Что относится к персональным данным: как работать с ПДн

Персональные данные (ПДн) — это любая информация, которая относится к конкретному человеку и позволяет его идентифицировать. Федеральный закон №152 «О персональных данных» определяет ПДн как «любую информацию, относящуюся к прямо или косвенно определенному или определяемому лицу». 

Таким образом, под персональные данные подпадают любые сведения о человеке: ФИО, контакты, дата рождения и прочие данные, по которым можно установить личность. Обработка таких данных регулируется законодательством, а любая организация или физлицо, которое получает и обрабатывает ПДн, становится оператором персональных данных.

Что такое персональные данные

Персональные данные — это любые сведения о человеке, по которым можно установить его личность. Критерий один: если информация позволяет идентифицировать конкретного человека напрямую или в сочетании с другими данными — это ПДн.

Среди примеров: ФИО, контакты, паспортные данные, сведения о семье, доходах, фото и видео, IP-адрес и cookie, если они связаны с конкретным пользователем. Исключение — анонимные данные: когда сведения обрабатываются в обезличенном виде и никак не привязаны к конкретному человеку, это уже не персональные данные.

Что относится к персональным данным, а что нет

ПДн — это любые сведения, которые позволяют узнать человека. Одно и то же поле может быть ПДн или не быть им в зависимости от контекста. Рассмотрим на нескольких примерах. 

• Email без связи с конкретным человеком — не ПДн.
• Email, привязанный к человеку (учетная запись, договор, анкета) — ПДн.
• IP без связи с владельцем — не ПДн.
• IP, через который можно установить пользователя — ПДн.
• Фотография всегда считается ПДн, даже если ее не используют для биометрии.

Типы персональных данных

Законодательство выделяет несколько категорий персональных данных: общедоступные, специальные, биометрические и иные.

Общедоступные

Общедоступные ПДн — это данные, которые субъект сам разместил или издал (разрешил опубликовать) в открытых источниках: справочниках, адресных книгах, газетах и т. д. Как правило, такие сведения доступны неограниченному кругу лиц. 

Специальные

Специальные категории ПДн — это особо чувствительные сведения о человеке. К ним относится расовая и национальная принадлежность, политические и философские взгляды, религиозные убеждения, сведения о здоровье и медицинские данные, а также информация о судимостях и правонарушениях. Такие данные требуют особого подхода — их нельзя обрабатывать по общему правилу, без отдельного разрешения или законного основания.

Биометрические

К биометрическим ПДн относятся сведения о физических или биологических особенностях человека, используемые для его идентификации, например:

• отпечатки пальцев, 
• рисунок радужной оболочки глаза, 
• образцы голоса, 
• профиль ДНК. 

Помимо прочего, к этой категории относятся фотографии, если именно их используют для распознавания личности. Важно учитывать, что законодательство требует письменного согласия на обработку биометрических данных.

Иные

В иные ПДн входят все остальные сведения, которые относятся к человеку и не попадают в три предыдущие группы (общедоступные, специальные и биометрические). Это те же ФИО, телефоны, паспортные данные, сведения о работе и зарплате, образование, гражданство, IP-адреса и куки-файлы и т. д., но обрабатываемые не в режиме публичности. Для их обработки действуют общие правила ФЗ-152 (согласие плюс защита).

Персональные данные в интернете

В онлайн-пространстве персональные данные собираются повсеместно: ​​сайты, приложения, формы обратной связи, подписки, интернет-магазины, любые анкеты и даже простое посещение страницы влекут за собой сбор информации о пользователе. При этом ео закону владелец ресурса, который собирает любую информацию о пользователях, автоматически становится оператором ПДн и обязан соблюдать требования 152-ФЗ.

Напомним, что технические данные, такие как IP-адреса, сведения о браузере и куки-файлы тоже относят к ПДн — их сбор и анализ подпадает под требования 152-ФЗ. Следовательно, любой онлайн-сервис, который собирает ПДн, обязан соблюдать соответствующее законодательство: публиковать политику обработки данных, получать согласие пользователей на обработку и обеспечивать должную защиту собранной информации.

Кому могут понадобиться персональные данные

Персональные данные используют практически во всех сферах, где есть взаимодействие с людьми.

