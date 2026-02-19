Какие данные считаются персональными
Персональные данные (ПДн) — это любая информация, относящаяся прямо или косвенно к определенному физическому лицу (субъекту ПДн). Закон выделяет несколько категорий ПДн, и от этого зависят строгость правил и меры защиты:
Общие ПДн: ФИО, дата и место рождения, паспортные данные, адрес, телефон, e-mail, сведения об образовании, профессии, доходах.
Специальные ПДн (ст.10 ФЗ №152-ФЗ): информация о расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни. Обработка таких персональных данных запрещена, за редкими исключениями: например, с письменного согласия субъекта или для медицинских целей.
Биометрические ПДн (ст.11 ФЗ №152-ФЗ): физиологические или биологические особенности человека, позволяющие установить его личность (отпечатки пальцев, рисунок сетчатки, ДНК, фотографии и видеозаписи, если они используются для идентификации).
Иные ПДн: данные, не вошедшие в вышеуказанные группы, но все равно позволяющие идентифицировать лицо (например, IP-адрес, cookie-файлы в связке с другой информацией).
Когда нужно согласие на обработку персональных данных
Согласие — это самое распространенное, но не единственное законное основание. Есть случаи обработки персональных данных, когда согласие не обязательно (ст.6 ФЗ №152-ФЗ). Например:
Для исполнения договора, стороной которого выступает субъект. Так, если вы продаете человеку товар или услугу по договору, согласие не нужно.
Для выполнения оператором обязанностей, возложенных законом: например, обработка персональных данных работников для ведения кадрового делопроизводства, расчетов по зарплате и уплаты налогов.
Для защиты жизни, здоровья или иных жизненно важных интересов субъекта, если получение согласия невозможно.
В установленных законом случаях обработки ПДн в государственных или общественных интересах: например, в целях обороны, безопасности, борьбы с преступностью.
Даже при наличии оснований для обработки без согласия вы должны соблюдать все принципы и правила, предусмотренные ФЗ №152-ФЗ, в частности — обеспечивать защиту данных. При передаче обработки в стороннюю организацию перед субъектом в любом случае отвечаете вы.
Как оформить согласие на обработку персональных данных
Если основанием является согласие, оно должно быть конкретным, информированным и сознательным. Согласие в письменной форме (включая электронный документ с ЭП) должно содержать ряд обязательных реквизитов, таких как ФИО и адрес субъекта, данные оператора, цель обработки, перечень данных и действий с ними, срок действия и способ отзыва (ст. 9 ФЗ №152-ФЗ).
Мы не рекомендуем скачивать образец согласия на обработку персональных данных из интернета. Каждый документ должен быть адаптирован под ваши процессы, цели и другие особенности обработки. В противном случае вас могут оштрафовать, но о штрафах мы расскажем ниже.
Какие нужны документы по персональным данным
Каждый оператор обязан разработать и утвердить пакет внутренних документов, регламентирующих работу с ПДн. Это основа вашей compliance-политики. Перечень обязательных документов по персональным данным формируется с учетом специфики деятельности, но обычно включает:
Политику обработки персональных данных — основной публичный документ, к которому должен быть предоставлен открытый доступ. Он раскрывает общие принципы, цели и условия обработки.
Положение об обработке персональных данных — внутренний регламент для сотрудников. Детально описывает процессы, зоны ответственности, порядок доступа, хранения и уничтожения данных.
Приказы: о назначении ответственного за организацию обработки персональных данных, об утверждении перечня должностей, допущенных к работе с ПДн и т.д.
Инструкции для сотрудников, работающих с ПДн.
Формы согласий: на обработку, передачу, распространение.
Копию уведомления об обработке персональных данных (если вы обязаны его направлять в Роскомнадзор).
Перечень информационных систем ПДн.
Журналы учета.
Подготовка документов для работы с персональными данными 2026 для организаций
Кто должен регистрироваться в реестре операторов персональных данных
Подать уведомление об обработке персональных данных в Роскомнадзор для внесения в реестр операторов обязаны практически все компании и ИП. Исключения перечислены в ст. 22 ФЗ №152-ФЗ:
обработка осуществляется без использования средств автоматизации, то есть только на бумаге;
обрабатываются данные в ГИС, созданной для обеспечения госбезопасности;
обработка нужна для обеспечения транспортной безопасности.
