Логотип Пятый фактор Пятый фактор
Получить консультацию
Материал

Видеонаблюдение и персональные данные: правовые основания, уведомления и организация хранения записей

Опубликовано: 09.03.2026 · Обновлено: 09.03.2026 · Время чтения: 21 мин

Полное практическое руководство для специалистов по ИБ, юристов и руководителей

Почему тема актуальна сейчас

Камеры видеонаблюдения стали частью привычной инфраструктуры: они установлены в офисах, торговых центрах, подъездах, на производственных предприятиях и в транспорте. По данным аналитиков рынка, в России эксплуатируется свыше 20 миллионов камер видеонаблюдения [данные не найдены в открытых первоисточниках за 2024–2025 гг.; рекомендуется запросить актуальную статистику у Ростелеком или IHS Markit]. При этом вопрос о правовом статусе видеозаписей как персональных данных до сих пор вызывает разногласия на практике.

Ситуацию существенно обострили поправки 2024–2025 годов. Федеральный закон № 420-ФЗ от 30.11.2024 [2] ввёл новые составы административных правонарушений и радикально увеличил штрафы. Федеральный закон № 421-ФЗ от 30.11.2024 [3] сделал обязательным предварительное уведомление Роскомнадзора для большинства операторов. Оба закона вступили в силу с 30 мая 2025 года.

На этом фоне видеонаблюдение — одна из самых уязвимых точек корпоративного комплаенса: организации нередко устанавливают камеры без оформления необходимой документации, хранят записи бессрочно и не задумываются о передаче видеоматериалов подрядчикам. Каждое из этих упущений теперь чревато значительными санкциями.

Статья адресована юристам, специалистам по информационной безопасности, DPO (ответственным за защиту данных), а также руководителям организаций, которые хотят выстроить законную и устойчивую практику видеонаблюдения.

2. Является ли видеозапись персональными данными?

Прежде чем говорить о правовых основаниях и уведомлениях, необходимо разобраться с фундаментальным вопросом: когда видеозапись становится персональными данными?

2.1. Позиция 152-ФЗ и разъяснения Роскомнадзора

Согласно статье 3 Федерального закона № 152-ФЗ «О персональных данных» [1], персональными данными является «любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу». Закон намеренно избегает закрытого перечня: критерий один — возможность идентификации человека.

Роскомнадзор в своих разъяснениях [4] неоднократно указывал, что изображения людей, записи голоса и видеофайлы сами по себе могут быть персональными данными при соблюдении условия идентифицируемости. При этом регулятор проводит разграничение:

  • Запись общей обстановки в помещении, где люди неразличимы или не идентифицируются, — не ПДн.
  • Запись, по которой можно установить личность конкретного человека (узнаваемое лицо, именной бейдж, привязка к рабочему месту), — ПДн.
  • Запись в системе, связанной с базой данных сотрудников или клиентов, — ПДн, даже если сама по себе запись не содержит явных идентификаторов.

На практике большинство корпоративных систем видеонаблюдения обрабатывают персональные данные: камеры направлены на конкретные рабочие места, входы, кассовые зоны, и по видеозаписи можно установить, кто именно и когда находился в кадре.

2.2. Биометрия: когда включается особый режим

Статья 11 152-ФЗ [1] и рекомендации Роскомнадзора по биометрическим ПДн [5] формулируют условие признания данных биометрическими: это сведения, характеризующие физиологические и биологические особенности человека, на основании которых можно установить его личность, — при условии, что оператор использует их именно для идентификации.

Таким образом, видеозапись лица человека становится биометрическими ПДн не автоматически, а в зависимости от того, как она используется:

  • Просто хранить видеозапись → обычные ПДн (изображение).
  • Применять систему распознавания лиц (Face ID, Face Recognition) для допуска на объект, контроля рабочего времени, идентификации → биометрические ПДн.

Разграничение принципиально важно, потому что биометрия требует отдельного письменного согласия [1, ст. 11] и более высокого уровня защищённости информационной системы.

2.3. Пограничные случаи

На практике спорными остаются несколько ситуаций:

Мобильные и временные камеры. Если камера установлена на короткий срок для разового мероприятия (конференция, корпоратив), обязанности оператора ПДн всё равно возникают с момента начала записи.

