← На главную

Какие персональные данные можно обрабатывать, а какие – нет

Утверждают, что данные – это новая нефть. Они пронизывают все сферы нашей жизни. Данные пользователей используются в сервисах по доставке товаров, на маркетплейсах, в социальных сетях, при предоставлении государственных и муниципальных услуг и т.д. Практически во всех случаях возникает необходимость их обработки. Без этого не получится воспользоваться многими удобными автоматизированными сервисами, например получить электронную справку, проанализировать предпочтения пользователей, настроить контекстную рекламу.

Какие персональные данные (ПДн) можно хранить, собирать, запрашивать и обрабатывать? Для ответа на этот вопрос нужно обратиться к положениям Закона о персональных данных (Далее – Закон №), разъяснениям Роскомнадзора и сложившейся правоприменительной практике.

Так, одни персональные данные можно собирать и использовать в силу закона и других причин, другие же требуют обязательного согласия на их обработку.


Что такое персональные данные


Персональные данные – это любые сведения, по которым можно прямо или косвенно идентифицировать их владельца. К ним относятся Ф.И.О., дата и место рождения, семейное, социальное и имущественное положение, образование и др. Кроме того, ПДн считаются:

При этом позиция Роскомнадзора и судов заключается в том, что ПДн признается совокупность сведений, по которым можно определить их конкретного владельца.

Например, упоминание о Смирнове Николае Васильевиче, проживающем в г. Москва, не будет являться раскрытием его ПДн, так как в этом случае не понятно о каком именно человеке из числа других людей с такими же сведениями идет речь.

Однако если указать, что Смирнов Николай Васильевич использует такой-то ip-адрес, то совокупность этих сведений будет отнесена к ПДн, так как идентифицирует его персону.


Как собирают персональные данные в Интернете

Для того, чтобы понять какие персональные данные могут собирать Интернет-ресурсы рассмотрим наиболее распространенные способы получения ПДн.

Персональные данные собирают многие электронные сервисы:


Категории персональных данных

Есть 4 категории ПДн:

  1. Специальные ПДн. Это сведения о философских, религиозных и других взглядах, данные о состоянии здоровья и интимной жизни и т.п.

  2. Биометрические. Это все, что позволяет идентифицировать человека по его биологическим особенностям (отпечатки пальцев, голосовой рисунок, сетчатка глаза и др.).

  3. Общедоступные. Это сведения из различных справочников, куда ПДн попали с согласия их носителя. Например, адресный справочник. Вместе с тем если разместить свою фотографию или другие данные в соцсетях, то это не означает, что они становятся общедоступными. Для того, чтобы они стали доступны для определенного (в том числе неограниченного) круга лиц, пользователь должен согласиться с правилами сайта. Так, используя Head Hunter для поиска работы, соискатель предоставляет доступ к своим ПДн (фио, образование и др.) потенциальным работодателям.

  4. Необщедоступные. Это ПДн, которые позволяют идентифицировать их носителей, но не относятся к 3 первым категориям.

  5. Иные. Все данные, которые не относятся к 4 первым категориям. Например, аналитика о поведении пользователя на сайте.

Какие персональные данные можно запрашивать у пользователя, а какие нет? В зависимости от категории ПДн установлены правила, которые позволяют обрабатывать ПДн без разрешения их субъекта. В случае специальных и биометрических ПДн они жестче, чем в случае обычных (необщедоступных).


Какие персональные данные можно обрабатывать без согласия


Общие основания для того, чтобы обрабатывать ПДн без согласия установлены ст. 6 Закона № 152, специальные – ст. ст. 10 и 11 Закона № 152.

Можно не получать разрешение на обработку ПДн если:

  1. Эти данные не позволяют прямо или косвенно установить их субъекта. К ним относятся:

  1. Это прямо предусмотрено Законом № 152:


Какие персональные данные можно обрабатывать только с согласия

Если в Законе № 152 прямо не указано, что согласие на их обработку получать не нужно, оно должно быть оформлено.

Согласие на обработку ПДн должно быть:

Согласие на обработку ПДн должно быть конкретным, однозначным, информированным и др. При этом с персональными данными можно производить определенные действия, которые обусловлены целью их обработки (сбор, хранение, систематизация и др.). Особенности составления согласия на обработку ПДн подробно рассмотрены в статье на нашем сайте.


Как правильно составить согласие на обработку ПДн


С 1 сентября 2025 года в соответствии с корректировками, которые внесены в Закон № 152, изменились требования к согласию на обработку ПДн. До этого времени указанный документ часто находился в составе другого, например в пользовательском соглашении.

С 1 сентября 2025 года согласие на обработку ПДн:

В соответствии с приказом Роскомнадзора № 18 согласие на обработку ПДн должно включать сведения:

Компания Juris AI окажет услуги по аудиту принадлежащего вам сайта на предмет соблюдения требований Закона № 152 и Роскомнадзора. По результатам аудита мы предоставим в ваше распоряжение исчерпывающий список мероприятий, которые нужно провести для того, чтобы не нарушить закон. При необходимости, мы предложим вам скорректировать или Juris AI для вас документы по защите ПДн.

