Какие бывают категории персональных данных по ФЗ №152-ФЗ

С 30 мая 2025 года штрафы за нарушения ФЗ от 27.07.2006 №152-ФЗ существенно выросли. Если ваша компания собирает ФИО и телефоны клиентов, вы уже рискуете — проверки Роскомнадзора участились, а требования постоянно ужесточаются. Разбираемся, какие категории персональных данных бывают, какая защита нужна для каждой из них и как избежать претензий Роскомнадзора.

Персональные данные: что это

Персональные данные (ПДн) — это любая информация, которая позволяет точно определить конкретного человека. Например, просто имя и фамилия Петр Петров не является ПДн — таких людей может быть много. Но если добавить телефон, email или адрес — это уже персональные данные, так как по этим сведениям можно идентифицировать человека.

Например, если у вас есть стоматологическая клиника, администратор просит пациентов заполнять анкеты, указывая ФИО, номер телефона, адрес проживания, номер полиса ОМС, хронические заболевания. Это классический пример сбора персональных данных. Клиника становится оператором ПДн и обязана:

1. Получить согласие пациента на обработку этих сведений.
2. Использовать их только для записи к врачу и оказания услуг.
3. Обеспечить защиту от утечки — хранить анкеты в закрытой базе.

Если данные попадут к третьим лицам (например, страховым агентам) без согласия пациента, это будет нарушением ФЗ № 152-ФЗ.

Проведем бесплатный аудит вашей организации или ИП на предмет соблюдения новых требований закона «О персональных данных»

Сделаем заключение на соблюдение требований Роскомнадзора

Запишитесь на бесплатный аудит

Заполните форму и мы свяжемся с вами

Нажимая кнопку "Отправить", я соглашаюсь на обработку моих персональных данных в соотв. с ФЗ от 27.07.2006 №152-ФЗ на условиях и для целей, определенных Согласием на обработку персональных данных

Нажимая кнопку "Отправить", я соглашаюсь на получение рассылки в соотв. с ФЗ от 13.03.2006 №38-ФЗ на условиях и для целей, определенных Политикой конфиденциальности

Отправить

Какие бывают категории персональных данных

Законодательство выделяет четыре группы персональных сведений, различающихся степенью защиты и правилами обработки:

1. Общая группа ПДн. К ним относятся основные идентификаторы: ФИО, контакты, СНИЛС, ИНН, место проживания. Несмотря на относительную открытость, для их обработки в большинстве случаев требуется согласие субъекта.
2. Специальная категория персональных данных. Это особая группа, включающая информацию о здоровье, религии, политических взглядах и интимной жизни. Сбор таких данных разрешен только в строго определенных законом случаях (например, как в случае с медицинской клиникой — для лечения или проведения профосмотров).
3. Биометрические данные. Это уникальные физиологические характеристики: фото- и видеоизображения, отпечатки пальцев, ДНК-профиль. Их обработка возможна лишь при наличии веских оснований — от обеспечения безопасности до исполнения судебных решений.
4. Иные категории ПДн — все остальные данные, не вошедшие в предыдущие группы, но позволяющие идентифицировать личность.Например, сведения о социальном статусе или профессии.

Каждая категория требует особого подхода к хранению и защите, а нарушение законодательства влечет серьезную ответственность. С 30 мая 2025 года штрафы могут достигать 15-18 млн рублей, при крупных утечках биометрии — 500 млн рублей.

Как оператору работать с ПДн

При работе с персональными данными оператор обязан:

1. Зарегистрироваться в реестре Роскомнадзора, если не попадает под исключения (ст. 22 ФЗ №152-ФЗ). Для этого нужно подать уведомление еще до начала обработки ПДн.
2. Обеспечить надежную защиту данных согласно требованиям Постановления Правительства РФ от 01.11.2012 №1119.
3. Своевременно реагировать на утечки, уведомлять об этом Роскомнадзор.
4. Согласовывать с Роскомназором трансграничную передачу данных.
5. Собирать только те данные, которые нужны для достижения целей обработки.
6. Разработать ряд документов по ФЗ №152-ФЗ: Положение об обработке ПДн, Политику, шаблон согласия, регламенты доступа и другое.
7. Ограничить доступ сотрудников к ПДн, назначить ответственного за обработку.

Для снижения юридических рисков важно выстроить комплексную систему compliance. Проведите аудит текущих процессов обработки ПДн на соответствие требованиям Роскомнадзора, уделив особое внимание принципам безопасности. Особую осторожность следует проявлять при трансграничной передаче, где риски санкций максимальны. Помните: правильная фиксация всех операций с ПДн станет вашей основной защитой при возможных проверках.

Заключение

Персональные данные относятся к категории информации, которая защищена законом — ФЗ №152-ФЗ. Оператор обязан соблюдать правила работы с ними, но есть ПДн, к обработке которых предъявляются повышенные требования: например, биометрия или специальные ПДн. Если такие данные попадут к третьим лицам, вас могут оштрафовать на сумму до 20 млн рублей за утечку, при повторном нарушении — до 500 млн рублей (ч.18 ст.13.11 КоАП РФ). Штраф при неправомерной обработке — до 300 000 рублей.

Если вы не знаете, как правильно обрабатывать данные и какие документы нужны конкретно вашей организации, обратитесь за помощью к юристам. Они оформят все с учетом особенностей вашего бизнеса и проконсультируют по всем вопросам.