- Специальные категории ПД — данные о здоровье, расе, политических взглядах, религии, судимости
- По умолчанию их обработка запрещена без явного письменного согласия
- Исключения: трудовой договор, медицинская необходимость, публичный интерес
- Нарушение — штраф до 500 000 рублей и уголовная ответственность
Что такое специальные категории персональных данных
По статье 10 ФЗ-152 специальные категории ПД — это данные, обработка которых по умолчанию запрещена из-за высокого риска дискриминации и нарушения прав человека.
К специальным категориям относятся данные:
- О расовом или национальном происхождении
- О политических взглядах
- О религиозных или философских убеждениях
- О состоянии здоровья
- О сексуальной жизни
- О судимости и уголовном преследовании
- О членстве в профессиональных союзах
Биометрические данные вынесены в отдельную статью 11 ФЗ-152 и регулируются иначе, чем специальные категории. Путать их не следует, хотя режим защиты сопоставимо строг.
Запрет и исключения
Общий запрет
По умолчанию обработка специальных категорий ПД запрещена. Это означает, что без законного основания нельзя:
- Хранить информацию о диагнозе клиента
- Указывать в анкете вопросы о религии
- Собирать данные о политических взглядах сотрудников
- Вести учёт судимостей без специального права
Исключения, при которых обработка разрешена
| Основание | Пример применения | |---|---| | Явное письменное согласие субъекта | Медцентр получает согласие на хранение диагноза | | Трудовое законодательство (ТК РФ) | Работодатель фиксирует больничный лист сотрудника | | Медицинская помощь, профилактика, диагностика | Больница обрабатывает историю болезни | | Защита жизни и здоровья при невозможности получить согласие | Скорая помощь при бессознательном пациенте | | Правосудие и исполнение судебных актов | Суд работает с данными о судимости | | Публичный интерес, установленный законом | Статистические исследования на основе обезличенных данных | | Данные сделаны общедоступными самим субъектом | Политик публично рассказал о своих взглядах |
Если ни одно из исключений не применяется — обрабатывать специальные категории ПД нельзя. Никакая деловая необходимость не заменяет законное основание.
Требования к согласию
Согласие на обработку специальных категорий ПД должно быть:
1. Явным — недостаточно галочки «принимаю условия». Нужна отдельная форма согласия с указанием конкретной специальной категории.
2. Письменным — электронный документ с ЭЦП или бумажный оригинал с подписью.
3. Конкретным — указывается, какие именно данные, для чего, на какой срок.
4. Информированным — субъект должен понимать, что данные относятся к специальной категории.
5. Добровольным — нельзя обусловить предоставление услуги дачей согласия на спецкатегории.
Пример письменного согласия
Я даю согласие ООО «Ромашка» на обработку моих персональных данных, относящихся к специальным категориям: сведений о состоянии здоровья и медицинских ограничениях.
Обработка осуществляется в целях организации медицинского сопровождения и исполнения обязанностей работодателя в соответствии с законодательством РФ.
Согласие действует до достижения целей обработки либо до момента его отзыва.
Практика и типовые ошибки
Сбор лишних данных без необходимости
Сервис онлайн-анкетирования собирал сведения о состоянии здоровья и политических взглядах пользователей для маркетингового профилирования без отдельного письменного согласия.
Результат: предписание удалить данные и административная ответственность за обработку специальных категорий без законного основания.
Отсутствие ограничения доступа
Компания хранила медицинские документы сотрудников в общей папке без разграничения прав доступа.
Результат: доступ к данным получили сотрудники, не участвующие в кадровой работе. Проверка квалифицировала это как нарушение режима обработки специальных категорий ПД.
Практика для бизнеса
Медицинские организации
- Диагноз, история болезни, результаты анализов — специальные категории
- Обработка разрешена без согласия в рамках медицинской деятельности
- Но: передача данных третьим лицам (страховщику, работодателю) требует отдельного согласия
HR и кадровый учёт
- Копия СНИЛС, медицинская книжка, справка об инвалидности — специальные категории
- Обработка допустима в рамках трудового законодательства
- Нельзя собирать сверх того, что нужно для трудовых отношений
Страховые компании
- Данные о здоровье при страховании жизни — специальные категории
- Нужно явное согласие, которое можно отозвать
- Нельзя хранить дольше срока действия страхового договора
Интернет-сервисы
- Нельзя запрашивать религию, политические взгляды, расу без явной необходимости
- Если приложение работает с трекерами здоровья — обязательно письменное согласие
- Нельзя профилировать пользователей по демографическим маркерам без спецосновании
Усиленные меры защиты
Для специальных категорий ПД рекомендуется:
- хранить данные отдельно от остальных персональных данных;
- ограничивать доступ только уполномоченным сотрудникам;
- вести журнал доступа и изменений;
- использовать шифрование и резервное копирование;
- регулярно пересматривать права доступа сотрудников.
- Проведена инвентаризация: выявлены все специальные категории в компанииобязательно
- Для каждой категории определено законное основание обработкиобязательно
- Получены явные письменные согласия там, где нет другого основанияобязательно
- Специальные категории хранятся отдельно с усиленным контролем доступа
- Сроки хранения определены и соблюдаются
- Сотрудники, работающие со спецкатегориями, подписали обязательство о конфиденциальности
Штрафы за нарушение
| Нарушение | Штраф для юрлица | |---|---| | Незаконная обработка специальных категорий ПД | 50 000 – 500 000 ₽ | | Повторное нарушение | до 18 000 000 ₽ | | Незаконная передача медицинских данных | до 500 000 ₽ + уголовная ответственность |