Категории персональных данных: какие бывают и как определить

Федеральный закон № 152-ФЗ "О персональных данных" и Постановление Правительства РФ № 1119 от 01.11.2012 разделяют все персональные данные на четыре категории. Каждая категория имеет свой правовой режим обработки, особые условия получения согласия и влияет на определение уровня защищённости информационной системы.

Правильное определение категории обрабатываемых данных — обязательный шаг для любого оператора ПДн. От этого зависит: какие документы нужно оформить, какие организационные и технические меры защиты принять, какой уровень защищённости установить для ИСПДн.

Категория "иные" не упоминается напрямую в 152-ФЗ, но введена Постановлением Правительства РФ № 1119 для классификации данных при определении уровня защищённости. Фактически это самая массовая категория: к ней относятся все данные, которые не подпадают под первые три.

Важно: одна организация может одновременно обрабатывать данные нескольких категорий. Например, медицинская клиника обрабатывает специальные (диагнозы), биометрические (фотография в медицинской карте для идентификации), иные (ФИО, адрес, телефон) данные. В таком случае уровень защищённости определяется по наивысшей категории.

Специальные категории персональных данных — это наиболее чувствительный тип ПДн, обработка которого регулируется статьёй 10 Федерального закона № 152-ФЗ. К специальным категориям относятся сведения, касающиеся:

• Расовой и национальной принадлежности — этнические данные, указание национальности
• Политических взглядов — партийная принадлежность, политические предпочтения
• Религиозных и философских убеждений — вероисповедание, членство в религиозных организациях
• Состояния здоровья — диагнозы, группа крови, сведения об инвалидности, результаты анализов, медицинская история
• Интимной жизни — сведения о половой ориентации, сексуальной жизни
• Судимости — наличие/отсутствие судимости, привлечение к уголовной ответственности (с учётом поправок)

По общему правилу обработка специальных категорий ПДн запрещена (ч. 1 ст. 10 152-ФЗ). Однако закон устанавливает ряд исключений, когда такая обработка допускается:

• Субъект дал письменное согласие на обработку своих специальных ПДн (согласие должно быть конкретным, информированным и сознательным)
• Обработка необходима для защиты жизни и здоровья субъекта или иного лица, а получение согласия невозможно
• Обработка осуществляется в медицинских целях лицом, профессионально занимающимся медицинской деятельностью и обязанным хранить врачебную тайну
• Обработка необходима для установления или осуществления прав субъекта или третьих лиц, в том числе в рамках судопроизводства
• Обработка осуществляется в соответствии с законодательством о безопасности, оперативно-розыскной деятельности, пенсионным и трудовым законодательством
• Субъект ПДн сам сделал данные общедоступными
• Обработка необходима для достижения целей, предусмотренных международными договорами РФ

Практические примеры обработки специальных ПДн:

При обработке специальных категорий ПДн оператор обязан обеспечить повышенный уровень защиты. Согласно ПП РФ № 1119, обработка специальных ПДн при угрозах 3-го типа и объёме менее 100 000 субъектов требует не ниже УЗ-3, а при большем объёме или угрозах 2-го типа — УЗ-2 и выше.

Биометрические персональные данные — это сведения, характеризующие физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для идентификации субъекта. Регулируются статьёй 11 Федерального закона № 152-ФЗ.

Ключевые признаки биометрических ПДн:

• Характеризуют физиологические или биологические особенности человека
• Позволяют установить личность (идентифицировать) субъекта
• Используются оператором именно для идентификации — это решающий критерий

Примеры биометрических данных:

• Отпечатки пальцев (дактилоскопия)
• Рисунок радужной оболочки глаза
• Геометрия ладони, рисунок вен
• Образцы голоса для идентификации
• Код ДНК
• Фотографическое изображение лица — при использовании для идентификации
• Данные системы распознавания лиц (СКУД с камерами)

Когда фотография является биометрическими данными, а когда нет?

Это один из самых частых вопросов на практике. Роскомнадзор дал разъяснения в письме от 27.03.2020 и ранее — в Разъяснениях от 30.08.2013:

Условия обработки биометрических ПДн:

Обработка биометрических данных допускается только при наличии письменного согласия субъекта, за исключением случаев, предусмотренных законом (ч. 2 ст. 11 152-ФЗ):

• Реализация международных договоров РФ
• Осуществление правосудия и исполнение судебных актов
• Проведение оперативно-розыскных мероприятий
• Обеспечение обороны и безопасности государства
• Обязательная дактилоскопическая регистрация

С 2023 года действует Федеральный закон № 572-ФЗ от 29.12.2022 "О единой биометрической системе" (ЕБС), устанавливающий дополнительные требования к коммерческим организациям, использующим биометрическую идентификацию. Банки, МФЦ и другие организации обязаны передавать собранные биометрические данные в ЕБС.

