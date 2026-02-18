Мы расскажем, какие данные считаются персональными (ПДн), как с ними работать легально и что нужно сделать прямо сейчас, чтобы спокойно вести бизнес.
Что такое персональные данные
Особенности работы с ПДн регламентируются законом ФЗ «О персональных данных» от 27.07.2006 №152-ФЗ, там же раскрыты и основные понятия. К персональным относятся данные, по которым можно прямо или косвенно идентифицировать конкретного человека — субъекта ПДн. Например, только по одной фамилии распознать его нельзя, а вот по ФИО и месту работы — можно.
Что еще важно знать:
Под обработкой персональных данных подразумеваются такие действия с ПДн, как сбор, запись, систематизация, хранение, удаление, уничтожение и иные операции, указанные в п.3 ст.3 ФЗ № 152-ФЗ.
Оператор персональных данных — это юрлицо, госучреждение, муниципальный орган или физлицо, которое самостоятельно или совместно с другими лицами определяет цели и способы обработки. По сути, это любой бизнес, у которого есть сотрудники и/или клиенты.
Перечень персональных данных
Можно выделить несколько категорий ПДн с разным правовым режимом обработки.
Общие
Общие персональные данные — это базовые сведения, которые в совокупности позволяют установить личность. Точного списка нет, все зависит от контекста. Например, номер телефона сам по себе может и не быть ПДн, но в связке с ФИО — да.
Классические примеры персональных данных этой категории:
ФИО;
дата и место рождения;
адрес регистрации или проживания;
паспортные данные;
контакты (телефон, email).
Специальные
Это особая, чувствительная категория. Ее обработка по общему правилу запрещена (ст. 10 закона №152-ФЗ). Такие ПДн можно обрабатывать только в строго ограниченных случаях, например, при получении письменного согласия субъекта или если обработка прямо предусмотрена федеральным законом.
К специальным относятся персональные данные, касающиеся:
расовой или национальной принадлежности;
политических взглядов;
религиозных или философских убеждений;
состояния здоровья;
интимной жизни.
Биометрические
Такие данные характеризуют физиологические и биологические особенности человека и используются оператором для идентификации (ст. 11 ФЗ №152-ФЗ):
отпечатки пальцев (дактилоскопия);
изображение лица (фотография, видеозапись);
образец голоса;
данные ДНК;
результаты биометрического сканирования (радужная оболочка глаза и т.п.).
Для обработки биометрии тоже нужно письменное согласие субъекта, за редкими исключениями. Например, согласие не требуется, если биометрия обрабатывается в связи с осуществлением правосудия или в рамках исполнения судебных решений, а также в ряде других случаев, предусмотренных ч.2 ст.11 ФЗ №152-ФЗ.
Иные категории ПДн
Персональные данные, не вошедшие в указанные выше группы, условно относятся к иным категориям:
IP-адрес устройства;
cookie-файлы, если они позволяют идентифицировать лицо;
данные о заработной плате и финансовых операциях;
история покупок, предпочтения (при условии идентифицируемости субъекта).
Подготовка документов для работы с персональными данными 2026 для организаций
Способы обработки персональных данных
Оператор персональных данных может обрабатывать информацию тремя основными способами:
Автоматизированный. Обработка с использованием средств вычислительной техники, когда операции с ПДн проводятся полностью без человеческого участия по заданному алгоритму: например, в CRM-системе или другом ПО.
Неавтоматизированный (ручной). Обработка, при которой действия с ПДн (просмотр, копирование, сортировка в папках) совершает человек без использования компьютера. При этом оператор в любом случае обязан соблюдать ФЗ №152-ФЗ.
Смешанный. Здесь часть операций выполняется автоматически, а часть — вручную: например, автоматический импорт заявок с сайта в систему с последующей ручной проверкой менеджером.