Запись в публичных местах. Съёмка на улице, в парке или торговом центре не освобождает оператора от требований закона: публичное нахождение человека в кадре не является его согласием на обработку ПДн.

Облачные системы хранения. Если записи автоматически загружаются на зарубежный сервер, это может квалифицироваться как трансграничная передача ПДн с соответствующими требованиями.

3. Правовые основания для ведения видеонаблюдения

Статья 6 152-ФЗ [1] содержит исчерпывающий перечень оснований для обработки ПДн без согласия субъекта, а также предусматривает обработку по согласию. Для видеонаблюдения наиболее применимы четыре основания.

3.1. Законный интерес оператора (охрана имущества и безопасность)

Пункт 7 части 1 статьи 6 152-ФЗ [1] допускает обработку ПДн для «осуществления прав и законных интересов оператора или третьих лиц» при условии, что это не нарушает права и свободы субъекта ПДн.

Охрана имущества, обеспечение безопасности сотрудников и посетителей, предотвращение хищений — устоявшиеся примеры законного интереса, признанные российской практикой. Роскомнадзор в своих разъяснениях [4] прямо упоминает видеонаблюдение в целях охраны как допустимое на этом основании.

Важно соблюдать принцип соразмерности: масштаб видеонаблюдения должен соответствовать заявленной цели. Установка камер в туалетных комнатах или раздевалках, даже под предлогом охраны, не будет соответствовать принципу соразмерности и нарушит конституционное право на неприкосновенность частной жизни.

3.2. Согласие субъекта

Согласие (статья 9 152-ФЗ [1]) — универсальное основание, применимое в любом случае. Однако для корпоративных систем видеонаблюдения оно редко бывает практичным: получить письменное согласие от каждого посетителя или прохожего технически невозможно.

Тем не менее согласие актуально в ряде контекстов: при видеосъёмке участников конкретного мероприятия, при подписке на сервис с видеоидентификацией, при добровольной регистрации в системе биометрического контроля доступа. В этих случаях согласие должно быть конкретным, добровольным, информированным и оформленным до начала обработки.

3.3. Трудовые отношения и видеонаблюдение за сотрудниками

Видеонаблюдение за работниками имеет специфику, связанную с нормами Трудового кодекса РФ. Статьи 86–89 ТК РФ [8] устанавливают общие требования к обработке ПДн работников: обязательное уведомление работника, ограничение использования ПДн исключительно трудовыми целями.

На практике используются два подхода:

Фиксация в локальных нормативных актах. Наиболее распространённый и юридически корректный способ — закрепить право организации вести видеонаблюдение в Правилах внутреннего трудового распорядка (ПВТР), трудовом договоре или отдельном положении о видеонаблюдении. Работник, подписывая трудовой договор и знакомясь с ПВТР, даёт информированное согласие на применение этих мер контроля.

Отдельное письменное согласие. Некоторые организации предпочитают собирать отдельное согласие на видеонаблюдение при приёме на работу.

Ключевое условие в обоих случаях — работник должен быть заранее уведомлён о том, что ведётся видеозапись, о её цели и порядке использования записей.

3.4. Требования закона как основание

В ряде отраслей ведение видеонаблюдения прямо предписано нормативными актами:

  • Банки: Положение Банка России, требования к банковским операционным залам.
  • Казино и букмекерские конторы: обязательная запись операций в игровой зоне.
  • Образовательные учреждения: требования по безопасности и антитеррористической защищённости.
  • Объекты транспортной инфраструктуры: Федеральный закон № 16-ФЗ «О транспортной безопасности».

В этих случаях обработка ПДн в целях видеонаблюдения законна на основании пункта 2 части 1 статьи 6 152-ФЗ [1] (исполнение обязанностей, предусмотренных законодательством).

4. Уведомление Роскомнадзора: кто, когда и как

4.1. Общее правило с 30 мая 2025 года

До вступления в силу Федерального закона № 421-ФЗ [3] операторы ПДн пользовались широкими исключениями из обязанности уведомлять Роскомнадзор. На практике большинство организаций, ведущих видеонаблюдение, эту обязанность игнорировали — нередко обоснованно.

С 30 мая 2025 года правило изменилось: уведомление о намерении осуществлять обработку персональных данных теперь подаётся до начала обработки ПДн. Система уведомлений стала обязательной для подавляющего большинства операторов.

