Виды персональных данных

• Какие виды персональных данных бывают
• Как персональные данные используются в организациях
• Как соблюдать закон 152-ФЗ при работе с персональными данными

Какие виды персональных данных бывают

1. Общедоступные персональные данные

Это базовая информация, которую человек часто указывает при регистрации на сайтах, в резюме, при оформлении договоров. Например, это:

• ФИО
• дата и место рождения
• адрес проживания
• номер телефона, email
• образование, профессия.

Обработка таких данных допускается при наличии согласия пользователя или если это необходимо для исполнения договора, соблюдения закона или других правовых оснований. Например, интернет-магазин может обрабатывать эти данные для доставки товара, а бухгалтерия — для начисления зарплаты.

2. Специальные персональные данные

Эти данные затрагивают личную, интимную или социально значимую сторону жизни человека. Их обработка строго регулируется законом, поскольку разглашение может повлечь дискриминацию, социальные конфликты или нарушение прав.

К чувствительным данным относят:

• состояние здоровья (например, наличие инвалидности, медицинские диагнозы, справки)
• расовая и национальная принадлежность
• религиозные, философские и политические убеждения
• информация о сексуальной ориентации или интимной жизни
• сведения о судимости или факте привлечения к уголовной ответственности

Для обработки таких данных требуется явное и письменное согласие субъекта, за исключением строго определённых случаев — например, при трудоустройстве, если такие сведения влияют на возможность выполнения обязанностей, или при необходимости экстренной медицинской помощи.

3. Биометрические персональные данные

Это физические и физиологические характеристики человека, которые позволяют однозначно его идентифицировать. Биометрия всё чаще используется для упрощения доступа к устройствам и сервисам, но при этом требует особого контроля.

К биометрическим данным относятся:

• отпечатки пальцев. Например, для прохода в здание или разблокировки смартфона;
• фото и видеоизображения, если они используются не просто как портрет, а для распознавания личности;
• радужка глаза, геометрия лица;
• голос (в голосовых помощниках и системах распознавания)

Обработка биометрических данных возможна только с письменного согласия и с применением усиленных мер защиты. Например, компания, использующая систему распознавания лиц для входа в офис, обязана не только получить согласие, но подключиться к единой биометрической системе и обеспечить шифрование и защиту каналов передачи данных.

4. Иные персональные данныее

Иные — ПДн, которые нельзя определить ни в одну из других групп. Фактически, это дополнительная информация о человеке, которая часто меняется: размер зарплаты, социальный статус, рабочий стаж, длительность и даты отпуска и т.д.

Иные данные часто используются для аналитики, исследований, маркетинга. Для их использования необходимо получать согласие на обработку от пользователя в любой форме, позволяющей подтвердить согласие.

Как персональные данные используются в организациях

Персональные данные обрабатываются практически на каждом этапе взаимодействия с человеком: от найма сотрудника до оказания услуг, от отправки рассылки до ведения электронных медкарт. Вот в каких сферах они используются чаще всего:

В HR и кадровом делопроизводстве

Персональные данные сотрудников обрабатываются с момента приёма на работу и на протяжении всего трудового взаимодействия. Например, они используются для:

• оформления трудовых договоров и приказов;
• ведения личных дел;
• расчёта заработной платы, больничных, премий;
• учёта отпусков, командировок, отгулов;
• подачи сведений в налоговую и пенсионный фонд.

Чаще всего в кадровом делопроизводстве используют общие и специальные персональные данные.

В маркетинге и продажах

Компании используют данные клиентов и пользователей для персонализации и повышения эффективности коммуникаций:

• сегментация базы по интересам и поведению;
• запуск таргетированной рекламы в интернете;
• автоматическая подстановка имени в рассылках;
• персональные предложения, скидки, бонусные программы;
• анализ предпочтений клиентов для улучшения сервиса.

Чаще всего в кадровом делопроизводстве используют общие и специальные персональные данные.

В медицинских организациях

В медицинских организациях персональные данные используют для:

• ведения электронной медицинской карты;
• записи на приём, планирование операций, расписание приёма;
• учёта хронических заболеваний, аллергий, противопоказаний;
• обработки страховых случаев и взаимодействие с полисами ОМС/ДМС;
• идентификации пациента и обеспечение конфиденциальности данных

Чаще всего в медицинских организациях используют общие, специальные и биометрические данные.

