Классификация персональных данных по 152-ФЗ: четыре ключевых категории

В предыдущей статье мы разобрали, что такое персональные данные вообще: любая информация, по которой вас можно узнать — имя, телефон, фото, номер карты, даже cookie-ID в браузере.

Федеральный закон № 152-ФЗ «О персональных данных» для разных видов сведений задаёт разный уровень строгости. Условно их делят на четыре группы. Это не «страшные термины для юристов», а карта, по которой вы понимаете: насколько осторожно относиться к тому, что просит сайт, банк или клиника.

Важно сразу: «общие» — это учебное название

В законе нет отдельной главы «общие персональные данные». Есть определение ПДн (ст. 3): любая информация о конкретном или определяемом человеке.

В статьях 8, 10 и 11 закон выделяет три особых режима. Всё остальное в быту называют «обычными» или «общими» ПДн — паспорт, телефон, e-mail, адрес доставки, история заказов, IP при привязке к вам.

Пример: оформляете заказ в интернет-магазине — ФИО и телефон обычно базовые ПДн. Тот же магазин просит «группу крови для скидки» — уже другая категория (см. ниже).

1. Обычные (базовые) персональные данные

Это основа вашей цифровой идентичности: с кем вы взаимодействуете в сервисах каждый день.

Типичные примеры:

• фамилия, имя, отчество;
• дата и место рождения;
• адрес, телефон, e-mail;
• сведения о профессии и образовании (в резюме, анкете, личном кабинете);
• фото в профиле без автоматического распознавания лица;
• идентификаторы в интернете (cookie, device ID), если по ним можно вас выделить среди других — это тоже ПДн (подробнее — в материале про [куки](контекст серии)).

Любой оператор (магазин, банк, школа, соцсеть) обязан обеспечивать конфиденциальность и безопасность таких данных, назвать цель обработки и опереться на законное основание — чаще всего [согласие](контекст серии) или исполнение договора (ст. 6).

Не значит «можно отдавать кому угодно». Значит: режим стандартный, но права у вас те же — узнать, зачем собирают, отозвать согласие, потребовать исправить или удалить, если нет законных оснований хранить дальше.

2. Специальные категории — «чувствительные» данные

Самая строгая группа по смыслу жизни. Статья 10 152-ФЗ относит сюда сведения о:

• расовой и национальной принадлежности;
• политических взглядах;
• религиозных или философских убеждениях;
• состоянии здоровья;
• интимной жизни.

Общее правило: такие данные нельзя обрабатывать, кроме случаев, прямо перечисленных в законе.

Это не сводится к одной фразе «нужно только ваше письменное согласие». Обработка допускается, например:

• в медицинских целях при соблюдении условий закона;
• для правосудия и защиты прав;
• в иных ситуациях из ч. 2 и 2.1 ст. 10.

Для вас на практике: если сервис не клиника, не страховая по полису, не суд — а просит диагноз, вероисповедание или политические взгляды «для акции» — это красный флаг. Согласие здесь оформляют строже, часто в письменной форме.

Примеры:

• Поликлиника, анализы → специальные категории (здоровье).
• Опрос «какая у вас религия» от магазина одежды → ст. 10, нужно чёткое законное основание.
• Доставка еды по адресу → обычно базовые ПДн.

Данные о судимости и правосудии в отдельных случаях тоже попадают под усиленный режим — если работодатель или госорган запрашивает справку, это не «как телефон в анкете».

3. Биометрические персональные данные

Статья 11: сведения о физиологических и биологических особенностях, по которым можно установить личность, если оператор использует их именно для идентификации.

Примеры биометрии:

• отпечатки пальцев;
• распознавание лица на проходной или в банкомате;
• голос для разблокировки «по голосу»;
• радужная оболочка глаза;
• образец ДНК.

Ключевой критерий — цель. Фото в трудовой книжке «для личного дела» без системы сравнения с базой — чаще обычное ПДн. То же лицо, но камера сверяет вас с шаблоном для входа — биометрия.

