справочник 14 августа 2026 По состоянию на 14 августа 2026

Что НЕ является персональными данными: исключения

Персональные данные — любая информация, прямо или косвенно относящаяся к определённому физическому лицу (ст. 3 ФЗ-152). Но закон защищает не любую информацию о человеке: ряд категорий сведений под действие 152-ФЗ не подпадает.

Ошибочное расширение перечня ПДн в организации приводит к избыточным согласиям, раздутым пакетам ОРД и неверной квалификации нарушений. Обратная ошибка — признание ПДн обезличенными там, где они таковыми не стали, — открывает путь к штрафу по ч. 12–14 ст. 13.11 КоАП: 3–15 млн ₽.

→ Если вы юрист и проверяете комплаенс компании, этот справочник покажет точную границу: что защищает 152-ФЗ, а что — нет.

Закон определяет ПДн через признак идентификации физического лица (ст. 3 ФЗ-152). Всё, что этот признак не несёт — либо прямо исключено нормой, либо выведено из-под режима ФЗ-152 судебной и регуляторной практикой. Ниже — систематизированный перечень таких исключений с разбором каждого.

Какие сведения прямо не относятся к персональным данным по ст. 3 ФЗ-152?

Признак идентификации — ключевой критерий ст. 3 ФЗ-152: информация должна прямо или косвенно относиться к определённому или определяемому физическому лицу. Если идентификация невозможна — режим ФЗ-152 не применяется.

Сведения, которые не являются ПДн:

Данные о юридических лицах. Наименование организации, ИНН, ОГРН, адрес регистрации юрлица — это атрибуты субъекта права, но не физического лица. ФЗ-152 прямо ограничивает сферу действия физическими лицами (ст. 1 ФЗ-152). Исключение: ФИО руководителя или контактного лица в составе реквизитов контрагента — это уже ПДн конкретного человека.
Обезличенные данные, при которых идентификация невозможна. Ст. 3 ФЗ-152 определяет обезличивание как действия, в результате которых невозможно определить принадлежность ПДн конкретному субъекту без дополнительной информации. После корректного обезличивания информация выходит из режима ФЗ-152. Порядок обезличивания — пять методов, установленных подзаконным актом РКН (введён в действие с 2025 года).
Агрегированная статистика без возможности обратного раскрытия. Показатель «средний возраст сотрудников отдела — 34 года» или «35% клиентов — женщины» не позволяет идентифицировать физическое лицо. Такие данные не требуют согласия и не влекут уведомления РКН.
Сведения об умерших лицах. ФЗ-152 распространяется на живых физических лиц. Данные о умершем человеке по общему правилу не являются ПДн, охраняемыми по ст. 6–9 ФЗ-152. Исключение: сведения одновременно затрагивают родственников умершего — тогда это ПДн живых людей.
Публично недоступные данные о неопределённом круге лиц. Обезличенный номер транзакции, технический идентификатор устройства без привязки к пользователю, MAC-адрес в изолированной системе без реестра соответствий — не ПДн при условии, что оператор не располагает средствами обратной идентификации.

«Ст. 3 ФЗ-152: персональные данные — любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных). Ключевое слово — "определяемому": если лицо определить невозможно технически и организационно, информация перестаёт быть ПДн.»

Что такое обезличенные данные и когда они перестают быть ПДн?

Обезличенные персональные данные — сведения, прошедшие процедуру обезличивания так, что без дополнительной информации (ключа соответствия, дополнительного файла, перекрёстной базы) идентификация субъекта невозможна.

Обезличивание — это не просто удаление имени. Практика РКН показывает: замена ФИО на идентификатор с сохранением ключа соответствия в той же организации не является обезличиванием — лицо остаётся «определяемым». Полноценное обезличивание требует применения методов из перечня, установленного приказом РКН. Пять методов включают: введение псевдонимов-идентификаторов с уничтожением ключа, изменение состава и семантики данных, декомпозицию, перемешивание и обобщение/агрегацию.

После корректного обезличивания оператор вправе:

передавать данные третьим лицам без согласия субъекта;
использовать их для аналитики и ML без ограничений ст. 5–6 ФЗ-152;
не включать соответствующую обработку в уведомление РКН по ст. 22 ФЗ-152.

