Вы каждый день работаете с информацией о людях — клиентах, сотрудниках, партнёрах. Но знаете ли вы, что именно из этого считается персональными данными (ПДн)? И почему это так важно?
На первый взгляд — кажется, что всё очевидно: ФИО, телефон, адрес. Но на деле — границы размыты. В законе нет чёткого списка, что относится к ПДн. Зато есть понятие — и оно ключевое:
«Любая информация, прямо или косвенно позволяющая установить личность физического лица» (ст. 3 ФЗ-152).
Это значит: даже если вы не знаете имя человека — но по его IP, покупкам и местоположению можете понять, кто он, — это уже ПДн.
Что именно считается персональными данными? Разберём по категориям
1. Прямые идентификаторы — «открывают» личность
Это данные, которые сразу говорят: «Это именно он».
- ФИО
- Дата и место рождения
- Номер телефона
- Email
- Паспортные данные
- СНИЛС, ИНН
- Адрес регистрации и фактического проживания
Важно: Даже если эти данные взяты из открытых источников — например, из соцсетей — их обработка всё равно подпадает под ФЗ-152.
2. Биометрические данные — «цифровой отпечаток» человека
Это данные, которые уникальны для каждого:
- Фото и видео
- Аудиозаписи голоса
- Отпечатки пальцев
- Данные ДНК
- Геометрия лица, радужки глаз
Эти данные — особо опасные. Их обработка требует особого согласия и усиленной защиты.
3. Специальные категории ПДн — «самые чувствительные»
Закон выделяет данные, которые могут повлечь дискриминацию или нарушение прав:
- Расовая или национальная принадлежность
- Политические взгляды
- Религиозные или философские убеждения
- Состояние здоровья, инвалидность
- Членство в профсоюзах
Обработка таких данных запрещена по умолчанию — только с письменного согласия и при наличии веских оснований (например, медицинские учреждения).
4. Косвенные данные — «сборка пазла»
Они сами по себе не говорят, кто это — но в совокупности идентифицируют личность:
- IP-адрес
- Cookie-файлы
- Геолокация (GPS, Wi-Fi)
- История покупок в интернет-магазине
- Устройство, с которого заходили (модель телефона, ОС)
- Поведение на сайте (время, клики, скролл)
Пример:
Вы знаете, что пользователь с IP 192.168.1.100 покупал в вашем магазине мужские кроссовки 42 размера, заходил в 22:00 с iPhone 14, и его email — ivan.sidorov@mail.ru.
→ Это уже ПДн, даже если вы не знаете его фамилию.
Как понять: вы обрабатываете ПДн? 3 шага
Шаг 1: Кто является субъектом данных?
- Физическое лицо → ПДн
- Юридическое лицо (компания) → не ПДн
«Петров Иван» — ПДн
«ООО «Ромашка»» — не ПДн
Шаг 2: Можно ли по данным определить личность?
- Прямые — ФИО, телефон, email → да, точно ПДн
- Косвенные — «пользователь из Москвы» → нет, пока не связано с другими данными
Шаг 3: Собраны ли данные в связке?
Один элемент — не ПДн.
Несколько — уже могут идентифицировать.
Номер заказа №12345 — не ПДн
Номер заказа №12345 + телефон + адрес — ПДн
Пример из жизни:
Вы — владелец онлайн-магазина. Клиент оставил:
- Имя: Иван
- Телефон: +7 (999) 123-45-67
- Адрес: г. Москва, ул. Ленина, д. 10
- Email: ivan@mail.ru
→ Это ПДн.
Вы используете их для доставки — это законная цель.
Храните в базе — это обработка.
Отправляете рекламу — требуется согласие.
Как правильно обрабатывать персональные данные? 4 правила
1. Оформите документы — это не «формальность», а защита
Без них — штрафы. Обязательные документы:
- Политика обработки ПДн — публикуйте на сайте
- Согласия на обработку — отдельно для маркетинга, HR, доставки и т.д.
- Положение об обработке и защите ПДн — внутренний регламент для сотрудников
- Приказ о назначении ответственного — кто контролирует соблюдение закона
- Инструкции для персонала — как работать с данными, что делать при утечке
Для ИП без сотрудников — минимум документов. Для крупной компании — до 70 документов.
2. Согласие — не всегда нужно, но почти всегда лучше взять
Закон позволяет обрабатывать ПДн без согласия в 3 случаях:
1. Исполнение договора — доставка товара, оформление заказа
2. Требование закона — передача данных в ФНС, СФР, ПФР при трудоустройстве
3. Спасение жизни — экстренная медицинская помощь
Во всех остальных случаях — согласие обязательно.
Оно должно быть:
- Чётким (цель, срок, данные)
- Отдельным (не «галочка» в общих условиях)
- Легко отозвать
3. Передача данных — высокий риск. Делайте правильно
Если вы передаёте ПДн курьеру, бухгалтеру, облачному сервису — вы остаётесь ответственными!
Обязательно:
- Получите согласие (если не подпадает под исключения)
- Заключите договор-поручение с обработчиком — в нём прописываются:
- Перечень данных
- Цели обработки
- Меры безопасности
- Обязанность конфиденциальности
- Проверьте, что у партнёра есть система защиты ПДн
4. Локализация данных — не обойти
С 2022 года: все ПДн россиян должны храниться на серверах в РФ.
Использование зарубежных сервисов (Google, AWS, Dropbox) без локализации — штраф до 6 млн рублей.
Какие штрафы ждут за нарушения?
Нарушение | Штраф для юрлиц | Штраф для ИП
Отсутствие согласия на обработку | 300 000 – 700 000 ₽ | 10 000 – 50 000 ₽
Нарушение локализации ПДн | 1 000 000 – 6 000 000 ₽ | 100 000 – 500 000 ₽
Не зарегистрирован в Роскомнадзоре | 100 000 – 300 000 ₽ | 10 000 – 50 000 ₽
Нет политики ПДн на сайте | 50 000 – 100 000 ₽ | 5 000 – 20 000 ₽
Важно: Роскомнадзор проверяет не только «на бумаге», но и на практике — через запросы, жалобы, анализ сайтов.
Чтобы снизить вероятность штрафа, регулярно проводите внутренний контроль обработки персональных данных. Если хотите узнавать о нарушениях до получения предписания или штрафа от Роскомнадзора, воспользуйтесь сервисом Мобиз. С его помощью можно круглосуточно отслеживать события по вашей компании и контрагентам, а также своевременно выявлять риски.