Перечень категорий ПДн в политике: как составить
Политика обработки персональных данных — не декларативный документ. Это рабочий инструмент, по которому РКН проверяет соответствие реальной обработки заявленным параметрам. Расхождение между тем, что написано в политике, и тем, что фактически делает компания, квалифицируется как обработка с нарушением целей или без надлежащего основания — составы ч. 1 и ч. 2 ст. 13.11 КоАП. Перечень категорий ПДн — центральный элемент этой логики.
Что такое категории ПДн и почему их нужно разграничивать?
Персональные данные по ст. 3 ФЗ-152 — любая информация, относящаяся прямо или косвенно к определённому физическому лицу (субъекту персональных данных). Закон делит ПДн на четыре категории в зависимости от режима обработки.
Общие персональные данные — ФИО, дата рождения, адрес, контактные данные, сведения о должности и месте работы. Обрабатываются на стандартных основаниях ст. 6 ФЗ-152: согласие, договор, закон, законный интерес оператора.
Специальные категории ПДн по ст. 10 ФЗ-152 — расовое и национальное происхождение, политические взгляды, религиозные или философские убеждения, состояние здоровья, интимная жизнь, судимость. По умолчанию обработка запрещена; допускается только при наличии оснований из п. 2 ст. 10. На практике это означает отдельное письменное согласие либо прямое указание федерального закона.
Биометрические персональные данные по ст. 11 ФЗ-152 — физиологические и биологические особенности человека, по которым можно установить его личность: изображение лица, голос, отпечатки пальцев, радужка, ДНК. Обработка — только с письменного согласия субъекта, кроме случаев, прямо предусмотренных законом (например, при пропускном контроле в порядке ФЗ-572 через ЕБС).
Общедоступные персональные данные — данные, размещённые в открытых источниках с согласия субъекта (справочники, социальные сети). Их обработка требует соблюдения ст. 10.1 ФЗ-152: распространение допускается только при отдельном согласии, молчание субъекта означает запрет.
Что обязательно включать в перечень категорий ПДн по ч. 2 ст. 18.1?
Часть 2 ст. 18.1 ФЗ-152 устанавливает минимальное содержание политики оператора. В числе обязательных разделов — цели обработки, правовые основания, перечень действий с ПДн и, отдельно, перечень категорий и состав обрабатываемых ПДн по каждой категории субъектов.
Типовая ошибка — писать «ФИО, контактные данные» в одной строке для всех субъектов. Правильная структура перечня строится по следующей схеме:
- Категория субъектов — работники, клиенты, пользователи сайта, контрагенты-физлица, кандидаты на должности.
- Перечень ПДн по каждой категории субъектов — конкретные поля: фамилия, имя, отчество, дата рождения, СНИЛС, ИНН, номер телефона, адрес электронной почты, паспортные данные.
- Категория ПДн по режиму обработки — общие, специальные, биометрические, общедоступные.
- Правовое основание по ст. 6 ФЗ-152 — согласие (п. 1), договор (п. 5), закон (п. 2), законный интерес (п. 7) и т. д.
- Цель обработки — конкретная, а не «исполнение законодательства РФ».
Принцип соответствия объёма ПДн целям закреплён в ст. 5 ФЗ-152: обрабатывать следует только те данные, которые необходимы для конкретной цели. Если в перечне указано «СНИЛС» для цели «информирование о новых продуктах» — это нарушение принципа минимизации.
Проверяете политику конфиденциальности перед сдачей в РКН?
Если вы юрист и составляете политику для компании-оператора — расхождение перечня категорий с фактической обработкой обнаруживается при аудите, а не при проверке РКН. После проверки исправить без санкций сложнее: срок на устранение по предписанию — фиксированный, штраф начисляется за каждый выявленный состав отдельно. Специалисты DATUM проведут аудит соответствия 152-ФЗ по чек-листу из 38 пунктов и выдадут отчёт с приоритизированным планом устранения нарушений.
Заказать аудит 152-ФЗОтветим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru
Как правильно описать правовые основания для каждой категории?
