Перейти к содержанию
Автор: LUMD

Persona: проверка личности в ЕС и новые риски

Компания Persona Identities, Inc. может продолжать работать в Европе, но новые требования GDPR к биометрическим данным и штрафы конкурентов создают риски для интеграций и хранения данных.

Компания Persona Identities, Inc., основанная в 2018 году бывшими инженерами Dropbox и Square, продолжает предлагать услуги KYC/AML и проверки возраста в Европе. Однако после раскрытия её кода и штрафа конкурента Yoti в Испании внимание регуляторов к биометрическим данным усиливается.

Как работает сервис Persona?

Persona предоставляет API, позволяющее собрать биометрические данные (скан лица, шаблоны) и выполнить проверку личности. По заявлению компании, данные хранятся до трёх лет, а проверка может включать фоновые справки. Интеграция обычно занимает несколько дней, а стоимость зависит от объёма запросов.

Что говорит GDPR о биометрии?

Согласно статье 9 GDPR, биометрические данные относятся к «особой категории» и требуют явного, свободного и конкретного согласия пользователя. Кроме того, необходимо иметь надёжную правовую основу – например, согласие на идентификацию, а не только на проверку возраста.

Какие прецеденты уже есть?

  • В марте 2026 года испанский орган защиты данных AEPD оштрафовал конкурента Persona — компанию Yoti — на 950 000 €, указав нарушения в получении согласия и в длительном хранении биометрии.
  • В феврале 2026 года исследователи раскрыли, что Persona сохраняет биометрические данные до трёх лет и проводит сотни фоновых проверок на одного пользователя, что, по мнению экспертов, противоречит требованиям GDPR.

Как реагируют крупные платформы?

Discord, тестировавший Persona на пользователях из Великобритании, прекратил сотрудничество после публикации расследования. Другие сервисы в ЕС пока не объявляли об отмене использования, но внимательно следят за развитием ситуации.

Какие риски для разработчиков?

  • Интеграция может потребовать доработки процесса согласия, чтобы он был «специфическим» и «информированным».
  • Хранение биометрии более 12 мес. может стать основанием для штрафов, если не будет документировано отдельное согласие.
  • Возможные запросы со стороны правоохранительных органов могут конфликтовать с требованиями GDPR о ограничении доступа к специальным данным.

Что это значит для бизнеса?

Если ваш продукт использует Persona для проверки возраста, потребуется добавить отдельный пункт согласия на хранение биометрии более года, иначе риск штрафа может превысить стоимость интеграции. Для компаний, работающих с чувствительными данными, более безопасным будет выбрать провайдера, который хранит биометрию не более 30 дней.