Какие штрафы действуют за нарушения законодательства о персональных данных в 2026 году

13.01.2023
15/07/26
Б-152
Какие штрафы действуют за нарушения законодательства о персональных данных в 2026 году
Основные штрафы за нарушения в сфере персональных данных установлены в ст. 13.11 КоАП РФ, являющейся основной в системе административной ответственности за нарушения законодательства о ПДн. Наиболее серьезные составы связаны с нарушением требований о локализации данных, утечками, обработкой специальных категорий ПДн и биометрических данных без надлежащего правового основания.
Отдельная зона риска — уголовная ответственность по ст. 272.1 УК РФ за незаконные использование, передачу, сбор или хранение компьютерной информации, содержащей персональные данные.
Для бизнеса важен не только размер штрафа. Проверки со стороны надзорного органа в лице Роскомнадзора (РКН) обычно вскрывают более глубокую проблему: компания не может доказать правовое основание обработки, актуальность документов, контроль доступа, должное реагирование на инциденты или управление подрядчиками.

Почему штрафы за ПДн стали управленческим риском

Институт персональных данных остается одним из самых динамично развивающихся в российской правовой системе. На него влияют развитие информационных технологий, рост цифровых сервисов, искусственный интеллект, маркетинговая аналитика, биометрия, облачные инфраструктуры и риски, связанные с утечками данных.

Поэтому ответственность за нарушения в сфере ПДн уже нельзя рассматривать только лишь через призму последствий этих нарушений. На практике нарушение часто возникает не в момент, когда юрист не подготовил документ, а когда реальный процесс такой обработки расходится с требованиями закона: сайт собирает данные без правового основания, CRM хранит лишние сведения, сотрудник не отвечает субъекту в срок, подрядчик допускает инцидент, а компания не может показать, какие меры контроля применялись.
Если нужно посмотреть на штрафы не через последствия в виде сумм, а через первопричины нарушений, полезен разбор десяти сценариев неправомерной обработки ПДн: он помогает увидеть, где риск штрафа обычно появляется в реальных бизнес-процессах.
Статья 24 Федерального закона № 152-ФЗ «О персональных данных»содержит отсылочную норму: лица, виновные в нарушении требований закона, несут ответственность, предусмотренную законодательством Российской Федерации. На практике речь идет о следующих видах ответственности: административной, уголовной, дисциплинарной, материальной (в контексте трудового права) и гражданско-правовой.

В этой статье фокус именно на штрафах. Поэтому основной разбор касается КоАП РФ и УК РФ: именно эти акты предусматривают штраф как вид наказания.

Где установлены штрафы за нарушения в сфере ПДн

Наиболее распространенный вид ответственности для операторов ПДн — административная ответственность по ст. 13.11 КоАП РФ «Нарушение законодательства Российской Федерации в области персональных данных». Эта статья охватывает обработку без правового основания, нарушения требований к согласию, отсутствие политики конфиденциальности, нарушение прав субъекта, локализацию, уведомления, инциденты, утечки, специальные категории ПДн и биометрию.

Сложность для бизнеса в том, что один инцидент может затронуть сразу несколько составов правонарушений. Например, утечка клиентской базы может одновременно поднять вопросы о мерах защиты, локализации, своевременном уведомлении РКН, роли подрядчика, составе данных и наличии специальных категорий ПДн.

Краткая карта штрафных рисков по ст. 13.11 КоАП РФ

Группа нарушений
Части ст. 13.11 КоАП РФ
Что обычно происходит на практике
Почему это важно бизнесу
Базовые нарушения обработки
1–2.1
Нет основания, некорректное согласие, неверная форма согласия
Ошибка часто видна уже по форме, сайту, анкете или договору
Публичность документов и права субъектов
3–5.1
Нет политики на сайте, компания не отвечает субъекту, не уточняет или не уничтожает данные
Жалобы субъектов быстро превращаются в проверяемые составы
Хранение без автоматизации и обезличивание
6–7
Бумажные документы хранятся небезопасно, публичные органы нарушают правила обезличивания
Риск возникает не только в ИТ, но и в архивах, HR, делопроизводстве
Локализация
8–9
Первичный сбор данных граждан РФ осуществляется не в РФ
Один из самых дорогих административных составов
Уведомления в РКН
10–11
Оператор не уведомил о начале обработки или об инциденте
Нарушение может быть выявлено без анализа всей системы
Утечки и неправомерная передача
12–18
Данные оказались в открытом доступе или переданы неправомерно
Размер штрафа зависит от объема, типа данных и повторности