Риск для юриста: если при проверке РКН выяснится, что «обезличенные» данные de facto позволяют идентификацию через перекрёстные базы или ключи доступны сотрудникам — РКН квалифицирует обработку как необезличенные ПДн со всеми вытекающими.

Проверяете режим обработки данных в организации?

Если юрист компании разграничивает ПДн и иные данные в целях построения системы согласий и ОРД — важно корректно квалифицировать каждую категорию до начала обработки. Ошибка в квалификации означает либо избыточный пакет документов, либо нарушение, которое РКН обнаружит при проверке.

Заказать аудит 152-ФЗ

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Какие данные о сотрудниках и контрагентах не являются ПДн?

Этот вопрос — один из наиболее частых при аудите. Практика разграничения:

Должность без ФИО. «Директор по продажам» — не ПДн. «Директор по продажам Иванов И.И.» — ПДн.
Корпоративный email в формате info@company.ru или otdel@company.ru. Не является ПДн, поскольку не идентифицирует конкретное физическое лицо. Email вида ivan.ivanov@company.ru содержит имя — это ПДн.
Обезличенные записи в CRM. Клиент под номером «#45821» без реестра соответствия — не ПДн. При наличии реестра соответствия у оператора — ПДн, поскольку лицо остаётся «определяемым».
Данные ИП в части предпринимательской деятельности. Позиция РКН неоднозначна: ФИО ИП в контексте его коммерческой деятельности (реквизиты договора, ОГРНИП) — пограничная зона. Однако данные об ИП-физлице (адрес проживания, персональный телефон) — безусловно ПДн.
Технические идентификаторы без реестра соответствия. UUID сессии, хэш без исходного значения, cookie-идентификатор изолированной системы — не ПДн при условии, что оператор не располагает средствами установить, кому они принадлежат. При наличии таких средств — ПДн (позиция РКН по cookie как ПДн подтверждена практикой проверок 2023–2025 годов).

Что проверить при квалификации данных как ПДн или не-ПДн

Можно ли с помощью этих данных (отдельно или совместно с другими данными оператора) идентифицировать конкретное физическое лицо?
Относятся ли данные к живому человеку — или к юрлицу, умершему лицу, вымышленному персонажу?
Пройдена ли процедура обезличивания по методам РКН — уничтожен ли ключ соответствия?
Есть ли у оператора доступ к базе, позволяющей «раскрыть» обезличенные данные?
Не затрагивают ли данные об умершем одновременно живых родственников?

Если юрист компании выявил неоднозначные категории данных в CRM или базе сотрудников — точная квалификация влияет на состав ОРД и перечень оснований обработки по ст. 6 ФЗ-152. Оценим вашу ситуацию за 24 часа.

Заказать аудит 152-ФЗ

Типовые ситуации: пограничные случаи в практике 2025–2026

Ситуация 1. Cookie-файлы без логина. Компания собирала идентификаторы браузерных сессий через аналитический сервис. Позиция юридической службы: cookie — не ПДн, согласие не нужно. При плановой проверке РКН (Центральный ФО, 2025) инспекция установила: идентификаторы совмещались с IP-адресом и данными устройства, что позволяло идентифицировать пользователя через рекламную платформу. РКН квалифицировал обработку как ПДн без надлежащего правового основания — протокол по ч. 1 ст. 13.11 КоАП. Стратегия: оценивать cookie не изолированно, а в совокупности с другими данными, доступными оператору.

Ситуация 2. База контрагентов-ИП. Компания хранила базу с реквизитами ИП: ОГРНИП, ИНН, наименование, расчётный счёт. Юрист квалифицировал базу как «предпринимательские данные», не требующие согласия. Однако в базе также присутствовали личные телефоны и адреса проживания ИП — они являются ПДн физических лиц вне зависимости от их статуса. При аудите выявлено: согласий нет, правового основания по ст. 6 ФЗ-152 нет, уведомление в РКН не подано. Исход: риск протокола по ч. 1 и ч. 10 ст. 13.11 КоАП одновременно. Стратегия: разделить базу на реквизитную часть (деловые данные ИП) и контактную (личные данные физлица) с разными правовыми основаниями.

