Виды персональных данных: что является ПДн по закону 152-ФЗ
Какие данные относятся к персональным по 152-ФЗ: ФИО, телефон, email, ИНН, IP-адрес, cookie. Полная классификация видов ПДн с примерами. Являются ли ФИО персональными данными.
Что такое персональные данные по закону
Персональные данные — это любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных). Это определение установлено пунктом 1 статьи 3 Федерального закона № 152-ФЗ.
Ключевое слово — «любая информация». Закон не содержит закрытого перечня видов ПДн. Если по данным (одним или в совокупности с другими) можно определить конкретного человека — это персональные данные.
Примеры данных, которые являются ПДн:
- ФИО — являются персональными данными, если позволяют идентифицировать конкретного человека (а не просто Иван Иванов — распространённое имя)
- Дата и место рождения — в сочетании с ФИО однозначно идентифицируют человека
- Паспортные данные — серия, номер, кем и когда выдан
- ИНН, СНИЛС — уникальные идентификаторы, однозначно определяют человека
- Номер телефона, email — позволяют связаться с конкретным лицом
- Адрес регистрации и проживания
- Фотография — если по ней можно определить человека
- IP-адрес — по позиции Роскомнадзора и судебной практике относится к ПДн
- Cookie-файлы — содержат идентификаторы, позволяющие отслеживать пользователя
- Данные геолокации — в сочетании с другими данными определяют человека
Классификация видов персональных данных
Персональные данные можно классифицировать по нескольким основаниям.
По категории (ПП РФ № 1119)
Постановление Правительства РФ № 1119 выделяет четыре категории ПДн для определения уровня защищённости. Подробный разбор каждой категории — в нашей статье 4 категории персональных данных по 152-ФЗ.
| Категория | Примеры |
|---|---|
| Специальные | Здоровье, диагнозы, судимости, расовая принадлежность, религия |
| Биометрические | Отпечатки пальцев, радужка глаза, ДНК (при использовании для идентификации) |
| Общедоступные | Данные из ЕГРЮЛ, данные, разрешённые субъектом для распространения |
| Иные | ФИО, паспорт, телефон, email, адрес, ИНН, СНИЛС — всё, что не в трёх выше |
По способу получения
- Предоставленные субъектом — заполненные формы, анкеты, резюме
- Полученные от третьих лиц — от контрагентов, государственных органов, из открытых источников
- Собранные автоматически — cookie, IP-адрес, данные аналитики сайта
- Производные — результаты скоринга, аналитические выводы на основе ПДн
Являются ли эти данные персональными — разбор спорных случаев
На практике часто возникают вопросы о том, являются ли конкретные данные персональными. Разберём типичные случаи.
| Данные | Являются ПДн? | Пояснение |
|---|---|---|
| ФИО | Да (как правило) | ФИО позволяют идентифицировать человека, особенно в контексте (организация, должность). Исключение — очень распространённые имена без дополнительного контекста |
| Только имя ("Иван") | Нет (само по себе) | Одно имя без фамилии и контекста не позволяет определить конкретного человека |
| Номер телефона | Да | Привязан к конкретному абоненту, позволяет установить личность через оператора связи |
| Да | Особенно если содержит ФИО (ivanov@company.ru) или привязан к учётной записи | |
| ИНН физлица | Да | Уникальный идентификатор, однозначно определяет человека |
| IP-адрес | Да | Роскомнадзор и суды относят IP к ПДн, так как в совокупности с другими данными он позволяет идентифицировать пользователя |
| Cookie-файлы | Да | Содержат уникальные идентификаторы для отслеживания пользователя. Требуется информирование и согласие |
| Номер автомобиля | Да | Через базу ГИБДД позволяет определить владельца |
| Фото человека | Да | Если по фото можно определить конкретного человека |
| Название организации | Нет | Юридическое лицо не является субъектом ПДн |
Если сомневаетесь — считайте данные персональными. Это безопаснее, чем ошибиться в другую сторону и получить штраф за нарушение 152-ФЗ.
Как определить виды ПДн в вашей организации
Чтобы правильно организовать защиту персональных данных, проведите инвентаризацию обрабатываемых ПДн:
Шаг 1. Составьте перечень всех источников ПДн: формы на сайте, CRM, «1С», кадровые документы, договоры, email-рассылки, аналитика сайта.
Шаг 2. Для каждого источника определите состав данных: какие именно поля собираются (ФИО, телефон, email, паспорт, и т.д.).
Шаг 3. Классифицируйте данные по четырём категориям ПДн (специальные, биометрические, общедоступные, иные).
Шаг 4. На основе классификации определите необходимые документы и меры защиты. Минимальный комплект: политика обработки ПДн, согласие на обработку, перечень ПДн.
Создайте все необходимые документы в нашем конструкторе документов по 152-ФЗ.
Мишина Анна
Эксперт Киберосновы
Специалист по техническим мерам защиты персональных данных. Опыт внедрения средств защиты информации и подготовки документов для аттестации ИСПДн. Эксперт по требованиям ФСТЭК.
Часто задаваемые вопросы
Связанные материалы
Нужен полный пакет документов по 152-ФЗ?
Подготовим комплект под ключ с адаптацией под ваш бизнес. Можно собрать самостоятельно.