Дата публикации: 07.04.2025

Основным документом, регламентирующим любые действия с персональными данными (ПДн), является Федеральный Закон №152-ФЗ.

Защита персональных данных, векторная голубая картинка в более темных тонах.png


№152-ФЗ — что представляет собой закон «О персональных данных». Ответственность за нарушения

Что является персональными данными по закону, как правильно организовать их хранение и обрабатывать, чтобы не получить штраф  – подробно прописано в положениях этого нормативного акта.


Какие бывают виды персональных данных

Нормами №152-ФЗ предусмотрен комплекс требований, касающихся всех аспектов работы с ПДн – от получения согласия от субъекта до порядка защиты предоставленной им информации. Оператора ПДн, нарушившего требования, ждет серьезная ответственность. Так, новый Закон №420-ФЗ об оборотных штрафах предусматривает штрафы до 500 миллионов рублей, а также наказания в виде реального лишения свободы за утечки ПДн.


Общие (общедоступные) 

К категории общих ПДн относят базовую информацию о человеке. Как правило, такие данные указывают в документах – паспорте, дипломе, водительских правах, военном билете, трудовой книжке, личной карточке сотрудника компании.


Примеры общих ПДн:

  • фамилия, имя, отчество;
  • место жительства;
  • прописка;
  • информация об образовании;
  • сведения о том, где человек трудоустроен;
  • данные об уровне дохода;
  • паспортные данные.


Информация, относящаяся к категории общей, не всегда может быть отнесена к категории ПДн. К примеру, номер телефона без «привязки» к его ФИО или сведениям о прописке ПДн не считается. 

Получить общие ПДн не слишком сложно, достаточно, чтобы человек поставил «галочку» в письменной или онлайн-анкете. Кроме того, некоторые сведения общего характера можно найти в открытых источниках — люди сами размещают в соц.сетях много сведений, указывают место работы, а место жительства и регистрации могут знать знакомые, родственники и коллеги.


Специальные 

Специальные ПДн не размещаются в открытом доступе. Получить такую информацию можно либо у самого субъекта (спросить лично), либо по запросу в уполномоченное учреждение (например, сведения о состоянии здоровья может предоставить больница — но только узкому кругу лиц и в строго определенных ситуациях). Примеры специальных ПДн:

  • национальность;
  • вероисповедание;
  • политические предпочтения и взгляды;
  • философия и мировоззрение;
  • наличие / отсутствие судимостей;
  • состояние здоровья.

Важно помнить о том, что в большинстве случаев человек не обязан разглашать специальные персональные данные о себе. Исключение составляет ряд определенных ситуаций, в том числе вступление в ряды вооруженных сил, трудоустройство на некоторые вакансии, поступление на лечение в медучреждение.


Биометрические

Биометрическими ПДн («биометрией») называют данные, позволяющие идентифицировать человека по его биологическим и / или физиологическим особенностям. Примеры биометрии:

  • данные дактилоскопии (отпечатки пальцев);
  • уникальный рисунок радужки глаз;
  • образец аудиозаписи голоса;
  • анализ ДНК;
  • фото / видеозапись.


Однако все это будет считаться биометрическими ПДн только в том случае, если целью использования становится установление или подтверждение личности. 

Подробные разъяснения касательно отнесения данных к категории биометрических ПДн приведены в письмах Минцифры и РКН. 

Например, если вместо служебных пропусков в компании используются видеокамеры с системой распознавания лиц (работник может входить в помещение только после того, как его «опознает» камера), то фотоснимки сотрудников считаются биометрическими ПДн — так как организация использует их для идентификации. Если же фото просто прикрепляется к личному делу сотрудника, то это уже не «биометрия», так как снимок просто дополняет сведения о работнике и не используется для того, чтобы установить его личность.


Иные персональные данные

Если ПДн невозможно отнести ни к одной из трех вышеперечисленных категорий, то они считаются «иными ПДн». Иные ПДн могут часто меняться и по сути представляют собой дополнительную информацию о человеке.

Примерами иных  ПДн считаются сведения об уровне заработной платы, стаж работы в  компании, членство в каком-либо клубе и другие подобные сведения.


Оператор и субъект персональных данных — кто это такие

Субъектом ПДн называют любое физическое лицо, чьи ПДн обрабатывает и / или хранит оператор.

Оператор ПДн – это организация, которая работает с ПДн, то есть может их хранить, обрабатывать, собирать, распространять. 

Если компания держит у себя персональные данные – на сервере, в облаке и даже в бумажном виде, разложив по папкам – в соответствии с №152-ФЗ это считается хранением ПДн, а значит, организация автоматически будет отнесена к категории операторов.

Обработкой считаются любые действия с персональными данными. Если организация записывает данные, анализирует, передает, удаляет, даже просто собирает – это уже обработка ПДн.

Оператор ПДн должен подать уведомление в РКН, чтобы ведомство внесло его в специальный реестр (исключение составляют ситуации, предусмотренные ч.2 ст.22 №152-ФЗ). В прилагаемом заявлении оператор прописывает, какие данные он хранит, где размещает и какие меры защиты предпринимает.


Как оператор обязан защищать персональные данные

Согласно №152-ФЗ за все, что случается с ПДн отвечает оператор. Это справедливо и в том случае, если для обработки привлекаются третьи лица.

