Что такое персональные данные: самый полный гайд в 2025 году

Персональные данные — это когда вы публикуете сведения о людях, с помощью которых этих людей кто-то может узнать и установить личность. В статье разбираемся, что такое персональные данные в соответствии с 152-ФЗ, как с ними работать и что делать, чтобы не попасть на штрафы, если у вас бизнес.

Что такое персональные данные простыми словами — это любая информация о человеке, которая помогает его идентифицировать. Скажем, по имени и фамилии человека определить нельзя. У Иванова Ивана Ивановича может быть куча тёзок из разных городов и даже стран. Если добавить к фамилии и имени адрес, номер телефона или просто ник в соцсетях, это уже персональные данные, так как вы точно сможете понять, что это за человек.

Например, если вы на сайте добавите отзыв клиента с его фотографией и именем — это персональные данные, так как любой посетитель сайта может определить конкретного человека. Вот, что такое персональные данные человека. Если отзыв оставить только с именем, это не является персональными данными.

Чёткого определения о том, что такое ПДн, персональные данные, нет. Нет перечисления, например, фото плюс номер телефона — это персональные данные, а только номер телефона — нет.

Есть подсказка, как определить персональные данные. Они перечислены при заполнении заявки в реестр операторов персональных данных. Каждый, кто работает с ПДн, должен заполнить заявку на сайте Роскомнадзора. Заодно в заявке можно подсмотреть, что относится к ПДн.

Те, кто собирают данные, обычно просят оставить им ФИО, а ещё номер телефона или адрес, почту или паспортные данные. Если кроме фамилии и имени вы собираете хоть какую-то информацию со скриншота выше, вы работаете с ПДн.

Всего есть четыре категории ПДн. Что такое категория персональных данных — это классификация ПДн по группам. От категории зависит, насколько усиленно нужно защищать данные, как с ними работать и какой штраф будет за утечку.

Общие ПДн. Это базовые сведения о человеке: его контактные данные, СНИЛС, ИНН, адрес, дата рождения. Чтобы получить такую информацию, как и для остальных категорий, нужно брать у человека согласие на обработку ПДн.

Специальные ПДн. Специальные данные — более закрытая информация о личности человека. Такие сведения можно собирать только в исключительных случаях. Например, в компании не вправе просить предоставить сотрудников сведения о состоянии здоровья, но они могут их получить по результатам медосмотра.

Биометрические ПДн. В эту категорию входят фотографии человека, отпечатки пальцев, радужная оболочка глаз. Если сотрудник, например, откажется от записи видеосъёмки на рабочем месте, работодатель не сможет включать камеры видеонаблюдения. Исключение: сбор ПДн связан с исполнением судебных актов, противодействием терроризму, коррупции и остальных случаев, предусмотренных в статье 11 закона от 27.07.2006 № 152-ФЗ.

Иные ПДн. Все остальные сведения, которые не перечислены в предыдущих трёх категориях, относятся к иным ПДн. Например, сюда относится принадлежность к какой-то социальной группе.

Кто такой оператор персональных данных. Это любой человек, юрлицо или госорган, работающий с персональными данными. Например, в компании собирают информацию о клиентах, для этого сделали форму на сайте. Компания является оператором ПДн. Блогер, собирающий информацию о подписчиках с помощью анкет, как и работодатель, собирающий сведения о сотрудниках, тоже операторы ПДн.

Кто такой субъект персональных данных. Это человек, чьи данные собирает оператор. Клиент оставил email в форме сбора на сайте — он стал субъектом ПДн. Сотрудник или подписчик оставили информацию о себе — они стали субъектами ПДн.

Что такое обработка персональных данных простыми словами — это любой процесс, связанный с использованием информации, включая сбор, хранение, изменение, передачу и удаление ПДн.

Обработка персональных данных может включать в себя следующие действия:

Сбор данных. Что такое сбор персональных данных — это этап, на котором информацию собирают из анкет, форм обратной связи, напрямую от человека.

Хранение данных. Собранные данные необходимо хранить, обеспечив их безопасность, конфиденциальность.

Изменение и обновление данных. ПДн обновляют, меняют, например, когда у человека изменился номер телефона или он поменял паспорт.

Передача данных. Оператор может передавать ПДн третьим лицам только с согласия объекта. Допустим, в компании бухучётом занимается не штатный бухгалтер, а самозанятый бухгалтер на аутсорсе. Вот, что такое передача персональных данных.

В таких случаях нужно прописать пункт о передаче данных третьим лицам в согласии на обработку ПДн. Согласие — документ, который подписывает каждый субъект ПДн, но важно добавить этот пункт, если планируете передавать данные третьим лицам. Ещё можно составить согласие на передачу данных отдельным документом.

Обезличивание данных. Что такое обезличивание персональных данных — это обработка информации таким образом, чтобы по ней невозможно было определить конкретного человека. Такое действие помогает защитить информацию. Если сотрудник, к примеру, сольёт клиентскую базу данных, людей невозможно будет идентифицировать.

Получить доступ к таким данным могут несколько человек — те, у кого есть ключ для их расшифровки.

Удаление данных. Что такое уничтожение персональных данных — удаление информации, когда она больше не нужна и все цели обработки завершены, или по просьбе субъекта.

