Что такое персональные данные: определение, виды и примеры
Персональные данные — это не только паспортные данные и СНИЛС. По российскому закону ПДн — «любая информация», относящаяся к конкретному человеку. Имя в заявке, телефон в CRM, IP-адрес в логах — всё это персональные данные, и их сбор обязывает вас выполнять требования 152-ФЗ.
Определение из 152-ФЗ
Статья 3 Федерального закона № 152-ФЗ «О персональных данных» даёт следующее определение:
«Персональные данные — любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных).»
Ключевые слова здесь — «любая» и «косвенно». Законодатель намеренно не приводит исчерпывающий список: технологии и контексты сбора данных меняются, а принцип остаётся. Если информация позволяет установить личность конкретного человека — прямо или в сочетании с другими данными — это персональные данные.
Важно: закон распространяется только на физических лиц. Данные юридических лиц (ООО, АО, ПАО) персональными данными не являются.
Три категории персональных данных
152-ФЗ выделяет три категории ПДн с разным режимом обработки.
1. Общие персональные данные
Основная категория, которую обрабатывает большинство бизнесов. Обработка допустима при наличии согласия субъекта или иного законного основания.
| Данные | Примеры |
|---|---|
| Идентификационные | ФИО, дата рождения, паспортные данные, ИНН физлица, СНИЛС |
| Контактные | Телефон, email, почтовый адрес, аккаунт в мессенджере |
| Финансовые | Номер карты, реквизиты счёта, история транзакций |
| Местоположение | Адрес доставки, GPS-координаты, история перемещений |
| Сетевые идентификаторы | IP-адрес, cookie-идентификатор, device ID |
| Профессиональные | Место работы, должность, стаж, образование |
2. Специальные категории персональных данных
Статья 10 152-ФЗ выделяет особо чувствительные данные. Их обработка по умолчанию запрещена — допускается только при наличии специальных оснований (явное письменное согласие, медицинская необходимость, требование закона).
- Расовое и этническое происхождение
- Политические взгляды
- Религиозные или философские убеждения
- Состояние здоровья и интимная жизнь
- Судимости и уголовное преследование
- Принадлежность к профсоюзам
Если вы ведёте медицинскую практику, косметологический кабинет или психологическую консультацию — вы обрабатываете специальные категории ПДн. Требования к документам и согласиям здесь строже, чем для обычного интернет-магазина.
3. Биометрические персональные данные
Статья 11 152-ФЗ — данные, характеризующие физиологические и биологические особенности человека, по которым можно установить его личность.
- Отпечатки пальцев
- Изображение лица (фотография, видеозапись)
- Сетчатка глаза
- Голос (если используется для идентификации)
- ДНК-данные
Обработка биометрических ПДн требует письменного согласия субъекта. Исключение — случаи, прямо предусмотренные законом (оборона, безопасность государства, правосудие).
Что НЕ является персональными данными
Не менее важно понимать, где проходит граница. Следующие данные сами по себе, без привязки к конкретному лицу, персональными не являются:
| Не являются ПДн | Но становятся ПДн, если... |
|---|---|
| ИНН или ОГРН организации | Это ИНН индивидуального предпринимателя или физлица |
| Email вида info@company.ru | Email содержит имя сотрудника: ivanov@company.ru |
| Корпоративный телефон компании | Это личный мобильный телефон сотрудника |
| Анонимная статистика (агрегированные данные) | Данные можно деанонимизировать в комбинации с другими источниками |
| Должность без привязки к лицу | Должность + ФИО + организация — это уже ПДн конкретного человека |
Принцип комбинирования
Один из самых важных и часто игнорируемых аспектов: данные, которые сами по себе не идентифицируют человека, становятся персональными в сочетании с другими.
Пример: имя «Александр» — не ПДн. Но «Александр Иванов, проживающий по адресу ул. Ленина 12, кв. 45, г. Казань, дата рождения 15.03.1985» — однозначно идентифицирует человека, то есть это ПДн.
Это означает: если вы собираете несколько полей анкеты, каждое из которых по отдельности «безобидно», совокупность уже может образовывать персональные данные. И обязанность выполнять 152-ФЗ возникает автоматически.
Когда данные считаются обезличенными
Обезличивание — это процесс, после которого невозможно без дополнительной информации определить принадлежность данных конкретному лицу. Обезличенные данные выведены из-под действия 152-ФЗ.
Однако простое удаление имени и телефона не гарантирует обезличивание. Сочетание возраста, пола, профессии и почтового индекса в малонаселённом районе может однозначно указывать на конкретного человека — по этому признаку данные всё равно будут персональными.
Если ваш сайт собирает форму обратной связи, принимает заявки или использует аналитику — вы обрабатываете персональные данные. Для этого требуется политика конфиденциальности, согласие на обработку ПДн и уведомление в РКН.
Оформите документы по 152-ФЗ за 10 минут
Политика конфиденциальности, согласие на обработку ПДн и уведомление в РКН — в редактируемом формате с вашими реквизитами.
Оформить документы — от 590 ₽Часто задаваемые вопросы
Персональные данные — любая информация, относящаяся к прямо или косвенно определённому физическому лицу. Это определение из статьи 3 152-ФЗ. Ключевое слово — «любая»: закон намеренно не ограничивает перечень конкретными полями.
Зависит от контекста. Email вида name.surname@company.ru — персональные данные. Email вида info@company.ru — данные организации. На практике большинство рабочих и личных email считаются ПДн, и их сбор требует выполнения 152-ФЗ.
Нет. Персональные данные относятся только к физическим лицам. Однако ИНН и паспортные данные директора или индивидуального предпринимателя — это уже персональные данные конкретного человека.
Биометрические ПДн характеризуют физиологические особенности человека: отпечатки пальцев, фотография лица (если используется для идентификации), голос, ДНК. Их обработка требует письменного согласия субъекта — в отличие от общих ПДн, где допустимы другие формы согласия.
Да. Имя и телефон — персональные данные. Если вы их собираете через форму на сайте, в CRM или в мессенджере — вы оператор ПДн и обязаны иметь политику конфиденциальности, согласие на обработку и уведомить РКН. Штраф за отсутствие политики — до 150 000 руб. для ИП, до 300 000 руб. для организаций.