Общие vs специальные категории ПДн: разница
С 30.05.2025 ст. 13.11 КоАП действует в редакции ФЗ-420 от 30.11.2024: 18 частей вместо прежних семи, отдельные составы за утечку биометрических данных (ч. 17 — штраф 15–20 млн ₽) и оборотный штраф за повторную утечку по ч. 15 — 1–3% годовой выручки, не менее 20 млн ₽. Правильная квалификация категории ПДн в базе прямо влияет на то, какой состав применит РКН при инциденте. Эта статья — практический разбор различий между общими, специальными и биометрическими ПДн с опорой на ст. 3, 10, 11 ФЗ-152 и актуальную практику.
Что такое общие категории ПДн и какие данные к ним относятся?
Ст. 3 ФЗ-152 определяет персональные данные как любую информацию, относящуюся к прямо или косвенно определённому физическому лицу. Под это определение подпадает широкий круг сведений: имя и фамилия, дата и место рождения, адрес, телефон, электронная почта, должность, IP-адрес (если он позволяет идентифицировать человека), сведения о доходах и имуществе. Все эти данные принято называть «общими» — термин не закреплён в ФЗ-152 напрямую, но используется как обозначение тех ПДн, которые не отнесены к специальным категориям по ст. 10 и к биометрическим по ст. 11.
Принципиальная особенность общих категорий — для их обработки достаточно одного из 11 оснований ст. 6 ФЗ-152: согласие субъекта, исполнение договора, соблюдение обязанности по закону, законный интерес оператора и другие. Не требуется специального обоснования, характерного для чувствительных данных. Именно поэтому ошибочная квалификация данных как «общих», когда они фактически относятся к специальным, является типовым нарушением, которое РКН фиксирует при проверках.
Ст. 5 ФЗ-152 устанавливает семь принципов обработки, обязательных для всех категорий без исключения: законность и справедливость, конкретность целей, недопустимость объединения несовместимых баз, соответствие объёма целям, точность и актуальность, хранение не дольше необходимого, уничтожение или обезличивание по достижении цели. Нарушение этих принципов применительно к общим ПДн влечёт штраф по ч. 1 ст. 13.11 КоАП — от 150 до 300 тыс. ₽ для юридического лица.
Есть сомнения, как квалифицированы данные в вашей базе?
Ошибка в категории ПДн меняет состав нарушения и размер штрафа. Если вы юрист и готовите заключение по составу базы данных компании — корректная квалификация нужна до того, как её сделает инспектор РКН. Юристы DATUM проведут аудит обработки ПДн по чек-листу из 38 пунктов и выдадут отчёт с приоритизированным планом устранения нарушений.
Заказать аудит 152-ФЗОтветим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru
Что относится к специальным категориям ПДн по ст. 10 ФЗ-152?
Ст. 10 ФЗ-152 содержит закрытый перечень специальных категорий. К ним относятся: расовая и национальная принадлежность, политические взгляды, религиозные или философские убеждения, состояние здоровья, интимная жизнь, сведения о судимости. По общему правилу обработка этих данных запрещена. Исключения перечислены в ч. 2 ст. 10: субъект дал явное согласие, обработка необходима в рамках трудового законодательства, данные получены из общедоступных источников, их обработка требуется для защиты жизни или здоровья, для медицинской деятельности (при соблюдении врачебной тайны) и в ряде иных случаев.
Практически значимая ловушка — данные о здоровье. Результат анализа, диагноз, группа крови, инвалидность, справка о временной нетрудоспособности — всё это специальная категория. HR-департамент, получая больничный лист и внося его в кадровую систему, обрабатывает спецкатегорию ПДн. Без соответствующего основания по ч. 2 ст. 10 такая обработка незаконна. То же касается резюме с фотографией: само изображение — биометрия, но данные о гражданстве в резюме могут содержать сведения о национальной принадлежности — спецкатегорию.
При утечке данных, содержащих спецкатегории, РКН квалифицирует нарушение по ч. 12–15 ст. 13.11 КоАП в зависимости от числа субъектов: от 3–5 млн ₽ (1 000–10 000 субъектов) до оборотного штрафа при повторности. Это принципиально отличается от утечки общих ПДн того же масштаба: состав тот же (ч. 12–14), но репутационный и регуляторный вес инцидента существенно выше, а вероятность уголовного преследования по ст. 137 УК РФ — нарушение неприкосновенности частной жизни — в разы больше.
