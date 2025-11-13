Что относится к персональным данным
Под защиту закона попадает любая информация, которая позволяет прямо или косвенно определить личность конкретного человека (п. 1 ст. 3 закона от 27.07.2006 № 152-ФЗ, далее — закон № 152-ФЗ).
Конечного списка персональных данных (ПД) нет. Это могут быть:
Ф.И.О.;
паспортные данные;
дата рождения;
национальность;
должность и место работы;
мобильный телефон;
адрес страницы в соцсетях;
E-mail;
фото и т.д.
Условно все персональные данные делят на три группы: общие, специальные и биометрические. Для каждой из них есть свои требования к защите.
Категория ПД
Какие данные входят
Где посмотреть требования к обработке
Общие
В законе нет отдельного определения. Это стандартная личная информация, которая не относится к специальным или биометрическим ПД.
Примеры:
Специальные
Расовая, национальная принадлежность, политические взгляды, религиозные или философские убеждения, состояние здоровья, интимной жизни субъекта ПД.
Примеры:
По общему правилу нельзя обрабатывать, если нет письменного согласия субъекта ПД или оснований по закону (ст. 10 закона № 152-ФЗ)
Биометрические
Сведения о физиологических и биологических особенностях человека, если:
Примеры:
Можно обрабатывать только с письменного согласия субъекта ПД или по основаниям в ч. 2 ст. 11 закона № 152-ФЗ
Закон от 29.12.2022 № 572-ФЗ, если автоматизированная обработка биометрии (без участия должностного лица)
Возможный ущерб человеку от утечки специальных и биометрических ПД выше, поэтому и требования к их обработке строже. По возможности ограничивайте сбор таких сведений. Правда, это не всегда возможно, ведь те же фото или видеозапись могут относиться как к общим, так и к биометрическим ПД.
Рекомендуем всегда исходить из наибольшего риска. Например, если сомневаетесь, относить ли фото к общим или биометрическим ПД, рассматривайте как биометрию и получайте письменное согласие на обработку. Ваши представления о категории и мнение Роскомнадзора могут не совпасть, тогда есть риск штрафа.
Считается ли аутсорсер оператором персональных данных
Оператор персональных — этот тот, кто собирает и обрабатывает ПД. Это не только компании или органы власти. Если ИП, самозанятый, физлицо без статуса используют личные данные других граждан не для личных целей — они операторы ПД и должны выполнять требования закона.
Оператор самостоятельно составляет перечень ПД, которые он собирает от людей, и с которыми работает. И он же делит их по категориям, чтобы определить требования к защите.
Аутсорсеры — это тоже операторы ПД, если собирают и обрабатывают данные своих работников, исполнителей по договорам ГПХ, клиентов-физлиц, представителей контрагентов и т.д. А значит, на них распространяются все обязанности операторов ПД: уведомлять РКН об обработке, иметь политику обработки ПД, сообщать об утечках, защищать ПД и т.д.
Кроме того, аутсорсеры могут обрабатывать персональные данные по поручению своих клиентов. Например, бухгалтер по договору ГПХ оформляет документы для вычетов работнику заказчика или рекрутер занимается подбором персонала на вакансии. Роскомнадзор рассматривает аутсорсеров как операторов ПД — имейте это ввиду.
До начала обработки персональных данных оператор должен направить уведомление в Роскомнадзор, форма и порядок — на официальном сайте РКН. На основании уведомления Роскомнадзор включит оператора в реестр. В уведомлении обязательно отразите сведения об обработке персональных данных по поручению заказчиков, если оно есть:
добавьте законную цель обработки — например, выполнение условий договора на оказание таких-то услуг;
для каждой цели укажите в соответствующих полях категории и перечень обрабатываемых ПД, субъектов ПД, правовое основание (например, согласие), перечень действий и способы обработки.
Обязанности по защите персональных данных и ответственность аутсорсера устанавливают договором с оператором (ч. 3 ст. 6 закона № 152-ФЗ). Подробнее об этом — в следующем разделе.
Что нужно соблюдать по договору поручения оператора ПД
Если аутсорсер обрабатывает ПД по поручению клиента, ему не надо получать на это согласие самого субъекта ПД. Это обязанность оператора, то есть заказчика.
