Категории персональных данных:
как бизнесу отличить обычные, специальные и биометрические данные

13.01.2023
10/07/26
Б-152
Категории персональных данных: как бизнесу отличить обычные, специальные и биометрические данные
Закон № 152-ФЗ не содержит отдельного закрытого перечня категорий персональных данных. На практике категории выделяют через системное толкование закона: иные персональные данные, специальные категории и биометрические персональные данные.
Для бизнеса категория данных важна не сама по себе, а из-за последствий, например: меняются основания обработки, форма согласия, требования к документам, уровень защиты, договоры с подрядчиками и риски при проверке.
Чаще всего ошибки возникают не в юридической классификации, а в рабочих процессах: HR собирает сведения о здоровье, ИТ внедряет СКУД с распознаванием, маркетинг публикует данные на сайте, а документы компании продолжают описывать только «ФИО, телефон и email».

Почему категории персональных данных важны для бизнеса

Федеральный закон № 152-ФЗ «О персональных данных» не содержит отдельного понятия «категории персональных данных» и не перечисляет их в виде готового списка. Но эти категории можно выделить через системное толкование закона.

На практике обычно говорят о трех группах:

  1. специальные категории персональных данных, или «чувствительные» данные, — статья 10 Закона № 152-ФЗ;
  2. биометрические персональные данные — статья 11 Закона № 152-ФЗ;
  3. иные персональные данные — базовая категория по умолчанию.

От категории зависит, на каком основании можно обрабатывать данные, нужно ли письменное согласие, можно ли распространять сведения, какие документы готовить и как выстраивать процесс в ИТ, HR, маркетинге, бухгалтерии, безопасности и клиентском сервисе.

На практике специалисту редко приходится определять категорию персональных данных для отдельного поля анкеты. Чаще задача заключается в анализе всего процесса обработки: кто собирает данные, зачем, где они хранятся, кто имеет доступ, передаются ли подрядчику, публикуются ли на сайте, используется ли автоматическая идентификация.

Именно на таких стыках чаще всего появляются ошибки. HR считает данные «кадровыми», ИТ — «техническими», маркетинг — «публичными», а юрист видит уже последствия: неверное согласие, неактуальная политика, лишняя передача подрядчику или отсутствие правового основания.
Когда компании нет уверенности, какие категории ПДн есть в ее процессах, начинать лучше не с шаблонов согласий, а с карты обработки: какие данные собираются, где они используются и какой режим к ним применим. Такую карту можно разобрать с экспертами Б-152 через форму заявки, чтобы не строить документы на неполной классификации.

Иные персональные данные: базовая категория по умолчанию

Начнем с иных персональных данных. Они получили такое название только потому, что закон не дал этой группе отдельного термина. По сути, это самая объемная и самая часто встречающаяся категория.

К иным ПДн относятся все сведения, которые не попадают в специальные категории и не являются биометрическими персональными данными.

Обычно в эту группу входят:

  • ФИО;
  • ИНН;
  • СНИЛС;
  • паспортные данные;
  • адрес регистрации;
  • адрес фактического места жительства;
  • номер телефона;
  • email;
  • данные, содержащиеся в договоре;
  • сведения о заказах;
  • фотоизображение, если оно не используется для установления личности как биометрия;
  • иные сведения, которые позволяют прямо или косвенно определить физическое лицо.

Это категория «по умолчанию», но она не означает низкий риск. В реальной компании именно иные ПДн чаще всего обрабатываются массово: в CRM, личных кабинетах, HR-системах, бухгалтерских документах, клиентской поддержке, маркетинговых рассылках, заявках с сайта и договорах с контрагентами.
Особенно часто базовые ПДн недооценивают в маркетинге: email, телефон, история заявок и сегменты в CRM выглядят «обычными», но быстро превращаются в отдельный риск. Подробно такие сценарии разобраны в материале о рисках в рассылках и CRM.
Здесь важно не умалять масштаб. Компания может считать, что не работает с чувствительными данными и поэтому рисков немного. Но если базовые ПДн обрабатываются в десятках систем, передаются подрядчикам, хранятся бессрочно и не отражены в уведомлении или политике, именно эта «обычная» категория становится основной зоной претензий.