Если организация уже осуществляла обработку до этой даты, ей следовало актуализировать сведения в реестре операторов Роскомнадзора.

4.2. Исключения из обязанности уведомлять

Статья 22 152-ФЗ [1] сохраняет ряд исключений, однако их толкование после реформы 2024–2025 годов стало уже:

  • Обработка ПДн работников исключительно в целях, предусмотренных трудовым законодательством (но: если видеонаблюдение охватывает не только рабочие места, а, например, общие коридоры или клиентские зоны, исключение не применяется).
  • Обработка ПДн в рамках договора с субъектом, если данные не передаются третьим лицам.
  • Обработка без использования средств автоматизации (что к видеозаписи неприменимо в силу технической природы).

Важно: применение систем видеоаналитики или распознавания лиц автоматически выводит оператора из зоны исключений. Даже если видеонаблюдение ограничено офисом и сотрудниками, рекомендуется подавать уведомление во избежание споров.

4.3. Порядок подачи уведомления

Уведомление подаётся через портал Роскомнадзора (pd.rkn.gov.ru) или в бумажном виде. В уведомлении необходимо указать:

  • Наименование и адрес оператора.
  • Цель обработки ПДн (например: «обеспечение безопасности, охрана имущества и контроль доступа»).
  • Категории субъектов и категории ПДн (изображение, запись голоса и т.д.).
  • Правовое основание обработки.
  • Перечень действий с ПДн (сбор, запись, хранение, уничтожение).
  • Срок или условие прекращения обработки.
  • Место нахождения базы данных (если ПДн хранятся на серверах в РФ, это необходимо подтвердить).
  • Меры по обеспечению безопасности ПДн.

При любом существенном изменении — новые цели, новые категории данных, смена адреса хранения — необходимо подать уточнённое уведомление.

4.4. Штрафы за непредставление уведомления

По новой редакции статьи 13.11 КоАП РФ [10], действующей с 30 мая 2025 года, за нарушение обязанности уведомить о намерении обрабатывать ПДн предусмотрен штраф в размере от 100 000 до 300 000 рублей. Ранее этот штраф составлял от 1 000 до 3 000 рублей. Рост санкций — на два порядка.

5. Информирование субъектов ПДн

Принцип прозрачности — один из ключевых в 152-ФЗ [1]. Субъект ПДн вправе знать, что его данные обрабатываются. Для видеонаблюдения это реализуется через систему информирования.

5.1. Таблички и знаки о видеосъёмке

Минимальный стандарт — размещение хорошо заметных предупреждений о ведении видеозаписи во всех зонах наблюдения. Это следует из принципа прозрачности (статья 5 152-ФЗ [1]) и подтверждается практикой Роскомнадзора [4].

Требования к содержанию таблички не стандартизированы законодательно, однако регулятор и практика выработали минимальный набор сведений:

  • Символ камеры или текст «Ведётся видеонаблюдение».
  • Наименование оператора (кто ведёт съёмку).
  • Контакт для обращений по вопросам ПДн (адрес, e-mail или телефон).
  • Ссылка на политику конфиденциальности (опционально, но рекомендуется).

Таблички необходимо располагать до входа в зону наблюдения: человек должен получить информацию до того, как попадёт в поле зрения камеры.

5.2. Политика конфиденциальности и внутренние документы

Организации рекомендуется иметь отдельный документ — Политику видеонаблюдения (или соответствующий раздел в общей Политике конфиденциальности), который должен содержать:

  • Цели и основания ведения видеонаблюдения.
  • Перечень зон видеонаблюдения.
  • Категории субъектов (сотрудники, посетители, клиенты).
  • Срок хранения видеозаписей и порядок их уничтожения.
  • Порядок доступа к записям (кто и в каких случаях может просматривать).
  • Порядок передачи записей третьим лицам (правоохранительным органам, страховым компаниям и т.д.).
  • Права субъекта ПДн и порядок их реализации.

Для сотрудников этот документ должен быть включён в пакет локальных нормативных актов, с которыми работник знакомится под подпись.

