Перейти к содержанию
справочник 26 августа 2026 По состоянию на 26 августа 2026

Общие категории ПДн: что точно входит и что нет

Общие категории персональных данных — фамилия, имя, отчество, дата рождения, адрес, телефон, email и иные сведения, позволяющие идентифицировать физическое лицо, но не относящиеся к специальным или биометрическим категориям по ст. 10 и ст. 11 ФЗ-152.
Ошибка в классификации данных — типовая точка роста штрафов по ст. 13.11 КоАП: обработка специальных ПДн как общих лишает оператора законного основания и создаёт состав по ч. 1 ст. 13.11 (150–300 тыс. ₽) или ч. 2 (300–700 тыс. ₽ при отсутствии корректного согласия).
→ Если вы юрист и проверяете комплаенс компании — этот справочник даёт рабочую классификацию с привязкой к нормам и разграничением спорных случаев.

Закон не содержит перечня «общих» ПДн — он определяет исключения: специальные (ст. 10 ФЗ-152) и биометрические (ст. 11 ФЗ-152). Всё, что не попадает в эти исключения, относится к общим категориям. Именно здесь возникает большинство ошибок классификации: IP-адрес, cookies, фотография в пропуске, данные о зарплате — каждый случай требует отдельного анализа. Справочник структурирует признаки, примеры и пограничные случаи.

Что закон считает персональными данными?

Персональные данные по ст. 3 ФЗ-152 — любая информация, относящаяся прямо или косвенно к определённому или определяемому физическому лицу (субъекту). Определение намеренно широкое: законодатель не перечисляет конкретные типы сведений, а задаёт критерий — возможность идентификации.

«Ст. 3 ФЗ-152 — персональные данные: любая информация, относящаяся прямо или косвенно к определённому или определяемому физическому лицу.»

Из этого следует: информация становится ПДн не сама по себе, а в контексте. Фамилия «Иванов» без других атрибутов — не ПДн. Фамилия «Иванов» в сочетании с табельным номером, должностью и адресом — уже персональные данные конкретного человека. Критерий идентифицируемости — ключевой при классификации.

Признаки ПДн (общий чек-лист):

  • Информация относится к физическому лицу, а не к организации.
  • По этой информации возможно прямо или косвенно установить личность конкретного человека.
  • Информация не обезличена по методам, утверждённым регулятором.
  • Сведения не относятся к специальным (ст. 10) или биометрическим (ст. 11) категориям.

Что точно входит в общие категории ПДн?

Приведённый перечень основан на позиции РКН, судебной практике и методических документах. Он не исчерпывающий — общие ПДн охватывают любые идентифицирующие сведения за пределами специальных и биометрических категорий.

Идентификационные данные
Фамилия, имя, отчество, дата и место рождения, гражданство, серия и номер паспорта (ИНН, СНИЛС — при наличии привязки к лицу). Основной массив данных в большинстве информационных систем.
Контактные данные
Адрес регистрации и фактического проживания, номер телефона, адрес электронной почты. Обрабатываются практически каждым оператором — от интернет-магазина до работодателя.
Сведения о трудовой деятельности
Должность, место работы, стаж, трудовая функция. Относятся к общим ПДн, если не включают данные о состоянии здоровья или дисциплинарных взысканиях в части, пересекающейся со специальными категориями.
Сведения об образовании
Уровень образования, наименование учебного заведения, специальность, квалификация. Стандартный элемент анкеты соискателя и личного дела работника.
Имущественное и финансовое положение (общее)
Факт владения имуществом, размер дохода (без медицинских или социальных атрибутов), банковские реквизиты. Обрабатываются банками, страховщиками, работодателями в рамках зарплатных проектов.
Сетевые идентификаторы
IP-адрес, cookie-файлы, идентификаторы устройств — в той мере, в которой оператор способен по ним идентифицировать конкретное физическое лицо. РКН квалифицирует cookies как ПДн при наличии возможности привязки к субъекту.

Нужна классификация данных в вашей системе под ст. 13.11 КоАП?