Чем режим иных ПДн отличается от специальных и биометрических

Классификация ПДн отражается не только в названиях, но и в условиях обработки. Для иных персональных данных правовые основания установлены в части 1 статьи 6 Закона № 152-ФЗ.

Обработка этой категории чаще всего происходит по более широкому набору оснований:

  • для исполнения договора;
  • для заключения договора по инициативе субъекта;
  • для защиты законных интересов оператора или третьих лиц;
  • в статистических целях;
  • для осуществления профессиональной деятельности СМИ;
  • для научной, литературной или творческой деятельности;
  • по согласию субъекта;
  • по иным основаниям, указанным в законе.

Это видно даже по логике формулировок Закона № 152-ФЗ. К иным данным применима модель «обрабатываются в случаях…». Для специальных категорий подход строже: по общему правилу их обработка не допускается, кроме случаев, предусмотренных частями 2 и 2.1 статьи 10 Закона № 152-ФЗ.

Еще одно отличие — форма согласия. Для иных ПДн согласие не всегда должно быть письменным. Статья 6 Закона № 152-ФЗ не говорит о согласии именно в письменной форме. А часть 1 статьи 9 Закона № 152-ФЗ устанавливает общий подход: согласие на обработку персональных данных может быть дано субъектом или его представителем в любой форме, позволяющей подтвердить факт его получения, если иное не установлено федеральным законом.

Практический вывод: для обычных клиентских, договорных или сервисных процессов письменное согласие не всегда является обязательным. Но это не означает, что можно не фиксировать основание обработки. Если компания не может доказать, почему она обрабатывает данные, проблема остается.
Чтобы не выбирать согласие «по умолчанию» там, где есть другое основание, стоит свериться с разбором обработки ПДн без согласия: он помогает отделить случаи, где согласие действительно нужно, от ситуаций, где важнее корректно зафиксировать иное правовое основание.

Общедоступные данные: категория или режим обработки

В интернете можно встретить подход, по которому категорий персональных данных не три, а четыре: к иным, специальным и биометрическим добавляют общедоступные данные.

Но корректнее рассматривать общедоступность не как отдельную категорию данных, а как особый режим обработки.

До 01.03.2021 в Законе № 152-ФЗ действовал пункт 10 части 1 статьи 6. Он говорил об обработке персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе. Такие данные назывались персональными данными, сделанными общедоступными субъектом персональных данных.

Сейчас этот пункт утратил силу. Вместо него появилась статья 10.1 Закона № 152-ФЗ, которая регулирует согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения.

Это важное различие для бизнеса. Раньше многие компании рассуждали так: «данные уже есть в открытом доступе, значит, их можно свободно использовать». Сейчас такая логика опасна. Если данные распространяются неопределенному кругу лиц, нужно смотреть специальный режим статьи 10.1 Закона № 152-ФЗ, согласие на распространение, запреты и ограничения субъекта.

Субъект в согласии на обработку ПДн, разрешенных для распространения, может указать и иные данные, и специальные категории ПДн. Но биометрические данные из-за высокого уровня возможного вреда при утечке не могут быть распространены даже на основании согласия субъекта. Это связано с закрытым перечнем правовых оснований обработки в статье 11 Закона № 152-ФЗ.

Специальные категории персональных данных

Специальные категории персональных данных регулируются статьей 10 Закона № 152-ФЗ. Их также часто называют «чувствительными» данными.

К ним относятся сведения, касающиеся:

  • расовой принадлежности;
  • национальной принадлежности;
  • политических взглядов;
  • религиозных убеждений;
  • философских убеждений;
  • состояния здоровья;
  • интимной жизни.

Обработка таких данных по общему правилу не допускается. Об этом прямо говорит часть 1 статьи 10 Закона № 152-ФЗ. Исключения предусмотрены в частях 2 и 2.1 этой статьи.