5.3. Особенности публичных мест

Для объектов с высокой проходимостью (торговые центры, вокзалы, аэропорты) персональное уведомление каждого субъекта нереализуемо. Закон допускает информирование через общедоступные таблички как достаточный способ исполнения принципа прозрачности, при условии, что цели ограничены охраной и безопасностью.

Если же видеозаписи с публичных камер используются в маркетинговых целях (анализ трафика, поведенческая аналитика в разрезе конкретных лиц), это уже требует более явного согласия или специального правового основания.

6. Организация хранения видеозаписей

Раздел о хранении — наиболее практически значимый для ИТ- и ИБ-подразделений. Законодательство РФ не устанавливает единого срока хранения видеозаписей для коммерческих организаций, однако задаёт рамочные требования.

6.1. Сроки хранения: что говорит закон

Статья 5 152-ФЗ [1] закрепляет принцип, согласно которому ПДн «не могут храниться дольше, чем этого требует цель обработки». После достижения цели или прекращения в ней необходимости данные подлежат уничтожению или обезличиванию.

Для систем видеонаблюдения организация самостоятельно устанавливает сроки, исходя из следующих критериев:

  • Цель видеонаблюдения. Если цель — предотвращение хищений, а средний срок обнаружения факта хищения — 3–5 дней, хранить записи 180 дней нет оснований.
  • Отраслевые требования. Банки, транспортные объекты и ряд других отраслей имеют установленные нормативами сроки (обычно от 30 суток до 1 года).
  • Претензионные сроки. Срок исковой давности по гражданским делам — 3 года; для некоторых корпоративных споров хранить ключевые записи дольше может быть обоснованно.

На практике наиболее распространённый срок хранения для офисных систем видеонаблюдения — 30 суток с момента записи. Более длительное хранение должно иметь документальное обоснование.

Сроки хранения необходимо зафиксировать во внутренних документах (Политика видеонаблюдения, положение об ИС). Хранение видеозаписей «на всякий случай» без установленного срока — нарушение принципа минимизации данных.

6.2. Технические требования к системе хранения

ГОСТ Р 51558-2014 [9] регулирует технические характеристики охранных телевизионных систем, включая требования к видеорегистраторам и системам хранения. При выборе технического решения следует учитывать:

  • Избыточность хранения и резервирование (RAID-массивы для серьёзных систем).
  • Разграничение доступа: доступ к видеозаписям — только авторизованным лицам.
  • Журналирование доступа: кто, когда и по какому поводу просматривал записи.
  • Шифрование хранимых данных — обязательно для биометрических ПДн и рекомендуется для обычных.
  • Физическая защита серверов хранения.

Облачные системы видеонаблюдения требуют особого внимания: если данные хранятся у провайдера в России, необходимо убедиться, что это соответствует требованию локализации ПДн (статья 18.1 152-ФЗ [1]). Использование зарубежных облаков без надлежащего правового оформления — грубое нарушение.

6.3. Уровни защищённости и меры ФСТЭК

Постановление Правительства РФ № 1119 [6] определяет четыре уровня защищённости ИС, содержащих ПДн. Для систем видеонаблюдения уровень определяется в зависимости от:

  • Типа субъектов: иные лица (не сотрудники) — потенциально выше уровень защищённости.
  • Количества субъектов: более 100 000 — УЗ-2 или УЗ-1.
  • Типа ПДн: биометрические → УЗ-1 (максимальный уровень).
  • Актуальности угроз (1-й, 2-й или 3-й тип по НДВ).

Типичная корпоративная система видеонаблюдения без функции распознавания лиц для сотрудников и посетителей в количестве до 100 000 обычно требует УЗ-3 или УЗ-4, что соответствует разумному набору технических мер.

Приказ ФСТЭК № 21 [7] определяет конкретный состав мер: идентификация и аутентификация, управление доступом, аудит (ведение журналов), антивирусная защита, обнаружение вторжений, управление конфигурациями и т.д. Для систем видеонаблюдения практически значимы: ограничение физического доступа к серверам, шифрование передачи видеопотоков (HTTPS/TLS для IP-камер), разграничение ролей (просмотр/администрирование).

6.4. Доступ и разграничение прав

Доступ к видеозаписям — отдельная болевая точка. На практике сложилась нездоровая ситуация: записи смотрят все, кто имеет технический доступ к видеорегистратору, без какого-либо учёта. Это нарушение сразу нескольких принципов 152-ФЗ.