В России отдельно: единая биометрическая система (ЕБС) — сдача лица/голоса через банк или Госуслуги для удалённых услуг. Это не «просто фото в профиле», а регулируемый контур.

Ваши права (ч. 3 ст. 11):

• биометрию нельзя требовать обязательно, если закон прямо не обязывает;
• нельзя отказать в услуге только потому, что вы не согласились на биометрию, когда по закону согласие не обязательно.

Обработка биометрии, как правило, только с письменным согласием, кроме случаев из закона (правосудие, безопасность, обязательная госрегистрация и т.д.).

4. Общедоступные персональные данные — не «всё, что вы выложили в сеть»

Здесь чаще всего путают. Статья 8 152-ФЗ говорит не про Instagram и не про открытый профиль VK.

Речь о общедоступных источниках — справочниках, адресных книгах для информационного обеспечения. В такой источник с письменного согласия могут включить, например:

• ФИО, год и место рождения;
• адрес, телефон;
• сведения о профессии;
• иные данные, которые сами сообщил субъект.

Вы вправе в любой момент потребовать исключить сведения из такого источника (или через суд / уполномоченные органы).

Открытый профиль в соцсети ≠ общедоступный источник

Если вы выложили фото и телефон в VK, MAX, «Одноклассниках», это открытые данные, но не автоматически «общедоступные» в смысле ст. 8. Суды неоднократно указывали: соцсети — не справочник по 152-ФЗ (обзор ГАРАНТ).

Следствие для вас: компания не может спокойно парсить ваш открытый профиль для рассылок и CRM без своего законного основания и согласия. «Я же сам выложил» — не carte blanche для любой обработки.

Пример «по закону»: вы письменно разрешили включить телефон в телефонный справочник организации — это логика ст. 8. Пример «не то»: маркетолог скачал контакты из открытой группы VK — это спорная обработка, не «общедоступные ПДн».

Как четыре категории связаны между собой

Одни и те же байты могут менять статус:

• Селфи в отзыве на маркетплейсе — обычно обычное ПДн (фото).
• То же лицо в терминале с Face Pay — биометрия.
• Справка об инвалидности для льготы — спецкатегория (здоровье).
• ФИО в корпоративном справочнике с вашего согласия — общедоступный источник по ст. 8.

Поэтому полезно спрашивать не «какая у меня категория навсегда», а: что именно вы собираете и зачем?

Почему это важно для вас

Зная категорию, вы оцениваете риск и задаёте правильные вопросы:

1. Зачем вам эти данные? (цель)
2. На каком основании — согласие, договор, закон? (ст. 6)
3. Можно ли отказаться без потери законной услуги? (особенно биометрия)
4. Кому передаёте — партнёрам, в облако за рубеж?

Вы перестаёте быть пассивным «источником» и становитесь субъектом с правами: доступ, уточнение, блокирование, удаление, отзыв согласия.

Дети: данные несовершеннолетних обрабатывают с участием родителей; подробнее — в статье про [детскую безопасность](контекст серии).

Нарушения по спецкатегориям и биометрии чаще влекут серьёзные штрафы по КоАП — для организаций суммы в редакции после 2025 года существенно выросли.

Уже в цикле: согласие и галочка

Подробно разобрали, как не подписать «кота в мешке» и что изменилось с 1 сентября 2025 года (отдельный документ, несколько галочек): статья [«Информированное согласие: не просто галочка»](контекст серии).

Для спецкатегорий и биометрии требования к согласию жёстче, чем для телефона в форме заказа.

Короткая памятка

Обычные — всё, что идентифицирует вас в быту (контакты, заказы, cookie).
Специальные — здоровье, взгляды, религия, интимная жизнь; по умолчанию запрет.
Биометрия — тело и голос для узнавания; можно отказаться, если закон не требует иначе.
Общедоступные — справочники по ст. 8, а не «я написал пост в соцсети».

Сохраните статью. Когда в следующий раз увидите длинный текст перед галочкой — вспомните: категория данных и категория обмана — не одно и то же.

Подписывайтесь на канал «Синтез закона и технологий»

Если остались вопросы — задавайте в комментариях.

Изображение сгенерировано ИИ