К специальной категории законодатель также относит данные о судимости субъекта — часть 3 статьи 10 Закона № 152-ФЗ. При этом случаи сбора данных об отсутствии судимости к специальной категории ПДн, по позиции Роскомнадзора, не относятся (стоп-кадр 02:47:00). времени.

Почему специальные категории требуют более строгого режима

Выделение специальных категорий ПДн в отдельную группу связано с повышенным риском дискриминации и вреда для субъекта.

По сути, такой режим продолжает конституционную логику статьи 19 Конституции Р Ф, где закреплено равенство прав и свобод человека и гражданина независимо от расы, национальности, пола, принадлежности к общественным объединениям и иных обстоятельств.

Если такие данные используются неверно, последствия могут быть не только юридическими. Компания рискует получить трудовой спор, жалобу, репутационный конфликт, претензии по дискриминации или вопросы к законности всего процесса.

Например, сведения о здоровье могут появиться в HR-процессе, медицинском осмотре, страховании, корпоративной программе ДМС, доступе к льготам или внутреннем расследовании. Если такие сведения обрабатываются как обычные кадровые данные, компания может не оформить письменное согласие, не ограничить доступ и не отразить повышенный режим обработки.

В перечне оснований обработки специальных категорий, в отличие от иных ПДн, отсутствует целый ряд оснований «общегражданского» характера. Преобладают основания, связанные с законом: пункт 2.1, пункты 7−10 части 2 статьи 10 Закона № 152-ФЗ.

Также для специальных категорий применяется правило об обязательной письменной форме согласия, если обработка идет по пункту 1 части 2 статьи 10 Закона № 152-ФЗ.
Поскольку для таких данных критична форма и содержание согласия, перед запуском процесса стоит проверить не только наличие документа, но и его качество. В материале о распространенных недостатках согласий разобрали, почему общие формулировки часто не покрывают реальный объем и цель обработки.

Как специальные данные появляются там, где их не ждали

Специальные категории ПДн могут обрабатываться целенаправленно, когда у оператора есть цель работать именно с такими данными. Например, медицинская организация обрабатывает сведения о здоровье пациента.

Но на практике специальные данные часто появляются в процессе обработки обычных ПДн.

Например:

  • кандидат прикладывает к резюме сведения о состоянии здоровья;
  • сотрудник направляет работодателю медицинский документ;
  • клиент сообщает сведения о заболевании в обращении в службу поддержки;
  • участник мероприятия указывает ограничения по питанию, связанные с религиозными убеждениями или состоянием здоровья;
  • в кадровом процессе появляется информация о судимости;
  • в корпоративной программе страхования обрабатываются медицинские сведения.

В таких ситуациях компания могла не планировать обработку специальных категорий. Но если такие данные фактически появились, к ним применяются правила специальных категорий.

Этот подход сохранен в исходной экспертной позиции со ссылкой на Савельева А. И.: специальные категории ПДн могут появляться в процессе обработки иных ПДн, и к таким специальным ПДн, полученным в результате первичной обработки обычных ПДн, применяются правила специальных категорий.

Источник: Савельев А. И. Научно-практический постатейный комментарий к Федеральному закону «О персональных данных» / 3-е изд., перераб. и доп. — Москва: Статут, 2026. С. 242.

Для бизнеса здесь важна рабочая логика: недостаточно один раз классифицировать поля анкеты. Нужно смотреть, какие данные реально попадают в процесс через файлы, комментарии, обращения, вложения, свободные поля и коммуникацию с человеком.

Биометрические персональные данные

Биометрические персональные данные регулируются статьей 11 Закона № 152-ФЗ.

В соответствии с частью 1 статьи 11 Закона № 152-ФЗ биометрические персональные данные — это сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность, и которые используются оператором для установления личности субъекта персональных данных.

Из этого определения можно выделить два ключевых признака.

Первый признак: данные характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность. Обычно речь идет о признаках, которые имеют устойчивый характер и практически не меняются в течение жизни. Например, отпечатки пальцев.