Чем биометрические ПДн отличаются от специальных категорий?
Биометрические ПДн — отдельная категория по ст. 11 ФЗ-152. К ним относятся физиологические и биологические характеристики, позволяющие установить личность человека: изображение лица, голосовые данные (в контексте идентификации личности), отпечатки пальцев, рисунок радужной оболочки глаза, ДНК. Ключевой критерий — данные используются именно для идентификации субъекта. Фотография в личном деле работника, которую HR хранит для понимания внешности, может не являться биометрией в смысле ст. 11 — если она не применяется для идентификации. Но та же фотография в системе распознавания лиц на турникете — биометрия.
Режим обработки биометрии строже, чем у спецкатегорий: требуется письменное согласие субъекта (ч. 1 ст. 11 ФЗ-152), а хранение биометрических данных для целей идентификации в государственных информационных системах с 01.06.2023 переведено в Единую биометрическую систему (ФЗ-572). Хранение «сырой» биометрии вне ЕБС для коммерческих банков и иных организаций, передающих данные в ЕБС, прямо запрещено. Для СКУД и систем СОБСТВЕННОЙ идентификации хранение регулируется ст. 11 и требует письменного согласия.
С точки зрения ответственности разница принципиальна: за утечку биометрических данных с 30.05.2025 действует специальный состав ч. 17 ст. 13.11 КоАП — штраф для юридического лица 15–20 млн ₽. Это значительно выше, чем штраф за утечку того же числа общих ПДн. При повторной утечке биометрии применяется ч. 18 — оборотный штраф. Ст. 13.11.3 КоАП регулирует отдельные нарушения при размещении биометрии в ЕБС банками и МФЦ.
Что проверить при квалификации категорий ПДн в базе
- Есть ли в базе сведения о здоровье, религии, политических взглядах, судимости — наличие хотя бы одного поля переводит базу в режим ст. 10 ФЗ-152.
- Используются ли фотографии или голосовые записи для идентификации субъектов — если да, это биометрия по ст. 11, требующая письменного согласия.
- Зафиксировано ли в политике обработки ПДн разграничение категорий и соответствующие правовые основания по ст. 6, 10, 11 ФЗ-152.
- Соответствует ли уведомление в реестре операторов РКН фактическому составу обрабатываемых данных — расхождение фиксируется при проверке.
- Определён ли уровень защищённости ИСПДн по ПП РФ №1119 с учётом категорий ПДн и типа угроз.
Как правовые основания зависят от категории ПДн?
Для общих ПДн ст. 6 ФЗ-152 предоставляет 11 правовых оснований. Три наиболее распространённых в бизнесе: согласие субъекта (п. 1 ч. 1 ст. 6), исполнение договора с субъектом (п. 5 ч. 1 ст. 6) и соблюдение обязанности, возложенной законом на оператора (п. 2 ч. 1 ст. 6). При использовании основания «договор» согласие не требуется, но обработка допускается только в объёме, необходимом для исполнения договора.
Для специальных категорий основания другие — они указаны в ч. 2 ст. 10 ФЗ-152. Согласие здесь тоже применимо (п. 1 ч. 2 ст. 10), но оно должно быть явным: молчание, конклюдентные действия и «галочка в договоре» не подходят. С 01.09.2025 ФЗ-156 от 24.06.2025 установил, что согласие на обработку ПДн в принципе должно быть отдельным документом — не объединяться с договором, офертой или политикой. Для спецкатегорий это требование действовало фактически и до ФЗ-156 через требование «явного» согласия, но теперь закреплено прямо.
Ст. 9 ФЗ-152 устанавливает обязательные реквизиты согласия: ФИО субъекта, контактные данные, наименование оператора, цель обработки, перечень ПДн, перечень действий с ними, срок действия и способ отзыва. Для спецкатегорий каждый из этих элементов должен быть сформулирован точно: «состояние здоровья» как цель — недостаточно, нужно указывать, для каких именно действий и в какой системе данные обрабатываются. Расплывчатое согласие суд и РКН квалифицируют как его отсутствие.