Ошибочная классификация — это не теоретический риск. Если юрист ведёт проверку комплаенса и обнаруживает, что оператор обрабатывает специальные ПДн в режиме общих (без письменного согласия по ст. 10 ФЗ-152), возникает состав по ч. 2 ст. 13.11 КоАП — штраф 300–700 тыс. ₽. При повторности — ч. 2.1, штраф 1–1,5 млн ₽. Аудит 152-ФЗ устраняет неопределённость до проверки РКН.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Что не входит в общие категории — разграничение со специальными и биометрическими ПДн

Специальные категории (ст. 10 ФЗ-152) — исчерпывающий закрытый перечень: расовая и национальная принадлежность, политические взгляды, религиозные и философские убеждения, состояние здоровья, интимная жизнь, судимость. Биометрические ПДн (ст. 11 ФЗ-152) — физиологические и биологические характеристики, по которым устанавливается личность: изображение лица, отпечатки пальцев, сетчатка глаза, голос в целях идентификации.

«Ст. 10 ФЗ-152 — обработка специальных категорий ПДн (состояние здоровья, политические взгляды и др.) по общему правилу запрещена, кроме случаев, прямо указанных в ч. 2 той же статьи.»

Практические пограничные случаи, где юрист должен принять решение о классификации:

Фотография в пропуске или на корпоративном портале
Если фото используется для визуального узнавания (охранником на входе) — общие ПДн. Если изображение лица обрабатывается программным обеспечением для автоматической идентификации личности — биометрия, требует письменного согласия по ст. 11 ФЗ-152.
Группа инвалидности или ограничение по здоровью в личном деле
Любые сведения о состоянии здоровья — специальная категория, независимо от формулировки. Работодатель вправе обрабатывать их только при наличии письменного согласия работника или в случаях, предусмотренных ч. 2 ст. 10 ФЗ-152 (в частности, для исполнения обязанностей в сфере трудового права).
Информация о судимости
Прямо названа в ст. 10 ФЗ-152 как специальная категория. Справка об отсутствии судимости — документ, содержащий специальные ПДн. Работодатели, запрашивающие такие справки без достаточного основания, нарушают режим обработки специальных категорий.
Сведения о членстве в профсоюзе
Косвенно связаны с политическими взглядами или убеждениями, но прямо в ст. 10 ФЗ-152 не названы. РКН и суды в большинстве случаев квалифицируют их как специальные по признаку политических убеждений — безопаснее применять режим специальных ПДн.
Размер заработной платы
Общие ПДн: размер вознаграждения не указан в перечне ст. 10. Исключение — если зарплата прямо отражает социальные льготы, связанные с состоянием здоровья (например, доплата по инвалидности): в этой части информация приобретает признаки специальной категории.

Как на практике применять классификацию — типовые ситуации

Ситуация 1. Интернет-магазин собирает имя, телефон и адрес доставки. Все три элемента — общие ПДн. Правовое основание обработки — исполнение договора с субъектом (п. 5 ч. 1 ст. 6 ФЗ-152). Отдельное согласие не требуется, если данные нужны исключительно для исполнения заказа. Если оператор передаёт данные третьим лицам для маркетинга — нужно отдельное согласие по ст. 9, с 01.09.2025 оформляемое отдельным документом (ФЗ-156 от 24.06.2025).

Ситуация 2. Медицинская клиника обрабатывает диагноз пациента. Диагноз — специальная категория (состояние здоровья, ст. 10 ФЗ-152). Обработка допустима при письменном согласии или в рамках договора об оказании медицинских услуг по ч. 2 ст. 10. Хранение в МИС без корректного основания — нарушение, которое при проверке РКН влечёт протокол.

Ситуация 3. HR-система хранит результаты медосмотра при приёме на работу. Медосмотр — специальные ПДн. Правовое основание — исполнение обязанности работодателя по трудовому законодательству (ч. 2 ст. 10 ФЗ-152). Отдельного согласия работника не требуется, но сведения должны храниться отдельно от общих кадровых ПДн и с ограниченным доступом.

Если юрист ведёт проверку ОРД и обнаруживает смешение общих и специальных ПДн в одной информационной системе — это нарушение принципа несовместимости баз по ст. 5 ФЗ-152. Устранение требует пересмотра структуры ИСПДн и документов.

