справочник 14 июня 2026 По состоянию на 14 июня 2026

Что считается персональными данными в 2026 году

Персональные данные по ст. 3 ФЗ-152 — любая информация, прямо или косвенно относящаяся к определённому или определяемому физическому лицу.

Граница понятия шире, чем кажется: IP-адрес, cookie-файл, геолокация и даже сочетание должности с фотографией могут образовать ПДн. За неправомерную обработку с 30.05.2025 — штраф до 6 млн ₽ (ч. 8 ст. 13.11 КоАП) или до 500 млн ₽ при повторной утечке (ч. 15).

→ Если вы юрист и проверяете комплаенс компании — этот справочник даст точные определения, категории и правовые основания обработки по ФЗ-152 в редакции 2025–2026 годов.

Вопрос «что считается персональными данными» — не академический. Ошибочная квалификация информации как неперсональной ведёт к обработке без законного основания, что образует состав по ч. 1 ст. 13.11 КоАП (150–300 тыс. ₽). Справочник построен на ст. 3, 5, 6 и 9 ФЗ-152, подзаконных актах 2025 года и сложившейся практике РКН.

Какая информация признаётся персональными данными по ст. 3 ФЗ-152?

Закон не даёт закрытого перечня. Персональные данные — это любая информация, относящаяся к физическому лицу прямо (имя, СНИЛС, паспортные данные) или косвенно, то есть через совокупность признаков, позволяющих идентифицировать человека. Ключевой критерий — идентифицируемость субъекта, а не форма записи.

«Ст. 3 ФЗ-152: персональные данные — любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных).»

На практике к ПДн относят:

фамилию, имя, отчество, дату и место рождения;
паспортные данные, СНИЛС, ИНН, номер полиса;
адрес регистрации и фактического проживания;
номер телефона и адрес электронной почты;
IP-адрес и идентификаторы устройства — при возможности связать их с конкретным лицом;
cookie-файлы — по позиции РКН являются ПДн при наличии идентификации;
геолокацию — в сочетании с иными данными;
фотографию и видеозапись лица — при использовании для распознавания (ст. 11 ФЗ-152);
сведения о трудовых отношениях, должность, размер заработной платы.

Информация, которая сама по себе не идентифицирует человека, но в совокупности с другими данными позволяет это сделать, также признаётся ПДн. Именно поэтому обезличенные данные в понимании ст. 3 ФЗ-152 — это данные, из которых идентификация невозможна, а не просто скрытые.

Какие категории персональных данных выделяет 152-ФЗ?

ФЗ-152 разделяет ПДн на четыре категории. Категория определяет режим обработки, применяемые меры защиты (уровень защищённости по ПП РФ №1119) и объём санкций при утечке.

Специальные категории ПДн (ст. 10 ФЗ-152) — расовая и национальная принадлежность, политические, религиозные и философские взгляды, состояние здоровья и интимная жизнь, сведения о судимости. Обработка по общему правилу запрещена; допустима лишь в исчерпывающих случаях п. 2 ст. 10 (письменное согласие субъекта, публично раскрытые данные, судопроизводство и ряд иных оснований).

Биометрические ПДн (ст. 11 ФЗ-152) — физиологические и биологические характеристики, на основании которых устанавливается личность: изображение лица, голос (применительно к ЕБС), отпечатки пальцев, радужная оболочка глаза. Обработка — только с письменного согласия субъекта. Хранение биометрии вне ЕБС запрещено с 01.06.2023 (ФЗ-572).

Общедоступные ПДн (ст. 10.1 ФЗ-152) — данные, в отношении которых субъект дал согласие на распространение неограниченному кругу лиц. Дефолт молчания — обработка только для нужд самого оператора; использование для иных целей требует отдельного согласия.

Иные ПДн — все остальные сведения, не отнесённые к трём категориям выше: ФИО, контактные данные, сведения о трудовой деятельности. Это наиболее распространённая категория в HR, e-commerce, маркетинге.

Не уверены, какую категорию ПДн обрабатывает компания?