Статья 6 ФЗ-152 устанавливает 11 правовых оснований для обработки ПДн. Политика должна указывать конкретное основание для каждой цели, а не перечислять все подряд «про запас».
Согласие субъекта (п. 1 ч. 1 ст. 6) — универсальное основание, но с 01.09.2025 требует отдельного документа (ФЗ-156 от 24.06.2025). Согласие, включённое в текст договора или публичной оферты после этой даты, не соответствует требованиям ст. 9 ФЗ-152.
Договор с субъектом (п. 5 ч. 1 ст. 6) — обработка данных, необходимых для исполнения договора, заключённого с физлицом. Применяется для клиентов, покупателей, физлиц-контрагентов. Не подходит для обработки ПДн третьих лиц (например, данных родственников клиента).
Требования закона (п. 2 ч. 1 ст. 6) — когда обязанность обрабатывать ПДн прямо предусмотрена федеральным законом. Типичные случаи: налоговый учёт (НК РФ), кадровый учёт (ТК РФ), воинский учёт (ФЗ «О воинской обязанности»). В политике следует указывать конкретный нормативный акт, а не просто «законодательство РФ».
Законный интерес оператора (п. 7 ч. 1 ст. 6) — относительно новое основание в российской практике. Применяется при условии, что интересы оператора не превышают права субъекта на защиту его ПДн. Примеры: видеонаблюдение в офисе для безопасности имущества, использование файлов cookie для технической работы сайта. Позиция РКН: использование законного интереса требует DPIA-оценки соразмерности. Это основание — зона риска при проверке.
Что включить в раздел «Перечень категорий ПДн»
- Полный список категорий субъектов с указанием, являются ли они работниками, клиентами, пользователями сайта или иными лицами
- Конкретный состав ПДн по каждой категории субъектов без обобщений («иные данные» без расшифровки не допускаются)
- Режим ПДн: общие, специальные, биометрические, общедоступные — для каждой подкатегории отдельно
- Правовое основание по ст. 6 ФЗ-152 с указанием конкретного пункта и, при необходимости, федерального закона
- Цель обработки — конкретная и соразмерная составу ПДн по принципу ст. 5 ФЗ-152
Типовые ошибки в перечне категорий и их последствия
На основании проверочной практики РКН выделяют три распространённые ошибки при составлении перечня.
Избыточный состав ПДн без привязки к цели. Компания указывает в перечне паспортные данные, СНИЛС, ИНН, место рождения для цели «ответы на обращения пользователей сайта». При проверке инспектор квалифицирует это как нарушение принципа минимизации по ст. 5 ФЗ-152 — основание для предписания об уточнении политики и протокола по ч. 1 ст. 13.11 КоАП.
Специальные категории ПДн без отдельного основания. Медицинские клиники, спортивные организации, образовательные учреждения нередко обрабатывают данные о состоянии здоровья, но в политике указывают лишь «согласие» без уточнения, что оно письменное и охватывает специальные категории. Ст. 10 ФЗ-152 требует явного законного основания. Штраф по ч. 2 ст. 13.11 КоАП — от 300 000 до 700 000 ₽.
Биометрия в системах контроля доступа без отражения в политике. Компания установила считыватели отпечатков пальцев или систему распознавания лиц для СКУД. В политике биометрия не упомянута вовсе. Это нарушение ст. 11 ФЗ-152 и ч. 2 ст. 13.11 КоАП одновременно.
Если в политике компании нет раздела о биометрии или специальных категориях ПДн, а фактическая обработка ведётся — до проверки РКН необходимо устранить расхождение. Штраф по ч. 2 ст. 13.11 КоАП составляет от 300 000 до 700 000 ₽ за каждый выявленный состав.
Заказать аудит 152-ФЗКак это выглядит на практике
Ситуация 1. Юрист производственной компании (Уральский ФО, осень 2025) при подготовке к плановой проверке РКН обнаружил, что политика обработки ПДн описывает только данные клиентов. Данные работников, кандидатов и контрагентов-физлиц не были включены в перечень категорий. Компания обрабатывала СНИЛС и паспортные данные для кадрового учёта на основании ТК РФ, однако ни основание, ни категория субъектов в политике не фигурировали. После доработки политики и ОРД под руководством внешних юристов проверка РКН завершилась без предписаний.