Второй признак: цель обработки заключается именно в установлении личности субъекта.

Для признания данных биометрическими должны соблюдаться оба признака. Если компания обрабатывает фотографию человека без цели установления личности, о биометрии может не идти речь.

Например, организация к юбилею выпускает печатную версию альбома с фотографиями сотрудников. Если фотографии используются для иллюстрации корпоративного материала, а не для идентификации, они не становятся биометрическими ПДн только потому, что на них изображены лица людей.

Но ситуация меняется, если изображение используется для допуска в офис, идентификации пользователя, сравнения с эталонным шаблоном, подтверждения личности или автоматической проверки доступа.

Фотоизображение: когда это обычные ПДн, а когда биометрия

Фото — один из самых частых источников ошибок.

В одном процессе фото может быть обычным персональным данным. Например, фотография сотрудника в корпоративном альбоме, на бейдже без автоматической идентификации или в новости о мероприятии.

В другом процессе то же фото может стать биометрическим персональным данным. Например, если оно используется в системе распознавания лиц для входа в офис, подтверждения личности в сервисе или автоматической аутентификации.

Ошибка возникает, когда бизнес оценивает не процесс, а сам объект: «это просто фотография». На практике нужно задавать другой вопрос: для чего используется изображение. Если цель — установить личность человека, рассматривается режим биометрии.

Поэтому проекты со СКУД, камерами, распознаванием лиц, голосовой идентификацией и удаленной аутентификацией требуют совместной проверки юриста, ИТ, ИБ и владельца процесса. Формально это может выглядеть как техническое улучшение доступа, но юридически затрагивает один из самых строгих режимов обработки ПДн.
Для офисных систем доступа эту разницу лучше проверять до внедрения. В материале о правовой базе СКУД по лицу и пальцу разобрано, почему удобство распознавания не заменяет письменное согласие, корректную цель и отдельную оценку режима биометрии.

Позиция Роскомнадзора о биометрии

В исходном материале приведено письмо Роскомнадзора от 29 августа 2022 г. № 08−78 032 «О рассмотрении обращения». В нем регулятор сформулировал фактически дополнительное требование к биометрическим ПДн: возможность отнесения тех или иных сведений к биометрическим персональным данным регулируется законодательными и иными нормативными правовыми актами.

Иными словами, для признания данных биометрическими учитывается не только характер сведений и цель установления личности, но и наличие нормативного закрепления возможности таких сведений выступать в качестве биометрии.

В письме Роскомнадзор приводит в пример цветное изображение человека, требования к формату которого утверждены ГОСТом.

Для обработки биометрических ПДн требуется согласие субъекта в письменной форме. В части 2 статьи 11 Закона № 152-ФЗ указаны случаи-исключения, когда обработка допускается без согласия субъекта. Это случаи публично-правового характера: дактилоскопическая регистрация, случаи, предусмотренные законодательством о безопасности, обороне, уголовно-процессуальным и уголовно-исполнительным законодательством и другие подобные основания.

Единая биометрическая система и ФЗ № 572

В России действует единая биометрическая система — ЕБС. Ее функционирование регулируется отдельным федеральным законом — ФЗ № 572.

Из сферы действия этого закона исключены случаи обработки ПДн в соответствии с законодательством о безопасности, обороне, оперативно-розыскной деятельности и другими специальными режимами. То есть практически все случаи, которые указаны в части 2 статьи 11 Закона № 152-ФЗ.

Согласно статье 3 ФЗ № 572 ЕБС используется для целей идентификации и аутентификации физического лица:

  • органами публичной власти;
  • Центральным Банком РФ и коммерческими финансовыми организациями, включая банки и МФО;
  • иными коммерческими организациями и ИП;
  • нотариусами.

Под действие ФЗ № 572 попадают только две разновидности биометрических данных: фотоизображение человека и голос. Для каждого вида есть требование к способу получения: фотоизображение — с использованием фотовидеоустройств, голос — с использованием звукозаписывающих устройств.

