Что относится к персональным данным и как их защитить

Что такое персональные данные

Согласно Федеральному закону №152-ФЗ «О персональных данных» от 27 июля 2006 года, персональные данные — это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПД) [1].

Это означает, что персональными считаются не только те сведения, которые однозначно указывают на человека (например, фамилия, имя, отчество), но и любая информация, которая в совокупности с другими данными позволяет установить его личность.

Ключевые признаки персональных данных

• Отношение к конкретному человеку. Данные должны быть связаны с определенным индивидуумом. Например, номер телефона сам по себе — это просто цифровой код, но если он привязан к конкретному человеку (например, в базе оператора связи), он становится персональным.


• Возможность идентификации. Даже если в информации напрямую не указано имя, она может считаться персональной, если по ее совокупности можно установить личность. Например, комбинация таких данных, как должность, место работы, возраст и город проживания, может однозначно указать на конкретного человека.

Таким образом, персональные данные — это не только очевидные сведения вроде имени и номера паспорта, но и любая информация, которая в той или иной степени позволяет «собрать портрет» человека.

Субъект и оператор ПД: кто это

В системе защиты персональных данных выделяют две ключевые стороны: субъект и оператор. Понимание их ролей помогает разобраться, кому принадлежат данные, кто за них отвечает и какие права и обязанности у каждой стороны.

Субъект персональных данных — это физическое лицо, к которому относятся те или иные сведения. Другими словами, это сам человек, чья информация обрабатывается. Каждый из нас является субъектом персональных данных, когда регистрируется на каком-то сайте, оформляет кредит, проходит медицинское обследование или совершает покупку онлайн.

Оператор персональных данных — это юридическое лицо или ИП, которое самостоятельно или совместно с другими представителями организует и/или осуществляет обработку персональных данных и несет юридическую ответственность за соблюдение законодательства при работе с ПДн. Так, к операторам относятся:

• Банки и финансовые организации. Обрабатывают данные клиентов для оформления счетов, кредитов, переводов.


• Государственные органы. Собирают и используют ПДн для предоставления услуг (например, в МФЦ, налоговой, Пенсионном фонде).


• Интернет-магазины и сервисы доставки. Хранят контактную и платежную информацию пользователей.


• Социальные сети и онлайн-платформы. Собирают данные о поведении, интересах, геолокации пользователей для персонализации контента и рекламы.

Иногда оператор может привлекать третьи лица — субподрядчиков (например, IT-компании, хостинг-провайдеров), которые обрабатывают данные по его поручению. При этом ответственность за безопасность и законность обработки несет сам оператор.

Категории персональных данных

Согласно действующему законодательству Российской Федерации, персональные данные (ПДн) подразделяются на четыре категории: общедоступные, биометрические, специальные и иные. Рассмотрим каждую из них подробнее.

Общедоступные персональные данные

К данной категории относятся сведения, которые могут быть получены неограниченным кругом лиц и размещены в открытых источниках — справочниках, объявлениях, официальных сайтах и т. п. Однако их обнародование возможно только при условии предварительного согласия субъекта данных.

Согласно ФЗ-152, к общедоступным ПДн относятся:

• имя, фамилия и отчество;


• дата и место рождения;


• возраст;


• место жительства;


• профессия и уровень образования;


• контактная информация (номер телефона, адрес электронной почты) [1].

Важно отметить: если гражданин отзывает свое согласие на публикацию или считает, что его данные размещены без законных оснований, он вправе потребовать их удаления. Это может быть реализовано как через обращение к оператору, так и через решение суда или иного уполномоченного государственного органа.

Биометрические персональные данные

Биометрические данные — это уникальные физиологические и анатомические характеристики человека, которые используются для его идентификации. К ним относятся:

• отпечатки пальцев;


• изображение лица (в том числе в виде фото или 3D-модели);


• рисунок сетчатки глаза;


• голос человека и другие биологические особенности.

Такие данные широко применяются в системах контроля доступа, охраны, видеонаблюдения и цифровой идентификации. Их сбор и дальнейшая обработка возможны только при наличии письменного согласия субъекта, оформленного в установленной законом форме. Исключения предусмотрены в случаях, когда использование ПДн необходимо:

• для обеспечения безопасности государства;


• в рамках деятельности правоохранительных органов;


• при выполнении функций государственных структур, наделенных соответствующими полномочиями.