Делаем вывод, что такое использование персональных данных. Это любое действие с ними: сохранили информацию в базу, внесли новые контактные данные, передали информацию бухгалтеру или удалили её.

При обработке персональных данных важно следовать основным принципам:

• Обработка должна проводиться законно и с учетом прав субъектов данных
• Данные должны обрабатываться только в тех целях, для которых они были собраны
• Собираемые данные должны быть ограничены объемом, который необходим для целей обработки

Работать с ПДн можно вручную или с помощью средств автоматизации.

Что такое ручная обработка персональных данных. Это сбор, хранение, передача, обезличивание данных с участием человека. Например, сотрудники вручную записывают информацию в журналы, которые хранят в архиве. Когда данные нужно удалить, уничтожают сами журналы. Для защиты ПДн ограничивают доступ к архиву.

Что такое автоматизированная обработка персональных данных. В этом случае оператор работает с информацией, используя компьютер, программы, электронные базы данных. Например, данные о клиентах собирают с помощью форм, откуда они автоматически сохраняются в CRM-систему. Вот что такое автоматизация персональных данных.

Нет однозначного ответа на вопрос, что считать автоматизированной, а что ручной обработкой ПДн. Например, если в компании собирают информацию о клиентах в Excel. Её вручную вносят сотрудники, но однозначно считать это ручной обработкой не получится, так как сотрудники используют компьютер. В законах нет чёткого разграничения.

Что такое безопасность персональных данных — комплекс мер, которые нацелены на защиту личной информации от несанкционированного доступа, утечки, кражи или уничтожения.

Чтобы обеспечить безопасность персональных данных, важно понимать основные угрозы, которые могут возникнуть. Их как минимум четыре:

• Хакерские атаки. Злоумышленники могут пытаться получить доступ к базам данных через уязвимости в ПО
• Фишинг. Мошенничество, направленное на получение конфиденциальной информации путём обмана пользователей
• Неправомерный доступ. Сотрудники или третьи лица могут получить доступ к данным
• Физическая угроза. Кража устройств, на которых хранятся персональные данные

Что такое защита персональных данных — комплекс мер, которые помогут избежать рисков. К таким действиям относят:

• Обезличивание ПДн, обработка информации таким образом, чтобы по ней невозможно было определить конкретного человека
• Установление четких правил доступа сотрудников к ПДн. Например, в OkoCRM вы можете ограничить доступ к информации о клиентах
• Проведение тренингов и семинаров для сотрудников по вопросам безопасности данных, предотвращению утечек
• Аудит безопасности: оценка текущих мер безопасности и выявление уязвимостей для их устранения.
• Постоянное отслеживание активности сотрудников и системы на предмет подозрительных действий

От категории данных, типа угроз зависит, какие меры нужно предпринять для их защиты и какой уровень защищённости ИСПДн нужно обеспечить.

В вопросе защиты важно разобраться в том, что такое информационная система персональных данных — ИСПДн. Это любые системы, в которых хранится и обрабатывается конфиденциальная информация. Вот, что об этом сказано в законе ↓

Рассчитать уровень защищенности ИСПДн проще всего с помощью калькулятора ФСТЭК.

Разработка пакета документов

Чтобы обрабатывать ПДн, нужно собрать документы:

• Политику обработки ПДн, где указывают информацию об операторе, целях обработки. Политику обязательно добавляют на сайт компании
• Положение о работе с ПДн, где описывают правила работы с ПДн
• Обязательство о неразглашении ПДн, которое подписывают специалисты компании
• Приказы о назначении ответственных за обработку ПДн, о создании комиссии по уничтожению ПДн

Это только самые основные документы, обычно их больше. Здесь есть весь перечень документов, которые нужны для работы с ПДн.

Регистрация в реестре

Все операторы обязаны зарегистрироваться в реестре через сайт Роскомнадзора или Госуслуг. Есть исключения. Вы можете не регистрироваться, если:

• работает с ПДн, которые необходимы для защиты безопасности государства, общественного порядка и транспортной безопасности
• работает с ПДн без автоматизации, например, на бумажных носителях
• собираете информацию о сотрудниках по ТК РФ, просите у них только ФИО или выдаёте им пропуска на территорию

Сбор согласий

Что такое согласие на обработку персональных данных — это документ, который подтверждает тот факт, что человек согласен предоставить оператору свои персданные для определённых целей.

Не нужно брать согласие только в двух случаях:

• сведения обрабатывают в соответствии с трудовым, социальным, пенсионным законодательством
• сведения нужны для исполнения договора с субъектом ПДн

1. Что такое персональные данные — любая информация о человеке, которая помогает его идентифицировать
2. Всего есть четыре категории ПДн. От категории зависит, насколько усиленно нужно защищать данные, как с ними работать и какой штраф будет за утечку
3. Оператор ПДн — любой человек, юрлицо или госорган, работающий с персональными данными. Субъект ПДн — человек, чьи данные собирает оператор
4. Обработка ПДн — любой процесс, связанный с использованием информации, включая сбор, хранение, изменение, передачу и удаление ПДн
5. Безопасность ПДн — комплекс мер, которые нацелены на защиту личной информации от несанкционированного доступа, утечки, кражи или уничтожения