Утверждают, что данные – это новая нефть. Они пронизывают все сферы нашей жизни. Данные пользователей используются в сервисах по доставке товаров, на маркетплейсах, в социальных сетях, при предоставлении государственных и муниципальных услуг и т.д. Практически во всех случаях возникает необходимость их обработки. Без этого не получится воспользоваться многими удобными автоматизированными сервисами, например получить электронную справку, проанализировать предпочтения пользователей, настроить контекстную рекламу.
Какие персональные данные (ПДн) можно хранить, собирать, запрашивать и обрабатывать? Для ответа на этот вопрос нужно обратиться к положениям Закона о персональных данных (Далее – Закон №), разъяснениям Роскомнадзора и сложившейся правоприменительной практике.
Так, одни персональные данные можно собирать и использовать в силу закона и других причин, другие же требуют обязательного согласия на их обработку.
Персональные данные – это любые сведения, по которым можно прямо или косвенно идентифицировать их владельца. К ним относятся Ф.И.О., дата и место рождения, семейное, социальное и имущественное положение, образование и др. Кроме того, ПДн считаются:
Данные о поведении пользователя на сайте. Это совокупность сведений о том, как пользователь взаимодействует с различными сервисами. Такие инструменты нужны бизнесу для того, чтобы выделить интересы пользователя и подстроиться на них. При этом изучают какие страницы чаще посещаются, какие продукты наиболее заинтересовали пользователя и т.д. Есть популярные инструменты анализа поведения, например, Яндекс.Метрика.
Cookie (куки). Это текстовые локальные файлы, которые описывают поведение пользователя для конкретного сайта. При этом электронные ресурсы подстраиваются под конкретного человека: могут отобразить предпочитаемую им цветовую схему, выполнить региональные настройки, произвести автоматическое заполнение логина и пароля. В свою очередь сайт обладает существенной информацией о пользователе, например, отслеживая его активность и предпочтения.
Сведения о геолокации. Используя геопозиционирование (GPS и другие системы, Wi-fi, данные сотовых вышек) местоположение пользователя можно определить с большой точностью (до нескольких метров).
Сведения об ip-адресе. Этот идентификатор может быть динамическим и статическим. ПДн является статический ip-адрес.
Сведения об ip-геолокации. Это когда местоположение пользователя определяется по его ip-адресу. Точность такого позиционирования существенно хуже: населенный пункт, город и т.п. Вместе с тем ряд электронных сервисов использует определение местоположения пользователя по его ip, например, когда он открывает сайт и ему на глаза попадаются наиболее продаваемые продукты в конкретном населенном пункте. Всем привычны также сообщения служб безопасности о небезопасном входе на банковские приложения нетипичном для пользователя месте.
При этом позиция Роскомнадзора и судов заключается в том, что ПДн признается совокупность сведений, по которым можно определить их конкретного владельца.
Например, упоминание о Смирнове Николае Васильевиче, проживающем в г. Москва, не будет являться раскрытием его ПДн, так как в этом случае не понятно о каком именно человеке из числа других людей с такими же сведениями идет речь.
Однако если указать, что Смирнов Николай Васильевич использует такой-то ip-адрес, то совокупность этих сведений будет отнесена к ПДн, так как идентифицирует его персону.
Для того, чтобы понять какие персональные данные могут собирать Интернет-ресурсы рассмотрим наиболее распространенные способы получения ПДн.
Персональные данные собирают многие электронные сервисы:
Сайты в сети Интернет, в том числе те, которые предоставляют различные услуги. При этом пользователь регистрируется, и бесплатно пользуется сервисами. Однако его ПДн используются для таргетирования рекламы и других незаявленных целей.
Банковские продукты и операторы мобильных сетей. Создается профиль пользователя, сведения о котором передаются третьим лицам (партнерам).
Wi-fi сети. При их использовании передается идентификатор телефона (imei). Если его наложить на сведения в соцсетях, то можно выявить предпочтения пользователя.
Операторы фискальных данных (ОФД). Это посредники между точкой торговли и ФНС. Они собирают данные с кассовых аппаратов, шифруют их и передают в налоговую инспекцию. По ним ФНС может определить категории проданных товаров, оценить примерный объем подлежащих уплате налогов и сборов.
Крупные ретейлеры (X5 и др.). Выпускают скидочные карты, собирают сведения о пользователе и его предпочтениях. Данные используются для продажи целевой рекламы, планирования товарных остатков в магазинах и для других целей.