Общедоступные персональные данные — это данные, доступ к которым предоставлен неограниченному кругу лиц с согласия субъекта ПДн или на которые в соответствии с федеральными законами не распространяются требования конфиденциальности. Регулируются статьёй 8 Федерального закона № 152-ФЗ.

Примеры общедоступных ПДн:

• Данные из ЕГРЮЛ и ЕГРИП — ФИО учредителей, директоров, ИП (доступны на сайте ФНС)
• Данные из реестра операторов ПДн Роскомнадзора — ФИО ответственного за обработку
• Сведения из картотеки арбитражных дел и судебных решений
• Данные, которые субъект сам сделал общедоступными — публикация в открытом профиле соцсети, на визитке, на сайте
• Сведения из общедоступных справочников (при наличии согласия субъекта на включение)

Важные изменения 2021 года:

С 1 марта 2021 года вступил в силу Федеральный закон № 519-ФЗ от 30.12.2020, который существенно изменил режим общедоступных ПДн. Ключевые изменения:

• Понятие "общедоступные источники" заменено на "персональные данные, разрешённые субъектом для распространения"
• Для распространения (предоставления неограниченному кругу лиц) ПДн теперь требуется отдельное согласие на распространение — по форме, утверждённой Роскомнадзором (Приказ № 18 от 24.02.2021)
• Субъект вправе в любой момент установить запреты и условия распространения своих данных
• Молчание или бездействие субъекта не является согласием на распространение

Что это значит на практике:

Распространённая ошибка: многие операторы считают, что если человек сам опубликовал свои данные в социальной сети, эти данные автоматически становятся общедоступными и их можно свободно использовать. Это не так. Согласно позиции Роскомнадзора, факт публикации данных в открытом профиле соцсети не даёт другим лицам права на их дальнейшее распространение или обработку без основания, предусмотренного законом.

С точки зрения уровня защищённости, общедоступные ПДн требуют наименьших мер защиты. По ПП РФ № 1119 при угрозах 3-го типа и любом объёме субъектов для общедоступных данных достаточно УЗ-4 (базовый уровень).

Иные персональные данные — это категория, введённая Постановлением Правительства РФ № 1119 для целей определения уровня защищённости. К иным относятся все персональные данные, которые не подпадают под специальные, биометрические или общедоступные. Это самая массовая и распространённая категория — именно с ней работает подавляющее большинство организаций.

Что входит в категорию "иные" ПДн:

• Идентификационные данные: фамилия, имя, отчество, дата и место рождения
• Документы: серия и номер паспорта, СНИЛС, ИНН, номер водительского удостоверения, данные военного билета
• Контактные данные: адрес регистрации и проживания, номер телефона, адрес электронной почты
• Трудовые данные: должность, место работы, стаж, табельный номер, данные трудовой книжки
• Образовательные данные: сведения об образовании, квалификации, учёных степенях
• Финансовые данные: реквизиты банковского счёта, размер заработной платы, сведения о доходах
• Семейные данные: семейное положение, сведения о детях (без медицинских данных)
• Цифровые идентификаторы: IP-адрес, cookie-файлы, логин, данные геолокации

Примеры обработки иных ПДн по типам организаций:

Ключевое отличие от специальных и биометрических: для обработки иных ПДн не требуется обязательное письменное согласие. Достаточно согласия в любой форме, позволяющей подтвердить факт его получения (ч. 1 ст. 9 152-ФЗ). На практике это означает, что для обработки иных данных через сайт достаточно галочки (чекбокса) с текстом согласия при заполнении формы.

Однако есть исключения: если иные ПДн передаются третьим лицам или используются для автоматизированного принятия решений, может потребоваться более строгая форма согласия.

По ПП РФ № 1119 уровень защищённости для иных ПДн при угрозах 3-го типа составляет УЗ-4 (менее 100 000 субъектов — не сотрудников) или УЗ-3 (более 100 000 субъектов). Это минимальные требования, которые тем не менее обязывают оператора принять комплекс организационных и технических мер.