Базовые нарушения обработки: части 1–2.1 ст. 13.11 КоАП РФ

Часть 1: обработка без правового основания или не по цели

Часть 1 ст. 13.11 КоАП РФ применяется, когда оператор обрабатывает ПДн без правового основания либо обработка несовместима с целями сбора данных. Также сюда могут попадать утечки, которые по последствиям не квалифицируются по специальным составам частей 12−18.
Субъект
Штраф
Граждане
10 000–15 000 руб.
Должностные лица
50 000–100 000 руб.
Юридические лица
150 000–300 000 руб
Пример из судебной практики: решением Савеловского районного суда города Москвы от 09.06.2026 № 12−2573/2026 оставлено в силе постановление мирового судьи о назначении штрафа банку в размере 150 000 руб. за обработку ПДн несовершеннолетнего без согласия его законного представителя. Основанием к возбуждению дела стало обращение законного представителя несовершеннолетнего в РКН.

Практический вывод: жалоба одного субъекта может стать точкой входа для проверки всей модели обработки. Особенно чувствительны процессы с несовершеннолетними, поскольку обработка напрямую связана с вопросом, может ли несовершеннолетний самостоятельно дать согласие или его должен предоставить законный представитель.

Часть 1.1: повторное нарушение по части 1

Повторное совершение действий, указанных в части 1, влечет более высокий штраф.
Субъект
Штраф
Граждане
15 000–30 000 руб.
Должностные лица
100 000–200 000 руб.
Юридические лица
300 000–500 000 руб.
Здесь важна не только сумма. Повторность показывает, что компания не устранила причину нарушения после первого эпизода. Для регулятора это сигнал о слабом контроле процессов.

Часть 2: нарушение требований к письменному согласию

Часть 2 ст. 13.11 КоАП РФ применяется при обработке специальных категорий ПДн или биометрических данных без письменного согласия, когда оно обязательно, а также при несоблюдении требований к оформлению согласия.
Субъект
Штраф
Граждане
10 000–15 000 руб.
Должностные лица
100 000–300 000 руб.
Юридические лица
300 000–700 000 руб.
Пример из судебной практики: решением Савеловского районного суда города Москвы от 16.12.2025 № 12−3763/2025 оставлено в силе постановление мирового судьи о назначении банку штрафа 300 000 руб. за неполучение в установленной форме согласия субъекта ПДн на обработку и передачу его биометрических данных в ЕБС.

По фабуле дела сбор согласий осуществлялся через банкоматы и мобильное приложение путем ввода ПИН-кода или одноразового кода доступа. Суд не нашел подтверждений соблюдения требований к простой электронной подписи, что было квалифицировано как нарушение части 4 статьи 9 ФЗ № 152. Кроме того, суд отметил, что в согласии на обработку биометрических ПДн было несколько целей обработки, включая цели, не связанные с установлением личности.

Практический вывод: проблема часто не в том, что согласие отсутствует, а в том, что его невозможно доказать или оно не соответствует фактической обработке. Для биометрии и специальных категорий это особенно рискованно.
Когда риск связан именно с формой согласия, лучше проверять не только наличие подписи или чек-бокса, но и содержание документа. В материале об анализе распространенных недостатков согласий разобраны ошибки, из-за которых согласие формально есть, но не защищает оператора.

Часть 2.1: повторное нарушение по части 2

Субъект
Штраф
Граждане
15 000–30 000 руб.
Должностные лица
300 000–500 000 руб.
Индивидуальные предприниматели
500 000–1 000 000 руб.
Юридические лица
1 000 000–1 500 000 руб.
Повторное нарушение требований к согласию показывает, что компания не пересмотрела форму, процесс получения и доказательную базу после первого привлечения.