Есть 4 категории ПДн:
Специальные ПДн. Это сведения о философских, религиозных и других взглядах, данные о состоянии здоровья и интимной жизни и т.п.
Биометрические. Это все, что позволяет идентифицировать человека по его биологическим особенностям (отпечатки пальцев, голосовой рисунок, сетчатка глаза и др.).
Общедоступные. Это сведения из различных справочников, куда ПДн попали с согласия их носителя. Например, адресный справочник. Вместе с тем если разместить свою фотографию или другие данные в соцсетях, то это не означает, что они становятся общедоступными. Для того, чтобы они стали доступны для определенного (в том числе неограниченного) круга лиц, пользователь должен согласиться с правилами сайта. Так, используя Head Hunter для поиска работы, соискатель предоставляет доступ к своим ПДн (фио, образование и др.) потенциальным работодателям.
Необщедоступные. Это ПДн, которые позволяют идентифицировать их носителей, но не относятся к 3 первым категориям.
Иные. Все данные, которые не относятся к 4 первым категориям. Например, аналитика о поведении пользователя на сайте.
Какие персональные данные можно запрашивать у пользователя, а какие нет? В зависимости от категории ПДн установлены правила, которые позволяют обрабатывать ПДн без разрешения их субъекта. В случае специальных и биометрических ПДн они жестче, чем в случае обычных (необщедоступных).
Общие основания для того, чтобы обрабатывать ПДн без согласия установлены ст. 6 Закона № 152, специальные – ст. ст. 10 и 11 Закона № 152.
Можно не получать разрешение на обработку ПДн если:
Эти данные не позволяют прямо или косвенно установить их субъекта. К ним относятся:
Это только имя и фамилия или фамилия и инициалы без дополнительных сведений (паспортные данные, СНИЛС, ИНН и др.).
Это электронная почта. Так, в 2022 году ООО «Страховая компания «Арсенал» собирала данные о пользователях в форме обратной связи. Клиенту нужно было указать адрес электронной почты и желаемое (произвольное) имя для обращения к нему. Роскомнадзор посчитал, что страховщик незаконно обрабатывает их ПДн. Суд не согласился с этим и постановил, что e-mail не относится к ПДн (дело N А40-139096/2022).
Это прямо предусмотрено Законом № 152:
ПДн нужны для исполнения международного договора. Например, для выдачи виз, экстрадиции преступников, в целях избегания двойного налогообложения и т.п.
Это прямо предусмотрено законами РФ. Так, работодатель выступает налоговым агентом и передает в ФНС сведения о доходах своих работников для исчисления НДФЛ, в СФР – для начисления пенсий. Медицинские и образовательные учреждения обрабатывают ПДн в целях оказания соответствующих услуг.
Они нужны в связи с участием в суде. Так, при подаче иска нужно указать ФИО, адрес проживания, телефон для связи и др.
Они предназначены для исполнения судебного акта. Исполнительный лист содержит реквизиты обязанного лица (должника), его ФИО, ИНН и другие ПДн.
Они необходимы для исполнения договора, стороной которого является носитель ПДн. В этом случае он инициативно соглашается на его заключение и, предполагается, что действует в своих интересах.
Они используются в исследовательских целях, в том числе для сбора статистики. В этом случае ПДн должны быть обезличены и не должны использоваться в рекламных или агитационных целях. Это, например, обобщенные сведения, полученные в результате переписи населения.
Обрабатываются общедоступные ПДн. Так, из них может быть составлена адресная книга жителей определенного населенного пункта и т.п.
Данные необходимо раскрыть в соответствии с требованиями закона. Это, например, сведения о доходах и расходах государственных служащих.
Если в Законе № 152 прямо не указано, что согласие на их обработку получать не нужно, оно должно быть оформлено.
Согласие на обработку ПДн должно быть:
Свободно сделано. То есть пользователя нельзя принуждать.
Выражено своей волей. То есть пользователь должен полностью представлять с чем он соглашается, и осознанно подписать согласие.
В своем интересе. Согласие на обработку ПДн должно приносить пользователю какую-либо пользу. Например, он заключает договор займа и ожидает от него выгоду в виде процентов.
Согласие на обработку ПДн должно быть конкретным, однозначным, информированным и др. При этом с персональными данными можно производить определенные действия, которые обусловлены целью их обработки (сбор, хранение, систематизация и др.). Особенности составления согласия на обработку ПДн подробно рассмотрены в статье на нашем сайте.