Иные разновидности биометрических ПДн, например отпечаток пальца или сетчатка глаза, не попадают под действие ФЗ № 572. Они обрабатываются вне ЕБС и в рамках общих положений Закона № 152-ФЗ о биометрических данных.

Важное ограничение: ФЗ № 572 распространяется только на случаи идентификации и аутентификации автоматизированным способом. Он не применяется к ситуациям, когда принадлежность биометрических ПДн конкретному субъекту устанавливает человек.

Сравнительная таблица категорий ПДн

Категория
Что входит
Основной режим
Где бизнес чаще ошибается
Иные ПДн
ФИО, ИНН, СНИЛС, паспорт, адрес, телефон, email, договорные и клиентские сведения, фото без цели идентификации
Основания обработки — часть 1 статьи 6 Закона № 152-ФЗ; согласие может быть в любой подтверждаемой форме, если закон не требует иного
Считают данные «обычными» и не проверяют цель, сроки хранения, подрядчиков и фактические системы
Специальные категории
Расовая и национальная принадлежность, политические взгляды, религиозные и философские убеждения, состояние здоровья, интимная жизнь, данные о судимости
Общий запрет на обработку, кроме случаев частей 2 и 2.1 статьи 10 Закона № 152-ФЗ; при согласии — письменная форма
Не замечают специальные данные в HR, обращениях, вложениях, медицинских документах и свободных полях
Биометрические ПДн
Сведения о физиологических и биологических особенностях, используемые для установления личности
Статья 11 Закона № 152-ФЗ; по общему правилу требуется письменное согласие; есть публично-правовые исключения
Путают обычное фото с биометрией или, наоборот, не видят биометрию в системах распознавания и доступа
ПДн, разрешенные для распространения
Иные и специальные ПДн, которые субъект разрешил распространять по статье 10.1 Закона № 152-ФЗ
Это не отдельная категория, а режим распространения; требуется специальное согласие
Считают открытые данные свободными для любого использования и не учитывают запреты субъекта

Как определить категорию данных в рабочем процессе

На практике классификация данных лучше работает не как юридическая таблица, а как последовательность вопросов.

Шаг 1. Что именно собирается

Нужно описать не только поля формы, но и фактические данные: вложения, комментарии, документы, логи, изображения, аудио, технические идентификаторы, данные из подрядчиков и внешних сервисов.

Часто при такой проверке выясняется, что компания собирает больше, чем думает. Например, в форме указаны ФИО и телефон, но пользователь может приложить файл с медицинскими сведениями. Или HR-система содержит не только резюме, но и оценки кандидатов, комментарии интервьюеров и результаты тестирования.
Такая проблема часто начинается уже на сайте: форма выглядит простой, но вместе с ней работают cookie, аналитика, CRM и подрядчики. В материале о формах, cookie и политике на первом экране показано, как проверить не только поля формы, но и весь маршрут данных после отправки заявки.

Шаг 2. К кому относятся данные

Нужно определить категории субъектов:

  • клиенты;
  • пользователи сайта;
  • сотрудники;
  • кандидаты;
  • представители контрагентов;
  • посетители офиса;
  • участники мероприятий;
  • пациенты;
  • пользователи сервиса;
  • подрядчики.

Ошибка часто возникает в B2B. Компания считает, что работает с юридическими лицами, но фактически обрабатывает данные представителей: ФИО, рабочие email, телефоны, должности, подписи, переписку.

Шаг 3. Есть ли специальные признаки

Отдельно проверяются сведения о здоровье, религиозных убеждениях, национальности, политических взглядах, интимной жизни и судимости.

Если такие данные появляются даже случайно, например в обращении клиента, резюме или приложенном документе, процесс нужно пересматривать. Нельзя продолжать обрабатывать их как обычные ПДн только потому, что компания не планировала их собирать.

Шаг 4. Используются ли данные для установления личности

Для биометрии решающим становится не только характер данных, но и цель. Фото, голос, отпечаток пальца или изображение лица нужно проверять через вопрос: используются ли они для установления личности.