Если вы юрист и готовите пакет ОРД для компании — разграничение категорий ПДн влияет на каждый документ: политику, согласия, приказы. После 01.09.2025 старые формы согласий, объединённые с договором, создают основание для штрафа по ч. 2 ст. 13.11 КоАП — до 700 тыс. ₽. Юристы DATUM соберут полный комплект ОРД с разграничением категорий.
Собрать ОРД под ключКак типичные ошибки квалификации ПДн выглядят на практике?
Сценарий 1. Медицинская организация обрабатывает «общие» данные пациентов. Клиника собирает ФИО, телефон, адрес — и квалифицирует всю базу как общие ПДн. При этом карточки пациентов содержат диагнозы и назначения. РКН при проверке фиксирует: база содержит спецкатегории ст. 10, правовое основание по ч. 2 ст. 10 не зафиксировано, уровень защищённости определён как УЗ-3 вместо УЗ-2 (при более чем 100 000 субъектах — УЗ-1). Итог: предписание об устранении нарушений и штраф по ч. 1 ст. 13.11 КоАП. При последующей утечке — штраф по ч. 12–14 вместо «обычной» квалификации, то есть от 3 млн ₽.
Сценарий 2. Работодатель хранит фотографии сотрудников в СКУД. СКУД использует изображения лиц для идентификации при входе. Юридическая служба квалифицирует данные как общие ПДн (фотография в личном деле), письменных согласий по ст. 11 ФЗ-152 нет. РКН или суд устанавливают: изображение используется для идентификации — это биометрия. Отсутствие письменного согласия — нарушение ч. 16 ст. 13.11 КоАП. При этом в базе могут быть тысячи сотрудников, что влечёт квалификацию по ч. 12–14 при утечке. Кроме того, с 30.05.2025 за нарушение порядка обработки биометрии предусмотрен отдельный штраф.
Сценарий 3. Платформа лояльности сегментирует пользователей по косвенным признакам. Ретейлер строит ML-модель, которая на основе истории покупок присваивает пользователю религиозную принадлежность или признаки состояния здоровья (например, категорию «диабетик» по ассортименту). Формально в базе — только чеки и идентификаторы. Однако аналитические метки, позволяющие определить спецкатегорию, квалифицируются РКН как обработка ст. 10. Дополнительный риск — передача такой модели зарубежному сервису аналитики образует трансграничную передачу спецкатегорий без уведомления РКН по ст. 12 ФЗ-152.
Уровни защищённости: как категория ПДн влияет на требования к ИСПДн?
ПП РФ №1119 устанавливает четыре уровня защищённости информационных систем ПДн (УЗ-1 — наивысший, УЗ-4 — базовый). Уровень зависит от трёх параметров: категория ПДн, тип актуальных угроз (1–3) и число субъектов (порог — 100 000). Специальные категории и биометрия автоматически требуют более высокого УЗ по сравнению с общими ПДн при одинаковом числе субъектов и типе угроз.
Практическая цепочка для юриста: неправильно квалифицированная категория ПДн → заниженный УЗ → недостаточный набор мер защиты по Приказу ФСТЭК №21 → нарушение ст. 19 ФЗ-152 → основание для предписания РКН. При утечке это ещё и отягчающее обстоятельство: оператор знал или должен был знать о составе базы, но не принял адекватных мер. Арбитражные суды учитывают этот факт при оценке вины и возможности применения ч. 2.1 или ч. 15 ст. 13.11.
Кейс 1. В деле о проверке медицинской организации (Центральный ФО, начало 2026) РКН установил, что в ИСПДн обрабатываются данные о здоровье пациентов более 100 000 субъектов, однако система классифицирована как УЗ-3 вместо УЗ-1. Отсутствовала криптографическая защита и ряд мер Приказа ФСТЭК №21. Организации выдано предписание, возбуждено дело по ч. 1 ст. 13.11 КоАП. Смягчающим обстоятельством стало добровольное устранение нарушений до рассмотрения дела — штраф в диапазоне нескольких сотен тысяч рублей. ⚠️ Конкретный номер дела и точная дата — менеджер уточняет при публикации.
