Что является персональными данными физического лица: категории субъектов ПДН – что значит запись, обработка и извлечение ПД
Содержание
- Общее представление
- Что считается персональными данными: примеры
- Как понять, что сайт собирает конфиденциальную информацию
- Как организовать обработку ПДН на сайте
- Как получить согласие на обработку
- Как зарегистрироваться в Роскомнадзоре
- Ответственность за несоблюдение закона
- Как бизнесу упростить соблюдение требований
- Заключение
- Вопросы – ответы
Информация о человеке относится к категории нематериальных активов. Такие сведения имеют высокую ценность для самых разных сторон — от коммерческих структур до лиц с недобрыми намерениями. В этой статье простыми словами расскажем, что такое обработка персональных данных (ПД), что в неё входит и какие сферы она затрагивает.
Общее представление
Согласно действующему законодательству к сведениям частного характера относится все, что прямо или косвенно указывает на конкретного человека и позволяет его идентифицировать. Такая информация нуждается в особой защите от несанкционированного доступа и распространения. Каждый имеет право запретить публикацию:
- ФИО;
- контактного номера;
- e-mail;
- ИНН;
- места проживания;
- семейный статус;
- пола;
- паспортных реквизитов;
- текстовых, визуальных и аудиоматериалов, связанных с биографией.
Человек, к которому относятся эти сведения, называется субъектом персональных данных. Например, при оформлении подписки на рассылку человек указывает свое имя и электронную почту — уже этого достаточно, чтобы ситуация подпадала под действие закона о защите ПД. Аналогично при оформлении покупки на маркетплейсе, где необходимо ввести ФИО и реквизиты банковской карты, происходит обработка конфиденциальной информации.
Когда компания начинает собирать, систематизировать, хранить или каким-либо образом использовать такие сведения, она получает статус оператора. С этого момента на неё ложится юридическая обязанность обеспечить их безопасность.
Категория субъектов персональных данных (ПДН) по 152 ФЗ:
- работники организаций;
- внешние исполнители и деловые контакты;
- покупатели и деловые союзники;
- посетители цифровых платформ.
Важно отметить, что в законе отсутствует строгий перечень, какие именно сведения всегда считаются персональными. Всё зависит от контекста. Например, если они хранятся по отдельности и не позволяют установить личность, они не относятся к ПД. Однако, если их совокупность дает возможность идентифицировать человека — речь уже идет о конфиденциальной информации, требующей особого обращения.
Какие категории существуют
В зависимости от содержания этих записей, персональные данные можно разделить на несколько видов: специальные, биометрические и дополнительные сведения.
Особые категории данных содержат более чувствительную информацию о человеке и подлежат хранению в условиях повышенной защиты. К ним относятся факты, отражающие расовое или этническое происхождение, гражданскую принадлежность, религиозные и философские убеждения, политическую позицию. Доступ к таким материалам возможен лишь по официальному запросу через уполномоченные органы или медицинские учреждения.
Биометрическая информация охватывает характеристики физиологического и биологического плана, позволяющие идентифицировать конкретного человека. В этот список входят:
- фото- и видеоматериалы;
- параметры тела (рост, вес);
- отпечатки пальцев;
- группа крови;
- особенности радужной оболочки глаз;
- ДНК.
Существуют также иные персональные данные – к ним относится всё, что не вошло в предыдущие группы: это участие в клубах, членство в сообществах, стаж, зарплата, периоды отпусков и прочее.
Почему важно защищать личную информацию
Утечка ПДН приводит к серьезным последствиям как для конкретного человека, так и для организаций, допустивших нарушение.
Среди рисков для физических лиц — использование полученных сведений злоумышленниками. Мошенники могут оформить кредит или займ на чужое имя, получить доступ к банковским счетам, осуществить несанкционированные транзакции, что влечёт за собой прямые финансовые потери. Кроме того, такие действия способны испортить кредитную историю пострадавшего, особенно если речь идёт о микрозаймах, оформленных без ведома человека.
Организации, в свою очередь, несут ответственность за сохранность собираемых сведений. Утечка конфиденциальной информации грозит операторам не только крупными штрафами по закону, но и серьёзным ударом по репутации. Потеря доверия клиентов и партнёров может негативно сказаться на стабильности бизнеса и его финансовом положении.