Обработка биометрических данных допускается только в течение срока, необходимого для достижения цели, который указан в согласии, либо до его отзыва. После достижения цели или истечения срока такие данные должны быть уничтожены.

Специальные персональные данные

Эта категория включает наиболее чувствительную информацию, раскрытие которой может повлечь дискриминацию или иные серьезные последствия. К ним относятся:

• сведения о состоянии здоровья;


• расовая и этническая принадлежность;


• религиозные и философские убеждения;


• политические взгляды;


• данные интимного характера, включая сексуальную ориентацию и информацию о половой жизни.

Обработка таких данных строго ограничена и допускается только при наличии одного из следующих оснований:

• письменное согласие субъекта в установленной форме;


• информация была опубликована самим субъектом в общедоступных источниках;


• выполнение международных обязательств;


• ведение судебного разбирательства;


• угроза жизни или здоровью субъекта или третьих лиц;


• деятельность религиозных или общественных организаций в рамках их уставных задач [2].

Иные персональные данные

Сюда входят все виды данных, которые не относятся к общедоступным, биометрическим или специальным. И если эти три категории четко определены в Федеральном законе №152-ФЗ «О персональных данных» [1], для «иных ПД» нет конкретного описания или критериев. Это означает, что операторам необходимо самостоятельно классифицировать обрабатываемую информацию.

Для корректного отнесения данных к данной группе необходимо исключить их принадлежность к трем предыдущим категориям. Только после этого оператор может классифицировать информацию как «иную».

Несмотря на отсутствие жесткой регламентации, к обработке таких данных также применяются общие требования ФЗ-152: соблюдение конфиденциальности, обеспечение безопасности, получение согласия (где это необходимо) и прозрачность действий оператора.

Как собираются и обрабатываются персональные данные

Обработка персональных данных — это любое действие (или совокупность действий) с информацией, включая сбор, запись, систематизацию, накопление, хранение, уточнение, извлечение, использование, передачу, обезличивание, блокирование, удаление и уничтожение. Процесс проходит в несколько этапов:

1. Сбор. Первый этап — получение информации о субъекте. Данные могут собираться как с его прямого согласия, так и автоматически.


2. Хранение. После сбора ПДн размещаются в базах данных, на серверах или в облачных хранилищах. На этом этапе особенно важны меры защиты: шифрование, ограничение доступа, резервное копирование.


3. Использование. Данные применяются для достижения целей, зафиксированных оператором: выполнение услуг, персонализация контента, внутренний анализ и т. д.


4. Передача. Информация может быть передана третьим лицам — партнерам, субподрядчикам, государственным органам (например, при запросе по решению суда). Передача возможна только при наличии оснований и соблюдении законодательных требований.


5. Уничтожение или обезличивание. После достижения цели обработки или истечения срока хранения данные должны быть ликвидированы во избежание возможной идентификации субъекта.

Способы сбора персональных данных

В зависимости от целей и контекста сбор ПДн может осуществляться двумя способами:

Прямо от пользователя

Субъект сам предоставляет информацию через:

• анкеты и формы регистрации (на сайтах, в приложениях);


• договоры и заявления (например, при оформлении кредита или медицинской карты);


• устные сообщения (в колл-центрах, при личном обращении);


• загрузку документов (паспорта, СНИЛС, медицинских справок).

Такой способ предполагает осознанное участие человека и, как правило, требует его письменного или электронного согласия.

Автоматически

Многие данные собираются без прямого участия субъекта, но с использованием технологий:

• Cookies — файлы с информацией о действиях пользователя на сайте (посещенные страницы, выбранные товары, предпочтения).


• IP-адреса — позволяют определить местоположение и устройство, с которого осуществляется доступ.


• Поведенческие трекеры — скрипты и пиксели для фиксации поведения пользователя в интернете (время на сайте, клики, прокрутка страниц).


• Данные устройств — тип ОС, браузер, разрешение экрана, геолокация.


• Журналы серверов — фиксируют время и характер обращений к ресурсам.

