Категории персональных данных по закону №152-ФЗ

Сегодня поговорим о чем-то, что касается каждого из нас – о персональных данных (ПД). В статье мы рассмотрим, какие бывают категории персональных данных по 152 ФЗ. Ваши ПД – это ведь не только стопка бумаг или набор цифр в компьютере! Это, по сути, вы сами, но в цифровой вселенной! Паспорт, адрес, каждая мелочь о ваших привычках, любая покупка, даже детали о здоровье и убеждениях – важные части вашей жизни! И если эти сведения попадут в чужие руки, то можно получить много неприятностей: от назойливой рекламы и бесконечного спама, до оформления кредита на ваше имя, попыток шантажа или, того хуже, кражи вашей личности!

Защита ПД – это единственный способ сохранить контроль над собственной жизнью, уберечь себя от проблем и не дать злоумышленникам сделать вас своей жертвой.

Классификация персональных данных по 152 ФЗ

В России главным документом, который регулирует обращение с ПД, является Федеральный закон №152-ФЗ. А еще есть Постановление Правительства РФ № 1119, которое конкретизирует требования к конфиденциальности ПД. Эти документы нужны, чтобы защитить нашу личную информацию от несанкционированного доступа, утечки и использования посторонними.

Закон №152-ФЗ четко разделяет ПД на четыре категории:

• общедоступные;
• специальные;
• биометрические;
• иные персональные данные.

Такая классификация – это не формальность. От категории зависит, насколько строго вы должны эти сведения защищать, и какие правила их обработки применять. Представьте, что это как уровень секретности: для одной категории правила мягче, для другой – строже.

Почему важно их различать? Потому что степень защищенности и методы обработки для каждой категории – свои. То, что можно сделать с общедоступными ПД, недопустимо для специальных или биометрических.

Общедоступные данные

Это те сведенья, которые субъект ПД сам сделал общедоступными.

Примеры таких данных:

• ФИО, размещенные человеком в открытом источнике.
• Номер телефона, если он указан на визитке или в публичном профиле.
• Адрес электронной почты, если он используется для публичных контактов.
• Иногда, это данные из открытых государственных реестров, например, информация о регистрации ИП или юрлица.

Даже если сведения общедоступны, для их обработки все равно требуется согласие субъекта. Но его не надо получать, если речь идет о прямом исполнении закона.

Если человек отозвал свое разрешение на обработку общедоступных данных, вы обязаны их удалить.

Специальные персональные данные

К специальным ПД относятся сведения, которые раскрывают личные аспекты жизни человека. К ним ни у кого не должно быть доступа без веской причины.

К таких данным относятся:

1. Национальная или расовая принадлежность.
2. Политические убеждения.
3. Интимная жизнь.
4. Философские и религиозные убеждения.
5. Состояние здоровья.
6. Сведения о судимости.

Обработка этой информации почти всегда требует письменного согласия, оформленного по специальной форме.

Но есть исключения (ч. 2 ст. 10 Федерального закона № 152-ФЗ), когда согласие не понадобится:

• Если обработка ПД нужна для защиты здоровья или жизни человека (например, в экстренных медицинских ситуациях).
• Если данные обрабатываются медучреждением в рамках профессиональной деятельности.
• Если это требуется по судебному решению или для исполнения закона (для расследования преступлений).
• Для осуществления правосудия.
• Для защиты прав субъекта ПД, например, для его участия в судебном процессе.

Примеры из практики

Представьте, что Катя пришла на собеседование, а интервьюер, допустим, Игорь Петрович, вдруг начинает спрашивать ее о политических взглядах или, скажем, национальности. В такой ситуации Катя имеете полное право просто сказать: «Извините, я бы не хотела отвечать на этот вопрос». И все, точка!

А вот другая ситуация. Допустим, на вашей новой работе, куда Катя устраивается в офис, все сотрудники обязаны проходить медосмотр. Тут дело другое: она может предоставить доступ к этим данным, но работодатель обязан обеспечить полную защиту ее медицинских сведений. Это его прямая обязанность по закону!