В зависимости от того, какие именно данные хранятся и обрабатываются согласно положений Постановления Правительства №1119 определяется необходимый уровень защиты (УЗ). Всего таких уровней – 4.

Самый низкий уровень обычно требуется иным ПДн — они известны ограниченному кругу лиц, однако без привязки к общим, биометрическим или специальным ПДн в большинстве случаев не позволяют идентифицировать личность (однако это не означает, что их безопасностью можно пренебречь). Биометрическим и специальным данным нужна более серьезная защита, так как их вполне можно использовать, чтобы безошибочно установить личность человека и причинить ему вред.

Определение уровня защищенности ПДн и настройка ИТ-инфраструктуры в соответствии с законодательными требованиями относится к зоне ответственности оператора. Если данным необходим третий или четвертый УЗ, то допускается их хранение в обычном публичном облаке (главное аттестовать облачное хранилище по №152-ФЗ). Для УЗ-1 и УЗ-2 требуется соблюдение особых условий, обеспечить которые в состоянии далеко не каждый провайдер.


По теме: основные требования 152-ФЗ к защите персональных данных, организационные меры защиты ПДн в компании. Поможем привести ИСПДн в соответствие — услуга защиты персональных данных.

Часто задаваемые вопросы

Что считается персональными данными по 152-ФЗ и какие у них категории?
По 152-ФЗ персональными данными является любая информация, прямо или косвенно позволяющая идентифицировать физическое лицо. Закон выделяет четыре категории: общие (ФИО, адрес, паспортные данные, место работы, уровень дохода), специальные (здоровье, национальность, вероисповедание, политические взгляды, судимости — обрабатываются только в строго определённых случаях с явного согласия субъекта), биометрические (отпечатки пальцев, ДНК, рисунок радужки, голос, фото/видео — только если используются для идентификации личности) и иные (зарплата, стаж, членство в организациях — дополнительная информация, не попадающая в первые три категории). Чем чувствительнее категория, тем более строгие требования к защите предъявляет законодательство.
Является ли фотография сотрудника биометрическими персональными данными?
Это зависит от цели использования фотографии: фото является биометрическими персональными данными только в том случае, если оно применяется для идентификации личности. Например, если в компании установлена система контроля доступа (СКУД) с распознаванием лиц и сотрудник проходит через турникет благодаря тому, что камера его «узнаёт», — фотоснимки сотрудников считаются биометрическими ПДн со всеми вытекающими требованиями по защите. Если же фото просто прикрепляется к личному делу работника для визуальной идентификации при просмотре документов — это уже не биометрия, а общие персональные данные. Соответствующие разъяснения содержатся в письмах Минцифры и Роскомнадзора.
Кто является оператором персональных данных и нужно ли регистрироваться в РКН?
Оператором персональных данных по 152-ФЗ автоматически становится любая организация, которая хранит, собирает, обрабатывает или передаёт ПДн — в любом формате, включая бумажные папки, серверы и облачные хранилища. Обработкой считается любое действие с данными: запись, анализ, передача, удаление, даже просто сбор. Большинство операторов обязаны подать уведомление в Роскомнадзор для включения в реестр операторов ПДн — в заявлении указывается, какие данные хранятся, где размещаются и какие меры защиты применяются. Исключения из обязанности уведомлять РКН предусмотрены в ч.2 ст.22 152-ФЗ.
Какие штрафы грозят за утечку персональных данных в 2026 году?
С принятием 420-ФЗ об оборотных штрафах ответственность за нарушения в сфере персональных данных существенно ужесточилась: штрафы за утечку ПДн могут достигать 500 миллионов рублей, а в отдельных случаях предусмотрено реальное лишение свободы. Помимо прямых финансовых санкций, компании рискуют серьёзным репутационным ущербом, потерей доверия клиентов и партнёров, а также претензиями со стороны Роскомнадзора и других регуляторов. Ответственность несёт оператор персональных данных, в том числе в случаях, когда обработку ПДн осуществляют привлечённые третьи лица.
Что такое уровни защищённости персональных данных и как их определить?
Уровень защищённости (УЗ) персональных данных — это требуемый набор технических и организационных мер по защите ИС, обрабатывающих ПДн. Согласно Постановлению Правительства №1119, выделяют четыре уровня: УЗ-1 — наиболее высокий, УЗ-4 — базовый. Уровень определяется исходя из категории обрабатываемых ПДн (специальные, биометрические, иные или общедоступные) и числа субъектов. Для УЗ-3 и УЗ-4 допускается хранение данных в публичном облаке при условии его аттестации по 152-ФЗ; для УЗ-1 и УЗ-2 требуются особые условия, которые способны обеспечить далеко не все облачные провайдеры. Определение нужного уровня и приведение ИТ-инфраструктуры в соответствие с ним — прямая обязанность оператора персональных данных.
Колесник Дмитрий Николаевич
Колесник Дмитрий Николаевич
Директор по информационной безопасности
С появлением оборотных штрафов до 500 млн рублей соблюдение 152-ФЗ перестало быть бумажной формальностью — цена любой утечки персональных данных теперь измеряется устойчивостью всего бизнеса.