Правильное определение категории персональных данных — обязательный этап, который должен выполнить каждый оператор ПДн. Ниже приведён пошаговый алгоритм, который поможет последовательно классифицировать все обрабатываемые данные.

Шаг 1. Составьте полный перечень обрабатываемых ПДн

Проведите инвентаризацию всех персональных данных, которые собирает и хранит ваша организация. Источники: кадровые документы, формы на сайте, CRM-система, бухгалтерская программа, договоры с клиентами, cookie-файлы и системы аналитики. Результат — единый список всех полей и атрибутов ПДн.

Шаг 2. Выделите специальные категории

Проверьте: содержатся ли среди обрабатываемых данных сведения о расовой/национальной принадлежности, политических взглядах, религии, здоровье, интимной жизни, судимости? Если да — эти данные относятся к специальным. Типичные случаи: медкнижки сотрудников (данные о здоровье), справки об отсутствии судимости (для педагогов, охранников), анкеты с указанием национальности.

Шаг 3. Выделите биометрические данные

Проверьте: использует ли организация физиологические или биологические характеристики для идентификации личности? Если установлена система контроля доступа (СКУД) с распознаванием лиц или отпечатков пальцев — это биометрия. Если фотографии хранятся в личных делах для кадрового учёта, но не используются для идентификации — это не биометрия.

Шаг 4. Определите общедоступные данные

Проверьте: обрабатываете ли вы данные исключительно из общедоступных источников (ЕГРЮЛ, судебные акты) или данные, на распространение которых субъект дал отдельное согласие? Если вся информационная система работает только с такими данными — категория "общедоступные". На практике это редкий случай — обычно общедоступные данные обрабатываются вместе с иными.

Шаг 5. Все остальные данные — "иные"

Всё, что не попало в предыдущие три категории, является иными ПДн. ФИО, паспорт, адрес, телефон, email, должность, зарплата, ИНН, СНИЛС — это всё иные персональные данные.

Шаг 6. Определите категорию для каждой ИСПДн

Если в одной информационной системе обрабатываются данные нескольких категорий, то категория ИСПДн определяется по наивысшему уровню чувствительности:

Пример. Компания "Альфа" ведёт кадровый учёт в 1С. Обрабатываются: ФИО, паспортные данные, ИНН, СНИЛС (иные); медицинские справки для некоторых должностей (специальные). Итого: ИСПДн обрабатывает специальные категории ПДн, уровень защищённости определяется именно по этой категории.

Категория обрабатываемых персональных данных — один из четырёх параметров, определяющих уровень защищённости (УЗ) информационной системы по Постановлению Правительства РФ № 1119. Остальные три параметра: категория субъектов (сотрудники или не сотрудники), объём обработки (более или менее 100 000 субъектов) и актуальный тип угроз (1-й, 2-й или 3-й).

Как категория данных влияет на УЗ:

Чем чувствительнее категория ПДн — тем выше требуемый уровень защищённости при прочих равных условиях. Ниже приведена сводная таблица для наиболее распространённого 3-го типа угроз (угрозы, не связанные с НДВ), который актуален для большинства коммерческих организаций:

При 2-м типе угроз уровень защищённости повышается на одну ступень: специальные данные потребуют УЗ-2 или УЗ-1, биометрические — УЗ-2, иные — УЗ-3 и т.д. При 1-м типе угроз (наиболее серьёзном) — ещё на ступень выше.

Что означает каждый уровень:

• УЗ-4 (базовый) — контроль доступа, антивирусная защита, безопасное хранение носителей, перечень допущенных лиц
• УЗ-3 (средний) — всё из УЗ-4 + назначение ответственного за безопасность ПДн
• УЗ-2 (повышенный) — всё из УЗ-3 + ограничение доступа к содержимому электронного журнала сообщений
• УЗ-1 (максимальный) — всё из УЗ-2 + создание структурного подразделения по безопасности ПДн или возложение функций на существующее

Практическое применение:

Для большинства компаний с кадровым учётом (иные ПДн сотрудников, 3-й тип угроз) требуется УЗ-4. Если при этом хранятся медицинские справки (специальные ПДн) — требование повышается до УЗ-3. Если установлена СКУД с биометрией — также УЗ-3.

Для точного определения уровня защищённости воспользуйтесь нашим калькулятором УЗ, который учитывает все четыре параметра и выдаёт результат с обоснованием по ПП РФ № 1119. По результату необходимо оформить Акт определения уровня защищённости и утвердить его приказом руководителя.