Чтобы информация относилась к персональным данным, обычно нужно проверить три признака.
152-ФЗ использует максимально широкую формулировку: персональными данными может быть любая информация.
Такой подход соответствует международным подходам к регулированию персональных данных, закрепленным, в частности, в
Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данныхЛогика понятна: технологии и бизнес-процессы меняются быстрее, чем законодательство. Если бы закон содержал закрытый перечень персональных данных, он быстро устарел бы. Сегодня компании работают не только с паспортами и телефонами, но и с cookie, ID устройств, данными о поведении на сайте, геолокацией, изображениями с камер, профилями активности, оценками кандидатов, внутренними идентификаторами в CRM и HRM.
В российском законодательстве есть и легальное определение информации:
это сведения, сообщения, данные независимо от формы их представления. Поэтому формат не имеет решающего значения. Данные могут быть в анкете, таблице, видеозаписи, аудиофайле, логе, CRM-карточке, заявке с сайта, скриншоте, переписке или отчете аналитики.
Практический вывод для бизнеса: проверять нужно не только очевидные поля вроде ФИО и телефона, но и технические, поведенческие и служебные данные, если они помогают выделить человека.
Почему нельзя работать по закрытому списку ПДнВо многих компаниях до сих пор используют упрощенный подход, где к персональным данным относятся ФИО, паспорт, телефон, email, адрес и СНИЛС. Такой список удобен для первичной инвентаризации, но опасен как единственный критерий.
Проблема в том, что бизнес-процессы редко работают с данными изолированно:
- CRM связывает телефон с историей заказов
- Сайт связывает cookie с поведением пользователя
- HR-система связывает резюме с оценкой кандидата
- Пропускная система связывает изображение, время входа и подразделение
- Маркетинговая платформа связывает email, сегмент, клики и реакцию на рассылку
Поэтому правильная логика не «есть ли это поле в списке персональных данных», а «можно ли по этой информации прямо или косвенно определить человека в конкретном процессе».
Такой подход помогает не перегружать компанию лишними мерами, но и не пропустить данные, которые становятся персональными только в связке с другими сведениями.
Субъектом персональных данных по 152-ФЗ может быть только физическое лицо. Так называемые «персональные данные юридического лица» не являются персональными данными в смысле 152-ФЗ. Например, фирменное наименование компании относится к сфере гражданского законодательства, а не к регулированию персональных данных.
Но в работе с бизнес-контрагентами граница не всегда очевидна. Название ООО само по себе не является ПДн. А вот ФИО генерального директора, рабочий email конкретного менеджера, номер телефона представителя или подпись в договоре уже могут относиться к физическому лицу.
На практике это особенно важно в B2B-процессах. Компания может считать, что работает только с юридическими лицами, но фактически обрабатывает данные представителей: сотрудников клиента, подписантов, бухгалтеров, технических специалистов, контактных лиц в CRM, участников переговоров и пользователей личного кабинета.
И здесь часто возникают расхождения между документами и реальностью. В политике написано, что компания обрабатывает данные клиентов-физических лиц, но не отражены представители контрагентов. В уведомлении в РКН указаны одни категории субъектов, а CRM содержит другие. В договоре с подрядчиком описана передача данных клиентов, но фактически передаются и данные сотрудников партнеров.
Как информация может относиться к человекуВ экспертной литературе выделяется несколько моделей связи информации с субъектом данных.
Первая модель — информация относится к человеку по своему содержанию. Например, результаты медицинского исследования, сведения о зарплате, данные паспорта, номер СНИЛС, информация о прохождении обучения, кадровые документы.
Вторая модель — информация используется, чтобы оценить поведение, деятельность лица или повлиять на его восприятие. Например, анализ активности в интернете для таргетированной рекламы, специальные ценовые предложения в маркетплейсах, оценка кандидатов, скоринг клиента или сегментация базы для рассылок.
Третья модель связана с техническими средствами, которые использует человек. Данные могут собираться преимущественно в технических целях, но затем анализироваться оператором для других задач. В качестве примера в научно-практическом комментарии приводится оценка качества труда таксистов на основе геолокационных данных автомобилей, входящих в таксопарк.
Источник: Савельев А.И. Научно-практический постатейный комментарий к Федеральному закону «О персональных данных» / 3-е изд., перераб. и доп. — Москва: Статут, 2026. С. 61.
Для бизнеса здесь важна не теория, а рабочий вывод: если данные используются для оценки, сегментации, контроля, персонализации, допуска, отказа, начисления, коммуникации или принятия решения в отношении человека, их нужно проверять как потенциальные персональные данные.
Отдельный вопрос: данные умерших лицЗакон № 152-ФЗ не содержит специальных положений о статусе умершего лица как субъекта персональных данных. Но российское законодательство предусматривает механизмы защиты такой информации.
Так, частью 7 статьи 9 Закона № 152-ФЗ предусмотрено право наследников давать согласие на обработку персональных данных умершего лица и отзывать такое согласие.
Защита персональных данных умершего — интерес не только наследников, но и государства. О публично-частном характере этого вопроса свидетельствует
Постановление Конституционного Суда РФ, которым было положено начало изменениям в медицинское законодательство: медицинские организации получили обязанности предоставлять медицинские документы умерших пациентов супругу, близким родственникам, членам семьи умершего пациента и лицам, указанным в его информированном добровольном согласии на медицинское вмешательство.
Для бизнеса этот блок важен в медицинских, страховых, кадровых, архивных и сервисных процессах. Даже если субъект умер, это не означает, что компания может свободно раскрывать сведения о нем или хранить их без правовой оценки.
Третий признак — возможность определить человека прямо или косвенно.
Информация прямого отношения позволяет установить конкретного субъекта. Например, ФИО в связке с паспортом, СНИЛС, ИНН физического лица, номером договора, личным кабинетом или рабочим профилем.
Информация косвенного отношения не всегда сразу называет человека, но сужает круг потенциальных субъектов или позволяет выделить конкретного пользователя при сопоставлении с другими данными. Таких примеров в современной компании гораздо больше:
- IP-адрес;
- cookie-файлы;
- ID устройства;
- геолокация;
- данные с камер видеонаблюдения;
- адрес места жительства;
- корпоративный email;
- история действий в личном кабинете;
- идентификатор пользователя в CRM;
- логи доступа;
- данные поведения на сайте.
Практическая сложность в том, что косвенная идентификация почти всегда зависит от контекста. Один технический идентификатор может быть бесполезен для одного лица и очень информативен для другого. Если компания может сопоставить его с заявкой, заказом, аккаунтом, email или телефоном, риск квалификации как ПДн становится выше.