Политика, права субъектов и уничтожение данных: части 3–5.1

Часть 3: нет доступа к политике обработки ПДн

Часть 3 применяется, когда оператор не обеспечил неограниченный доступ к документу, определяющему политику в отношении обработки ПДн, или к сведениям о реализуемых требованиях к защите ПДн.
Субъект
Штраф
Граждане
1 500–3 000 руб.
Должностные лица
6 000–12 000 руб.
Индивидуальные предприниматели
10 000–20 000 руб.
Юридические лица
30 000–60 000 руб.
Пример из судебной практики: постановлением Восьмого кассационного суда общей юрисдикции от 31.03.2023 № 16−1661/2023 оставлены в силе решения первой и апелляционной инстанций, по которым автономной некоммерческой организации назначен штраф за неразмещение на сайте политики конфиденциальности и сведений о реализуемых требованиях к защите персональных данных.

На практике этот состав часто выявляется быстро: сайт открыт, политика отсутствует, ссылка не работает, документ не содержит нужных сведений или размещен так, что пользователь не может его найти.

Часть 4: субъекту не предоставлена информация об обработке

Субъект
Штраф
Граждане
2 000–4 000 руб.
Должностные лица
100 000–200 000 руб.
Индивидуальные предприниматели
20 000–30 000 руб.
Юридические лица
40 000–80 000 руб.
Пример из судебной практики: решением Олонецкого районного суда Республики Карелия от 16.03.2026 № 12−14/2026 оставлено в силе постановление мирового судьи, которым арбитражному управляющему назначен штраф 8 000 руб. за несоблюдение десятидневного срока ответа на запрос субъекта ПДн — участника процесса банкротства.

Практический вывод: обработка обращений субъектов — это не формальность. Нужен понятный маршрут: кто принимает запрос, кто проверяет личность заявителя, кто собирает сведения, кто отвечает и как фиксируется срок.
Для настройки такого маршрута можно использовать отдельное руководство по действиям оператора при получении обращения субъекта ПДн: оно помогает перевести обязанность ответить субъекту из общей нормы закона в рабочую процедуру.

Часть 5: не выполнены требования об уточнении, блокировании или уничтожении

Часть 5 применяется, когда оператор в срок не выполнил требования субъекта, представителя или РКН об уточнении, блокировании или уничтожении ПДн, если они неполные, устаревшие, неточные, незаконно полученные или не нужны для заявленной цели.
Субъект
Штраф
Граждане
2 000–4 000 руб.
Должностные лица
8 000–20 000 руб.
Индивидуальные предприниматели
20 000–40 000 руб.
Юридические лица
50 000–90 000 руб.
Пример из судебной практики: решением Черемушкинского районного суда города Москвы от 14.08.2024 по делу № 12−1952/2024 оставлено в силе постановление мирового судьи о назначении главному редактору сетевого издания административного штрафа за невыполнение требования территориального управления РКН об уничтожении ПДн субъекта при отсутствии надлежащего правового основания их обработки. Эта ситуация связана с частью 3 статьи 21 ФЗ № 152.

Часть 5.1: повторное нарушение по части 5

Субъект
Штраф
Граждане
20 000–30 000 руб.
Должностные лица
30 000–50 000 руб.
Индивидуальные предприниматели
500 000–1 000 000 руб.
Юридические лица
1 000 000–1 500 000 руб.
Повторность в таких составах особенно показательна: она означает, что компания не наладила процесс работы с жизненным циклом данных — от сбора до удаления.

Хранение материальных носителей и обезличивание: части 6–7

Часть 6: нарушены условия хранения ПДн без автоматизации

Часть 6 применяется при несоблюдении условий сохранности персональных данных на материальных носителях, когда это привело к неправомерному или случайному доступу к данным либо иным неправомерным действиям.
Субъект
Штраф
Граждане
1 500–4 000 руб.
Должностные лица
8 000–20 000 руб.
Индивидуальные предприниматели
20 000–40 000 руб.
Юридические лица
50 000–100 000 руб.
Пример из судебной практики: решением Ханты-Мансийского районного суда ХМАО — Югры от 13.11.2024 № 12−661/2024 оставлено в силе постановление мирового судьи о назначении ФГБУ штрафа 50 000 руб. за ошибку работника, который поместил оригиналы договоров с сотрудниками в стопки с макулатурой. Документы с ПДн работников обнаружили на таможенном посту в грузовом автомобиле с вторсырьем.

