Что относится к персональным данным: полный список с примерами

«У нас же только имя и телефон — это вообще персональные данные?» — мы слышим этот вопрос практически от каждого второго клиента. Ответ: да, это персональные данные. И вот почему.

Определение по закону — и почему оно шире, чем кажется

Статья 3 Федерального закона №152-ФЗ даёт максимально широкое определение:

Персональные данные — любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных).

Ключевое слово здесь — «любая». Не «ФИО и паспорт», а буквально всё, что позволяет понять, о ком идёт речь. Причём не обязательно напрямую — даже косвенная идентификация считается.

На практике это означает: если по вашим данным можно вычислить конкретного человека (пусть даже в сочетании с другой информацией), вы работаете с персональными данными.

Четыре категории персональных данных

Закон делит персональные данные на четыре группы — и от категории зависит, какой уровень защиты вам придётся обеспечивать.

1. Общие (иные) персональные данные

Самая распространённая категория. Сюда попадает то, с чем работает абсолютно любой бизнес:

• ФИО
• Дата и место рождения
• Адрес регистрации и проживания
• Номер телефона, email
• Семейное положение
• Образование, место работы, должность
• Размер зарплаты

Пример из жизни: Менеджер записал в CRM «Иванов Иван, +7-999-123-45-67, интересовался тарифом Базовый». Всё — он обрабатывает персональные данные.

2. Специальные персональные данные

Это чувствительная информация, которая требует особой защиты и письменного согласия:

• Состояние здоровья и медицинские диагнозы
• Расовая и национальная принадлежность
• Политические и религиозные взгляды
• Интимная жизнь
• Судимости и уголовное преследование

Где встречается в бизнесе: медицинские справки сотрудников, данные о группе крови для работ на производстве, информация о противопоказаниях.

3. Биометрические персональные данные

Физиологические и биологические характеристики, по которым можно установить личность:

• Отпечатки пальцев
• Изображение лица (фото для идентификации)
• Рисунок радужной оболочки глаза
• Образец голоса
• Рисунок вен ладони

Важно: Фотография в личном деле сотрудника — это не биометрические данные, если она используется просто для визуального опознания кадровиком. А вот если фото загружается в систему контроля доступа (СКУД) с распознаванием лиц — это уже биометрия.

4. Общедоступные персональные данные

Данные, которые субъект сам сделал публичными: профиль в соцсетях, публикация в СМИ, данные в открытых реестрах.

Ловушка: Многие думают, что раз данные общедоступные, их можно свободно собирать и использовать. Это не так — с 2021 года для использования общедоступных данных тоже нужно согласие.

Полный список: что считается персональными данными

Вот конкретный перечень — сохраните себе как чек-лист:

Спорные случаи: это ПДн или нет?

Разберём реальные ситуации, которые чаще всего вызывают споры.

Только номер телефона — без имени. Формально, если по номеру можно идентифицировать человека (а через оператора связи — можно), это ПДн. На практике Роскомнадзор рассматривает номер телефона как персональные данные.

Email вида info@company.ru. Корпоративный email без привязки к конкретному человеку — не ПДн. А вот ivan.ivanov@company.ru — уже ПДн, потому что идентифицирует человека.

Cookie-файлы и IP-адрес. Да, это персональные данные. Яндекс.Метрика, Google Analytics, рекламные пиксели — всё это собирает ПДн. Поэтому на сайте нужен cookie-баннер.

Видеозапись с камер наблюдения. Если запись позволяет идентифицировать человека — это ПДн. Если камера снимает общий план парковки без возможности разглядеть лица — нет.

Номер автомобиля. Спорный вопрос. Роскомнадзор в ряде разъяснений указывал, что номер автомобиля в сочетании с другими данными (место, время) может считаться ПДн.

Откуда берутся персональные данные в бизнесе

Давайте пройдёмся по типичным источникам — многие про них забывают:

1. Сайт — формы заявок, подписки, личные кабинеты, cookie
2. CRM-система — карточки клиентов, история взаимодействий
3. Кадровый учёт — трудовые договоры, личные дела, больничные
4. Бухгалтерия — зарплатные ведомости, реквизиты для выплат
5. Видеонаблюдение — записи с камер в офисе, на складе
6. Рассылки — email-базы подписчиков
7. Мессенджеры — переписка с клиентами в WhatsApp, Telegram
8. Бумажные документы — анкеты, заявления, копии паспортов

Совет из практики: Начните с простого упражнения — откройте вашу CRM и посмотрите, какие поля там заполнены. Потом загляните в папку «Кадры» на сервере. Вы удивитесь, сколько ПДн вы обрабатываете «незаметно».

Что с этим делать

Если вы обнаружили, что работаете с персональными данными (а вы работаете — мы ещё ни разу не встречали бизнес, который бы их не обрабатывал), вот минимальный набор действий:

1. Составьте реестр — какие данные, откуда, зачем, где хранятся
2. Опубликуйте политику обработки ПДн на сайте — подробная инструкция здесь
3. Подайте уведомление в Роскомнадзор — если ещё не зарегистрированы как оператор
4. Получите согласия — отдельные документы, не вшитые в договор
5. Назначьте ответственного приказом руководителя

Не знаете, с чего начать? Пройдите бесплатный экспресс-аудит — 5 минут, 8 вопросов, и вы поймёте, где у вас пробелы.

---

Запутались в категориях данных или не уверены, нужно ли вам регистрироваться как оператор? Напишите нам — разберёмся в вашей ситуации на бесплатной консультации.