Персональные данные: понятие, категории и защита по ФЗ-152 в 2026 году

Вы когда-нибудь задумывались, почему банк требует скан паспорта при оформлении карты, а поликлиника - подпись на бланке перед приемом? За этими бытовыми действиями стоит мощный юридический механизм. В основе лежит понятие персональные данные. Это не просто абстрактный термин из учебников права. Это ваш цифровой след, который компании собирают, хранят и используют каждый день. Ошибка в понимании того, что именно относится к этим данным, может стоить бизнесу миллионов рублей штрафов, а обычному человеку - потери приватности.

В России этот вопрос регулируется Федеральным законом № 152-ФЗ «О персональных данных». С 2026 года контроль со стороны Роскомнадзора стал еще строже. Понимание категорий данных и правил их обработки критически важно для любого юриста, HR-специалиста или владельца бизнеса. Давайте разберемся, где проходит грань между общественной информацией и частной тайной.

Что такое персональные данные: определение по закону

Согласно статье 3 Федерального закона № 152-ФЗ, персональные данные - это любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных). Ключевое слово здесь - «любая».

Многие ошибочно полагают, что если нет фамилии и имени, то данные обезличены. Но закон смотрит глубже. Если комбинация IP-адреса, времени посещения сайта и модели устройства позволяет с высокой вероятностью идентифицировать конкретного человека, это уже персональные данные. Даже должность в небольшой компании может стать идентификатором, если там работает только один бухгалтер.

Для корректного понимания необходимо выделить несколько ключевых сущностей:

  • Субъект персональных данных - физическое лицо, чьи данные обрабатываются (вы, я, клиент).
  • Оператор персональных данных - организация или должностное лицо, которое организует и осуществляет обработку этих данных (работодатель, банк, интернет-магазин).
  • Обработка персональных данных - любое действие с данными: сбор, запись, систематизация, накопление, хранение, уточнение, использование, передача, блокирование, уничтожение.

Важно понимать: даже если вы просто храните базу клиентов в Excel на своем компьютере, вы уже являетесь оператором. Масштаб имеет значение для объема обязанностей, но не для самого факта наличия ответственности.

Категории персональных данных: от общих до специальных

Не все данные одинаково защищены. Закон делит их на категории в зависимости от уровня риска для прав и свобод человека. От этой классификации зависит, насколько строгие меры безопасности нужно применять и какое согласие требуется получить.

Классификация персональных данных по уровню конфиденциальности
Категория Примеры данных Требования к согласию Уровень защиты
Общие персональные данные ФИО, дата рождения, адрес, паспортные данные, ИНН Письменное согласие (или иное формализованное) Стандартные технические и организационные меры
Специальные категории Раса, здоровье, судимость, интимная жизнь, религиозные убеждения Только письменное согласие (за редкими исключениями) Максимально строгие меры изоляции и шифрования
Биометрические данные Отпечатки пальцев, фото лица для распознавания, голос, ДНК Письменное согласие Высокий уровень криптографической защиты
Данные несовершеннолетних Любые данные детей до 14 лет Согласие одного из родителей или опекуна Повышенные требования к проверке возраста

Специальные категории: красная зона

Эти данные касаются самых интимных сторон жизни человека. Их обработка запрещена по умолчанию. Исключения крайне узки: например, врач может обрабатывать данные о диагнозе пациента для лечения, но он не имеет права передать эти сведения работодателю без прямого согласия пациента. Если компания запрашивает информацию о состоянии здоровья сотрудника при приеме на работу (кроме специфических профессий), она нарушает закон.

Биометрические данные: новый стандарт доступа

С развитием технологий распознавания лиц (Face ID) и отпечатков пальцев для входа в офисы, биометрия стала массовой. Однако закон относит её к особо охраняемым категориям. Вы не можете заставить сотрудника использовать отпечаток пальца для пропуска, если он этого не хочет. Альтернативный способ доступа (карта, пароль) должен быть предложен всегда.

Законные основания для обработки: когда согласие не нужно

Миф о том, что для любой обработки данных нужно согласие, очень распространен. На самом деле, согласие - лишь одно из семи законных оснований, перечисленных в статье 6 ФЗ-152. Знание этих оснований спасает бизнес от бюрократического ада.

  1. Исполнение договора: если данные нужны для оказания услуги (например, доставка товара по адресу), согласие не требуется. Достаточно указать это в договоре публичной оферты.
  2. Законное требование: работодатель обязан передавать данные сотрудников в Пенсионный фонд и налоговую. Согласие тут ни при чем, это прямое исполнение закона.
  3. Защита жизненно важных интересов: если человек без сознания, его данные могут быть переданы медикам без согласия родственников.
  4. Осуществление правосудия: суды и прокуратура получают данные по запросу.
  5. Реализация прав и свобод оператора: например, публикация видео с места преступления, где фигурант не является центральной фигурой, но попал в кадр.
  6. Общедоступные источники: данные, которые сам субъект сделал доступными (публичные профили в соцсетях, справочники). Но даже здесь есть нюансы: нельзя использовать телефон из справочника для спам-рассылок.
  7. Научные исследования: при условии обязательной обезличивания результатов.