С 1 сентября 2025 года в соответствии с корректировками, которые внесены в Закон № 152, изменились требования к согласию на обработку ПДн. До этого времени указанный документ часто находился в составе другого, например в пользовательском соглашении.
С 1 сентября 2025 года согласие на обработку ПДн:
Должно быть в виде отдельного документа. Он может быть как электронным, так и на бумажном носителе.
Не должно зависеть от других документов. Это значит, что документы (пользовательское соглашение, договор и др.) пользователь подписывает отдельно от согласия на обработку ПДн.
В соответствии с приказом Роскомнадзора № 18 согласие на обработку ПДн должно включать сведения:
О субъекте ПДн и операторе ПДн.
О информационных ресурсах оператора ПДн.
О целях обработки ПДн.
О том какие ПДн обрабатываются.
О том какие запреты на обработку ПДн установил пользователь.
О возможности и условиях передачи ПДн.
О сроке действия согласия.
Компания Juris AI окажет услуги по аудиту принадлежащего вам сайта на предмет соблюдения требований Закона № 152 и Роскомнадзора. По результатам аудита мы предоставим в ваше распоряжение исчерпывающий список мероприятий, которые нужно провести для того, чтобы не нарушить закон. При необходимости, мы предложим вам скорректировать или Juris AI для вас документы по защите ПДн.
На сайте, где происходит обработка ПДн, должны быть представлены следующие документы:
Пользовательское соглашение. Это документ, при помощи которого пользователь может понять, как вести себя на сайте, что можно делать, а что нельзя. Кроме того, в соглашении содержится информация о том, какая информация о посетителях сайта будет собираться, а также что произойдет, если нарушить правила сайта.
Политика конфиденциальности. Это документ, в котором говорится о принципах, целях, способах сбора ПДн пользователей. При этом ознакомление с политикой конфиденциальности не означает, что субъект ПДн дал согласие на их обработку. Указанный документ необходимо размещать на каждой странице сайта. Важно, чтобы у пользователя была возможность ознакомления с ним, до того, как он его акцептует (примет без возражений). О том как правильно составить пользовательское соглашение и политику конфиденциальности можно Juris AI из статьи на нашем сайте.
Согласие на обработку ПДн.
Уведомление об использовании cookie.
Если предприниматель планирует рассылать ПДн пользователя требуется отдельное согласие.
Компания Juris AI Juris AI полный комплект документов по защите ПДн для вашего сайта. Мы используем индивидуальный подход к своим клиентам. Наши документы будут полностью отвечать требованиям Закона № 152 и Роскомнадзора. С нами вы сможете избежать многотысячных штрафов.
Судами состав ПДн трактуется широко. К ним относят максимально возможный перечень сведений. Это логи (файлы событий), cookie, платежные данные, разнообразная информация о контенте, об используемом пользователе устройстве и т.п.
Следует помнить, что:
Для осуществления рекламных рассылок требуется отдельное согласие субъекта ПДн. ПДн могут быть неправомерно разглашены не только в текстовом формате, но и в видео контенте. Так, изображение (фото и видеозапись) относятся к ПДн, если по ним можно установить личность человека. Согласие на их обработку не требуется, если данные используются в общественных интересах (съемка заседания суда и др.), если они получены на публичных мероприятиях (съезд, конференция и др.) или в публичных локациях, если субъект ПДн позировал за плату.
Если сведения о работнике организации размещены на ее сайте, то любой пользователь может их использовать без согласия носителя ПДн. Например, можно оставить отзыв о медицинском работнике или учителе с указанием их ПДн.
Тенденциями 2025 года являются:
Ужесточение контроля за трансграничной передачей ПДн. В соответствии с изменениями в Законе № 152 с 1 июля 2025 года запрещена обработка ПДн (запись, систематизация, накопление, хранение, обновление, изменение, извлечение сведений), которые находятся на иностранных серверах. При этом, если ПДн сразу передаются за рубеж (например, это делает Google Analytics) это будет считаться нарушением. ПДн должны концентрироваться на российских серверах и могут в последующем передаваться другие страны только с разрешения РКН. Возникает также вопрос через какие мессенджеры можно передавать персональные данные. Так, популярные в России WhatsApp и Telegram обрабатывают ПДн пользователей на иностранных серверах. Ожидается, что в качестве замены им государством будет настойчиво предлагаться отечественный менеджер MAX.
Наиболее часто предпринимателей штрафуют за отсутствие или неправильное оформление документов об обработке ПДн. Санкции за эти нарушения предусмотрены ст. 13.11 КоАП РФ, размер штрафов составляет до 300 тыс. рублей. Ожидается, что с 1 сентября 2025 года Роскомнадзор будет обращать пристальное внимание на то, оформлено ли согласие на обработку ПДн в виде отдельного документа.