 

Какие документы по персональным данным должны быть на сайте

На сайте, где происходит обработка ПДн, должны быть представлены следующие документы:

Компания Juris AI Juris AI полный комплект документов по защите ПДн для вашего сайта. Мы используем индивидуальный подход к своим клиентам. Наши документы будут полностью отвечать требованиям Закона № 152 и Роскомнадзора. С нами вы сможете избежать многотысячных штрафов.


Тенденции правоприменительной практики


Судами состав ПДн трактуется широко. К ним относят максимально возможный перечень сведений. Это логи (файлы событий), cookie, платежные данные, разнообразная информация о контенте, об используемом пользователе устройстве и т.п.

Следует помнить, что:

Тенденциями 2025 года являются:

Нарушить положения Закона № 152 и требования Роскомнадзора возможно различными способами. Один из них – некорректное составление документов, касающихся обработки ПДн (политика конфиденциальности, согласие и др.). Это может привести к привлечению предпринимателя к административной ответственности по ст. 13.11 КоАП РФ.

Воспользуйтесь Juris AI нашего патентного бюро. Мы гарантируем полное соответствие разработанных нами для вас документов по защите персональных данных требованиям закона и, как следствие, отсутствие к вам претензий со стороны Роскомнадзора.


Ответы на часто задаваемые вопросы

Нужно ли я получать согласие на обработку ПДн работников компании по трудовому договору?

Если работодатель собирает только ПДн, которые необходимы ему для заключения и исполнения трудового договора, то дополнительного согласия не требуется. Так, могут быть запрошены паспортные данные, ИНН, СНИЛС, сведения о банковском счете (для перечисления зарплаты). Вместе с тем, если работодатель собирается обрабатывать ПДн, которые не связаны с исполнением им своих обязанностей в качестве работодателя, согласие оформлять нужно. Это, например, сведения в других банковских счетах работника, о наличии загранпаспорта и т.п.


Я собираюсь опубликовать сведения о сотрудниках на своем сайте с указанием их ФИО, должности, и кратким описанием того, чем они занимаются в компании. Это нужно для получения обратной связи от клиентов. Должен ли я оформить согласие на обработку ПДн указанных сотрудников?

Да, в этом случае их согласие получать нужно. Это следует из ст. 10.1 Закона № 152. В ней говорится, что согласие на распространение ПДн оформляется отдельно.

Мы пользуемся услугами сторонней организации для ведения бухгалтерского и налогового учета. Ей передаются ПДн сотрудников компании. Нужно ли их согласие на передачу ПДн?

Да, в этом случае согласие необходимо. Пункт о передаче ПДн третьему лицу нужно включить в согласие на обработку ПДн, а субъект ПДн должен с ним согласиться.


В нашей организации используется система контроля управления доступом (СКУД). В нее загружены фотографии сотрудников. Нужно ли получать их согласие на обработку ПДн?

Да, нужно. в соответствии с разъяснениями Роскомнадзора фотография относится к биометрическим ПДн.


Мы заключили договор с ИП. Нужно ли получать его согласие на обработку ПДн? Могут ли быть претензии со стороны Роскомнадзора, если мы не получим его согласия?

В общем случае при заключении договора получать согласие контрагента не нужно. Вместе с тем Роскомнадзор обращает внимание на то, не были ли запрошены избыточные ПДн. Это произойдет если их объем не соответствует цели, или они обрабатываются с целью, которая не указана в договоре. Так, нарушением будет рекламная sms-рассылка контрагенту, если это не указано в соглашении.

Кроме того, согласие на обработку ПДн необходимо, если собираются специальные или биометрические ПДн или планируется их трансграничная передача.


Сотрудник написал заявление об отзыве согласия на обработку ПДн в компании. Обязан ли я, как работодатель, удалить все его ПДн?

Вы должны удалить только те ПДн, на которое работник давал согласие. Если у вас по закону есть обязанность хранить ПДн сотрудника, то вы можете продолжить это делать. Например, для целей пенсионного обеспечения вы должны хранить данные о трудовом стаже.


Какие действия нужно предпринять, если от работника поступило заявление об отзыве согласия на обработку ПДн?

Нужно в течение 10 дней прекратить обработку его ПДн. Кроме того, соответствующее указание направляется обработчику ПДн, который действует по поручению оператора.

Далее нужно издать приказ и сформировать комиссию. В нее должен входить ответственный за обработку ПДн в организации. Эта комиссия должна составить список документов (сведений о субъекте ПДн), которые подлежат уничтожению.

Проверить документы по 152-ФЗ

Загрузите политику ПДн, согласие или текст сайта — Juris AI покажет типовые риски и проблемные места.

Проверить документы