Или вот еще: Марина скачала себе новое фитнес-приложение «Здоровье+», чтобы отслеживать пульс, калории и качество сна. Приложение просит доступ к данным о ее здоровье, а иногда и о геолокации. Здесь важно понимать, что, давая согласие, Марина разрешает владельцу приложения собирать эти сведения, но он обязан использовать их только для заявленных целей (например, для составления отчетов о тренировках) и ни в коем случае не передавать третьим лицам без ее отдельного, явного согласия. Это ее личная информация, и она должна быть под надежной защитой!

Когда эти данные (например, те же медсправки) будут уже не нужны – они должны быть уничтожены так, чтобы никто не смог их восстановить.

Биометрические данные

Это информация, которая идентифицирует человека.

К ней относятся:

• Фотография.
• Видеоизображение (если по нему можно узнать человека).
• Отпечатки пальцев (для систем доступа, смартфонов).
• Образец голоса (для голосовой идентификации).
• Скан радужки глаза.
• Иногда даже оригинальная подпись, если она нужна для идентификации.

В каких ситуациях допустима обработка биометрических данных без согласия субъекта?

Их можно использовать:

1. В целях борьбы с терроризмом, обеспечения безопасности на транспорте, противодействия коррупции.
2. При проведении обязательной государственной дактилоскопической регистрации.
3. В уголовно-процессуальном законодательстве (например, для идентификации преступников).
4. Для прохождения пропускного режима на предприятии, если это предусмотрено локальными актами и человек с этим согласен.

Если компания собирает биометрическую информацию (например, вы используете отпечатки пальцев для входа на работу), вы обязаны обеспечить надежный уровень их защиты. Это и шифрование, и ограниченный доступ, и специальные системы хранения. Нужно взять письменное согласие работника или клиента на обработку его биометрических данных.

Пример из судебной практики

Были случаи, когда компании пытались собирать отпечатки пальцев сотрудников без их согласия, или использовать камеры с распознаванием лиц без предупреждения. Суды признавали такие действия неправомерными и налагали штрафы.

Иные данные

Это все, что не вошло в три предыдущие категории, но при этом позволяет прямо или косвенно идентифицировать человека.

Примеры таких ПД:

1. Фамилия, имя, отчество (если они не общедоступны или обрабатываются в других целях).
2. Дата и место рождения.
3. Адрес.
4. Семейное положение.
5. Образование.
6. Профессия, должность.
7. Место работы.
8. Размер заработной платы.
9. Геолокация (где находится человек).
10. Этническая принадлежность (иногда может быть отнесена к «специальным ПД», но если она не раскрывает деликатных аспектов, то относится к «иным ПД»).
11. IP-адрес, данные о браузере, сведения о cookie-файлах.

Как прописывать такие типы персональных данных по ФЗ 152 в локальных актах? Если компания обрабатывает «иные ПД», вы должны четко указать в своих внутренних документах, какие именно сведения вы собираете, для каких целей, как храните и обрабатываете.

Категории субъектов персональных данных

Теперь давайте разберемся, кто такие «субъекты персональных данных». Это, собственно, мы с вами – любой человек, к которому относятся те самые данные. Закон защищает каждого!

Какие есть категории субъектов:

1. Персонал компании. Те, кто работает по трудовому договору. Их данные обрабатываются для выполнения трудовых отношений.
2. Бывшие сотрудники. Их ПД тоже хранятся какое-то время (например, для налоговой отчетности).
3. Кандидаты на вакансии. Их данные компания получает, когда они присылают резюме.
4. Клиенты. Те, кто покупает товары или услуги фирмы.
5. Пользователи сайта. Те, кто просто заходит на сайт компании.
6. Контрагенты, представители юридических лиц. Если организация сотрудничает с другими компаниями, то она обрабатывает данные их представителей.
7. Внештатные лица. Например, фрилансеры, работающие по договорам ГПХ.

Как их количество влияет на уровень защищенности ИСПДн (информационных систем персональных данных)? Чем больше у компании субъектов ПД, тем выше риски, и тем строже требования к уровню защищенности ИСПДн (Постановление Правительства РФ № 1119 от 01.11.2012).

Ответственность за возможные нарушения

На нарушителей законодательства могут быть наложены административные и даже уголовные штрафы.