Рекомендуется:

  • Ввести ролевую модель доступа: администратор системы, сотрудник охраны (просмотр текущего), руководитель (просмотр архива по инциденту), юридический отдел (извлечение для передачи органам).
  • Вести журнал обращений к архиву с указанием цели и ФИО сотрудника.
  • Ограничить возможность копирования и выгрузки записей — только по утверждённой процедуре.
  • Назначить ответственного за систему видеонаблюдения с закреплением обязанностей приказом.

7. Передача видеозаписей третьим лицам

7.1. Передача в органы власти

Правоохранительные органы, следователи, суды вправе запросить видеозаписи в рамках своих полномочий. Передача в этом случае осуществляется на основании пункта 3 части 1 статьи 6 152-ФЗ [1] (исполнение обязанностей, предусмотренных законодательством) и не требует согласия субъекта.

Тем не менее рекомендуется фиксировать факт передачи (дата, запрашивающий орган, реквизиты запроса, описание переданных материалов) — это защищает оператора в случае последующих претензий.

7.2. Поручение обработки (аутсорсинг)

Если обслуживание системы видеонаблюдения или хранение записей передаётся сторонней организации (сервисная компания, облачный провайдер), это квалифицируется как поручение обработки ПДн по статье 6 152-ФЗ [1]. Обязательно:

  • Заключить договор поручения обработки ПДн с исполнителем.
  • В договоре указать перечень действий, которые вправе совершать исполнитель, и запрет на иные действия с ПДн.
  • Убедиться, что исполнитель обеспечивает конфиденциальность и безопасность ПДн.

При этом оператор (заказчик) несёт полную ответственность перед субъектами ПДн даже за действия исполнителя: нельзя «переложить» ответственность на подрядчика договором.

7.3. Трансграничная передача

Передача видеозаписей на зарубежные серверы (в том числе облачным провайдерам с инфраструктурой за рубежом) — трансграничная передача ПДн. Статья 12 152-ФЗ [1] требует:

  • Предварительно уведомить Роскомнадзор о намерении осуществлять трансграничную передачу.
  • Убедиться, что принимающая страна обеспечивает адекватную защиту ПДн (страны из перечня Роскомнадзора) — либо принять дополнительные меры (договорные гарантии).
  • Обеспечить первичное хранение ПДн граждан РФ на территории России (требование локализации).

На практике использование зарубежного облака для хранения видеозаписей сотрудников или клиентов в России без выполнения этих условий — одно из наиболее распространённых нарушений в сфере видеонаблюдения.

8. Ответственность: новые штрафы с 2025 года

Федеральный закон № 420-ФЗ [2] кардинально переработал статью 13.11 КоАП РФ [10]. С 30 мая 2025 года санкции существенно выросли. Ключевые составы, актуальные для систем видеонаблюдения:

Отсутствие уведомления Роскомнадзора — штраф от 100 000 до 300 000 руб.

Обработка без согласия субъекта, если согласие обязательно — штраф от 300 000 до 700 000 руб.

Нарушение условий обработки биометрических ПДн — штраф от 500 000 до 1 000 000 руб.

Утечка ПДн (передача третьим лицам без оснований) — штраф до 3 000 000 руб.

Повторное нарушение при утечке крупного масштаба — оборотный штраф до 3% годовой выручки.

Неуведомление Роскомнадзора об инциденте — штраф от 1 000 000 до 3 000 000 руб.

Оборотные штрафы — принципиально новый инструмент для России. Для крупного ритейлера или банка с выручкой в миллиарды рублей штраф в 3% — это сотни миллионов. Такая мера сопоставима с европейским GDPR [15], который предусматривает штрафы до 4% мирового оборота.

Помимо административной, за отдельные нарушения (незаконный сбор и распространение ПДн) предусмотрена уголовная ответственность по статье 137 УК РФ.

Практика Роскомнадзора [13] показывает: регулятор активизировал проверки с 2023 года. Плановые проверки проводятся на основании риск-ориентированного подхода; внеплановые — по жалобам граждан, которые всё активнее обращаются в РКН.

9. Типичные ошибки и как их избежать

Анализ практики Роскомнадзора [13] и экспертных обзоров [16] позволяет выделить наиболее частые ошибки операторов, использующих системы видеонаблюдения.