Собрать ОРД под ключ

Что проверить при классификации ПДн в информационной системе

  • Составить реестр данных: перечень полей каждой ИСПДн с присвоением категории (общие / специальные / биометрические).
  • Проверить правовое основание по ст. 6 ФЗ-152 для каждой категории — согласие, договор, закон.
  • Убедиться, что специальные ПДн не смешаны с общими в одной базе без отдельного обоснования по ст. 5 ФЗ-152.
  • Для биометрических данных проверить наличие письменных согласий и соответствие требованиям ст. 11 ФЗ-152 и ФЗ-572.
  • Проверить актуальность уведомления в реестре РКН: категория обрабатываемых ПДн должна соответствовать реальной (ст. 22 ФЗ-152).

Частые вопросы

1. Что считается обработкой ПДн по 152-ФЗ?

По ст. 3 ФЗ-152 обработка — любое действие или совокупность действий с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, удаление, уничтожение. Даже однократное хранение файла с ПДн без какой-либо иной операции уже является обработкой и обязывает оператора соблюдать требования закона.

2. На основании чего можно обрабатывать ПДн?

Ст. 6 ФЗ-152 устанавливает 11 правовых оснований. Наиболее распространённые: согласие субъекта (п. 1), необходимость для исполнения договора с субъектом (п. 5), исполнение возложенных на оператора законом обязанностей (п. 2). Для специальных категорий основания уже — перечень закреплён в ч. 2 ст. 10 ФЗ-152. Обработка без правового основания влечёт штраф по ч. 1 ст. 13.11 КоАП (150–300 тыс. ₽ для юрлица).

3. Что грозит за нарушение 152-ФЗ?

Административная ответственность — по ст. 13.11 КоАП в редакции с 30.05.2025 (ФЗ-420 от 30.11.2024): от 30 тыс. ₽ за отсутствие политики (ч. 3) до оборотного штрафа 1–3% годовой выручки, не менее 20 млн ₽ и не более 500 млн ₽, при повторной крупной утечке (ч. 15). С 11.12.2024 действует уголовная ответственность по ст. 272.1 УК РФ (ФЗ-421): незаконное использование, передача, сбор или хранение компьютерной информации с ПДн — до 10 лет лишения свободы при тяжких последствиях (ч. 5).

4. Нужно ли уведомлять РКН малому бизнесу?

По общему правилу ст. 22 ФЗ-152 — да: любой оператор обязан уведомить РКН до начала обработки ПДн. Исключения (ч. 2 ст. 22) узкие: в частности, обработка ПДн только работников оператора в целях трудовых отношений или обработка только для исполнения договора с субъектом без передачи третьим лицам. Если компания ведёт CRM, email-рассылки или аналитику — исключения, как правило, не применимы. Неуведомление — штраф по ч. 10 ст. 13.11 КоАП (100–300 тыс. ₽).

5. С какого возраста нужно согласие на ПДн?

По ст. 9 ФЗ-152 согласие дееспособного лица — с 18 лет. Для детей от 14 до 18 лет согласие дают они сами, но при наличии согласия законного представителя, если речь идёт об услугах, требующих правовой значимости. В сфере образования и детских сервисов — согласие родителей (законных представителей) до достижения ребёнком 14–18 лет в зависимости от вида услуги. Роскомнадзор ориентируется на 14 лет как нижнюю границу самостоятельного согласия в большинстве онлайн-сервисов.

Итог

Общие ПДн — это остаточная категория: все идентифицирующие сведения о физическом лице, кроме специальных (ст. 10 ФЗ-152) и биометрических (ст. 11). Ключевая ошибка операторов — обработка специальных данных в режиме общих из-за формальной классификации без анализа содержания. Правильная классификация определяет правовое основание, режим хранения и требования к согласию, а значит — и правомерность обработки в целом.

Юристы DATUM сопровождают аудиты классификации ПДн в информационных системах компаний различных отраслей — от e-commerce до промышленного сектора. По итогам аудита оператор получает реестр данных с привязкой к правовым основаниям и план устранения нарушений с приоритизацией по рискам ст. 13.11 КоАП.

Услуги DATUM по теме

Смотрите также

КЗ
Кирилл Захаров
Партнёр · Цифровые продукты
Партнёр практики DATUM по цифровым продуктам и e-commerce. Специализация — cookies как ПДн, согласия в интернет-магазинах и SaaS, трансграничные сервисы аналитики, программы лояльности, политики конфиденциальности для маркетплейсов и мобильных приложений.

26 августа 2026 года