Практический вывод: штрафы за ПДн возникают не только из-за сайтов и ИТ-систем. Бумажные договоры, кадровые документы, архивы, пропуска, заявления и распечатки остаются частью контура обработки.

Часть 7: нарушение обязанности по обезличиванию

Часть 7 касается публичных операторов — государственных и муниципальных органов. Ответственность несут конкретные должностные лица, назначенные ответственными за обработку ПДн в органе.
Субъект
Штраф
Должностные лица публичных операторов
6 000–12 000 руб.
Для коммерческого бизнеса этот состав менее типичен, но полезен как ориентир: обезличивание — это процедура с установленными требованиями и методами, а не просто удаление ФИО.

Почему специальные категории требуют более строгого режима

Выделение специальных категорий ПДн в отдельную группу связано с повышенным риском дискриминации и вреда для субъекта.

По сути, такой режим продолжает конституционную логику статьи 19 Конституции Р Ф, где закреплено равенство прав и свобод человека и гражданина независимо от расы, национальности, пола, принадлежности к общественным объединениям и иных обстоятельств.

Если такие данные используются неверно, последствия могут быть не только юридическими. Компания рискует получить трудовой спор, жалобу, репутационный конфликт, претензии по дискриминации или вопросы к законности всего процесса.

Например, сведения о здоровье могут появиться в HR-процессе, медицинском осмотре, страховании, корпоративной программе ДМС, доступе к льготам или внутреннем расследовании. Если такие сведения обрабатываются как обычные кадровые данные, компания может не оформить письменное согласие, не ограничить доступ и не отразить повышенный режим обработки.

В перечне оснований обработки специальных категорий, в отличие от иных ПДн, отсутствует целый ряд оснований «общегражданского» характера. Преобладают основания, связанные с законом: пункт 2.1, пункты 7−10 части 2 статьи 10 Закона № 152-ФЗ.

Также для специальных категорий применяется правило об обязательной письменной форме согласия, если обработка идет по пункту 1 части 2 статьи 10 Закона № 152-ФЗ.
Поскольку для таких данных критична форма и содержание согласия, перед запуском процесса стоит проверить не только наличие документа, но и его качество. В материале о распространенных недостатках согласий разобрали, почему общие формулировки часто не покрывают реальный объем и цель обработки.

Как специальные данные появляются там, где их не ждали

Специальные категории ПДн могут обрабатываться целенаправленно, когда у оператора есть цель работать именно с такими данными. Например, медицинская организация обрабатывает сведения о здоровье пациента.

Но на практике специальные данные часто появляются в процессе обработки обычных ПДн.

Например:

  • кандидат прикладывает к резюме сведения о состоянии здоровья;
  • сотрудник направляет работодателю медицинский документ;
  • клиент сообщает сведения о заболевании в обращении в службу поддержки;
  • участник мероприятия указывает ограничения по питанию, связанные с религиозными убеждениями или состоянием здоровья;
  • в кадровом процессе появляется информация о судимости;
  • в корпоративной программе страхования обрабатываются медицинские сведения.

В таких ситуациях компания могла не планировать обработку специальных категорий. Но если такие данные фактически появились, к ним применяются правила специальных категорий.

Этот подход сохранен в исходной экспертной позиции со ссылкой на Савельева А. И.: специальные категории ПДн могут появляться в процессе обработки иных ПДн, и к таким специальным ПДн, полученным в результате первичной обработки обычных ПДн, применяются правила специальных категорий.

Источник: Савельев А. И. Научно-практический постатейный комментарий к Федеральному закону «О персональных данных» / 3-е изд., перераб. и доп. — Москва: Статут, 2026. С. 242.