Как оператору правильно обрабатывать персональные данные
Для законной обработки ПДн важно соблюдать несколько правил:
1. Наличие основания. Чаще всего таким основанием является согласие на обработку персональных данных субъекта. Оно должно быть конкретным, информированным и сознательным. Однако согласие не всегда требуется. Статья 6 ФЗ №152-ФЗ допускает обработку без него, например, для исполнения договора с субъектом (доставка товара), выполнения обязанностей оператора по закону (как работодателя) или для защиты жизни и здоровья субъекта, когда он сам дать согласие не может.
2. Уведомление Роскомнадзора. Если вы обрабатываете ПДн, вы обязаны подать в Роскомнадзор уведомление об обработке персональных данных для включения в реестр операторов. Это необязательно только в исключительных случаях: например, если ПДн обрабатываются в рамках законодательства о транспортной безопасности, исключительно на бумаге без использования средств автоматизации или обработка ведется в ГИС, созданной для обеспечения госбезопасности (ст.22 ФЗ №152-ФЗ).
3. Соблюдение специальных правил для работодателей. Если вы обрабатываете персональные данные сотрудников, помимо ФЗ №152-ФЗ, вы обязаны руководствоваться главой 14 ТК. Важно:
получать ПДн у самого работника (ст. 86 ТК);
ознакомить работников под подпись с положением об обработке и защите ПДн, а также с другими локальными документами по ПДн;
обрабатывать данные только для конкретных целей: обеспечение соблюдения законодательства, содействие в трудоустройстве, обеспечение личной безопасности, контроль работы и т.д.;
не собирать ПДн о членстве в профсоюзах, политических или религиозных убеждениях без согласия работника (за редкими исключениями).
4. Согласие для несовершеннолетних. Для обработки ПДн ребенка младше 14 лет необходимо согласие на обработку персональных данных несовершеннолетнего от его законного представителя (родителя). С 14 лет в ряде случаев подросток дает согласие самостоятельно: например, если оно нужно для совершения мелких бытовых сделок, регистрации в соцсетях, назначения стипендии и т.д.
5. Соблюдение принципов обработки. Вы можете использовать персональные данные строго для тех целей, для которых они были собраны. Хранение персональных данных не должно превышать сроков, установленных целями обработки. По истечении этих сроков данные должны быть уничтожены, если нет оснований для хранения.
6. Обеспечение безопасности. Вы обязаны обеспечить защиту информационной системы обработки персональных данных от несанкционированного доступа. Нужно внедрить технические средства защиты информации и организационные меры: приказы, инструкции, разграничение прав доступа сотрудников.
Подготовка документов для работы с персональными данными 2026 для организаций
Ответственность за нарушения при обработке персональных данных
Оператора могут привлечь к ответственности по ст.13.11 КоАП, которой предусмотрено 18 составов правонарушений. Мы рассмотрим самые распространенные из них, по которым компании и ИП привлекаются чаще всего:
Правонарушение
Размер штрафа (рублей)
Обработка ПДн без согласия субъекта персональных данных, когда оно обязательно по закону
Для ИП — 100 000-300 000
Для организаций — 300 000-700 000
Повторная обработка персональных данных без согласия, если оно требуется
Для ИП — от 500 000 до 1 000 000
Для юрлиц — от 1 000 000 до 1 500 000
Утечка персональных данных
Для ИП и организаций:
До 20 000 000 в зависимости от объема и категорий утекших ПДн
Повторная утечка
Для ИП и юрлиц:
От 1 до 3% годового оборота, но не менее 20 000 000-25 000 000 и не более 500 000 000
Неуведомление Роскомнадзора об утечке
Для организаций и ИП:
От 1 000 000 до 3 000 000
Неподача уведомления о начале обработки ПДн
Для ИП и юрлиц:
От 100 000 до 300 000
Использование иностранного ПО при сборе персональных данных граждан РФ или иное нарушение требований к локализации (ч.5 ст.18 ФЗ №152-ФЗ)
Для юрлиц и ИП:
От 1 000 000 до 6 000 000
Реклама: АО «КОНСАЛТИНГ ОНЛАЙН», ИНН: 2310203967, erid: 2W5zFHPgik9
Начать дискуссию