← Вернуться в базу знаний

Что такое персональные данные простыми словами

Разбираем, что такое персональные данные, какие сведения к ним относятся, что не считается ПДн и что должен сделать бизнес по 152-ФЗ.

Бесплатная экспресс-проверка Пакеты документов Консультация

Персональные данные, это любая информация, которая относится к конкретному человеку и позволяет прямо или косвенно его определить. Если по данным можно понять, о ком именно идёт речь, скорее всего это уже персональные данные.


Для бизнеса тема важна не только из-за самого 152-ФЗ, но и из-за практики проверок, требований к сайту, документам, уведомлению в Роскомнадзор и рисков штрафов. Поэтому вопрос «что такое персональные данные» на деле не теоретический, а прикладной.

Что считается персональными данными

К персональным данным обычно относят:

  • фамилию, имя, отчество
  • номер телефона
  • адрес электронной почты
  • паспортные данные
  • СНИЛС, ИНН, табельный номер сотрудника
  • адрес регистрации или проживания
  • дату рождения
  • сведения о месте работы или должности
  • фотографию, если по ней можно определить человека
  • IP-адрес, cookie, идентификаторы устройства, если они используются вместе с другими данными для идентификации пользователя

Главный принцип простой: если информация позволяет установить личность человека прямо или в связке с другими сведениями, это персональные данные.

Какие бывают персональные данные

На практике удобно делить ПДн на несколько групп.

1. Обычные персональные данные

Это базовые сведения о человеке:

  • ФИО
  • телефон
  • email
  • адрес
  • дата рождения

Именно с такими данными чаще всего работает бизнес на сайте, в CRM, в кадровом учёте и в договорах.

2. Специальные персональные данные

Это более чувствительная информация, например сведения о здоровье, национальности, политических взглядах, религиозных убеждениях. Для них действуют более строгие правила обработки.

3. Биометрические персональные данные

Это данные, которые характеризуют физиологические или биологические особенности человека и позволяют установить его личность, например изображение лица в системах распознавания, отпечатки пальцев, голосовой слепок, если он используется для идентификации.

Что не всегда считается персональными данными

Одинаковые данные в одной ситуации могут быть персональными, а в другой нет. Например:

  • просто абстрактный email без привязки к человеку может не идентифицировать конкретное лицо
  • номер заявки без возможности связать его с человеком сам по себе может не быть ПДн
  • обезличенные данные, из которых нельзя определить субъекта, рассматриваются отдельно

Но для бизнеса безопаснее исходить из консервативного подхода: если данные хоть как-то позволяют выйти на человека, лучше считать их персональными и обрабатывать по правилам.

Примеры персональных данных в бизнесе

На сайте

  • форма заявки с именем и телефоном
  • форма обратной связи
  • онлайн-чат
  • подписка на рассылку
  • личный кабинет
  • cookie и аналитика, если они связаны с пользователем

В компании

  • анкеты сотрудников
  • трудовые договоры
  • резюме кандидатов
  • база клиентов
  • договоры с контрагентами, если там есть данные физлиц
  • журнал обращений субъектов персональных данных

Почему почти любой бизнес становится оператором персональных данных

Если компания или ИП собирает данные клиентов, сотрудников, соискателей, посетителей сайта или партнёров, она обычно уже выступает оператором персональных данных. Это значит, что нужно:

  • понимать цели обработки
  • определить правовые основания
  • оформить политику обработки персональных данных
  • подготовить согласия, если они нужны
  • оценить необходимость уведомления в Роскомнадзор
  • организовать хранение и защиту данных

Именно на этом этапе многие понимают, что вопрос не в формальной статье закона, а в том, как реально выстроить процессы.

Самые частые ошибки бизнеса

Ошибка 1. Считать, что сайт без регистрации не собирает ПДн

Если на сайте есть форма с именем, телефоном, email или заказом звонка, обработка уже идёт.

Ошибка 2. Думать, что email не является персональными данными

Во многих случаях email позволяет определить пользователя, особенно если он хранится в CRM или связан с историей заявок.

Ошибка 3. Публиковать политику, но не иметь внутренних документов

Одна страница на сайте не закрывает требования 152-ФЗ. Нужны и внутренние документы, и понимание целей обработки, и рабочие процедуры.

Ошибка 4. Смешивать все данные в одну категорию

У сотрудников, клиентов, посетителей сайта и партнёров могут быть разные цели обработки, разные документы и разные основания.

Что делать бизнесу после того, как вы определили ПДн

Базовый алгоритм такой:

  1. Определить, какие данные вы собираете.
  2. Разделить их по категориям: клиенты, сотрудники, сайт, подрядчики.
  3. Прописать цели обработки.
  4. Проверить основания обработки.
  5. Подготовить обязательные документы.
  6. Понять, нужно ли уведомление в Роскомнадзор.
  7. Настроить сайт и внутренние процессы под 152-ФЗ.

Короткий вывод

Персональные данные, это не только паспорт или СНИЛС. Для бизнеса это почти любая информация, по которой можно определить человека: от имени и телефона до данных из формы на сайте.

Если вы работаете с клиентами, сотрудниками или заявками с сайта, лучше сразу исходить из того, что вы обрабатываете ПДн и должны соблюдать требования 152-ФЗ.

FAQ

Телефон и email, это персональные данные?

Да, в большинстве практических ситуаций да, особенно если по ним можно определить конкретного человека.

IP-адрес считается персональными данными?

Может считаться, если используется для идентификации пользователя или связывается с другими данными.

ФИО сотрудника, это персональные данные?

Да, это классический пример персональных данных.

Если у меня только форма обратной связи на сайте, я уже оператор?

Как правило, да, потому что вы собираете и обрабатываете данные пользователя.

Достаточно ли просто разместить политику на сайте?

Нет. Политика нужна, но сама по себе она не заменяет внутренние документы и процедуры.

Что почитать дальше

CTA

Если вы не уверены, какие именно данные на вашем сайте или в компании уже считаются персональными данными, начните с аудита процессов. Обычно именно на этом этапе становится понятно, какие документы, уведомления и доработки действительно нужны.

Что ещё посмотреть по теме

После статьи лучше сразу получить картину по рискам

Пройдите бесплатную экспресс-проверку 152-ФЗ и получите отчёт, который можно показать руководителю

За несколько коротких ответов вы увидите уровень рисков, штрафные зоны, список нужных документов и сможете скачать PDF-отчёт для согласования бюджета. Если задача уже понятна, после этого проще перейти к пакету документов или консультации.

Пройти бесплатную проверку Выбрать пакет Разобрать ситуацию