В банках и финансовом секторе

Финансовые организации обязаны собирать и проверять персональные данные клиентов для соблюдения законодательства, безопасности и предоставления услуг при:

• оформлении кредитов, вкладов, страховых продуктов,
• проверке платёжеспособности, кредитной истории;
• рассылке уведомлений об операциях, рассылка выписок.

В финансовых организациях чаще всего обрабатывают общие, специальные.

Как соблюдать закон 152-ФЗ при работе с персональными данными

Федеральный закон № 152-ФЗ «О персональных данных» устанавливает строгие правила обращения с личной информацией. Ниже — ключевые шаги, которые помогут компаниям работать в рамках закона и избежать штрафов.

1. Определите, обрабатываете ли вы персональные данные

Если вы собираете информацию о клиентах, сотрудниках, пользователях сайта — вы обрабатываете персональные данные. Это уже повод соблюдать 152-ФЗ.

2. Назначьте ответственного за обработку данных

Это может быть специалист по безопасности или сотрудник HR/юридического отдела. Он будет контролировать соблюдение закона внутри компании.

3. Разработайте и утвердите политику обработки персональных данных

В ней нужно прописать:

• какие данные вы собираете (ФИО, телефон, email и т.д.);/Li>
• зачем вы их собираете (например, для оформления доставки или заключения договора);
• как вы их обрабатываете (сохраняете в CRM, передаёте курьеру);
• как долго храните (до 3 лет, до отзыва согласия и т.д.);
• какие меры защиты применяете (шифрование, пароль, физическая охрана и др.).

Эта политика должна быть публичной — её размещают на сайте или предоставляют по запросу.

4. Получайте согласие на обработку данных

Согласие должно быть:

• добровольным — пользователь сам принимает решение;
• конкретным — указана точная цель (например, для оформления заказа);
• осознанным — пользователь знает, что происходит с его данными;
• зафиксированным — обычно это галочка в форме или подпись.

Например, при регистрации на сайте пользователь должен поставить галочку под формой, подтверждая согласие с политикой конфиденциальности.

5. Уведомите Роскомнадзор

Для заполнения формы понадобятся:

• полное наименование компании или ФИО (если ИП);
• ИНН и ОГРН (или ОГРНИП);
• ФИО и должность ответственного за обработку ПДн;
• категории обрабатываемых данных (ФИО, паспорт, email и т.п.);
• цели обработки (например, заключение договоров, рассылки, учет сотрудников);
• способы обработки (автоматизированный, неавтоматизированный, смешанный);
• категории субъектов (сотрудники, клиенты, пользователи сайта и др.);
• сведения о трансграничной передаче данных (если есть);
• информация об используемых мерах защиты.

Дальше нужно зарегистрироваться в личном кабинете на сайте РКН. Затем нужно выбрать "Подача уведомления" → "Подать уведомление в электронном виде". После этого нажать «Создать новое уведомление», заполнить все поля, подписать уведомление с помощью КЭП (квалифицированной электронной подписи), если это предусмотрено, отправить форму.

После рассмотрения уведомления вас включат в Реестр операторов персональных данных. Это обычно занимает до 30 календарных дней.

Статус можно отследить в личном кабинете или проверить позже по названию организации на сайте Роскомнадзора.

6. Обеспечьте безопасность данных

Используйте:

• антивирусы и шифрование;
• контроль доступа к информации;
• регулярное резервное копирование;
• ограничение доступа по ролям внутри компании.

Физическая защита тоже важна — например, хранение бумажных анкет в закрытом шкафу.

7. Не передавайте данные третьим лицам без согласия

Передача возможна только с согласия субъекта данных, по закону (например, в налоговую или суд), в рамках договора (например, курьерской службе — ФИО и адрес доставки).

8. Удаляйте данные по запросу или по истечении срока хранения

Если цель обработки достигнута или человек отозвал согласие — данные нужно уничтожить или обезличить.

9. Обучайте сотрудников

Объясните команде, что персональные данные — это не просто строчки в таблице, а объект правовой защиты. Проведите инструктаж или подготовьте памятку.

10. Будьте готовы к проверке

Роскомнадзор может провести плановую или внеплановую проверку. Лучше иметь:

• внутренние регламенты;
• подписанные согласия;
• журнал учёта данных и инцидентов;
• договоры с подрядчиками, если они тоже работают с персональными данными.