Yandex.Metrika
0
1 месяц
Словарь

Персональные данные

Персональные данные (ПДн) — это любая информация, которая прямо или косвенно позволяет идентифицировать конкретного человека (субъекта ПДн). На практике это не только паспортные данные, но и цифровой след: IP-адрес, геолокация, cookie, номер телефона, биоатрибутика (отпечаток пальца в приложении банка), данные о доходах, семейном положении, образовании и даже почерк. Главный признак — по совокупности сведений можно установить личность.

Содержание
  1. Чем ПДн отличаются от обычных сведений о человеке?
  2. Ключевые категории ПДн по российскому праву
  3. Как определить, что данные — персональные (правило 3 вопросов)?
  4. Что изменилось в России после 2022 года?
  5. Распространенные мифы
  6. Что делать пользователю при звонке или сборе данных?
  7. Санкции для бизнеса (кратко)

Чем ПДн отличаются от обычных сведений о человеке?

В отличие от анонимных данных (например, «пользователь из Москвы, мужчина 30–40 лет»), персональные данные позволяют задать вопрос: «Кто именно это?» Если ответ возможен — перед вами ПДн. Российский закон № 152-ФЗ относит к ним даже служебные и биометрические данные, а также сведения о судимости и состоянии здоровья.

Ключевые категории ПДн по российскому праву

  1. Общедоступные — человек сам их открыл (справочники, профайлы в соцсетях с открытым профилем). Их можно обрабатывать без согласия, но не для нарушения прав.
  2. Специальные (чувствительные) — раса, национальность, политические взгляды, религия, философские убеждения, интимная жизнь. Без письменного согласия — штраф до 500 тыс. руб. (ст. 13.11 КоАП РФ).
  3. Биометрические — лицо, голос, ДНК, отпечатки пальцев, радужка глаза. Их обработка в коммерческих целях требует отдельного информированного согласия.
  4. Трансграничные — передача ПДн за рубеж. Россия требует уведомлять Роскомнадзор и получать согласие явно (если страна не входит в «белый список» с адекватной защитой).

Как определить, что данные — персональные (правило 3 вопросов)?

Любая организация (от магазина до поликлиники) обязана задать себе три теста:

  • Можем ли мы выделить одного человека из толпы по этим данным?
  • Есть ли у нас законное основание (договор, согласие, закон) их собирать?
  • Если данные утекут, пострадает ли конкретный человек?

Если на любой вопрос ответ «да» — это ПДн.

Что изменилось в России после 2022 года?

  • Уведомление об утечке стало обязательным в течение 24 часов (для критических инцидентов — 15 минут). Штраф за сокрытие — до 1,5 млн руб.
  • Запрет на иностранные облачные сервисы для хранения ПДн россиян (все серверы только на территории РФ). CRM, колл-трекинг и даже почтовые рассылки должны проходить через локализованные базы.
  • Обезличивание больше не считается полной защитой: если можно восстановить исходные данные с помощью математических методов, это всё ещё ПДн.

Распространенные мифы

«Если стереть имя и фамилию — это уже не ПДн».
Неверно. Номер полиса ОМС, снилс, комбинация «адрес + точная дата рождения» и даже уникальный идентификатор устройства (GAID, IDFA) приравниваются к ПДн.

«Согласие на обработку можно дать в мессенджере голосовым сообщением».
Нет. По 152-ФЗ требуется форма, позволяющая однозначно идентифицировать волю субъекта: письменно, акцепт оферты с чекбоксом, Госуслуги, собственноручная подпись или УКЭП. Голосовое сообщение без акцепта — не доказательство.

Что делать пользователю при звонке или сборе данных?

  1. Задать три вопроса оператору (представителю компании):
    • На каком основании вы требуете мои ПДн?
    • Куда они будут передаваться (конкретные страны и перечень лиц)?
    • Как я могу удалить их после расторжения договора?
  2. Если отказали в обслуживании без предоставления паспорта в аптеке/кафе — это законно, если товар не требует идентификации по Постановлению Правительства № 2467 (например, алкоголь, лекарства, сим-карты). В остальных случаях достаточно назвать фамилию и № заказа.
  3. Требовать «зону приватности» при видеофиксации: съемка лица в торговом центре без таблички и без цели безопасности (доказательства кражи) — нарушение, можно жаловаться в РКН.

Санкции для бизнеса (кратко)

  • Для ИП — штраф до 100 тыс. руб. за обработку без согласия.
  • Для юрлиц — до 1,5 млн руб. за повторную утечку чувствительных ПДн.
  • Уголовная ответственность (ст. 272 УК РФ) — за незаконный сбор для создания базы с целью продажи.

Резюме: Персональные данные — это не просто слова в анкете, а единица, защищенная на уровне государственной тайны, только с меньшим сроком хранения. Ваше лицо, голос и действия в интернете юридически равны паспорту.

Словарь Лайфкод
Мы используем cookie и сервис Яндекс.Метрика