• Бизнес использует ПДн клиентов и сотрудников для исполнения договоров, оказания услуг, идентификации и обслуживания.
• Банки, страховые и интернет-магазины получают паспортные и контактные данные для оформления заказов и заключения сделок.
• Соцсети и рекламные платформы анализируют поведение пользователей для персонализации контента и таргетинга.
• Работодатели обрабатывают ПДн сотрудников для приема на работу, расчета зарплаты, уплаты налогов.
• Государственные органы используют ПДн для предоставления услуг — регистрация через Госуслуги, паспортный учет, медицинская статистика, правоохранительные проверки, штрафы, воинский учет и т. д.
• Фактически, любой субъект — от бизнеса до медицины и образования — использует ПДн для оказания услуг, коммуникации, расчетов и юридически значимых действий.

Зачем бизнесу собирать персональные данные

Для бизнеса персональные данные — это инструмент обеспечения операций, информирования, продаж, обслуживания клиентов и повышения эффективности работы.

Компании обрабатывают ПДн клиентов и пользователей ради конкретных целей. Чаще всего это идентификация пользователей, подтверждение личности клиента, улучшение качества услуг, рассылка сообщений с согласия пользователя. 

Субъекты и операторы персональных данных

Субъектом персональных данных является физическое лицо, чьи данные обрабатываются: пользователь сайта, клиент компании, сотрудник организации. Субъект обладает правами на свои данные и может требовать соблюдения этих прав.

Оператором ПДн является физическое или юридическое лицо (в том числе госорган), которое собирает, хранит и использует персональные данные и определяет цели и способы их обработки. Оператор несет ответственность за защиту данных и соблюдение прав субъектов, даже если привлекает обработчиков или внешние сервисы.

Права субъектов персональных данных

Согласно 152-ФЗ, субъект ПДн обладает рядом защитных прав. Рассмотрим ключевые из них.

Право на доступ к своим данным (ст. 14). Человек может запросить у оператора информацию о том, какие его персональные данные обрабатываются, откуда получены, с какой целью и кому передаются. Оператор обязан предоставить полный ответ.

Право на ограничение использования в коммерции (ст. 15). Субъект может запретить использование своих ПДн в рекламных или маркетинговых целях. Если клиент не желает получать спам-рассылки, оператор обязан прекратить (или не начинать) их отправку.

Право на объективный контроль решений (ст. 16). Если компания принимает решения, влияющие на человека, исключительно на основе автоматизированной обработки его ПДн (без участия человека), субъект может потребовать пересмотра.

Право на обжалование действий оператора (ст. 17). Субъект может подать жалобу в Роскомнадзор или в суд на оператора за незаконный сбор, хранение или распространение ПДн.

Право на правку или удаление данных. Если данные неточны, устарели или обрабатываются без необходимости, субъект вправе потребовать их исправления или уничтожения. Оператор обязан реагировать на такие запросы.

Как оператору работать с персональными данными

Оператор персональных данных обязан соблюдать принципы и требования закона 152-ФЗ на каждом этапе обработки ПДн — от сбора до уничтожения информации. Работа с ПДн должна быть законной, прозрачной и документально подтвержденной.

Шаг 1. Определите цели и объем данных

Перед началом обработки определите, зачем вы собираете персональные данные и какие именно сведения нужны.

• Не запрашивайте лишние данные.
• Не используйте их для целей, не заявленных при сборе.
• Зафиксируйте все операции во внутренних документах.

Шаг 2. Получите согласие субъекта

Обработка допускается только при наличии информированного и однозначного согласия пользователя, если иное не предусмотрено законом. Согласие оформляется отдельно — на бумаге или в электронной форме.

Шаг 3. Уведомите Роскомнадзор

Большинство операторов обязаны направить уведомление о начале обработки, а также быть внесёнными в реестр операторов персональных данных.

В уведомлении указываются:

• категории субъектов,
• цели и виды обрабатываемых данных,
• применяемые меры защиты.

Шаг 4. Обеспечьте хранение и безопасность данных

Персональные данные хранятся только в течение срока, необходимого для достижения заявленных целей. По окончании этого срока сведения нужно уничтожить или обезличить.

Безопасность данных обеспечивается техническими и организационными мерами – шифрованием, контролем доступа, антивирусной защитой, аудитом и обучением сотрудников.

Шаг 5. Заключите договор с подрядчиком

Если обработку выполняет сторонняя организация, заключите договор поручения, в котором определяются порядок обработки и ответственность за защиту данных.

Шаг 6. Проводите регулярный ауди

Регулярные проверки помогают поддерживать соответствие требованиям закона. Обязательно актуализируйте документы, реагируйте на запросы субъектов и контролируйте выполнение мер защиты.

Когда нужно согласие на сбор и обработку персональных данных

По общему правилу 152-ФЗ требует получать добровольное согласие субъекта на обработку его персональных данных. Прежде чем собрать и использовать ПДн, оператор должен получить подтверждение согласия. 