Такой способ часто используется для анализа аудитории, таргетированной рекламы и улучшения пользовательского опыта, но должен быть прозрачным и регулироваться политикой конфиденциальности.

Цели обработки ПДн

Обработка персональных данных возможна только при наличии законной цели. Наиболее распространенные из них:

• Исполнение договора. Например, доставка товара по адресу или открытие банковского счета.


• Маркетинг и реклама. Рассылка предложений, персонализация рекламы (с согласия субъекта).


• Обеспечение безопасности. Проверка личности, предотвращение мошенничества, контроль доступа.


• Статистика и аналитика. Агрегированный анализ данных для улучшения сервисов (при условии соблюдения анонимности).


• Выполнение обязательств по закону. Передача данных в налоговые или правоохранительные органы.

Важно: оператор обязан четко указывать цели обработки до начала сбора данных, а также не использовать информацию в иных, не заявленных целях. Любое расширение сферы использования требует дополнительного согласия субъекта.

Права субъекта персональных данных

Субъект персональных данных — активный участник процесса обработки ПДн, наделенный рядом прав, которые закреплены законодательством, в первую очередь Федеральным законом №152-ФЗ «О персональных данных» [1]. Эти права призваны обеспечить прозрачность, контроль и защиту личной информации. Оператор обязан соблюдать их и предоставлять субъекту возможность реализовать их в любой момент.

Право на информированность

Согласно статье 14 ФЗ №152-ФЗ, субъект имеет право знать:

• кто является оператором его персональных данных;


• с какой целью и на каком основании осуществляется обработка;


• какие именно данные собираются и используются;


• куда и при каких условиях они могут быть переданы;


• сроки обработки и хранения;


• способы и условия предоставления согласия, а также порядок его отзыва.

Эта информация должна быть доступной, понятной и доведенной до субъекта до начала обработки — например, в форме политики конфиденциальности или уведомления при заполнении анкеты.

Право на доступ к своим данным

Каждый человек вправе запросить у оператора подтверждение факта обработки его персональных данных и получить информацию о них. По письменному запросу субъект может ознакомиться с:

• составом и содержанием персональных данных;


• источниками их получения;


• целями и сроками обработки;


• перечнем получателей (включая третьи лица);


• применяемыми способами обработки.

В статье 20 ФЗ №152-ФЗ прописано, что оператор обязан предоставить запрашиваемые сведения в течение 10 рабочих дней с момента получения запроса.

Право на исправление и удаление данных

Если персональные данные являются неточными, неполными или устаревшими, субъект вправе потребовать их уточнения или исправления. Что касается удаления, это возможно в следующих случаях:

• цель обработки персональных данных достигнута;


• субъект отозвал свое согласие, а иных правовых оснований для обработки нет;


• данные обрабатываются с нарушением закона;


• истек срок хранения.

Исключения возможны в случаях, когда хранение данных требуется по закону, например, для бухгалтерской отчетности или судебных разбирательств.

Право на отзыв согласия

Если обработка персональных данных основывается на согласии субъекта, он в любой момент может отозвать его в письменной форме или через электронный сервис.

Отзыв не влияет на законность обработки, проведенной до его получения, но требует прекращения дальнейшего использования данных, если отсутствуют иные правовые основания.

Право на защиту в суде

В случае нарушения своих прав субъект персональных данных вправе:

• Обратиться с жалобой в уполномоченный орган,например, в Роскомнадзор.


• Потребовать компенсацию морального вреда.


• Подать иск в суд для восстановления нарушенных прав, включая требование о прекращении незаконной обработки, удалении данных или возмещении ущерба.

Закон гарантирует каждому человеку возможность эффективной правовой защиты, даже если нарушение произошло без умысла или в результате технического сбоя.

Меры по защите персональных данных

Обеспечение безопасности персональных данных — обязанность каждого оператора, независимо от масштаба его деятельности. Согласно Федеральному закону №152-ФЗ, для защиты информации необходимо применять комплекс организационных, юридических и технических мер. Только их совокупное использование позволяет эффективно противостоять угрозам, таким как утечки, несанкционированный доступ и кибератаки.