Если да, нужно смотреть статью 11 Закона № 152-ФЗ, письменное согласие, исключения, требования к системе и, при необходимости, связь с ФЗ № 572.

Шаг 5. Есть ли распространение

Если данные публикуются на сайте, в каталоге, на странице сотрудников, в отзывах, кейсах, карточках экспертов или публичных материалах, нужно проверить статью 10.1 Закона № 152-ФЗ.

Здесь важно не путать доступность данных и законность распространения. Даже если человек сам предоставил информацию, это не всегда означает, что компания может свободно разместить ее для неопределенного круга лиц.

Шаг 6. Что написано в документах

В финале нужно сопоставить вывод с документами:

  • политикой обработки ПДн;
  • согласием;
  • уведомлением в РКН;
  • реестром процессов;
  • договором с подрядчиком;
  • локальными актами;
  • настройками ИТ-систем;
  • сроками хранения.

Без этой сверки классификация остается теоретической. Бизнес может правильно определить категорию, но не отразить ее в согласии, уведомлении, договоре с подрядчиком или мерах защиты.
Когда процессов много, классификация быстро перестает помещаться в одну таблицу
В Privacy Box можно вести реестры обработки ПДн, фиксировать категории данных, цели, основания, ответственных и актуализировать процессы без ручной сверки разрозненных файлов.

Типовые ошибки при классификации персональных данных

Ошибка 1. Считать все ПДн одинаковыми

Если компания обрабатывает ФИО, сведения о здоровье и изображение для распознавания лица по одной логике, это почти всегда признак слабой модели. У этих данных разный режим, разные основания и разные требования к согласию.

Ошибка 2. Путать общедоступность и распространение

Наличие данных в открытом источнике не означает, что компания может использовать их как угодно. После появления статьи 10.1 Закона № 152-ФЗ нужно отдельно смотреть согласие на распространение и ограничения субъекта.

Ошибка 3. Не замечать специальные данные в свободных полях

Свободные поля, обращения, файлы и комментарии часто содержат сведения, которые компания не планировала собирать. Но если они фактически попали в систему, нужно оценить правовой режим.

Ошибка 4. Считать любую фотографию биометрией

Фото само по себе не всегда биометрические ПДн. Если оно используется без цели установления личности, режим биометрии может не применяться. Но если фото используется для идентификации, доступа или автоматической проверки личности, ситуация меняется.

Ошибка 5. Не пересматривать категорию при изменении цели

Данные могли собираться как обычные ПДн, но затем использоваться для новой цели. Например, фото из корпоративного архива начали применять для автоматического распознавания в офисе. В этот момент меняется не только цель, но и правовой режим.

Последствия неправильной классификации

Неверная категория данных редко остается чисто юридической ошибкой. Обычно она приводит к цепочке последствий.

Если специальные данные признали обычными, компания может не получить письменное согласие, не ограничить доступ и не установить повышенный режим обработки.

Если биометрию приняли за обычное фото, может быть неправильно оформлен СКУД, идентификация в сервисе или голосовая аутентификация.

Если распространение приняли за обычную обработку, компания может опубликовать данные без отдельного согласия по статье 10.1 Закона № 152-ФЗ.

Если общедоступные данные восприняли как свободные для любого использования, можно выйти за пределы допустимой цели обработки.

Если категория не отражена в документах, возникают расхождения: в политике одно, в реестре другое, в уведомлении третье, а в ИТ-системе четвертое.

Именно такие расхождения чаще всего показывают, что документы в компании существуют отдельно от процессов. Формальное наличие политики или согласия еще не означает, что режим обработки выбран правильно.

Что проверить бизнесу прямо сейчас

Для первичной проверки достаточно пройтись по нескольким вопросам.