На практике в интернете согласие часто реализуется через баннеры, чекбоксы рядом с формой или уведомления при отправке данных. Формально согласие должно быть конкретным, информированным, однозначным и добровольным. При этом закон прямо предписывает, что согласие не должно быть принудительным или мешать доступу к информации (например, перекрывать контент модальным окном без возможности закрыть его).

С марта 2021 года в России вступили в силу изменения: персональные данные, опубликованные в интернете, можно собирать и распространять только при наличии отдельного разрешения субъекта на распространение с указанием целей обработки. То есть даже если данные размещены публично, для их повторного использования требуется согласие.

Как оформить согласие на обработку персональных данных

Согласие оформляется отдельным документом со следующими минимальными реквизитами: ФИО и адрес оператора, цель обработки, перечень категорий обрабатываемых ПДн, категории субъектов, правовые основания и подпись субъекта. Закон обязывает, чтобы согласие соответствовало следующим требованиям.

• Содержание согласия является конкретным, информированным и однозначным — цели и виды данных должны быть названы прямо.
• Оформление согласия осуществляется отдельно от прочих документов.
• Согласие содержит ключевые пункты — ФИО и адрес оператора, ФИО и паспортные данные субъекта, цели обработки и виды действий с данными, список третьих лиц, срок действия согласия и порядок его отзыва, а также подпись субъекта.

В интернете письменное согласие в бумажном виде заменяется электронной подписью. При этом юридически важно не само наличие «галочки», а факт того, что пользователь видел текст согласия и осознанно подтвердил его.

Сбор персональных данных

Любая форма на сайте или в приложении, где пользователь вводит личные сведения, автоматически считается сбором ПДн. Оператор обязан проинформировать человека о факте сбора, целях и порядке обработки. Для этого на сайте размещается политика конфиденциальности, а согласие пользователя на обработку ПДн должно быть получено заранее.

Когда согласие не требуется

Существуют исключения, при которых согласие на сбор ПДн не требуется:

• обработка общедоступных данных и обезличенных сведений, если они не позволяют идентифицировать личность;
• обработка, необходимая по закону в интересах государства или самого субъекта.

Однако для большинства коммерческих интернет-ресурсов эти исключения неприменимы, и необходимо получить явное согласие пользователя.

Обработка персональных данных

Обработка ПДн — это любое действие с персональными данными: сбор, хранение, передача, изменение, анализ, удаление. Закон 152-ФЗ охватывает как автоматизированные, так и ручные процессы, а также смешанные формы.

При обработке оператор обязан руководствоваться принципами закона (ст. 5 ФЗ-152). Рассмотрим ключевые из них.

• Законность и ограниченность целей — данные можно использовать только для заранее объявленных целей. Иными словами, нельзя собирать лишнюю информацию.
• Несовместимые цели — данные, собранные для одной цели, нельзя объединять с данными для других несовместимых целей. Базы с разной информацией обрабатываются отдельно.
• Точность и актуальность — оператор обязан следить за корректностью и обновлять ПДн. Неточные или устаревшие данные нужно исправлять или удалять
• Минимальный срок хранения — хранить данные нужно не дольше, чем того требуют заявленные цели. Как только цель достигнута или в ней более нет нужды, данные следует уничтожить или обезличить.

Соблюдение этих принципов — залог законной работы с ПДн.

Особенности обработки ПДн на сайте

При онлайн-обработке ПДн важно обеспечивать безопасность на каждом этапе: от сбора до хранения. Все действия с персональными данными пользователя должны быть отражены в документации и соответствовать 152-ФЗ.

Если оператор использует сторонние сервисы, например, платежные системы, CRM или облачные сервисы, нужно заключать договор-поручение на обработку ПДн. При этом ответственность за безопасность информации остается на операторе даже при привлечении подрядчиков.

Уведомление Роскомнадзора и обязательные документы

Крупные компании и большинство интернет-ресурсов обязаны зарегистрироваться в реестре операторов Роскомнадзора. Уведомление подается до начала обработки данных. В заявлении указывают данные оператора, цели обработки, адреса хранения баз, мер защиты и т. д. При нарушении требований законом предусмотрены штрафы и запрет на деятельность.

Кроме технических мер, оператор обязан оформить документы, регламентирующие работу с ПДн. Разберем ключевые. 