Но это не значит, что аутсорсер не должен соблюдать закон о персональных данных. Его обязанности прописывают в договоре с оператором ПД (поручении оператора) согласно ч. 3 ст. 6 закона № 152-ФЗ:
соблюдать конфиденциальность ПД, требование о локализации баз данных в РФ (ч. 5 ст. 18), меры по защите ПД (ст. 18.1 закона № 152-ФЗ);
по запросу оператора сообщать, как он выполняет требования закона № 152-ФЗ и защищает личную информацию граждан;
обеспечивать безопасность ПД при их обработке;
соблюдать требования к защите обрабатываемых ПД в соответствии со ст. 19 закона № 152-ФЗ, в том числе уведомлять оператора об утечках и инцидентах с ПД в течение 24 и 72 часов (ч. 3.1 ст. 21 закона № 152-ФЗ).
Обязанности можно включить в основной договор, по которому аутсорсер оказывает услуги, или оформить отдельным документом. В законе нет специальных требований по этой части. Главное, что поручение оператора должно быть. Это общие правила как для ИП, так и для компаний. Отдельные нюансы устанавливают в договоре с клиентом. Если заказчик просит аутсорсера подписать такое поручение — это не его «хотелки», он действует по закону.
Если заказчик передаст исполнителю на обработку личную информацию граждан без договора поручения, то это будет утечка персональных данных.
Пример
Компания нанимает ИП-рекрутера при массовом наборе персонала, передает ему резюме кандидатов, но поручение оператора не подписывает. Если таких резюме наберется 1 000, то возникает административное правонарушение по ч. 12 ст. 13.11 КоАП со штрафом для компании от 3 до 5 млн рублей. Накажут заказчика, а не аутсорсера, но аутсорсер рискует своей репутацией и может потерять клиентов.
И наоборот, если аутсорсер знает требования закона о персональных данных и настаивает на их соблюдении — это его конкурентное преимущество и показатель надежности.
При обработке ПД по поручению оператора делайте только то, что прописано в договоре. Если в нем нет первичного сбора ПД, то работайте с теми сведениями, которые прислал клиент. Например, не надо звонить или писать в обход заказчика его сотрудникам: «Пришлите напрямую мне на электронку свой СНИЛС — так быстрее будет». Это нарушение.
Где собирать и хранить персональные данные
Операторы и аутсорсеры должны собирать и хранить личную информацию граждан только с использованием баз данных, находящихся в России (ч. 5 ст. 18 закона № 152-ФЗ). Это требование часто нарушают, поскольку не вникают в его содержание.
Когда используете какую-то программу для первичного сбора ПД, всегда задавайте себе два вопроса:
На чей сервер попадают данные?
В какой стране он расположен?
В первую очередь, это относится к облачным решениям, которые используют удаленные серверы. Например, дата-центры Telegram, если верить информации из открытых источников, находятся в четырех странах, и России в этом списке нет. А мессенджер WhatsApp1 вообще передает данные в Компанию Meta1* (запрещена в РФ), о чем сообщает в своей Политике конфиденциальности.
При переходе по ссылкам читаем, какую информацию могут получать Meta1* (запрещена в РФ):
Например, незаконно:
собирать резюме, анкеты соискателя через WhatsApp1,Telegram;
запрашивать через Telegram договоры от ИП, самозанятого;
хранить персональные данные на Google-диске.
По аналогии это касается любых других зарубежных облачных решений, в том числе Google Forms. Выполнять требование о локализации должны все, кто работает с персональными данными, независимо от размера компании, статуса и вида деятельности.
Штрафы за нарушение требования о локализации (ч. 8 ст. 13.11 КоАП):
для граждан — от 30 000 ₽ до 50 000 ₽;
должностных лиц — от 100 000 ₽ до 200 000 ₽;
юридических лиц и ИП — от 1 000 000 ₽ до 6 000 000 ₽.
Повторное нарушение будет стоить уже до 18 000 000 ₽.
С чего начать обработку персональных данных
Вот примерный алгоритм.
1. Составьте список процессов обработки персональных данных и перечень ПД
Процессы обработки — это все ситуации в деятельности компании, где используются персональные данные. Если вы составите их список (реестр), вам проще будет выполнить требования закона о ПД. Вы будете знать, где вы собираете ПД, для чего и в каком объеме. Лучше подходить к этому вопросу не формально, а опираясь на те процессы, которые реально существуют в компании. Например:
Как сотрудники проходят в офис? Кому передаете их данные для оформления пропуска?
Запрашиваете ли какие-то ПД для выделения парковочных мест или заказа корпоративного такси?
Как офис обеспечивают канцтоварами, водой, бумагой? Вы передаете данные офис-менеджера компаниям доставки или поставщикам?
Как получаете почту от контрагентов? Передаете курьеру данные секретаря?
Заказываете ли визитки работников в типографии?
Как принимаете на работу «дистанционщиков»? Как получаете от них документы?