Ошибка 1: отсутствие внутренних документов. Камеры установлены, но нет ни положения о видеонаблюдении, ни приказа об ответственных, ни определённых сроков хранения. Исправление: разработать и утвердить Политику видеонаблюдения, назначить ответственного приказом.

Ошибка 2: видеонаблюдение не включено в уведомление Роскомнадзора. Организации, подавшие уведомление, нередко забывают указать видеозапись как отдельную цель и категорию обрабатываемых данных. Исправление: актуализировать сведения в реестре.

Ошибка 3: бессрочное или чрезмерно длительное хранение. «Жёсткий диск не переполнен — значит, пусть хранится» — распространённый подход. Исправление: установить срок хранения, настроить автоматическое удаление по его истечении; зафиксировать это в документах.

Ошибка 4: отсутствие табличек или их неинформативность. Маленький значок камеры без каких-либо сведений об операторе — недостаточно. Исправление: разместить таблички у всех входов в зоны наблюдения с обязательными реквизитами оператора.

Ошибка 5: не оформлен договор с подрядчиком. Сервисный инженер, регулярно подключающийся к системе видеонаблюдения для её обслуживания, де-факто обрабатывает ПДн. Без договора поручения — нарушение. Исправление: заключить соглашение о конфиденциальности и договор поручения обработки ПДн.

Ошибка 6: незаконное видеонаблюдение в запретных зонах. Камеры в туалетах, душевых, комнатах отдыха. Это не просто нарушение 152-ФЗ, но потенциально уголовное преступление. Исправление: немедленное демонтирование.

Ошибка 7: применение распознавания лиц без оформления биометрии. Организации устанавливают системы Face Recognition для контроля доступа, не осознавая, что это переводит систему в режим обработки биометрических ПДн со всеми вытекающими требованиями. Исправление: пройти полную процедуру оформления биометрической обработки или отказаться от функции распознавания.

10. Практический чек-лист

Ниже приведён минимальный перечень организационных и технических мер для приведения системы видеонаблюдения в соответствие с требованиями законодательства РФ.

Организационные меры

  • ☐ Определить правовое основание для каждой зоны видеонаблюдения и зафиксировать в документах.
  • ☐ Разработать и утвердить Политику видеонаблюдения (или соответствующий раздел в Политике ПДн).
  • ☐ Назначить ответственного за систему видеонаблюдения приказом руководителя.
  • ☐ Ознакомить сотрудников с Политикой видеонаблюдения под подпись или включить её в ПВТР.
  • ☐ Подать/актуализировать уведомление в Роскомнадзор (pd.rkn.gov.ru) с указанием видеозаписи как отдельной цели обработки.
  • ☐ Установить конкретный срок хранения видеозаписей и зафиксировать его в документах.
  • ☐ Разместить таблички о видеонаблюдении у всех входов в зоны наблюдения.
  • ☐ Заключить договор поручения обработки ПДн с каждым подрядчиком, имеющим доступ к системе.
  • ☐ Ввести процедуру реагирования на инциденты (утечки, несанкционированный доступ) с уведомлением Роскомнадзора в течение 24 часов.

Технические меры

  • ☐ Определить уровень защищённости ИС (УЗ-1–УЗ-4) и реализовать соответствующий набор мер по Приказу ФСТЭК № 21 [7].
  • ☐ Ограничить физический доступ к серверам хранения видеозаписей.
  • ☐ Настроить разграничение прав доступа к архиву записей.
  • ☐ Ввести журналирование обращений к архиву.
  • ☐ Настроить автоматическое удаление записей по истечении установленного срока.
  • ☐ Обеспечить шифрование передачи видеопотоков (TLS для IP-камер).
  • ☐ Для биометрических систем: шифрование хранимых данных, дополнительные меры аутентификации администраторов.
  • ☐ Провести тест восстановления после инцидента (проверить, что записи можно восстановить из резервной копии).

11. Тренды и будущее

Ужесточение регулирования биометрии

Российское законодательство о биометрии активно развивается. Федеральный закон № 572-ФЗ «Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных» (2022 г.) заложил основы Единой биометрической системы (ЕБС) и ввёл ограничения на коммерческое использование биометрии. Ужесточение трактовки «биометрической обработки» и расширение перечня обязательных мер — ожидаемый тренд 2025–2026 годов.