Что значит обработка персональных данных
Этот процесс охватывает полный спектр действий, связанных с использованием ПД. Он включает в себя следующие ключевые этапы:
- Сбор. Сведения могут поступать из анкет, онлайн-форм, заявлений или напрямую от самого субъекта.
- Хранение. Зафиксированная информация сохраняется в базе оператора с соблюдением мер безопасности и требований к конфиденциальности. Важно обеспечить, чтобы к личным идентификаторам не был допущен несанкционированный доступ.
- Систематизация. На этом этапе ПДН приводятся в упорядоченный вид, группируются и структурируются, чтобы упростить их последующую обработку. Это необходимо для эффективного использования сведений в рамках правовых целей.
- Передача. Оператор может передавать собранные контакты третьим сторонам исключительно при наличии согласия субъекта. Такое разрешение должно быть получено в письменной форме или зафиксировано иным способом, подтверждающим добровольность и осознанность согласия.
Что считается персональными данными: примеры
К ПД относят любую информацию, которая позволяет прямо или опосредованно установить личность человека. Это могут быть как очевидные идентификаторы (ФИО, паспорт), так и технические сведения, собранные при взаимодействии с онлайн-сервисами. Рассмотрим несколько наглядных примеров.
Онлайн-формы и cookies
На первый взгляд такие элементы, как формы обратной связи и cookie-файлы, кажутся безобидными. Однако на практике Роскомнадзор классифицирует их как инструменты сбора ПДН.
Формы на сайтах компаний используются для получения сведений от пользователей при подписке на рассылки, регистрации на ресурсах, отправке комментариев и запросов. При этом вводятся имя, e-mail, номер телефона.
Cookies — это небольшие файлы, размещаемые на устройстве после посещения сайта, которые фиксируют действия пользователя, такие как добавленные товары, IP-адрес или местоположение. Поскольку такая информация может указывать на конкретного человека, она относится к ПД и требует согласия на сбор.
Сбор персональных данных при регистрации и оплате
При создании аккаунта на сайте, как правило, запрашивается не только имя, но и другие идентификаторы: номер телефона, электронная почта, фото, а иногда и дата рождения. Все это позволяют идентифицировать пользователя.
При оформлении заказа или оплате услуг также требуется ввести реквизиты банковской карты, адрес доставки и т.д. Эта информация считается конфиденциальной и подлежит защите наравне с другими персональными сведениями.
IP-адрес, email, номер телефона
Internet Protocol — уникальный числовой идентификатор устройства, подключенного к сети. Сам по себе он не всегда относится к ПД, но если позволяет отследить активность конкретного пользователя или определить его местоположение, он автоматически приобретает статус конфиденциального.
Отметим, что адрес электронной почты и номер телефона тоже относится к персональным данным физического лица, так как могут быть использованы для установления личности. Даже если они не содержат имени, в сочетании с другими сведениями они становятся идентифицирующими.
Как понять, что сайт собирает конфиденциальную информацию
Чтобы это определить, необходимо обратить внимание на то, какие именно сведения запрашиваются у пользователя. Обработка ПДН имеет место, если выполняется хотя бы одно из следующих условий:
- В онлайн-формах запрашивается имя, адрес электронной почты, номер телефона или их сочетания.
- Авторизация на ресурсе осуществляется через сторонние аккаунты, такие как профили в социальных сетях — в этом случае система автоматически получает доступ к базовым данным пользователя.
- При оформлении заказа требуется ввод платежных реквизитов, включая номер банковской карты.
- Сайт сохраняет cookie-файлы, отслеживает IP-адреса, местоположение и поведение посетителей.
Как организовать обработку ПДН на сайте
Поскольку интернет-сайты взаимодействуют с профилями пользователей и фиксируют сведения, позволяющие установить личность, они автоматически получают статус операторов ПД. Это накладывает на владельцев ресурсов определенные юридические обязательства.
Обработка такой информации должна происходить строго в рамках требований законодательства. Чтобы организовать процесс законно и безопасно, необходимо пройти ряд обязательных этапов.
Назначение ответственного лица
Ответственным может быть системный администратор, сотрудник по безопасности, руководитель или другой назначенный специалист. Его кандидатура утверждается приказом, а обязанности фиксируются в отдельной инструкции.