У вас есть исполнители по договорам ГПХ, которые имеют допуск к CRM-системе или корпоративному справочнику?
Какие данные вам передают клиенты для обработки? Вы потом уточняете что-то у субъектов ПД из списков, переданных заказчиком, напрямую?
В результате у вас будет список процессов обработки ПД, перечень персональных данных и субъектов ПД по каждому процессу.
Опишите цели, для которых вы обрабатываете персональные данные, и подберите правовое основание обработки в соответствии с ч. 1 ст. 6, ч. 2 ст. 10, ч. 2 ст. 11 закона № 152-ФЗ.
Пример. Компания установила в офисе систему видеонаблюдения. С ее помощью она, в числе прочего, контролирует, чем занят тот или иной сотрудник в рабочее время. Видеозапись не считается биометрией, если она используется для общих целей наблюдения и фиксации событий, без автоматического анализа уникальных характеристик человека. Но если оператор захочет использовать эту видеозапись как доказательство проступка конкретного человека, например, в суде, то это уже биометрия.
Законная цель обработки — обеспечение личной безопасности работников, контроля количества и качества выполняемой работы и сохранности имущества. Она соответствует ст. 86 ТК. Основание обработки — письменное согласие работника, потому что есть биометрия.
2. Проверьте полученные списки на соблюдение принципов обработки ПД (ст. 5 закона № 152-ФЗ)
Можно использовать только ту личную информацию, которая нужна для достижения целей. Например, для предоставления налогового вычета не нужна скан-копия свидетельства о рождении ребенка сотрудника — достаточно данных из документа. Но часто в бухгалтериях их хранят, забывая, что там есть специальные ПД (национальность), и на хранение копии документа нужно отдельное согласие.
Исключите все избыточные персональные данные — прекратите их обработку, заблокируйте или уничтожьте, если они не нужны вам для законных целей. Или хотя бы сделайте так, чтобы их никто не видел, кроме вас.
3. Определите места хранения ПД и ограничьте доступ к ним
Составьте список помещений и баз данных, где вы храните персональные данные. Определите, кто из сотрудников имеет к ним доступ, — полезно оформить это в виде Карты допуска:
Ф.И.О. и должность работника;
перечень ПД, к которым он имеет доступ;
где он с ними работает, какие действия совершает;
для чего они ему нужны.
Ограничьте доступ посторонних к ПД. Это запирающиеся шкафы и сейфы для бумажных документов, пароли для компьютерного доступа, обезличивание ПД, раздельное хранение баз с личной информацией. Не забудьте убрать все персональные данные с общих дисков, регулярно очищайте электронную почту и научите этим правилам сотрудников.
4. Обучите работников, возложите обязанности по соблюдению конфиденциальности ПД
Обязательно включите в должностную инструкцию каждому сотруднику обязанности по соблюдению законодательства, требований локальных актов по защите персональных данных. Иначе при утечках некого будет привлечь к ответственности и за все будет отвечать директор.
Также ни одна мера безопасности не будет работать, если сотрудники не понимают ее смысл. Объясните им, зачем все это нужно, чтобы не воспринимали как «хотелки» руководства и ненужную бюрократию. Роскомнадзор считает основной причиной нарушений в сфере ПД «недостаточную правовую грамотность контролируемых лиц».
Пример из практики. Кадровик подписывает с каждым работником, включая уборщиц и разнорабочих, обязательство о неразглашении персональных данных. При этом собирает от них при трудоустройстве скан-копии паспортов, ИНН и СНИЛС по WhatsApp1. Выше мы писали, почему так делать нельзя. Можно обмениваться документами курьерской доставкой, Почтой России, для ускорения процесса — по электронной почте российских почтовых сервисов типа Mail.ru, на площадке «Работа России» или в специальных сервисах электронного документооборота (пример для самозанятых — Контур.Сайн).
Важно. Утечки персональных данных — это не только взлом и хакерские атаки, но и нарушение порядка доступа к персональным данным. Примеры: заказ у сторонней фирмы визиток работников без получения их согласия на передачу ПД третьим лицам; размещение на сайте фото, ФИО, номера мобильного телефона сотрудников без согласия на распространение ПД. Штраф за утечки с 30.05.2025 составляет до 500 млн ₽.
Как составить политику обработки персональных данных
Политика в отношении обработки персональных данных нужна всем операторам (ч. 2 ст. 18.1 закона № 152-ФЗ). Она описывает все процессы использования личной информации граждан в конкретной компании, у ИП, в том числе:
какие ПД и для чего оператор собирает, на основании каких норм в законе;
с помощью каких средств и где (сайт, очные контакты, мессенджеры и т.д.);
что он с этими персональными данными делает, как уничтожает при достижении целей обработки;
как защищает личную информацию граждан;
как реагирует на обращения субъектов ПД и т.п.