Как подать уведомление об обработке персональных данных
Уведомление об обработке персональных данных подается до начала фактической работы с ПДн через официальный сайт Роскомнадзора.
Основные шаги:
Подготовьте информацию о компании, целях обработки, категориях данных, мерах защиты и возможной передаче данных. Для этого уже должны быть готовы документы по ПДн.
Заполните электронную форму уведомления на сайте Роскомнадзора. Она состоит из нескольких блоков: сведения об операторе, о категориях ПДн, категориях субъектов, внедренных мерах безопасности и т.д.
Отправьте уведомление, подписав его через Госуслуги или с помощью КЭП, но в последнем случае понадобится настроенный плагин КриптоПро. Роскомнадзор рассмотрит документ в течение 30 дней и включит вас в реестр операторов.
Проверить регистрацию в Роскомнадзоре можно на сайте ведомства. Для этого достаточно зайти в раздел «Реестр операторов», ввести название или ИНН оператора.
Как хранить персональные данные
При хранении оператор должен обеспечить безопасность ПДн и ограничить доступ третьим лицам.
Особенности хранения зависят от типа ПДн:
Электронные данные. Должны храниться в защищенных системах обработки персональных данных с разграничением прав доступа, использованием антивирусного ПО, средств шифрования, регулярным резервным копированием и учетом действий пользователей. Доступ — только у уполномоченных сотрудников под уникальными учетными записями.
Бумажные носители. Хранятся в запираемых шкафах или сейфах в охраняемых помещениях. Ведется журнал учета движения документов.
Срок хранения определяется целью обработки. Если срок не установлен законом или договором, данные уничтожаются при достижении цели. Но есть исключение: например, кадровые документы сотрудников по общему правилу хранятся 50 лет, а после ликвидации организации передаются в госархив.
Особенности уничтожения персональных данных
Обработка персональных данных включает и их уничтожение — действия, после которых их нельзя восстановить. Основанием для уничтожения может быть отзыв согласия субъектом, достижение цели обработки, истечение срока хранения, выявление неправомерной обработки.
Порядок действий:
1. Составьте акт. Он должен содержать дату, состав комиссии, способ уничтожения и перечень уничтожаемых данных/носителей.
2. Выберите способ. Он должен гарантировать, что восстановление невозможно:
бумажные носители: шредирование (перекрестное измельчение), сжигание;
электронные носители (диски, флешки): физическое разрушение;
данные в информационных системах: гарантированное стирание с помощью специального ПО, не оставляющего следов. К акту прикладывается выписка из журнала событий системы.
3. Учтите нюансы. Если данные были зашифрованы, необходимо также уничтожить ключи шифрования. Если передаете носители для уничтожения сторонней организацией, заключите договор, обязывающий ее обеспечить конфиденциальность и предоставить акт об уничтожении.
Подготовка документов для работы с персональными данными 2026 для организаций
Ответственность оператора при обработке персональных данных
В случае нарушений при обработке персональных данных оператора могут привлечь к административной ответственности. Чаще всего штрафуют по ст.13.11 КоАП. Например, за неподачу уведомления о начале обработки компании или ИП грозит штраф — от 100 000 до 300 000 рублей.
Если обрабатываются персональные данные на сайте, где не размещена Политика конфиденциальности, для ИП штраф составит от 10 000 до 20 000 рублей, для компании — от 30 000 до 60 000 рублей. За работу с ПДн без согласия, когда оно обязательно, для предпринимателей штраф варьируется от 100 000 до 300 000 рублей, для юрлица — от 300 000 до 700 000 рублей.
Самые серьезные штрафы предусмотрены за утечку ПДн. Здесь суммы могут достигать 20 млн рублей, но многое зависит от масштаба инцидента и категорий утекших ПДн. При повторном нарушении применяются оборотные штрафы — 1–3% годового оборота ИП или компании, но не менее 25 млн и не более 500 млн рублей.
Также для операторов предусмотрена гражданская и уголовная ответственность. В первом случае суд может обязать оператора компенсировать убытки и моральный ущерб на основании ст.24 ФЗ №152-ФЗ. Во втором применяются нормы ст.137 УК, если нарушена неприкосновенность частной жизни человека.