Юрист видит: неправильная классификация категории — системная ошибка в 80% пакетов ОРД. Она меняет уровень защищённости ИСПДн, состав мер по Приказу ФСТЭК №21 и форму согласия субъекта. Аудит DATUM по чек-листу из 38 пунктов выявит категорию, правовое основание и документарные пробелы.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Каковы принципы обработки ПДн по ст. 5 ФЗ-152?

Принципы обработки ПДн по ст. 5 ФЗ-152 — семь обязательных требований к любой операции с персональными данными, независимо от категории и правового основания.

Законность и справедливость — обработка на основании нормы закона или согласия субъекта.
Конкретность целей — цель формулируется до начала сбора; расширение цели требует нового основания.
Несовместимость баз — нельзя объединять базы с несовместимыми целями обработки.
Соответствие объёма целям — собирать только те данные, которые необходимы для заявленной цели.
Точность и достаточность — оператор обязан актуализировать данные и удалять недостоверные.
Ограничение срока хранения — хранить не дольше, чем требует цель обработки.
Уничтожение при достижении цели — по достижении цели или утрате необходимости — уничтожить или обезличить.

Нарушение любого из семи принципов образует состав по ч. 1 ст. 13.11 КоАП (150–300 тыс. ₽ для юрлиц в редакции с 30.05.2025). Повторное нарушение — ч. 1.1 ст. 13.11 (300–500 тыс. ₽).

На каком основании можно обрабатывать персональные данные?

Правовое основание обработки — условие из ст. 6 ФЗ-152, при наличии которого оператор вправе совершать операции с ПДн. Обработка без законного основания — нарушение ч. 1 ст. 13.11 КоАП.

Основные основания для коммерческих операторов:

Согласие субъекта (п. 1 ст. 6) — с 01.09.2025 по ФЗ-156 от 24.06.2025 оформляется отдельным документом, не объединяется с договором, офертой или политикой.
Договор с субъектом (п. 5 ст. 6) — обработка необходима для исполнения договора, стороной которого является субъект, либо для заключения договора по его инициативе.
Исполнение обязанности оператора (п. 2 ст. 6) — обработка предусмотрена федеральным законом (например, трудовым кодексом, налоговым законодательством).
Судопроизводство и исполнение судебных актов (п. 3 ст. 6).
Жизненно важные интересы (п. 6 ст. 6) — защита жизни и здоровья при невозможности получить согласие.
Законные интересы оператора (п. 7 ст. 6) — при условии, что интересы субъекта не превалируют; применяется ограниченно.

«С 01.09.2025 (ФЗ-156 от 24.06.2025) согласие на обработку ПДн оформляется отдельным документом. Ранее выданные согласия переоформлять не требуется — норма обратной силы не имеет.»

Что проверить юристу при аудите оснований обработки

Для каждой цели — отдельное законное основание по ст. 6 ФЗ-152.
Согласия после 01.09.2025 — отдельный документ с обязательными реквизитами ст. 9 ФЗ-152.
Обработка специальных категорий (ст. 10) — наличие исключения из п. 2.
Поручение третьему лицу — договор поручения с перечнем операций и мер защиты (п. 3 ст. 6).
Уведомление РКН — актуальность записи в реестре операторов (ст. 22 ФЗ-152).

Типовые ситуации: где юрист чаще всего видит ошибки

Ситуация 1. Согласие встроено в текст договора. До 01.09.2025 практика была распространена. С введением ФЗ-156 такое согласие не соответствует требованиям ст. 9 ФЗ-152. Основание для штрафа по ч. 2 ст. 13.11 (300–700 тыс. ₽). Стратегия: разработать отдельную форму согласия с реквизитами ст. 9 для всех новых субъектов; оценить риск по уже собранным данным с учётом даты подписания.

Ситуация 2. Cookie-файлы обрабатываются без баннера согласия. РКН квалифицирует cookie как ПДн при наличии возможности идентификации. Обработка без согласия — нарушение ч. 1 ст. 13.11. В 2025 году РКН включил отсутствие cookie-баннера в индикаторы риска при плановых проверках. Стратегия: внедрить consent management platform, зафиксировать факт согласия, обновить политику конфиденциальности.