Если вы используете основание «договор», убедитесь, что обработка данных действительно необходима для исполнения обязательств. Сбор номера телефона клиента для «будущих акций» под видом доставки заказа - это нарушение. Для маркетинга нужно отдельное согласие.

Персонажи, представляющие разные категории данных: общие, специальные и биометрические

Права субъектов: что может сделать обычный человек

Закон дает гражданам мощные инструменты контроля. Субъект персональных данных вправе требовать от оператора:

  • Подтверждения факта обработки его данных.
  • Уточнения, блокирования или уничтожения данных, если они неполные, устаревшие, неточные или незаконно полученные.
  • Ознакомления с данными, которые о нем хранятся.
  • Отзыва согласия на обработку (если обработка велась на основании согласия).

Оператор обязан ответить на такой запрос в течение 30 дней. Игнорирование запроса - это прямой путь к жалобе в Роскомнадзор. Обратите внимание: отзыв согласия прекращает право на дальнейшую обработку, но не делает незаконной обработку, которая уже состоялась ранее.

Ответственность и штрафы в 2026 году

Нарушение правил работы с персональными данными карается строго. Кодекс об административных правонарушениях (КоАП РФ) предусматривает значительные суммы для юридических лиц.

За отсутствие уведомления Роскомнадзора о начале обработки данных штраф для юрлиц составляет от 60 000 до 100 000 рублей. За нарушение требований к защите данных (статья 13.11 КоАП РФ) штрафы достигают 180 000 рублей за первое нарушение и до 500 000 рублей за повторное. Если же происходит утечка данных, повлекшая тяжкие последствия, сумма может вырасти до нескольких миллионов рублей, а руководитель организации может понести уголовную ответственность.

С 2026 года Роскомнадзор активно использует автоматизированные системы мониторинга. Сайты без корректно оформленной политики конфиденциальности или с отсутствующими куки-баннерами выявляются роботами автоматически.

Робот-щит защищает данные от хакера в офисе в стиле классической анимации

Практические шаги для соблюдения закона

Как минимизировать риски? Вот простой чек-лист для старта:

  • Инвентаризация данных: составьте реестр всех видов данных, которые вы собираете. Зачем вам нужен номер телефона? Зачем email? Удалите лишнее.
  • Локальный акт: разработайте Положение о персональных данных внутри компании. Оно должно соответствовать требованиям статьи 18.1 ФЗ-152.
  • Политика конфиденциальности: разместите ее на сайте в доступном виде. Она должна быть написана понятным языком, а не сложным юридическим жаргоном.
  • Согласия: используйте отдельные галочки для разных целей (обработка данных и рассылка новостей - это разные цели).
  • Безопасность: обеспечьте техническую защиту. Пароли должны быть сложными, доступ к базам данных ограничен кругом лиц, серверы должны быть защищены от взлома.

Помните, что локализация баз данных граждан РФ на территории России остается обязательным требованием для многих операторов. Хранение информации о клиентах в облачных сервисах за рубежом без надлежащего оформления может привести к серьезным проблемам.

Часто задаваемые вопросы (FAQ)

Нужно ли согласие на обработку данных сотрудников?

Да, для большинства кадровых операций требуется письменное согласие сотрудника. Однако для выполнения трудовых договоров (начисление зарплаты, ведение учета рабочего времени) согласие не требуется, так как это основание предусмотрено законом напрямую. Согласие обязательно для передачи данных третьим лицам, фотографирования для корпоративных нужд или использования данных в целях маркетинга.

Можно ли обрабатывать данные без согласия, если они общедоступны?

Да, закон разрешает обработку общедоступных персональных данных без согласия субъекта. Однако это не дает права использовать их в любых целях. Например, вы можете собрать телефоны из открытого реестра судов для проверки контрагента, но не имеете права использовать эти номера для рекламных рассылок. Цель обработки должна соответствовать той цели, в которой данные были опубликованы.

Что считается нарушением закона о персональных данных?

Нарушением может быть отсутствие уведомления Роскомнадзора, несоблюдение сроков хранения данных, передача данных третьим лицам без законного основания, отсутствие Политики конфиденциальности на сайте, а также недостаточные меры технической защиты (например, хранение паролей в открытом виде). Также нарушением является отказ предоставить субъекту информацию о его данных по запросу.

Как правильно оформить согласие на обработку данных?

Согласие должно быть конкретным, информированным и сознательным. В документе или на веб-странице необходимо четко указать: ФИО субъекта, перечень передаваемых данных, цель обработки, перечень действий с данными и срок действия согласия. Нельзя использовать формулировки вроде «любые иные цели, предусмотренные законодательством». Каждая цель должна быть прописана отдельно.

Обязательно ли уведомлять Роскомнадзор о обработке данных?

В большинстве случаев - да. Оператор обязан направить уведомление в Роскомнадзор не позднее чем за 30 дней до начала обработки. Исключения составляют случаи, когда обработка осуществляется для исполнения договора с самим субъектом, для осуществления правосудия, или если данные являются общедоступными. Также не нужно уведомлять, если обработка ведется исключительно для внутренних нужд работодателя в рамках трудовых отношений (но это спорный момент, лучше проконсультироваться с юристом).