Усиление внимания к защите биометрических ПДн. Так, в 2024 году судом признаны незаконными пункты соглашения «Т-Банка» с клиентами об их автоматическом согласии на обработку биометрии при заключении договора на открытие дебетового счета (карта). Ранее, в 2020 году по другому делу суд обязал Эй-Би-Си Банк выдать банковскую карту клиенту без осуществления его фотографирования (клиент отказался предоставить банку свои биометрические данные).
Нарушить положения Закона № 152 и требования Роскомнадзора возможно различными способами. Один из них – некорректное составление документов, касающихся обработки ПДн (политика конфиденциальности, согласие и др.). Это может привести к привлечению предпринимателя к административной ответственности по ст. 13.11 КоАП РФ.
Воспользуйтесь Juris AI нашего патентного бюро. Мы гарантируем полное соответствие разработанных нами для вас документов по защите персональных данных требованиям закона и, как следствие, отсутствие к вам претензий со стороны Роскомнадзора.
Нужно ли я получать согласие на обработку ПДн работников компании по трудовому договору?
Если работодатель собирает только ПДн, которые необходимы ему для заключения и исполнения трудового договора, то дополнительного согласия не требуется. Так, могут быть запрошены паспортные данные, ИНН, СНИЛС, сведения о банковском счете (для перечисления зарплаты). Вместе с тем, если работодатель собирается обрабатывать ПДн, которые не связаны с исполнением им своих обязанностей в качестве работодателя, согласие оформлять нужно. Это, например, сведения в других банковских счетах работника, о наличии загранпаспорта и т.п.
Я собираюсь опубликовать сведения о сотрудниках на своем сайте с указанием их ФИО, должности, и кратким описанием того, чем они занимаются в компании. Это нужно для получения обратной связи от клиентов. Должен ли я оформить согласие на обработку ПДн указанных сотрудников?
Да, в этом случае их согласие получать нужно. Это следует из ст. 10.1 Закона № 152. В ней говорится, что согласие на распространение ПДн оформляется отдельно.
Мы пользуемся услугами сторонней организации для ведения бухгалтерского и налогового учета. Ей передаются ПДн сотрудников компании. Нужно ли их согласие на передачу ПДн?
Да, в этом случае согласие необходимо. Пункт о передаче ПДн третьему лицу нужно включить в согласие на обработку ПДн, а субъект ПДн должен с ним согласиться.
В нашей организации используется система контроля управления доступом (СКУД). В нее загружены фотографии сотрудников. Нужно ли получать их согласие на обработку ПДн?
Да, нужно. в соответствии с разъяснениями Роскомнадзора фотография относится к биометрическим ПДн.
Мы заключили договор с ИП. Нужно ли получать его согласие на обработку ПДн? Могут ли быть претензии со стороны Роскомнадзора, если мы не получим его согласия?
В общем случае при заключении договора получать согласие контрагента не нужно. Вместе с тем Роскомнадзор обращает внимание на то, не были ли запрошены избыточные ПДн. Это произойдет если их объем не соответствует цели, или они обрабатываются с целью, которая не указана в договоре. Так, нарушением будет рекламная sms-рассылка контрагенту, если это не указано в соглашении.
Кроме того, согласие на обработку ПДн необходимо, если собираются специальные или биометрические ПДн или планируется их трансграничная передача.
Сотрудник написал заявление об отзыве согласия на обработку ПДн в компании. Обязан ли я, как работодатель, удалить все его ПДн?
Вы должны удалить только те ПДн, на которое работник давал согласие. Если у вас по закону есть обязанность хранить ПДн сотрудника, то вы можете продолжить это делать. Например, для целей пенсионного обеспечения вы должны хранить данные о трудовом стаже.
Какие действия нужно предпринять, если от работника поступило заявление об отзыве согласия на обработку ПДн?
Нужно в течение 10 дней прекратить обработку его ПДн. Кроме того, соответствующее указание направляется обработчику ПДн, который действует по поручению оператора.
Далее нужно издать приказ и сформировать комиссию. В нее должен входить ответственный за обработку ПДн в организации. Эта комиссия должна составить список документов (сведений о субъекте ПДн), которые подлежат уничтожению.
Загрузите политику ПДн, согласие или текст сайта — Juris AI покажет типовые риски и проблемные места.
Проверить документы