• Политика обработки персональных данных — публичный документ, описывающий, какие данные собираются, для чего и как защищаются.
• Приказы о назначениях — назначение ответственных за безопасность и организацию обработки ПДн.
• Модель угроз — документ, где описаны возможные риски безопасности и способы их предотвращения (особенно важно для сложных систем).
• Акт оценки вреда — аналитический документ, в котором оценивается потенциальный ущерб субъектам ПДн при возможных инцидентах, а также меры по предотвращению такого вреда.

Основные документы должны быть интегрированы в систему управления безопасностью оператора. Отсутствие политики или оценки угроз может повлечь штрафы.

Как хранить данные

Персональные данные после сбора размещаются в информационных системах оператора. Хранение должно быть организовано так, чтобы можно было установить принадлежность данных конкретному субъекту и обеспечить доступ к ним на протяжении всего срока, необходимого для целей обработки.

С 2015 года действует требование локализации: данные граждан РФ должны храниться на серверах, расположенных на территории России. По истечении нужного срока персональные данные необходимо уничтожить или обезличить. Если сведения устарели или оказались неточными, оператор обязан обновить их самостоятельно или запросить уточнение у субъекта. Когда необходимость в данных исчезает, они подлежат удалению.

При трансграничной передаче ПДн оператор должен убедиться, что в стране-получателе обеспечивается адекватная защита. Передача допускается в государства из перечня, утвержденного Роскомнадзором. Если данные необходимо отправить в страну, не входящую в этот список, оператор обязан уведомить Роскомнадзор и обеспечить защиту данных договорными механизмами.

Как защищают персональные данные

Ответственность за безопасность ПДн полностью лежит на операторе, даже если он нанимает сторонние организации. Нарушения безопасности влекут штрафы и уголовную ответственность.

Защита данных строится по уровням, установленным Постановлением Правительства РФ № 1119 — четыре уровня защищенности ИСПДн от низкого до высокого, в зависимости от категории данных. Оператор должен определить уровень, проверить ИТ-инфраструктуру и сторонние сервисы на соответствие требованиям, включая наличие сертификатов и договоров об обработке ПДн. Соответствие снижает риск штрафов.

Зачем похищать персональные данные

У злоумышленников при краже ПДн есть множество целей: 

• продажа и перепродажа на черном рынке; 
• кража личности и доступ к финансовым счетам; 
• оформление займов на чужое имя;
• рассылки спама и фишинга. 

Помимо прочего, мошенники часто составляют портрет жертвы для последующих манипуляций. По этим причинам крайне важно защищать ПДн — шифровать конфиденциальную информацию, строго контролировать доступ к базам, регулярно обновлять антивирусы и прочие СЗИ, устранять уязвимости, проводить аудит и обучать персонал. Операторы обязаны принимать все меры для защиты ПДн согласно выбранному уровню.

Типы угроз

Угрозы безопасности персональных данных разнообразны. Основные направления можно разделить по источнику и способу воздействия:

Тип угрозы	Описание	Возможные последствия
Неавторизованный доступ	Взлом системы хакерами, подбор паролей, эксплуатация уязвимостей	Нарушение конфиденциальности, утечка данных, финансовый ущерб
Инсайдерские угрозы	Сотрудники или подрядчики умышленно или по небрежности передают данные третьим лицам	Нарушение конфиденциальности, репутационные риски, штрафы
Фишинг и социальная инженерия	Обман с целью получения данных от человека	Кража идентификационной информации, доступ к финансовым счетам, мошенничество
Программные атаки	Малварь, шифровальщики, майнеры, DDoS-атаки	Потеря доступности, повреждение данных, сбои в работе сервисов
Физическая угроза	Кража носителей информации, доступ к серверу, порча оборудования, вторжение в офис	Утечка данных, повреждение оборудования, нарушение работы системы

Каждая угроза может нарушить конфиденциальность, целостность или доступность данных. Оператору необходимо учитывать все возможные сценарии утечки и противодействовать им как техническими средствами, так и организационными мероприятиями.

Уровни защищенности персональных данных

Для упрощения выбора мер защиты введены четыре уровня УЗ ПДн. Чем выше уровень, тем строже требования к техническим и организационным мерам:

Уровень УЗ	Применение	Основные требования
УЗ 1 (минимальный)	Общедоступные или общеизвестные данные	Базовая защита: контроль доступа, базовое шифрование
УЗ 2–3 (средний/усиленный)	Персональные данные обычной важности	Усиленные меры: резервное копирование, аудит, расширенный контроль доступа
УЗ 4 (максимальный)	Особо важные сведения и критичные системы	Комплексная защита: строгий контроль доступа, шифрование, сертифицированная ИТ-инфраструктура, регулярные проверки

При определении УЗ оператор оценивает категорию ПДн и вид своей ИСПДн. Подрядчики и облачные провайдеры также должны соответствовать требуемому уровню и заключать договоры с гарантиями защиты данных.