Организационные меры

Организационные меры создают правовую и управленческую основу для безопасной обработки данных:

• Назначение ответственного лица. Оператор обязан определить сотрудника (или группу сотрудников), который отвечает за организацию обработки и защиту персональных данных. Эта роль включает контроль за соблюдением законодательства, внутренних регламентов и реагирование на инциденты.


• Разработка политики конфиденциальности. Документ, в котором прозрачно изложены цели, способы и условия обработки ПДн, а также права субъектов. Политика должна быть доступна пользователям и соответствовать требованиям законодательства.


• Обучение сотрудников. Все работники, кто имеет доступ к персональным данным, должны проходить инструктаж по вопросам конфиденциальности и информационной безопасности. Это снижает риски утечек по вине человеческого фактора.


• Внутренние регламенты и инструкции. Утверждение локальных актов, которые регулируют порядок доступа к данным, их передачи, хранения и уничтожения.

Юридические меры

Юридические меры обеспечивают правовую защиту и подотчетность оператора:

• Получение согласий субъектов. Оформление письменных или электронных согласий на обработку персональных данных в соответствии с формой, установленной законом. Согласие должно быть осознанным, конкретным и легко отзываемым.


• Договоры с субподрядчиками. При привлечении сторонних организаций (например, IT-компаний, хостинг-провайдеров) к обработке данных заключаются договоры, в которых четко прописываются обязанности по защите информации, условия передачи данных и меры ответственности за нарушения.


• Уведомление уполномоченного органа. Оператор обязан уведомить Роскомнадзор о начале обработки персональных данных (если не требуется регистрация базы данных), а также соблюдать требования по локализации и трансграничной передаче.

Технические меры

Технические средства обеспечивают физическую и программную защиту данных от внешних и внутренних угроз:

• Шифрование данных. Применение криптографических методов как при хранении (на серверах, в базах), так и при передаче (через интернет) делает информацию недоступной для посторонних.


• Защита от несанкционированного доступа. Использование фаерволов (брандмауэров) для фильтрации сетевого трафика, систем аутентификации и авторизации (логины, пароли, двухфакторная проверка), контроля прав доступа.


• Резервное копирование. Регулярное создание резервных копий данных позволяет восстановить информацию в случае сбоев, атак или случайного удаления.


• Аудит и мониторинг доступа. Ведение журналов событий, фиксация всех действий с персональными данными (кто, когда и что делал). Это помогает выявлять подозрительную активность и расследовать инциденты. 

Система мониторинга «ИНСАЙДЕР» позволяет автоматизировать анализ потоков событий и контроль инцидентов, которые могут указывать на утечку данных или злоупотребление полномочиями. Убедитесь в этом сами — запросите бесплатный демо-доступ и проверьте, что на самом деле происходит в вашей компании.

Получите демодоступ

Заполните форму и оцените возможности ИНСАЙДЕР

Получить демодоступ

Как пользователю защитить свои персональные данные

Хотя операторы несут юридическую ответственность за безопасность данных, значительная часть рисков зависит от личного поведения в интернете. Ниже — практические рекомендации, которые помогут минимизировать угрозы и сохранить контроль над персональной информацией.

Настройка приватности в соцсетях и приложениях

Многие пользователи по умолчанию делятся данными с широкой аудиторией. Чтобы этого избежать:

• ограничьте доступ к профилю — сделайте его приватным;


• отключите геометку в публикациях;


• проверьте, кто может видеть ваши фото, друзей, рабочую информацию;


• отзовите доступ приложений к соцсетям.

Также не забывайте регулярно пересматривать настройки конфиденциальности — они могут меняться после обновлений платформ.

Использование сложных паролей и двухфакторной аутентификации

Слабые пароли — одна из главных причин взломов. Используйте уникальные сложные пароли для каждого сервиса, храните их в надежном месте и не передавайте третьим лицам.

Также рекомендуется включить двухфакторную аутентификацию (2FA) по SMS, приложению или аппаратному ключу. Это создает дополнительный барьер для злоумышленников.

Осторожность при заполнении анкет и участии в опросах

Не все формы и опросы — безобидные развлечения. Многие используются для сбора данных под видом розыгрышей или тестов.

• Не указывайте паспортные данные, СНИЛС, ИНН без крайней необходимости.


