- Персональные данные — любая информация, позволяющая прямо или косвенно определить человека
- IP-адрес, cookie и геолокация могут считаться персональными данными при идентификации пользователя
- Специальные категории и биометрия требуют повышенной защиты и отдельных оснований обработки
- Не вся информация автоматически является ПД — важна возможность идентификации человека
- Данные юридических лиц сами по себе не подпадают под действие ФЗ-152
Определение персональных данных по закону
Статья 3 ФЗ-152 определяет персональные данные как «любую информацию, относящуюся к прямо или косвенно определённому физическому лицу».
Ключевое слово — «любую». Закон использует максимально широкую формулировку, чтобы охватить как очевидные данные (ФИО, паспорт), так и цифровые идентификаторы.
Информация считается персональными данными, если по ней можно определить конкретного человека напрямую или в сочетании с другими сведениями.
Категории персональных данных
| Тип данных | Примеры | |---|---| | Идентификационные | ФИО, дата рождения, паспорт | | Контактные | Телефон, email, адрес | | Профессиональные | Должность, место работы, образование | | Финансовые | ИНН, СНИЛС, банковские реквизиты | | Цифровые | IP-адрес, cookie ID, Device ID, геолокация | | Изображения | Фото, видеозаписи, изображения лица |
Специальные категории персональных данных
К специальным категориям относятся сведения:
- о здоровье;
- расовой и национальной принадлежности;
- политических взглядах;
- религиозных убеждениях;
- интимной жизни.
Для их обработки обычно требуется отдельное основание и повышенные меры защиты.
Обработка медицинских данных, информации о здоровье или биометрии без законного основания считается одним из наиболее серьёзных нарушений ФЗ-152.
Биометрические персональные данные
Биометрия — отдельная категория персональных данных.
Сюда относятся:
- отпечатки пальцев;
- распознавание лица;
- голосовые шаблоны;
- сетчатка глаза;
- иные уникальные физиологические признаки.
Если фотография используется для идентификации человека через Face ID или аналогичные технологии, она становится биометрическими персональными данными.
Когда цифровые данные становятся персональными
Многие компании ошибочно считают технические данные «неперсональными».
На практике к персональным данным могут относиться:
- IP-адрес;
- cookie;
- Device ID;
- история посещений;
- геолокация;
- рекламные идентификаторы.
Если по этим данным можно определить пользователя или связать их с аккаунтом — действует ФЗ-152.
| Данные | Когда считаются ПД | |---|---| | IP-адрес | Если связан с пользователем | | Cookie | При идентификации или аналитике | | Геолокация | Если позволяет определить человека | | Device ID | При привязке к аккаунту |
- Составлен перечень всех категорий обрабатываемых ПДобязательно
- Определены специальные и биометрические категории данныхобязательно
- Для чувствительных данных получены отдельные согласия
- Проверены cookie, аналитика и цифровые идентификаторы
- Назначены сроки хранения и удаления данных
Что не относится к персональным данным
Обычно не считаются персональными данными:
- обезличенная статистика;
- агрегированные данные;
- информация о юридических лицах;
- технические данные без возможности идентификации.
Однако важно учитывать контекст. Даже обезличенные данные могут стать персональными при объединении с другими сведениями.
Типичные ошибки компаний
На практике чаще всего встречаются:
- отсутствие согласия на cookie;
- недооценка IP-адресов и аналитики;
- хранение лишних данных без цели обработки;
- публикация персональных данных сотрудников;
- неправильная классификация биометрии.
Практический подход для бизнеса
Для минимизации рисков рекомендуется:
- Составить карту всех собираемых данных
- Определить, какие из них относятся к ПД
- Проверить основания обработки
- Обновить политику конфиденциальности
- Настроить удаление и ограничение доступа