Для бизнеса здесь важна рабочая логика: недостаточно один раз классифицировать поля анкеты. Нужно смотреть, какие данные реально попадают в процесс через файлы, комментарии, обращения, вложения, свободные поля и коммуникацию с человеком.

Биометрические персональные данные

Биометрические персональные данные регулируются статьей 11 Закона № 152-ФЗ.

В соответствии с частью 1 статьи 11 Закона № 152-ФЗ биометрические персональные данные — это сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность, и которые используются оператором для установления личности субъекта персональных данных.

Из этого определения можно выделить два ключевых признака.

Первый признак: данные характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность. Обычно речь идет о признаках, которые имеют устойчивый характер и практически не меняются в течение жизни. Например, отпечатки пальцев.

Второй признак: цель обработки заключается именно в установлении личности субъекта.

Для признания данных биометрическими должны соблюдаться оба признака. Если компания обрабатывает фотографию человека без цели установления личности, о биометрии может не идти речь.

Например, организация к юбилею выпускает печатную версию альбома с фотографиями сотрудников. Если фотографии используются для иллюстрации корпоративного материала, а не для идентификации, они не становятся биометрическими ПДн только потому, что на них изображены лица людей.

Но ситуация меняется, если изображение используется для допуска в офис, идентификации пользователя, сравнения с эталонным шаблоном, подтверждения личности или автоматической проверки доступа.

Фотоизображение: когда это обычные ПДн, а когда биометрия

Фото — один из самых частых источников ошибок.

В одном процессе фото может быть обычным персональным данным. Например, фотография сотрудника в корпоративном альбоме, на бейдже без автоматической идентификации или в новости о мероприятии.

В другом процессе то же фото может стать биометрическим персональным данным. Например, если оно используется в системе распознавания лиц для входа в офис, подтверждения личности в сервисе или автоматической аутентификации.

Ошибка возникает, когда бизнес оценивает не процесс, а сам объект: «это просто фотография». На практике нужно задавать другой вопрос: для чего используется изображение. Если цель — установить личность человека, рассматривается режим биометрии.

Поэтому проекты со СКУД, камерами, распознаванием лиц, голосовой идентификацией и удаленной аутентификацией требуют совместной проверки юриста, ИТ, ИБ и владельца процесса. Формально это может выглядеть как техническое улучшение доступа, но юридически затрагивает один из самых строгих режимов обработки ПДн.
Для офисных систем доступа эту разницу лучше проверять до внедрения. В материале о правовой базе СКУД по лицу и пальцу разобрано, почему удобство распознавания не заменяет письменное согласие, корректную цель и отдельную оценку режима биометрии.

Позиция Роскомнадзора о биометрии

В исходном материале приведено письмо Роскомнадзора от 29 августа 2022 г. № 08−78 032 «О рассмотрении обращения». В нем регулятор сформулировал фактически дополнительное требование к биометрическим ПДн: возможность отнесения тех или иных сведений к биометрическим персональным данным регулируется законодательными и иными нормативными правовыми актами.

Иными словами, для признания данных биометрическими учитывается не только характер сведений и цель установления личности, но и наличие нормативного закрепления возможности таких сведений выступать в качестве биометрии.

В письме Роскомнадзор приводит в пример цветное изображение человека, требования к формату которого утверждены ГОСТом.

Для обработки биометрических ПДн требуется согласие субъекта в письменной форме. В части 2 статьи 11 Закона № 152-ФЗ указаны случаи-исключения, когда обработка допускается без согласия субъекта. Это случаи публично-правового характера: дактилоскопическая регистрация, случаи, предусмотренные законодательством о безопасности, обороне, уголовно-процессуальным и уголовно-исполнительным законодательством и другие подобные основания.

Единая биометрическая система и ФЗ № 572

В России действует единая биометрическая система — ЕБС. Ее функционирование регулируется отдельным федеральным законом — ФЗ № 572.

Из сферы действия этого закона исключены случаи обработки ПДн в соответствии с законодательством о безопасности, обороне, оперативно-розыскной деятельности и другими специальными режимами. То есть практически все случаи, которые указаны в части 2 статьи 11 Закона № 152-ФЗ.