До начала обработки ПДН, что в соответствии с законодательством означает любые действия с личной информацией — такой как сбор, хранение, систематизация, использование или передача, — необходимо уведомить Роскомнадзор. Уведомление можно отправить в электронном виде либо почтой в региональное отделение по месту регистрации компании. Шаблон документа размещен на официальном сайте ведомства.
Разработка и размещение политики конфиденциальности
Разработать ее можно самостоятельно по образцу из интернета, адаптируя его под свое направление, в онлайн-сервисе с использованием конструктора или заказать у специалиста.
Размещать политику конфиденциальности необходимо в общедоступном месте:
- в футере сайта;
- во всплывающем окне с оповещением о cookie-файлах;
- при регистрации на сайте или заполнении каждой формы с отметкой о согласии обработки ЛД со ссылкой на нее.
Обеспечение защиты техническими средствами
Для обеспечения безопасности ПД применяют программные, аппаратные и организационные меры применяют программные, аппаратные и организационные меры. Ни одно из решений не даёт полной гарантии, поэтому их используют в комплексе.
- К программным относятся антивирусы, фаерволы, системы предотвращения атак и утечек.
- Аппаратные средства включают защиту от DDoS-атак и модули доверенной загрузки.
- Организационные меры — это политика конфиденциальности, обучение персонала, ограничение доступа к ЛД и регулярный аудит.
Хранение и удаление
Собранные ПДН необходимо хранить с соблюдением всех мер безопасности. Период сохранения зависит от цели их обработки — информация хранится лишь столько, сколько требуется для её выполнения. После этого компания обязана обезличить или уничтожить ее в течение 30 дней. Также сведения должны быть удалены по запросу пользователя при отзыве согласия на обработку. После удаления организация теряет право на их использование.
Как получить согласие на обработку
Документальное подтверждение того, что пользователь осознанно и добровольно предоставляет оператору информацию о себе для заранее обозначенных целей, может быть оформлено в любой допустимой законом форме, при условии соблюдения всех правовых норм.
Электронный или бумажный формат
Разрешение на обработку может быть получено различными способами, если они не противоречат законодательству:
- в письменной форме — через анкеты, заявления, письма;
- в электронном виде с использованием ЭЦП (электронной цифровой подписи);
- путем установки галочки (чекбокса) во всех формах;
- нажатием кнопок «Согласен» или «Принимаю» на сайте;
- устно, в том числе по телефону.
Обязательные пункты в форме согласия
Единого шаблона разрешения на обработку ПДН не предусмотрено. Тем не менее с 1 января 2025 года для всех организаций, передающих информацию в Единую биометрическую систему (ЕБС) или через платформу идентификации и аутентификации (ЕСИА), действует утвержденная форма, предназначенная специально для таких случаев.
Для всех прочих ситуаций документ должен включать следующие обязательные элементы:
- Вводную часть, где указываются стороны: кто предоставляет сведения и кому — с обязательным указанием полного имени, паспортных данных, адреса или наименования юридического лица.
- Перечень информации, которую планирует собирать оператор.
- Цель обработки — если их несколько, для каждой цели оформляется отдельное согласие.
- Описание способов взаимодействия с полученными фактами (передача, хранение, использование и т. д.).
- Срок действия согласия и порядок его отзыва.
- Подтверждение добровольности — с датой и подписью лица, представляющего сведения.
Также следует указать, каким образом осуществляется запись взаимодействий с клиентами в соответствии с требованиями закона.
Важно: с 1 марта 2025 года согласие, включенное в текст договора, больше не считается допустимым — оно должно оформляться отдельным документом. По желанию форму можно направить в Роскомнадзор для предварительной проверки и получения рекомендаций по корректировке.
Сроки и условия хранения согласия
Период, в течение которого разрешение на обработку личной информации считается действительным, не регулируется жёстко законом — он может быть установлен произвольно и оставаться актуальным до момента отзыва или до исчезновения необходимости в дальнейшей работе с данными.
По завершении срока действия или после отзыва согласия, вся связанная с ним информация подлежит удалению не позднее чем через 30 дней. Само разрешение необходимо хранить не менее трех лет. Отсчет периода начинается с даты отзыва или окончания действия документа.