  1. Какие персональные данные компания считает «обычными» и почему?
  2. Есть ли в процессах сведения о здоровье, судимости, религиозных убеждениях, национальности или иных специальных категориях?
  3. Используются ли фото, голос, отпечатки, изображение лица или другие признаки для установления личности?
  4. Есть ли публикация данных на сайте, в отзывах, кейсах, карточках сотрудников или открытых каталогах?
  5. Не появляются ли специальные данные в свободных полях, вложениях, обращениях и HR-документах?
  6. Отражены ли категории данных в политике, согласиях, уведомлении и реестре процессов?
  7. Кто внутри компании отвечает за пересмотр категории данных при запуске нового процесса?
  8. Передаются ли такие данные подрядчикам и соответствует ли договор выбранному режиму?
  9. Есть ли отдельные правила по срокам хранения и уничтожению для разных категорий?
  10. Что изменится, если процесс масштабировать: добавить аналитику, ИИ, СКУД, подрядчика или публикацию?

Такая проверка помогает увидеть не только очевидные нарушения, но и зоны, где процесс выглядит законным только до первого изменения.
Когда таких процессов много, ручная сверка быстро становится источником ошибок!
В Privacy Box можно систематизировать процессы обработки ПДн, вести реестры, фиксировать категории данных и поддерживать документы в актуальном состоянии без разрозненных таблиц и переписок.

Популярные вопросы

1) Какие категории персональных данных выделяют по 152-ФЗ?

Сам закон не содержит отдельного закрытого перечня категорий. Через системное толкование обычно выделяют иные персональные данные, специальные категории персональных данных и биометрические персональные данные.

2) Что относится к иным персональным данным?

К иным ПДн относятся сведения, которые не являются специальными или биометрическими. Например, ФИО, ИНН, СНИЛС, паспортные данные, адрес, телефон, email, договорные и клиентские сведения.

3) Что такое специальные категории персональных данных?

Это сведения о расовой и национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни, а также данные о наличии судимости.

4) Почему специальные категории обрабатываются строже?

Такие сведения могут привести к дискриминации или существенному вреду для субъекта. Поэтому статья 10 Закона № 152-ФЗ устанавливает общий запрет на их обработку, кроме специальных исключений.

5) Когда фотография становится биометрическими персональными данными?

Фотография может стать биометрическими ПДн, если она используется для установления личности человека и характеризует физиологические и биологические особенности человека. Если фото используется без такой цели, например в корпоративном альбоме, режим биометрии может не применяться.

6) Общедоступные данные — это отдельная категория ПДн?

Нет. Общедоступность корректнее рассматривать как режим обработки или распространения, а не как отдельную категорию персональных данных. Сейчас такие вопросы регулируются статьей 10.1 Закона № 152-ФЗ.

7) Какие биометрические данные подпадают под ФЗ № 572?

Под действие ФЗ № 572 в рамках ЕБС попадают фотоизображение человека и голос, полученные с использованием соответствующих устройств, если они используются для автоматизированной идентификации и аутентификации.

Итог

Категории персональных данных — это способ понять, какой режим обработки должен применяться к конкретному процессу.

Иные ПДн встречаются чаще всего, но это не делает их незначимыми. Специальные категории требуют повышенного внимания из-за риска дискриминации и более строгих оснований обработки. Биометрия требует отдельной оценки, потому что решающим становится не только тип данных, но и цель установления личности.

Рабочая модель для бизнеса строится не вокруг вопроса «как назвать эти данные», а вокруг процесса: какие сведения собираются, к кому относятся, зачем используются, передаются ли подрядчикам, публикуются ли, применяются ли для идентификации и отражены ли в документах.

Компании, которые проверяют категории данных на уровне реальных процессов, а не отдельных шаблонов, быстрее находят слабые места: свободные поля, HR-вложения, СКУД, публикации, аналитику, подрядчиков и несоответствие документов фактической обработке. Именно там чаще всего и возникает риск.
Ввод оборотных штрафов за утечки откладывается минимум до 1 июля 2023 года
Для регулярного отслеживания изменений и практики по биометрии, специальным категориям ПДн, согласиям и ЕБС удобно читать разборы в Telegram-канале Б-152.
реклама
бизнес
юридические вопросы
маркетинг
Материалы по теме