Согласно статье 3 ФЗ № 572 ЕБС используется для целей идентификации и аутентификации физического лица:

  • органами публичной власти;
  • Центральным Банком РФ и коммерческими финансовыми организациями, включая банки и МФО;
  • иными коммерческими организациями и ИП;
  • нотариусами.

Под действие ФЗ № 572 попадают только две разновидности биометрических данных: фотоизображение человека и голос. Для каждого вида есть требование к способу получения: фотоизображение — с использованием фотовидеоустройств, голос — с использованием звукозаписывающих устройств.

Иные разновидности биометрических ПДн, например отпечаток пальца или сетчатка глаза, не попадают под действие ФЗ № 572. Они обрабатываются вне ЕБС и в рамках общих положений Закона № 152-ФЗ о биометрических данных.

Важное ограничение: ФЗ № 572 распространяется только на случаи идентификации и аутентификации автоматизированным способом. Он не применяется к ситуациям, когда принадлежность биометрических ПДн конкретному субъекту устанавливает человек.

Сравнительная таблица категорий ПДн

Категория
Что входит
Основной режим
Где бизнес чаще ошибается
Иные ПДн
ФИО, ИНН, СНИЛС, паспорт, адрес, телефон, email, договорные и клиентские сведения, фото без цели идентификации
Основания обработки — часть 1 статьи 6 Закона № 152-ФЗ; согласие может быть в любой подтверждаемой форме, если закон не требует иного
Считают данные «обычными» и не проверяют цель, сроки хранения, подрядчиков и фактические системы
Специальные категории
Расовая и национальная принадлежность, политические взгляды, религиозные и философские убеждения, состояние здоровья, интимная жизнь, данные о судимости
Общий запрет на обработку, кроме случаев частей 2 и 2.1 статьи 10 Закона № 152-ФЗ; при согласии — письменная форма
Не замечают специальные данные в HR, обращениях, вложениях, медицинских документах и свободных полях
Биометрические ПДн
Сведения о физиологических и биологических особенностях, используемые для установления личности
Статья 11 Закона № 152-ФЗ; по общему правилу требуется письменное согласие; есть публично-правовые исключения
Путают обычное фото с биометрией или, наоборот, не видят биометрию в системах распознавания и доступа
ПДн, разрешенные для распространения
Иные и специальные ПДн, которые субъект разрешил распространять по статье 10.1 Закона № 152-ФЗ
Это не отдельная категория, а режим распространения; требуется специальное согласие
Считают открытые данные свободными для любого использования и не учитывают запреты субъекта

Как определить категорию данных в рабочем процессе

На практике классификация данных лучше работает не как юридическая таблица, а как последовательность вопросов.

Шаг 1. Что именно собирается

Нужно описать не только поля формы, но и фактические данные: вложения, комментарии, документы, логи, изображения, аудио, технические идентификаторы, данные из подрядчиков и внешних сервисов.

Часто при такой проверке выясняется, что компания собирает больше, чем думает. Например, в форме указаны ФИО и телефон, но пользователь может приложить файл с медицинскими сведениями. Или HR-система содержит не только резюме, но и оценки кандидатов, комментарии интервьюеров и результаты тестирования.
Такая проблема часто начинается уже на сайте: форма выглядит простой, но вместе с ней работают cookie, аналитика, CRM и подрядчики. В материале о формах, cookie и политике на первом экране показано, как проверить не только поля формы, но и весь маршрут данных после отправки заявки.

Шаг 2. К кому относятся данные

Нужно определить категории субъектов:

  • клиенты;
  • пользователи сайта;
  • сотрудники;
  • кандидаты;
  • представители контрагентов;
  • посетители офиса;
  • участники мероприятий;
  • пациенты;
  • пользователи сервиса;
  • подрядчики.

Ошибка часто возникает в B2B. Компания считает, что работает с юридическими лицами, но фактически обрабатывает данные представителей: ФИО, рабочие email, телефоны, должности, подписи, переписку.

Шаг 3. Есть ли специальные признаки

Отдельно проверяются сведения о здоровье, религиозных убеждениях, национальности, политических взглядах, интимной жизни и судимости.