• Избегайте анкет, которые требуют доступ к соцсетям или контактам.


• Проверяйте, кто является организатором акции и есть ли у него официальный сайт.

Если предложение кажется слишком выгодным, велика вероятность, что оно направлено на сбор персональной информации.

Регулярный контроль использования данных

Будьте в курсе, с кем вы делитесь информацией:

• Периодически проверяйте список сайтов и сервисов, где вы зарегистрированы.


• При необходимости отзывайте согласия на обработку данных через настройки или письменные запросы.


• Удаляйте старые аккаунты, которыми не пользуетесь.

Использование специальных инструментов

Дополнительные инструменты помогают обеспечить анонимность и безопасность:

• Антивирусные программы защищают от вредоносного ПО, которое может красть данные.


• Блокировщики рекламы и трекеров предотвращают скрытый сбор информации о ваших действиях в интернете.


• Приватные браузеры уменьшают цифровой след.

Защита персональных данных начинается с малого — осознанного отношения к информации, которую вы предоставляете. Даже простые привычки, такие как регулярная проверка настроек приватности и использование надежных паролей, значительно повышают уровень вашей цифровой безопасности.

Законодательное регулирование действий с ПДн

Защита персональных данных — это не только вопрос доверия, но и строго регулируемая правовая сфера. В разных странах действуют национальные законы, направленные на обеспечение конфиденциальности, безопасности и законности обработки личной информации.

В России основой правового регулирования в этой области является Федеральный закон №152-ФЗ «О персональных данных» [1], который:

• Определяет понятие персональных данных и устанавливает принципы их обработки (законность, добросовестность, достоверность, минимизация).


• Закрепляет права субъектов персональных данных.


• Устанавливает обязанности операторов по обеспечению безопасности информации.


• Регулирует порядок получения согласия на обработку данных.


• Предусматривает требования к защите персональных данных, включая применение организационных и технических мер.

Особое внимание в законе уделено обработке биометрических и специальных категорий данных, которая допускается только при наличии письменного согласия субъекта или других оснований, предусмотренных законом.

Контроль за соблюдением ФЗ-152 осуществляет Роскомнадзор — федеральный орган исполнительной власти, уполномоченный проводить проверки, выдавать предписания и применять санкции к нарушителям.

Трансграничная передача персональных данных

С 2015 года вступило в силу требование о локализации данных: операторы, которые собирают персональные сведения граждан РФ, обязаны хранить и первоначально обрабатывать их на серверах, расположенных на территории России [3]. Это положение направлено на усиление контроля за безопасностью информации и снижение рисков трансграничного несанкционированного доступа.

Передача персональных данных за пределы Российской Федерации строго регламентирована. Она разрешается только при выполнении всех следующих условий:

• Субъект дал письменное согласие на передачу своих данных в конкретную страну.


• Страна получателя обеспечивает адекватную защиту персональных данных (по оценке уполномоченного органа).


• Или между Россией и иной страной заключен международный договор, который регулирует обмен данными.

На практике это означает, что российские компании не могут без разрешения передавать данные пользователей в страны, где уровень защиты ПДн ниже установленных стандартов.

Риски при нарушении защиты персональных данных

Несмотря на растущие требования к защите персональных данных, утечки и инциденты происходят регулярно и затрагивают миллионы пользователей по всему миру. Недостаточный уровень защиты делает данные уязвимыми для злоумышленников, а последствия таких нарушений могут быть катастрофическими как для отдельных граждан, так и для целых организаций.

Утечки данных и кибератаки

Одна из самых распространенных угроз — утечка персональных данных в результате кибератак. Хакеры используют методы фишинга, вредоносного ПО, эксплуатации уязвимостей в системах или атак типа DDoS, чтобы получить доступ к базам данных. Как только информация попадает в публичный доступ или в руки преступников, ее уже невозможно полностью контролировать.

Часто утечки происходят из-за слабой защиты, устаревшего программного обеспечения или человеческого фактора — например, если сотрудник случайно открыл вредоносное письмо. 

