Когда компания только начинает разбираться с 152-ФЗ, она часто воспринимает персональные данные как одну общую массу. Но на практике это неудобно и рискованно. Для документов, сайта, кадрового блока и модели защиты важно понимать, какие именно категории персональных данных вы обрабатываете.
Какие категории персональных данных обычно выделяют
Упрощённо можно говорить о трёх больших группах:
- обычные персональные данные
- специальные персональные данные
- биометрические персональные данные
Такое деление помогает понять, насколько чувствителен тот или иной массив данных и какие требования стоит проверять отдельно.
Обычные персональные данные
Это самые распространённые сведения, с которыми работает бизнес:
- ФИО
- телефон
- адрес
- дата рождения
- сведения о месте работы
- договорные и клиентские данные
Именно эта категория чаще всего встречается на сайтах, в CRM, в кадровых документах и базах клиентов.
Специальные персональные данные
Это более чувствительные сведения, например данные о здоровье, взглядах, убеждениях, национальности и других особых аспектах личности. Для них бизнесу нужно относиться к обработке намного осторожнее.
Биометрические персональные данные
Это данные, которые позволяют идентифицировать человека по физиологическим и биологическим признакам, например изображение лица в системе распознавания или иные подобные механизмы идентификации.
Зачем бизнесу вообще делить данные по категориям
Потому что без этого сложно:
- правильно описать цели обработки
- подготовить документы
- определить правовые основания
- понять уровень рисков
- выстроить защиту и разграничение доступа
Если компания смешивает всё в одну категорию «персональные данные», документы и процессы получаются слишком общими и слабыми.
Где чаще всего ошибаются
Ошибка 1. Считать, что все ПДн одинаковые
Нет. Разные категории требуют разного внимания и разной глубины анализа.
Ошибка 2. Не выделять HR и сайт как отдельные контуры
На сайте, в кадрах, в CRM и в медицине могут быть совершенно разные категории данных.
Ошибка 3. Не отражать категории в документах
Если в политике и локальных актах категории данных описаны слишком размыто, документ плохо работает на практике.
Короткий вывод
Категории персональных данных, это не бюрократия ради бюрократии. Это базовый способ увидеть, с чем именно работает бизнес и насколько чувствительны эти сведения. Чем точнее оператор понимает категории данных, тем проще ему выстроить адекватные документы и процессы.
FAQ
Какие бывают персональные данные?
Обычно выделяют обычные, специальные и биометрические персональные данные.
Зачем делить данные на категории?
Чтобы правильно описать обработку, риски, основания и меры защиты.
На сайте обычно какие данные?
Чаще всего обычные персональные данные, но всё зависит от конкретной модели сайта.
Что почитать дальше
- Что такое персональные данные
- Специальные и биометрические персональные данные
- Политика обработки персональных данных
CTA
Если вы не уверены, какие именно категории данных есть у вас на сайте, в CRM и в кадровом контуре, полезно сначала провести инвентаризацию потоков данных. После этого структура документов и обязанностей становится намного понятнее.