Если такие данные появляются даже случайно, например в обращении клиента, резюме или приложенном документе, процесс нужно пересматривать. Нельзя продолжать обрабатывать их как обычные ПДн только потому, что компания не планировала их собирать.

Шаг 4. Используются ли данные для установления личности

Для биометрии решающим становится не только характер данных, но и цель. Фото, голос, отпечаток пальца или изображение лица нужно проверять через вопрос: используются ли они для установления личности.

Если да, нужно смотреть статью 11 Закона № 152-ФЗ, письменное согласие, исключения, требования к системе и, при необходимости, связь с ФЗ № 572.

Шаг 5. Есть ли распространение

Если данные публикуются на сайте, в каталоге, на странице сотрудников, в отзывах, кейсах, карточках экспертов или публичных материалах, нужно проверить статью 10.1 Закона № 152-ФЗ.

Здесь важно не путать доступность данных и законность распространения. Даже если человек сам предоставил информацию, это не всегда означает, что компания может свободно разместить ее для неопределенного круга лиц.

Шаг 6. Что написано в документах

В финале нужно сопоставить вывод с документами:

  • политикой обработки ПДн;
  • согласием;
  • уведомлением в РКН;
  • реестром процессов;
  • договором с подрядчиком;
  • локальными актами;
  • настройками ИТ-систем;
  • сроками хранения.

Без этой сверки классификация остается теоретической. Бизнес может правильно определить категорию, но не отразить ее в согласии, уведомлении, договоре с подрядчиком или мерах защиты.
Когда процессов много, классификация быстро перестает помещаться в одну таблицу
В Privacy Box можно вести реестры обработки ПДн, фиксировать категории данных, цели, основания, ответственных и актуализировать процессы без ручной сверки разрозненных файлов.

Типовые ошибки при классификации персональных данных

Ошибка 1. Считать все ПДн одинаковыми

Если компания обрабатывает ФИО, сведения о здоровье и изображение для распознавания лица по одной логике, это почти всегда признак слабой модели. У этих данных разный режим, разные основания и разные требования к согласию.

Ошибка 2. Путать общедоступность и распространение

Наличие данных в открытом источнике не означает, что компания может использовать их как угодно. После появления статьи 10.1 Закона № 152-ФЗ нужно отдельно смотреть согласие на распространение и ограничения субъекта.

Ошибка 3. Не замечать специальные данные в свободных полях

Свободные поля, обращения, файлы и комментарии часто содержат сведения, которые компания не планировала собирать. Но если они фактически попали в систему, нужно оценить правовой режим.

Ошибка 4. Считать любую фотографию биометрией

Фото само по себе не всегда биометрические ПДн. Если оно используется без цели установления личности, режим биометрии может не применяться. Но если фото используется для идентификации, доступа или автоматической проверки личности, ситуация меняется.

Ошибка 5. Не пересматривать категорию при изменении цели

Данные могли собираться как обычные ПДн, но затем использоваться для новой цели. Например, фото из корпоративного архива начали применять для автоматического распознавания в офисе. В этот момент меняется не только цель, но и правовой режим.

Последствия неправильной классификации

Неверная категория данных редко остается чисто юридической ошибкой. Обычно она приводит к цепочке последствий.

Если специальные данные признали обычными, компания может не получить письменное согласие, не ограничить доступ и не установить повышенный режим обработки.

Если биометрию приняли за обычное фото, может быть неправильно оформлен СКУД, идентификация в сервисе или голосовая аутентификация.

Если распространение приняли за обычную обработку, компания может опубликовать данные без отдельного согласия по статье 10.1 Закона № 152-ФЗ.

Если общедоступные данные восприняли как свободные для любого использования, можно выйти за пределы допустимой цели обработки.

Если категория не отражена в документах, возникают расхождения: в политике одно, в реестре другое, в уведомлении третье, а в ИТ-системе четвертое.

Именно такие расхождения чаще всего показывают, что документы в компании существуют отдельно от процессов. Формальное наличие политики или согласия еще не означает, что режим обработки выбран правильно.