Нельзя вводить в политику правила, которые будут ограничивать права субъектов ПД или возлагать на оператора дополнительные обязанности помимо тех, что установлены законом.
Не стоит подходить к политике формально — переписывать туда закон о персональных данных или копировать чужую политику. В документе должна быть отображена специфика ваших бизнес-процессов.
Разместите политику в открытом доступе там, где вы начинаете сбор персональных данных, чтобы субъект ПД мог ее прочитать до того, как отдаст вам сведения о себе. Возможные варианты:
на сайте — обязательно, если там вы собираете персональные данные (включая автоматический сбор IP-адресов, данных браузера, файлов cookie);
на странице в соцсетях, через которую к вам приходят клиенты;
в офисе на входе и т.д.
Аутсорсерам полезно отдельно включить в политику описание процессов обработки персональных данных по договорам поручения. Повторим, что для Роскомнадзора они тоже операторы ПД по смыслу п. 2 ст. 3 закона № 152-ФЗ.
Можно ориентироваться на рекомендации Роскомнадзора по составлению политики в отношении обработки ПД. Но это документ 2017 года, и его надо применять с учетом современных требований.
Какие еще локальные акты надо разработать
Кроме политики по закону нужно разработать локальные акты (п. 2 ч. 1 ст. 18.1 закона № 152-ФЗ). Общего для всех операторов ПД списка таких документов нет, у каждого бизнеса своя специфика. Если компания попадет в поле зрения Роскомнадзора, он будет сравнивать фактические процессы оператора с содержанием локальных актов.
Примерный список локальных актов и форм документов — в таблице:
Название документа
Описание, ссылка на нормативный акт
Порядок обработки ПД работников
Приказ о назначении ответственного за организацию обработки ПД
Должностная инструкция ответственного за организацию обработки ПД
Реестр процессов обработки ПД
Форму определяет оператор ПД
Положение и формы актов об уничтожении персональных данных
Порядок проведения оценки вреда и акты оценки вреда
П. 5 ч. 1 ст. 18.1 закона № 152-ФЗ, приказ Роскомнадзора от 27.10.2022 № 178
Карта допуска к персональным данным
Постановление Правительства от 01.11.2012 № 1119 — требования к безопасности ПД в информационных системах
Постановление Правительства от 15.09.2008 № 687 — требования к обработке ПД без использования средств автоматизации
Форму Карты или иного документа по доступу определяет оператор ПД
Положение о внутреннем аудите обработки ПД
П. 4 ч. 1 ст. 18.1 закона № 152-ФЗ
Для самоаудита можно использовать чек-лист Роскомнадзора, утв. приказом Роскомнадзора от 24.12.2021 № 253
Регламент работы с обращениями субъектов ПД
Типовые формы согласий, в том числе:
Регламент реагирования на инциденты, при которых возможна утечка персональных данных
Локальные акты по обезличиванию ПД (если оно есть)
По закону разрабатывать локальные акты должны только юридические лица. Но с 30 мая 2025 года ИП несут такую же ответственность за утечки ПД и отдельные нарушения в сфере обработки персональных данных , как и компании (п. 1 примечаний к ст. 13.11 КоАП). Поэтому на них в полной мере распространяются требования в части документов.
Штрафы за нарушения в обработке ПД
До 2030 года действует мораторий на плановые проверки, но операторы ПД без внимания не остаются — РКН проводит дистанционное наблюдение за деятельностью бизнеса: анализирует уведомления, политику, сайты компаний, отчетность, открытую информацию в интернете. Например, сообщение в прессе об утечке данных в какой-нибудь компании для РКН может стать поводом провести внеплановую проверку.
За нарушения компанию и ее должностных лиц могут оштрафовать:
ст. 13.11 КоАП (обработка ПД) — до 500 млн ₽;
ст. 13.11.3 КоАП (работа с биометрией) — до 1 млн ₽;
ст. 13.12 (защита информации) — до 100 тыс. ₽.
В конце 2024 года появилась уголовная ответственность за незаконные использование, передачу, сбор и хранение компьютерной информации, содержащей персональные данные по ст. 272.1 УК. Речь идет, в первую очередь, о ворованных базах данных, так что это крайний случай.
Деятельность компании Meta Platforms Inc. (Facebook и Instagram) на территории РФ запрещена
