Вопросы, связанные с персональными данными (далее — ПДн), являются ключевыми факторами в плане обеспечения безопасности граждан и деятельности общественных учреждений. В этом отношении прежде всего следует руководствоваться действующим законодательством о ПДн, которое определяет категории личной информации, методы ее обработки и защиты.

Различение групп данных позволяет выстраивать гибкую систему безопасности с отдельными уровнями защиты и алгоритмами обработки, а также применять различные санкции в случае нарушений установленных правил. Следовательно, знать, например, о том, что относится к специальным категориям персональных данных, необходимо для поддержания нормального и законного учета информации.

В соответствии с законодательными актами персональные данные подразделяются по следующим группам:

• общедоступные,
• биометрические,
• специальные,
• остальные.

К категории общедоступных относятся основные сведения о человеке (Ф.И.О., дата и место рождения и т. д.) — то, что входит в понятие «паспортные данные», а также некоторая дополнительная информация (образование, место работы, номер телефона). Запись и обработка биометрических данных (физиогномика, отпечатки пальцев, рисунок сетчатки глаза) стала возможной благодаря техническим инновациям и ведется в целях более точной идентификации, в том числе для регулирования доступа к объектам с повышенным уровнем безопасности. Специальные персональные данные включают информацию личного характера, а остальные данные определяются по остаточному принципу.

Какие персональные данные относятся к категориям специальных?

Специальные категории ПДн включают сведения о частной жизни человека. Закон «О персональных данных» перечисляет следующие пункты:

• раса и национальность;
• политические, религиозные и философские воззрения;
• состояние здоровья;
• интимные особенности (например, сексуальная ориентация).

Обработка этих данных строго регламентирована и может вестись только с письменного согласия самого гражданина, а также в особых ситуациях, к которым относятся, например, обеспечение правопорядка и правосудия, перепись населения, исполнение международных соглашений, в том числе при обратном приеме граждан РФ на территорию страны, или соблюдение законных требований при приеме на работу и оформлении социального и пенсионного обеспечения.

Каковы особенности обработки специальных ПДн?

Определяя то, что относится к специальным персональным данным, 152-й закон также систематизирует методы сбора и обработки информации (ст. 10.1). Кроме письменного согласия субъекта, оператор в случае необходимости должен также получить согласие на распространение полученных сведений. Без соответствующей подписи любое их разглашение может считаться незаконным, даже если сам субъект ранее обнародовал эту информацию о себе, и потребует от оператора доказательств правомочности таких действий.

Гражданин имеет право намеренно установить запрет на передачу данных о себе посторонним лицам. Кроме того, он может потребовать прекратить распространение сведений, даже если ранее дал на это согласие.

Какая ответственность предусмотрена за нарушение законодательства о ПДн?

Сбор и обработка персональных данных без согласия субъекта и вне предусмотренных законодательством случаев может обернуться штрафом в размере от 2 до 10 тысяч рублей для физических лиц и от 20 до 700 тысяч для должностных лиц и организаций (см. пп. 1, 2 ст. 13.11 КоАП РФ). Также Административный кодекс предусматривает штрафы за разглашение специальных ПДн, например, результатов обследования пациента или установленного диагноза, которые могут доходить до нескольких миллионов рублей. В особых случаях может применяться ст. 137 УК РФ с максимальным наказанием до шести лет лишения свободы.

О катастрофическом росте штрафов за персональные данные с 30.05.2025 мы рассказываем здесь.

Работа с персональными данными должна выполняться с соблюдением установленного порядка получения информации, ее хранения, передачи и удаления.

Источник: Что относится к специальным категориям персональных данных

Согласие на обработку данных. Юридические аспекты.

Юрист Наталия Спицына:

Согласие остается самым безопасным основанием для обработки персональных данных (ПД). Потому я рекомендую опираться именно на данное основание, когда это возможно (п. 1 ч. 1 ст. 6 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее – Закон № 152-ФЗ)).

С 30 мая 2025 г. максимальный размер штрафа за обработку ПД в не предусмотренных законом случаях увеличится: за первичное нарушение компании начнут платить до 300 000 рублей, за повторное нарушение – до 500 000 рублей (ч. 1 и 2 ст. 13.11 Кодекса РФ об административных правонарушениях (далее – КоАП РФ), Федеральный закон от 30 ноября 2024 г. № 420-ФЗ).

Если невозможно получить согласие, поищите иные основания для обработки ПД. Например, в большинстве случаев отдельное согласие не нужно, если ПД обрабатываются непосредственно для заключения и исполнения договора или для осуществления прав и законных интересов оператора (п. 5 и 7 ч. 1 ст. 6 Закона № 152-ФЗ).

Тут судебная практика постепенно складывается в пользу операторов. В частности, суды отмечают, что пользовательское соглашение, принятое (акцептованное) пользователем при регистрации, может быть тем самым договором, для исполнения которого владелец сайта обрабатывает ПД (дело № 12-811/2023).

Юристы Алексей Филатов и Полина Гаврюшина:

Если на сайте предусмотрена форма обратной связи, то оператор обязан ознакомить пользователя с текстом согласия на обработку ПД и позаботиться о его законном получении (информация Роскомнадзора от 28 декабря 2023 г.).

Юрист Александра Баранова:

Чек-бокс с согласием на обработку ПД не должен быть заранее заполнен. Если предоставить пользователям предзаполненный дисклеймер о сборе ПД, то на сайт могут пожаловаться в Роскомнадзор.

Информирование о сборе cookie

Юрист Александра Баранова:

Сделайте на сайте баннер, чтобы уведомить посетителей об использовании cookie-файлов и получить согласие на их обработку. Как оформить такой баннер, смотрите в гайде от проекта «За мозги России».