Что проверить бизнесу прямо сейчас

Для первичной проверки достаточно пройтись по нескольким вопросам.

  1. Какие персональные данные компания считает «обычными» и почему?
  2. Есть ли в процессах сведения о здоровье, судимости, религиозных убеждениях, национальности или иных специальных категориях?
  3. Используются ли фото, голос, отпечатки, изображение лица или другие признаки для установления личности?
  4. Есть ли публикация данных на сайте, в отзывах, кейсах, карточках сотрудников или открытых каталогах?
  5. Не появляются ли специальные данные в свободных полях, вложениях, обращениях и HR-документах?
  6. Отражены ли категории данных в политике, согласиях, уведомлении и реестре процессов?
  7. Кто внутри компании отвечает за пересмотр категории данных при запуске нового процесса?
  8. Передаются ли такие данные подрядчикам и соответствует ли договор выбранному режиму?
  9. Есть ли отдельные правила по срокам хранения и уничтожению для разных категорий?
  10. Что изменится, если процесс масштабировать: добавить аналитику, ИИ, СКУД, подрядчика или публикацию?

Такая проверка помогает увидеть не только очевидные нарушения, но и зоны, где процесс выглядит законным только до первого изменения.

Популярные вопросы

1) Какие категории персональных данных выделяют по 152-ФЗ?

Сам закон не содержит отдельного закрытого перечня категорий. Через системное толкование обычно выделяют иные персональные данные, специальные категории персональных данных и биометрические персональные данные.

2) Что относится к иным персональным данным?

К иным ПДн относятся сведения, которые не являются специальными или биометрическими. Например, ФИО, ИНН, СНИЛС, паспортные данные, адрес, телефон, email, договорные и клиентские сведения.

3) Что такое специальные категории персональных данных?

Это сведения о расовой и национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни, а также данные о наличии судимости.

4) Почему специальные категории обрабатываются строже?

Такие сведения могут привести к дискриминации или существенному вреду для субъекта. Поэтому статья 10 Закона № 152-ФЗ устанавливает общий запрет на их обработку, кроме специальных исключений.

5) Когда фотография становится биометрическими персональными данными?

Фотография может стать биометрическими ПДн, если она используется для установления личности человека и характеризует физиологические и биологические особенности человека. Если фото используется без такой цели, например в корпоративном альбоме, режим биометрии может не применяться.

6) Общедоступные данные — это отдельная категория ПДн?

Нет. Общедоступность корректнее рассматривать как режим обработки или распространения, а не как отдельную категорию персональных данных. Сейчас такие вопросы регулируются статьей 10.1 Закона № 152-ФЗ.

7) Какие биометрические данные подпадают под ФЗ № 572?

Под действие ФЗ № 572 в рамках ЕБС попадают фотоизображение человека и голос, полученные с использованием соответствующих устройств, если они используются для автоматизированной идентификации и аутентификации.

Итог

Категории персональных данных — это способ понять, какой режим обработки должен применяться к конкретному процессу.

Иные ПДн встречаются чаще всего, но это не делает их незначимыми. Специальные категории требуют повышенного внимания из-за риска дискриминации и более строгих оснований обработки. Биометрия требует отдельной оценки, потому что решающим становится не только тип данных, но и цель установления личности.

Рабочая модель для бизнеса строится не вокруг вопроса «как назвать эти данные», а вокруг процесса: какие сведения собираются, к кому относятся, зачем используются, передаются ли подрядчикам, публикуются ли, применяются ли для идентификации и отражены ли в документах.

Компании, которые проверяют категории данных на уровне реальных процессов, а не отдельных шаблонов, быстрее находят слабые места: свободные поля, HR-вложения, СКУД, публикации, аналитику, подрядчиков и несоответствие документов фактической обработке. Именно там чаще всего и возникает риск.
Ввод оборотных штрафов за утечки откладывается минимум до 1 июля 2023 года
Для регулярного отслеживания изменений и практики по биометрии, специальным категориям ПДн, согласиям и ЕБС удобно читать разборы в Telegram-канале Б-152.
реклама
бизнес
юридические вопросы
маркетинг
Материалы по теме