Ситуация 3. Обработка данных сотрудников за рамками трудового договора. Видеонаблюдение, геолокация служебного транспорта, мониторинг рабочего ПК без согласия образуют нарушение ч. 1 ст. 13.11. Исключение — случаи, прямо предусмотренные ТК РФ. Стратегия: провести инвентаризацию систем мониторинга, получить отдельные согласия или найти законное основание по ст. 6 ФЗ-152.

Если вы юрист и проверяете пакет ОРД компании — DATUM соберёт комплект документов под ключ: политика, согласия в редакции ФЗ-156, приказы, регламент реагирования на утечки.

Собрать ОРД под ключ

Частые вопросы

1. Что считается обработкой ПДн по 152-ФЗ?

По ст. 3 ФЗ-152 обработка — это любое действие или совокупность действий с ПДн: сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, удаление, уничтожение. Даже однократный просмотр файла с персональными данными в системе технически является обработкой.

2. На основании чего можно обрабатывать ПДн?

Ст. 6 ФЗ-152 содержит 11 правовых оснований. Для большинства коммерческих операторов применимы три: согласие субъекта (с 01.09.2025 — отдельный документ по ФЗ-156), договор с субъектом и требование федерального закона. Обработка без хотя бы одного из этих оснований образует нарушение ч. 1 ст. 13.11 КоАП.

3. Что грозит за нарушение 152-ФЗ?

Административная ответственность по ст. 13.11 КоАП в редакции с 30.05.2025 — от 30 тыс. ₽ (ч. 3, отсутствие политики) до 500 млн ₽ (ч. 15, оборотный за повторную утечку). За незаконные действия с ПДн в компьютерной форме с 11.12.2024 действует уголовная ответственность по ст. 272.1 УК РФ — до 10 лет лишения свободы (ч. 5, тяжкие последствия).

4. Нужно ли уведомлять РКН малому бизнесу?

Да, если компания не подпадает под исключения ч. 2 ст. 22 ФЗ-152. Исключения узкие: обработка в рамках трудового договора, единичные данные без использования автоматизации и ряд других. ИП, обрабатывающий базу клиентов через CRM, обязан уведомить РКН. Неуведомление — штраф 100–300 тыс. ₽ по ч. 10 ст. 13.11 КоАП.

5. С какого возраста нужно согласие на ПДн?

По общему правилу ФЗ-152 субъект даёт согласие самостоятельно с 18 лет. Для несовершеннолетних от 14 до 18 лет — согласие самого ребёнка; для детей до 14 лет — согласие родителя или законного представителя. В образовательных и медицинских организациях применяются дополнительные требования отраслевого законодательства.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка оснований обработки, категорий ПДн и полноты ОРД
Комплект ОРД под ключ — политика, согласия по ФЗ-156, приказы, регламенты
DPO-аутсорсинг — ответственный за обработку по ст. 22.1 на абонентском обслуживании

Итог

Персональные данные — открытая категория: любая информация, позволяющая прямо или косвенно идентифицировать физическое лицо. Граница проходит не по виду носителя, а по факту идентифицируемости. С 30.05.2025 санкции за неправильную квалификацию и ненадлежащее основание обработки существенно выросли — минимальный штраф по ч. 1 ст. 13.11 КоАП составляет 150 тыс. ₽, оборотный по ч. 15 — не менее 20 млн ₽.

Практика DATUM по ФЗ-152 включает аудиты оснований обработки, сборку пакетов ОРД под требования 2025–2026 годов и сопровождение взаимодействия с Роскомнадзором.

АС

Анна Соколова

Партнёр · ПДн в HR

Партнёр практики DATUM по защите персональных данных в HR. Специализация — согласия работников по ст. 9 152-ФЗ в редакции с 01.09.2025 (ФЗ-156), обработка через КЭДО, биометрия в СКУД, передача в зарплатных проектах.

14 июня 2026 года