Видеоаналитика и ИИ: новые правовые вызовы

Системы видеоаналитики (подсчёт посетителей, детектирование эмоций, анализ поведения) выходят за рамки простого хранения записей и создают новые правовые проблемы. Автоматизированная обработка, влекущая юридически значимые последствия для человека (например, отказ в пропуске на основе алгоритма), может быть ограничена статьёй 16 GDPR [15] и анонсированными поправками к российскому законодательству. Регулирование этой зоны пока отстаёт от технологий, но изменения неизбежны.

Рост числа жалоб и проверок

Отчёты Роскомнадзора [13] фиксируют стабильный рост числа обращений граждан по вопросам видеонаблюдения. После многократного увеличения штрафов в 2025 году можно ожидать роста числа плановых и внеплановых проверок в секторах, активно использующих видеонаблюдение: ритейл, банки, образование, здравоохранение.

Требования к отечественным СКУД и видеосистемам

В контексте политики импортозамещения прослеживается тенденция к нормативному стимулированию использования сертифицированных отечественных систем видеонаблюдения и хранения данных. Это актуально для объектов КИИ (критической информационной инфраструктуры), где использование иностранного ПО уже ограничено.

12. Как «Пятый фактор» помогает контролировать ПДн в системах видеонаблюдения

Видеонаблюдение — лишь один из многих источников персональных данных в корпоративном ИТ-ландшафте. На практике организации сталкиваются с более широкой проблемой: ПДн хранятся в десятках систем — CRM, 1С, почтовых серверах, базах данных, облаках. Система видеонаблюдения встраивается в эту инфраструктуру, нередко добавляя новые метаданные (дата, время, ID камеры, ID помещения) к записям о конкретных людях в других системах.

Сложность управления данными нарастает: добавляются новые камеры, интегрируются СКУД с CRM-системами, система распознавания лиц начинает записывать данные о посещениях в 1С. Каждое такое изменение — потенциальный новый риск, о котором организация может не узнать вовремя.

Именно для таких сценариев создана on-prem платформа «Пятый фактор». Она автоматически обнаруживает, инвентаризирует и контролирует персональные данные в корпоративных системах — базах данных, хранилищах, почтовых серверах, AD/LDAP, CRM, 1С, API. Ключевое преимущество, принципиально важное именно для систем с видеозаписями: платформа работает исключительно с метаданными, структурой и агрегатами, не хранит и не передаёт «сырые» значения ПДн. Это означает, что сама система не становится новым источником риска утечки.

Для DPO и специалистов по ИБ это выражается в конкретных преимуществах:

  • Живая «карта ПДн» показывает, в каких системах хранятся данные о субъектах, включая записи из систем видеонаблюдения, связанные с идентификаторами в других системах.
  • Раннее обнаружение рисков: если видеоаналитика начала записывать новые поля в БД (например, ID лица), платформа это обнаружит до того, как это превратится в инцидент.
  • Сокращение времени аудита: вместо ручного обследования каждой системы — автоматическая инвентаризация с понятными нарушениями, владельцами и статусами.
  • Готовность к проверкам Роскомнадзора: актуальный реестр систем с ПДн и доказательство принятых мер — ключевое требование при плановых и внеплановых инспекциях.

В условиях новых повышенных штрафов и обязательного уведомления (2025 г.) держать ИТ-ландшафт с ПДн «на ручном управлении» становится неприемлемым риском. Автоматизированный контроль — не опция, а базовое требование к зрелой системе комплаенса.

Заключение

Видеонаблюдение давно перестало быть исключительно технической задачей — это прежде всего правовой вопрос. Российское законодательство в сфере персональных данных прошло серьёзную эволюцию, и волна изменений 2024–2025 годов расставила всё по местам: мягкого регулирования больше нет.

Главные выводы:

Видеозапись — это персональные данные в большинстве корпоративных контекстов. Система распознавания лиц переводит её в категорию биометрии с максимальными требованиями к защите.

Уведомление Роскомнадзора с 30 мая 2025 года обязательно для подавляющего большинства операторов. Начинать видеонаблюдение без уведомления — нарушение с штрафом до 300 000 рублей.