Ситуация 3. Обезличенная база для ML. IT-компания (Северо-Западный ФО, 2025) передала датасет клиентских транзакций подрядчику для обучения модели. ФИО заменены на UUID, но в датасете сохранились даты рождения, пол и почтовые индексы. Независимый аудит установил возможность re-идентификации по сочетанию трёх атрибутов для ~15% записей. Правовой режим обезличивания не достигнут — оператор несёт ответственность за передачу необезличенных ПДн третьему лицу без поручения по ст. 6 ч. 3 ФЗ-152. Стратегия: до передачи — оценка риска re-идентификации, применение метода обобщения/агрегации по методике РКН.

Частые вопросы

1. Что считается обработкой ПДн по 152-ФЗ?

Обработка по ст. 3 ФЗ-152 — любое действие или совокупность действий с ПДн: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение. Даже однократное хранение файла с ФИО — уже обработка, влекущая обязанности оператора по ФЗ-152.

2. На основании чего можно обрабатывать ПДн?

Ст. 6 ФЗ-152 устанавливает 11 правовых оснований. Наиболее используемые: согласие субъекта (п. 1), исполнение договора с субъектом (п. 5), исполнение обязанностей, предусмотренных законодательством (п. 2), достижение законных интересов оператора при условии, что это не нарушает права субъекта (п. 7). Согласие — не единственное основание и не всегда самое подходящее: ошибочный выбор основания фиксируется как нарушение при проверке РКН.

3. Что грозит за нарушение 152-ФЗ?

Административная ответственность по ст. 13.11 КоАП в редакции с 30.05.2025 — от 30 тыс. до 15 млн ₽ в зависимости от части. При повторной утечке данных более 100 тыс. субъектов применяется оборотный штраф по ч. 15: 1–3% совокупной годовой выручки, не менее 20 млн ₽, не более 500 млн ₽. С 11.12.2024 действует уголовная ответственность по ст. 272.1 УК РФ — до 10 лет лишения свободы по ч. 5 за тяжкие последствия.

4. Нужно ли уведомлять РКН малому бизнесу?

Обязанность уведомить РКН о намерении обрабатывать ПДн (ст. 22 ФЗ-152) распространяется на всех операторов, кроме прямо указанных исключений: обработка ПДн работников в целях трудового договора, обработка ПДн в рамках договора с субъектом, обработка без передачи третьим лицам, ПДн членов общественных организаций и ряд других. Малый бизнес под освобождение попадает только при соблюдении конкретных условий ст. 22 ч. 2. Неуведомление — штраф по ч. 10 ст. 13.11: 100–300 тыс. ₽.

5. С какого возраста нужно согласие на ПДн?

ФЗ-152 не устанавливает возрастной порог напрямую. По общим нормам ГК РФ полная дееспособность — с 18 лет, ограниченная — с 14 лет (ст. 26 ГК). Согласие несовершеннолетних до 14 лет получают законные представители. На практике при сборе ПДн детей через образовательные и медицинские сервисы согласие получают родители. Отдельные категории данных (биометрия) требуют письменного согласия в любом случае — ст. 11 ФЗ-152.

Итог

Режим ФЗ-152 применяется только к информации, позволяющей идентифицировать живое физическое лицо. Данные юрлиц, корректно обезличенная информация, агрегированная статистика без возможности обратного раскрытия и сведения об умерших под действие закона не подпадают. Пограничные случаи — cookie, данные ИП, псевдонимизированные базы — требуют оценки совокупности данных, доступных оператору.

Юристы DATUM сопровождают квалификацию категорий данных, выстраивают систему оснований обработки и формируют пакет ОРД под конкретную структуру бизнеса, включая пограничные случаи с cookie, ML-датасетами и базами контрагентов-ИП.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка квалификации данных, оснований обработки, полноты ОРД
Комплект ОРД под ключ — политика, согласия, приказы, журналы под конкретную схему обработки
DPO-аутсорсинг — функция ответственного по ст. 22.1 ФЗ-152 на абонементе

АС

Анна Соколова

Партнёр · ПДн в HR

Партнёр практики DATUM по защите персональных данных в HR. Специализация — согласия работников по ст. 9 152-ФЗ в редакции с 01.09.2025 (ФЗ-156), обработка через КЭДО, биометрия в СКУД, передача в зарплатных проектах. Сопровождение проверок РКН в HR-департаментах.

14 августа 2026 года