За какие нарушения может быть оштрафована компания:

1. Неуведомление Роскомнадзора о начале обработки персональных данных. Если вы собираете ПД, но не уведомили об этом соответствующий орган, вас оштрафуют.
2. Утечку персональных данных.
3. Неправомерную передачу ПД третьим лицам без согласия субъекта.
4. Отсутствие политики обработки ПД на сайте или в компании.
5. Обработку данных без согласия человека или сверх необходимого объема.

Важно! С 30 мая 2025 года штрафы за нарушения в сфере хранения конфиденциальной информации возрастают.

Как организовать защиту ПД

Понимание категорий ПД – это основа информационной безопасности и соблюдения закона. Защита ПД – это процесс, который требует постоянного внимания, регулярных проверок и своевременных корректировок.

Шаг 1. Проведите аудит процессов обработки ПД

Вам нужно по пунктам расписать, какие ПД вы собираете: ФИО, телефоны, адреса, email, данные паспорта, медсправки, фото и тд. Ответьте, почему вы их собираете, какова законная цель. Например, вам требуется ФИО и паспорт для заключения договора, телефон для связи с клиентом, email для рассылки.

Проверьте, где вы их храните. Это может быть Excel-файл на компьютере менеджера, облачное хранилище, CRM-система, бумажные анкеты в сейфе. Каждый источник нужно учесть.

Посмотрите, как долго вы их храните, есть ли сроки удаления. Например, после окончания договора или отзыва согласия.

Важно уточнить, кто имеет к ним доступ: только сотрудники отдела продаж, или еще и маркетологи, бухгалтеры. Выясните, все ли сотрудники знают правила работы с этими данными.

Посмотрите, как вы передаете ПД: отправляете по почте, через мессенджеры, передаете ли третьим лицам (например, службам доставки, колл-центрам). Если да, то проверьте, есть ли у вас договор с этими третьими лицами, где прописаны правила защиты данных.

Уточните, какая категория у ПД, которые вы собираете. Это обычные данные, специальные или биометрические? От этого зависит степень защиты.

Аудит помогает получить полную, честную картину того, что происходит с данными в вашей компании. Без этого шага все остальные будут как строительство дома без фундамента – бессмысленны.

Шаг 2. Настройте процессы так, чтобы они соответствовали требованиям 152-ФЗ

Чтобы система хранения ПД работала слаженно:

• Разработайте внутренние документы. Вам нужна «Политика обработки ПД», которую вы опубликуете на сайте. А еще – «Положение о защите ПД», «Порядок работы с обращениями субъектов», приказы о назначении ответственных за обработку ПД и т.д.
• Получайте законное и информированное согласие субъектов ПД, чьи данные обрабатываете в соответствии со ст. 9 152-ФЗ.
• Обеспечьте безопасность. Внедрите технические и организационные меры защиты.
• Обучите сотрудников. Ваши сотрудники – это первое звено защиты. Проведите для них инструктажи и обучение по работе с ПД.
• Настройте процессы удаления конфиденциальной информации. Когда срок хранения истек или субъект отозвал согласие, они должны быть удалены без возможности восстановления.

Шаг 3. Подайте уведомление в Роскомнадзор, если вы еще этого не сделали

Если вы – оператор ПД (то есть собираете, храните, обрабатываете ПД), вы обязаны уведомить об этом Роскомнадзор. Есть, конечно, некоторые исключения (например, если вы обрабатываете данные только своих сотрудников в рамках трудового договора, или данные для разового пропускного режима), но лучше перестраховаться и подать уведомление. Сделать это можно онлайн через специальную форму на сайте Роскомнадзора.

Заключение

Ну вот, теперь вы в курсе, какие бывают категории персональных данных по 152-ФЗ. Давайте посмотрим на это шире, ведь защита персональных данных – это не только соблюдение закона, это, прежде всего, про доверие. Когда вы демонстрируете, что серьезно относитесь к конфиденциальности информации клиентов и партнеров, вы строите крепкие отношения, основанные на взаимном уважении. Это как негласный договор: «Мы ценим вашу приватность».

Так что, пусть эта статья станет проводником в мир надежной защиты персональных данных! Сделайте все необходимые шаги, и увидите, как это положительно скажется на репутации бизнеса и уровне доверия со стороны тех, кто вам важен. Ведь спокойствие и уверенность клиентов – это бесценно, правда?