Нарушения в отношении персональных данных

Нарушение норм закона о ПДн влечет ответственность. Роскомнадзор и суды могут привлекать к административной или уголовной ответственности за незаконный сбор, хранение или утечку ПДн. Основная статья, применяемая на практике — КоАП РФ ст. 13.11, которая предусматривает штрафы за нарушение законодательства о ПДн. 

За обработку ПДн без оснований или не по целям штраф для компании может достигать сотен тысяч рублей. Незначительное, но тоже обязательное требование — наличие на сайте опубликованной политики конфиденциальности, о которой говорили ранее. За ее отсутствие действуют штрафы (для юрлиц — от 30 до 60 тысяч рублей). В отдельных случаях возможны блокировка сайтов, гражданско-правовая ответственность с компенсацией ущерба пострадавшим и даже уголовная ответственность, если нарушение сопряжено с серьезной утечкой или ущербом.

Как не подпасть под штрафы

Чтобы снизить риск санкций, оператор должен строго соблюдать требования закона и внутренние регламенты.

• зарегистрироваться в Роскомнадзоре и уведомить о планируемой обработке персональных данных;
• получать согласие у каждого субъекта на обработку ПДн;
• собирать только необходимые данные, строго в рамках заявленных целей;
• разместить на сайте прозрачную политику конфиденциальности и формы согласий;
• своевременно отвечать на запросы субъектов;
• обновлять или удалять устаревшие сведения;
• настроить систему контроля доступа;
• применить шифрование баз;
• организовать резервное копирование;
• проводить постоянный мониторинг безопасности.

Когда уничтожать персональные данные клиента

ПДн клиента подлежат уничтожению или обезличиванию сразу после того, как цель обработки достигнута. Закон прямо указывает, что хранение не должно превышать время, необходимое для заявленной цели. Также по письменному требованию субъекта данные должны быть удалены или анонимизированы.

Особенности работы с облачными провайдерами

Использование облачных сервисов не снимает ответственности с оператора. Он должен заключить с провайдером договор, в котором прописаны обязанности по обеспечению безопасности ПДн, и убедиться, что сервис соответствует требованиям законодательства.

Если провайдер получает доступ к персональным данным, его необходимо указать в уведомлении в Роскомнадзор. При хранении данных в облаке оператор обязан проверить сертификаты безопасности провайдера и, по возможности, использовать шифрование на стороне клиента. Хорошей практикой считается выбор сертифицированных облаков, адаптированных под российские нормы, с указанием в договоре ответственности провайдера за сохранность данных.

Краткий чек-лист для обработки ПДн

Определите, являетесь ли вы оператором персональных данных. Если вы собираете у людей ФИО, контактные данные, паспорт или любую другую информацию, позволяющую идентифицировать человека, вы — оператор.

Зарегистрируйтесь в Роскомнадзоре и подайте уведомление о начале обработки ПДн. Это обязательное требование для большинства организаций, работающих с персональными данными.

Получите согласие субъекта. Перед тем как собирать и сохранять данные, необходимо получить явное подтверждение, оформленное отдельно, информированное и однозначное.

Собирайте только необходимые данные. Указывайте четкие цели обработки и не запрашивайте лишнюю информацию — действия должны соответствовать заявленным целям.

Разместите политику конфиденциальности на сайте. Документ должен ясно объяснять, какие данные собираются, зачем они нужны и какие меры защиты применяются.

Ограничьте сроки хранения. Данные должны храниться не дольше, чем требуется для целей обработки. После достижения цели сведения подлежат удалению или обезличиванию.

Храните данные в России. Информационные системы с персональными данными граждан РФ должны располагаться на серверах на территории страны.

Обеспечьте защиту информации. Настройте меры безопасности в соответствии с уровнем защищенности данных: шифрование, резервное копирование, контроль доступа, антивирус, аудит. Регулярно проверяйте эффективность защиты.

Реагируйте на запросы субъектов. Предоставляйте информацию о хранимых данных, обновляйте их и удаляйте по требованию пользователя.

Следите за соблюдением правил. Проводите аудит соответствия требованиям ФЗ-152, своевременно обновляйте внутренние документы, политики, приказы и информируйте сотрудников о новых положениях закона.

Соблюдение этих шагов помогает обрабатывать персональные данные корректно и в рамках закона. Внимательное отношение к согласиям, целям обработки и защите сведений снижает риск штрафов и укрепляет доверие клиентов.