Кейс 2. Компания (Сибирский ФО, осень 2025) использовала СКУД с распознаванием лиц без письменных согласий по ст. 11 ФЗ-152. Юрист компании квалифицировал данные как «фотографии в личном деле» — общие ПДн. После жалобы одного из сотрудников РКН возбудил дело. В ходе разбирательства было установлено, что система проводит идентификацию — нарушение ч. 16 ст. 13.11 КоАП. Компания исправила документацию, получила письменные согласия и подала уточнённое уведомление в реестр РКН. Дело завершено штрафом в пределах санкции ч. 16. ⚠️ Конкретный номер дела и точная дата — менеджер уточняет при публикации.
Услуги DATUM по теме
- Аудит соответствия 152-ФЗ — проверка квалификации категорий ПДн, состава ОРД и уровней защищённости
- Комплект ОРД под ключ — подготовка политики, согласий и приказов с разграничением категорий
- DPO-аутсорсинг — функция ответственного по ст. 22.1 ФЗ-152 на абонентском обслуживании
Частые вопросы
1. Что считается обработкой ПДн по 152-ФЗ?
Ст. 3 ФЗ-152 определяет обработку широко: сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, удаление и уничтожение — каждое из этих действий является обработкой. Даже единичная запись имени клиента в Excel — уже обработка ПДн, требующая соблюдения принципов ст. 5 ФЗ-152 и наличия правового основания по ст. 6. Отсутствие формальной «базы данных» не освобождает от обязанностей оператора.
2. На основании чего можно обрабатывать ПДн?
Для общих ПДн — одно из 11 оснований ст. 6 ФЗ-152 (согласие, договор, закон, законный интерес и др.). Для специальных категорий — только исключения ч. 2 ст. 10 (явное согласие, медицинская необходимость, трудовое законодательство и пр.). Для биометрических — письменное согласие по ст. 11, кроме случаев, прямо предусмотренных законом. Смешение оснований (например, обоснование обработки спецкатегорий ссылкой на «договор» по ст. 6) — нарушение, которое РКН фиксирует при проверке документации.
3. Что грозит за нарушение 152-ФЗ?
Административная ответственность по ст. 13.11 КоАП (в ред. с 30.05.2025): от 150 тыс. ₽ за обработку без основания (ч. 1) до оборотного штрафа 1–3% годовой выручки (не менее 20 млн ₽) за повторную утечку (ч. 15). За утечку биометрии — 15–20 млн ₽ (ч. 17). Уголовная ответственность по ст. 272.1 УК РФ (действует с 11.12.2024) — до 10 лет лишения свободы при тяжких последствиях (ч. 5). Ст. 137 УК — нарушение неприкосновенности частной жизни — применяется при распространении спецкатегорий.
4. Нужно ли уведомлять РКН малому бизнесу?
По общему правилу ст. 22 ФЗ-152 — да, оператор обязан уведомить РКН о намерении обрабатывать ПДн до начала обработки. Исключения (ч. 2 ст. 22) узкие: обработка только для исполнения договора с субъектом, обработка работодателем данных своих работников, обработка общедоступных данных, однократная пропускная система. Если компания использует CRM, ведёт клиентскую базу, применяет рассылки — она, как правило, выходит за рамки исключений. Неуведомление с 30.05.2025 — штраф по ч. 10 ст. 13.11 КоАП: 100–300 тыс. ₽ для юрлица.
5. С какого возраста нужно согласие на ПДн?
По ФЗ-152 субъект даёт согласие самостоятельно с 18 лет. Для несовершеннолетних до 18 лет согласие дают родители или законные представители. В образовательном контексте — согласие даёт один из родителей. Для детей до 14 лет согласие даёт законный представитель в любом случае. Если оператор обрабатывает данные несовершеннолетних без надлежащего согласия представителя, это нарушение ч. 2 ст. 13.11 КоАП — штраф до 700 тыс. ₽ для юрлица.
Итог
Разграничение общих, специальных и биометрических категорий ПДн — не формальность, а основа всей системы комплаенса по 152-ФЗ. От категории зависит правовое основание обработки, требования к согласию, уровень защищённости ИСПДн и размер штрафа при инциденте: от 150 тыс. ₽ за нарушение принципов обработки общих ПДн до 20 млн ₽ и оборотных штрафов при утечке биометрии или повторной утечке спецкатегорий.
DATUM сопровождает операторов ПДн в части квалификации состава баз, подготовки ОРД и прохождения проверок РКН — в том числе в ситуациях, когда существующая документация не отражает фактическую категорию обрабатываемых данных.