЦОДа. Вы остаётесь оператором своих данных в своём контуре.

Что остаётся на вашей стороне и не закрывается технологией: собрать письменные согласия, обеспечить альтернативу проходу, назначить ответственного, вести режим хранения. Юридическую рамку и готовый образец согласия со всеми реквизитами я подробно разобрал в материале согласие на обработку биометрии. А вопрос, где вообще проходит граница между биометрией и обычным наблюдением и когда согласие не требуется, — в разборе согласие на обработку персональных данных: образец.

Честно: где это уместно, а где нет

Не каждому объекту нужна биометрия. Если задача — просто понять, что кто-то прошёл, или посчитать поток, распознавание лиц избыточно: хватит обычной аналитики без идентификации, и тогда вы вообще вне строгого биометрического режима. Биометрия оправдана там, где важна именно личность: режимная проходная, учёт рабочего времени по конкретным людям, доступ в зоны повышенной ответственности.

И ещё честно: ни одна технология не отменяет юридическую работу. Мы делаем так, чтобы данные физически не покидали ваш контур и архитектура ложилась в закон, но согласия с людьми собираете вы. Зато с правильной архитектурой эта работа становится посильной, а зона риска — узкой.

Хотите поставить распознавание лиц так, чтобы биометрия осталась у вас и не ушла в ЕБС или чужое облако — обсудим пилот. Разложим по вашему объекту, нужна ли вообще идентификация, и если да — соберём её в локальном контуре под требования закона.

// связанные услуги

Видеоаналитика для бизнеса

Хотите так же на вашем объекте?

Покажем видеоаналитику на ваших камерах и рассчитаем окупаемость. Бесплатно.

Обсудить задачу

Ещё по теме

Право

Закон о видеонаблюдении в России: что можно и нельзя

Закон о видеонаблюдении в России — какого единого закона нет, где снимать можно и нельзя, таблички и уведомления, видео как персональные данные и биометрия.

Право

Видеонаблюдение на рабочем месте: что вправе работодатель

Когда видеонаблюдение на рабочем месте законно, как уведомить сотрудников, оформить локальный акт и использовать запись в трудовом споре.