Информирование субъектов — таблички, политика, ПВТР — обязательная часть комплаенса, не формальность.

Хранение видеозаписей должно быть ограничено во времени и закреплено в документах. «Храним, пока есть место» — грубое нарушение принципа минимизации.

Аутсорсинг системы видеонаблюдения требует договора поручения обработки ПДн с каждым подрядчиком.

Штрафы кратно выросли, а оборотные санкции делают нарушения экономически опасными для бизнеса любого масштаба.

Что делать дальше: провести аудит существующих систем видеонаблюдения, верифицировать правовые основания для каждой зоны, актуализировать уведомление в Роскомнадзоре, разработать или обновить внутреннюю документацию, внедрить технические меры по уровням защищённости и настроить автоматическое удаление записей по истечении установленного срока.

Источники

[1] Федеральный закон № 152-ФЗ «О персональных данных» — https://www.consultant.ru/document/cons_doc_LAW_61801/

[2] Федеральный закон № 420-ФЗ от 30.11.2024 (новые составы КоАП) — https://www.consultant.ru/document/cons_doc_LAW_490055/

[3] Федеральный закон № 421-ФЗ от 30.11.2024 (обязательное уведомление) — https://www.consultant.ru/document/cons_doc_LAW_490060/

[4] Разъяснения Роскомнадзора по вопросам персональных данных — https://rkn.gov.ru/personal-data/p1080/

[5] Рекомендации Роскомнадзора по биометрическим ПДн — https://rkn.gov.ru/docs/Biometria_recomend.pdf

[6] Постановление Правительства РФ № 1119 от 01.11.2012 (уровни защищённости ПДн) — https://www.consultant.ru/document/cons_doc_LAW_137356/

[7] Приказ ФСТЭК России № 21 от 18.02.2013 (состав мер защиты ПДн) — https://fstec.ru/normotvorcheskaya/akty/53-prikazy/691

[8] Трудовой кодекс РФ, ст. 86–89 — https://www.consultant.ru/document/cons_doc_LAW_34683/

[9] ГОСТ Р 51558-2014 «Средства и системы охранные телевизионные» — https://docs.cntd.ru/document/1200113484

[10] КоАП РФ, ст. 13.11 (ред. с 30.05.2025) — https://www.consultant.ru/document/cons_doc_LAW_34661/

[11] Реестр операторов ПДн и портал уведомлений Роскомнадзора — https://pd.rkn.gov.ru

[12] InfoWatch: Аналитика утечек информации — https://www.infowatch.ru/analytics/leaks

[13] Роскомнадзор: практика привлечения к ответственности за нарушения 152-ФЗ — https://rkn.gov.ru/personal-data/p851/

[14] Федеральный закон № 16-ФЗ «О транспортной безопасности» — https://www.consultant.ru/document/cons_doc_LAW_65583/

[15] GDPR, Regulation (EU) 2016/679 — https://gdpr.eu/article-4-definitions/

[16] Habr: практические разборы законодательства о ПДн — https://habr.com/ru/hubs/infosecurity/

[17] Федеральный закон № 572-ФЗ «Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных» — https://www.consultant.ru/document/cons_doc_LAW_430182/

[18] «Пятый фактор» — платформа автоматизированного контроля персональных данных — https://5factor.ru

Быстрые вопросы и ответы

Когда видеозапись считается персональными данными?

Если она позволяет идентифицировать человека.

Что такое биометрические персональные данные?

Это данные, позволяющие установить личность на основе физиологических характеристик.

Нужно ли уведомлять Роскомнадзор о видеонаблюдении?

Да, для большинства операторов это обязательно.

Каковы правовые основания для видеонаблюдения?

Законный интерес, согласие субъекта, трудовые отношения.

Могу ли я устанавливать камеры в общественных местах?

Да, но это не освобождает от требований закона.

Нужна консультация по вашему контуру?
Покажем, где появляются персональные данные и какие риски требуют внимания в первую очередь.
Получить консультацию Все материалы
Файлы cookie

Мы используем обязательные технические cookie, чтобы сайт работал корректно. Аналитика включается только при вашем согласии и может быть отключена позже в любой момент. Подробнее — в политике cookie и настройках cookie.