Мошенничество и кража личности

Персональные данные — ценный актив для мошенников. Используя украденные ФИО, паспортные данные, номера телефонов и банковские реквизиты, злоумышленники могут:

• оформлять кредиты и займы на чужое имя;


• создавать фальшивые учетные записи;


• совершать покупки в интернете;


• выдавать себя за человека в социальных сетях или при общении с госорганами.

Такие действия могут привести к серьезным финансовым потерям и долгосрочным юридическим последствиям для жертвы.

Нарушение приватности и скрытая слежка

Сбор и анализ персональных данных без согласия субъекта нарушают право на неприкосновенность частной жизни. Современные технологии позволяют отслеживать местоположение, поведение в интернете, интересы и даже эмоциональное состояние человека. Это может использоваться как в маркетинговых целях, так и для манипуляций, шантажа или политического давления.

Особую тревогу вызывает скрытый мониторинг со стороны недобросовестных работодателей, государственных структур или рекламных платформ, что ставит под сомнение свободу выбора и личную автономию.

Ответственность за нарушение правил обработки ПДн

Государство и международные регуляторы все чаще применяют жесткие меры к компаниям и должностным лицам, допустившим утечки, несанкционированную обработку или игнорирование требований по защите информации.

Административная ответственность

Нарушение требований Федерального закона №152-ФЗ влечет административную ответственность по статье 13.11КоАП РФ [4]:

• Для должностных лиц: штраф от 1 000 до 5 000 рублей (при легком нарушении) и до 75 000 рублей — за грубые или систематические нарушения.


• Для юридических лиц: штраф от 10 000 до 60 000 рублей, а в случае серьезных нарушений — до 1 миллиона рублей.

За нарушение требований локализации данных (хранение за пределами РФ) компаниям грозит штраф до 6 миллионов рублей.

Уголовная ответственность

В особо тяжких случаях, когда нарушение повлекло массовую утечку, причинение вреда здоровью или репутации, может наступать уголовная ответственность по статье 137 УК РФ «Нарушение неприкосновенности частной жизни» [5]. Какие санкции применяют:

• штраф до 200 000 рублей (или в размере з/п за период до 18 месяцев);


• лишение свободы до 2 лет и права занимать определенные должности до 3 лет;


• обязательные (до 360 часов) или исправительные (до года) работы;


• арест на срок до 4 месяцев.

Ответственность по этой статье наступает за незаконный сбор или распространение сведений о частной жизни лица без его согласия.

Заключение

Персональные данные — это не просто сведения о человеке, а важный элемент его цифровой идентичности, приватности и безопасности. В условиях, когда почти каждое действие сопровождается обменом личной информацией, осознанное отношение к ее использованию становится необходимостью.

Невнимательность, привычка доверять данные без проверки, игнорирование настроек приватности — все это увеличивает риски утечек, мошенничества и потери контроля над своей личной жизнью.

Призываем вас: будьте внимательны, задавайте вопросы, проверяйте, кто и зачем использует ваши данные. Изучайте политики конфиденциальности, используйте современные инструменты защиты и не бойтесь отстаивать свои права.

Список использованных источников

1. Федеральный закон «О персональных данных» от 27.07.2006 N 152-ФЗ (последняя редакция).


2. Федеральный закон «О внесении изменений в Федеральный закон “О персональных данных”» от 25.07.2011 N 261-ФЗ.


3. Федеральный закон «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях» от 21.07.2014 N 242-ФЗ (последняя редакция).


4. «Кодекс Российской Федерации об административных правонарушениях» от 30.12.2001 N 195-ФЗ (ред. от 31.07.2025) (с изм. и доп., вступ. в силу с 06.09.2025).


5. «Уголовный кодекс Российской Федерации» от 13.06.1996 N 63-ФЗ (ред. от 31.07.2025) (с изм. и доп., вступ. в силу с 01.09.2025).

11 сентября | 15:00

ВЕБИНАР ОТ ТОТАЛЬНОГО КОНТРОЛЯ К ЭКОЛОГИЧНОЙ СИСТЕМЕ САМООРГАНИЗАЦИИ КОМАНДЫ

Расскажем о том, как экологично внедрить систему мониторинга и извлечь из этого пользу не только руководителям, но и сотрудникам.

Вас ждут взрывные идеи и ценные подарки, регистрируйтесь!

Зарегистрироваться