Согласие допускается хранить как на бумаге, так и в электронном формате — при условии, что сохраняется возможность проверить его подлинность и неизменность. Также важно обеспечить соблюдение норм конфиденциальности и защиту от несанкционированного доступа.
Как зарегистрироваться в Роскомнадзоре
Ранее уже отмечалось, начинать работу с ПДН можно только после направления уведомления в Роскомнадзор. Компании, действующие до вступления закона в силу, могут сделать это позже.
Подать уведомление можно тремя способами:
- заполнить на сайте, распечатать и отправить по почте;
- оформить в электронном виде на портале Роскомнадзора;
- отправить через «Госуслуги» при наличии учетной записи.
Роскомнадзор вносит данные в реестр в течение 30 дней. О любых изменениях или прекращении обработки необходимо также сообщать ведомству.
Ответственность за несоблюдение закона
Нарушение правил влечёт за собой ответственность. С 30 мая 2025 года Роскомнадзор существенно повысил размеры штрафов за просрочку уведомления, нарушение порядка хранения или утечку информации — суммы санкций увеличились в разы по сравнению с ранее действующими мерами. Ниже представлена таблица с актуальной ответственностью за допущенные нарушения.
| Штрафные санкции | Для физических лиц (тыс. руб.) | Для руководителей (тыс. руб.) | Для юрлиц и ИП (млн руб.) |
| За несвоевременную подачу уведомления о начале обработки ПДН | 5-10 | 30-50 | 0,1-0,3 |
| Неуведомление Роскомнадзора за утечку ЛД | 50-100 | 400-800 | 1-3 |
| Передача ПДН без согласия субъектов (тысяч человек) | |||
| 1-10 | 100-200 | 200-400 | 3-5 |
| 10 - 100 | 200-300 | 300-500 | 5-10 |
| свыше 100 | 300-400 | 400-600 | 10-15 |
Несанкционированный сбор, использование, хранение или распространение ПДН, а также разработка веб-ресурсов с подобными целями могут повлечь уголовную ответственность: денежное взыскание до 300 тысяч рублей, тюремное заключение либо принудительные работы сроком до 4 лет. В случае причинения серьезного вреда наказание ужесточается — до 10 лет лишения свободы и штрафа в размере до 3 миллионов руб.
Как бизнесу упростить соблюдение требований
С 1.09.2025 согласие на обработку ПД должно оформляться отдельным документом, независимо от других соглашений с физлицами. Так как закон №153-ФЗ не устанавливает строгий шаблон, компания может составить его самостоятельно. При передаче сведений третьим лицам требуется отдельное согласие — включать его в основной текст нельзя.
Заключение
Из этой статьи вы узнали, что значит расшифровка ПДН и что такое персональные данные физического лица по определению, какие действия включает их обработка, включая предоставление, извлечение и иные способы использования, кто является субъектом П Д по закону.
Если ваша компания работает в сфере торговли, логистики, производства или складского учёта, решения Клеверенс помогут автоматизировать ключевые бизнес-процессы. Программные продукты, такие как Склад 15, УТМ «Маркировка» и другие, обеспечивают полный контроль за товарооборотом, облегчают инвентаризацию и ускоряют работу персонала с помощью мобильных устройств.
Вопросы – ответы
Кто имеет право собирать и обрабатывать приватные сведения?
Операторами ПДН могут быть работодатели, владельцы сайтов, государственные структуры при оказании услуг.
Что относится к специальным персональным данным, и к чему они применимы?
К такой категории конфиденциальной информации относятся сведения о здоровье, вероисповедании или судимости. Они собираются в строго ограниченных случаях: при трудоустройстве, медицинском обслуживании, научных исследованиях и социальной поддержке. Обработка таких ПД допускается только с письменного согласия или на основании закона.
Для чего организации собирают ПДН?
Они это могут делать по ряду причин:
- В бизнесе они необходимы для персонализации услуг (создание индивидуальных предложений), оптимизации продукции (анализ пользовательского поведения), сегментации ЦА, ускорения обработок заявок и других бизнес-целей.
- Для решения операционных задач, таких как исполнение договоров, ведение кадрового учета, защита от мошенников и несанкционированного доступа.
- С целью решения аналитических задач: исследования рынка, оценки эффективности, анализа удовлетворенности клиентов, оптимизации затрат и т. д.