Юристы Алексей Филатов и Полина Гаврюшина:

Если не разместить сookie-баннер, то компании могут выписать штраф до 100 000 рублей, а с 30 мая 2025 г. – до 300 000 рублей (ч. 1 ст. 13.11 КоАП РФ, Федеральный закон от 30 ноября 2024 г. № 420-ФЗ, дело № 2а-580/2024).

Согласие на рассылку

Юрист Александра Баранова:

Обязательно запрашивайте отдельное согласие на рассылку (ст. 18 Федерального закона от 13 марта 2006 г. № 38-ФЗ «О рекламе»).

Причем только чек-бокса для получения согласия недостаточно. Необходимо разместить на сайте Политику рассылки рекламных и информационных уведомлений.

Документы по обработке данных

Юристы Алексей Филатов и Полина Гаврюшина:

Разместите на сайте Политику обработки ПД и сведения о соблюдении требований к защите ПД (дело № 5-28/2024).

В противном случае компанию могут привлечь к административной ответственности по ч. 3 ст. 13.11 КоАП РФ. Штрафы достигают 60 000 рублей.

Верификация пользователей

Юрист Наталия Спицына:

При получении согласия на обработку ПД важно зафиксировать, что предоставил его именно тот человек, чьи данные оператор собирается использовать. Это особенно актуально, если в дальнейшем оператор будет направлять пользователю информацию.

Советую хранить лог-файлы в привязке к идентификатору пользователя. И лучше включить в процесс получения согласия этап верификации. Например, направьте код по электронной почте или номеру телефона, указанному пользователем при регистрации.

Локализация данных

Юристы Алексей Филатов и Полина Гаврюшина:

Обеспечьте запись, систематизацию, накопление, хранение, уточнение и извлечение ПД россиян с использованием баз данных, находящихся в России (ч. 5 ст. 18 Закона № 152-ФЗ).

В противном случае компании будет грозить штраф до 6 000 000 рублей (ч. 8 ст. 13.11 КоАП РФ, дело № 12-559/2024).

Распространение данных

Юрист Наталия Спицына:

Если планируете распространять ПД, то может потребоваться отдельное согласие (ст. 10.1 Закона № 152-ФЗ). К согласию на распространение ПД применяются требования, установленные ст. 10.1 Закона № 152-ФЗ и Приказом Роскомнадзора от 24 февраля 2021 г. № 18.

Согласно позиции Роскомнадзора, распространением не признается публикация ПД на сайте, доступном только зарегистрированным пользователям (см., например, вебинар Роскомнадзора от 1 марта 2023 г.). Это сокращает количество случаев, когда необходимо согласие на распространение ПД. Вместе с тем в 2024 г. Управление Роскомнадзора по ЦФО отмечало, что размещение ПД в открытом доступе на сайте, который не индексируется, все равно признается распространением.

Ранее большинство специалистов утверждали, что основанием для публикации ПД на сайте может быть только согласие на распространение. Это мнение поддерживали и эксперты Роскомнадзора. Однако в 2023 г. ситуация изменилась. Суд указал, что распространение ПД возможно на иных основаниях, указанных в ч. 1 ст. 6 Закона № 152-ФЗ (дело № А40-139096/2022). В 2024 г. Роскомнадзор транслировал уже эту позицию.

Размещение фото

Юрист Наталия Спицына:

Обычно использование фотографии человека на сайте требует получения сразу нескольких согласий.

Во-первых, необходимо базовое согласие на обработку ПД, поскольку, как правило, фото относятся к персональным данным. В одном деле суд отметил, что добровольное участие в фотосъемке само по себе не означает наличие согласия на использование и обнародование полученных снимков (дело № 88-13675/2023).

Во-вторых, нужно согласие на распространение, если фото размещается в открытом доступе. В нем человек со снимка вправе установить запреты или условия обработки ПД.

В-третьих, часто будет требоваться согласие на использование изображения в соответствии со ст. 152.1 Гражданского кодекса РФ. Хотя Роскомнадзор не проверяет наличие данного согласия, его отсутствие может стать основанием для претензий модели.

Статья 152.1 Гражданского кодекса РФ предусматривает исключения, когда согласие не нужно. Например, если человек позировал за плату.

Защита данных

Юрист Наталия Спицына:

Уделите внимание информационной безопасности: отразите правила защиты ПД в документах и следите за их актуализацией, установите средства технической защиты и обучите сотрудников основам кибербезопасности.

С 30 мая 2025 г. вводятся новые штрафы за действия или бездействие оператора, которые повлекли утечку ПД (Федеральный закон от 30 ноября 2024 г. № 420-ФЗ). Вероятно, при рассмотрении дел о назначении таких штрафов суды станут анализировать, какие меры по защите информации принимал оператор и можно ли считать их достаточными.

Размер штрафа будет зависеть от объема утерянных ПД и их категории (биометрические, специальные, иные). За повторное нарушение предусмотрена еще более строгая ответственность – оборотный штраф. Однако этот штраф могут уменьшить до 1/10 минимального размера, если при отсутствии отягощающих обстоятельств оператор обеспечит информационную безопасность и проведет аудит (ч. 3.4-2 ст. 4.1 КоАП РФ в ред. Федерального закона от 30 ноября 2024 г. № 420-ФЗ).

Взаимодействие между отделами компании

Юрист Наталия Спицына:

Иногда требования к обработке ПД нарушаются из-за недостаточной коммуникации юристов и специалистов, занимающихся развитием сайтов. Так, однажды мы столкнулись с загрузкой на сайт устаревшей версии Политики обработки ПД, которую юристы компании не планировали больше использовать.

Чтобы снизить риски, организуйте тренинги для сотрудников и введите регулярные проверки сайта юристами.

Источник: Работа с персональными данными на сайте