Ситуация 2. SaaS-платформа (Центральный ФО, начало 2026) использовала биометрическую аутентификацию (распознавание лица) для верификации пользователей при входе в личный кабинет. Политика конфиденциальности упоминала «технические данные устройства», но биометрию не описывала. По итогам внеплановой проверки РКН возбудил административное производство по ч. 2 ст. 13.11 КоАП. Штраф исчислялся в диапазоне сотен тысяч рублей; оспаривание в суде велось на основании того, что нарушение допущено впервые и компания немедленно устранила его.
Услуги DATUM по теме
- Аудит соответствия 152-ФЗ — проверка политики, перечня категорий ПДн и ОРД по 38 пунктам
- Комплект ОРД под ключ — политика, согласия, приказы и журналы с нуля
- DPO-аутсорсинг — ведение функции ответственного за обработку ПДн по ст. 22.1
Частые вопросы
1. Что считается обработкой ПДн по 152-ФЗ?
Согласно ст. 3 ФЗ-152, обработка ПДн — это любое действие или совокупность действий с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, распространение, доступ), обезличивание, блокирование, удаление, уничтожение. Даже простое хранение электронной таблицы с именами клиентов является обработкой ПДн и влечёт все обязанности оператора по ФЗ-152.
2. На основании чего можно обрабатывать ПДн?
Статья 6 ФЗ-152 устанавливает 11 правовых оснований. Наиболее часто применяемые: согласие субъекта (п. 1), исполнение договора с субъектом (п. 5), исполнение обязанности, возложенной законом (п. 2), осуществление правосудия (п. 3), законный интерес оператора при соразмерности (п. 7). Обработка без наличия хотя бы одного основания — состав ч. 1 ст. 13.11 КоАП (штраф для юрлица от 150 000 до 300 000 ₽).
3. Что грозит за нарушение 152-ФЗ?
Санкции распределены по 18 частям ст. 13.11 КоАП (в редакции с 30.05.2025). За обработку без надлежащего основания — от 150 000 до 300 000 ₽ (ч. 1). За обработку без письменного согласия — от 300 000 до 700 000 ₽ (ч. 2). За утечку от 1 000 до 10 000 субъектов — от 3 000 000 до 5 000 000 ₽ (ч. 12). При повторной крупной утечке — оборотный штраф 1–3% годовой выручки, не менее 20 000 000 ₽ и не более 500 000 000 ₽ (ч. 15). С 11.12.2024 действует ст. 272.1 УК РФ: незаконное использование компьютерной информации с ПДн — до 10 лет лишения свободы (ч. 5).
4. Нужно ли уведомлять РКН малому бизнесу?
По общему правилу ст. 22 ФЗ-152, оператор обязан уведомить РКН о намерении обрабатывать ПДн до начала обработки. Закон предусматривает исключения (ч. 2 ст. 22): если данные обрабатываются только в связи с трудовым договором, получены однократно непосредственно от субъекта и не передаются третьим лицам. На практике большинство компаний под исключения не подпадают — e-mail рассылки, CRM, сайты с формами регистрации требуют подачи уведомления. Неуведомление — штраф по ч. 10 ст. 13.11 КоАП от 100 000 до 300 000 ₽.
5. С какого возраста нужно согласие на ПДн?
Статья 9 ФЗ-152 устанавливает, что субъект ПДн сам подписывает согласие с момента достижения дееспособности — по общему правилу с 18 лет. До этого возраста согласие подписывает законный представитель (родитель или опекун). Для детей от 14 до 18 лет возможно самостоятельное согласие с письменного разрешения родителя. Отдельные требования установлены для EdTech-платформ и образовательных организаций — они обрабатывают ПДн несовершеннолетних с согласия законного представителя вне зависимости от возраста учащегося.
Итог
Перечень категорий ПДн в политике — это не формальность, а инструмент правовой защиты оператора. Корректно составленный перечень демонстрирует инспектору РКН соответствие принципам ст. 5 ФЗ-152: каждая категория данных имеет цель, основание и не превышает необходимого минимума. Расхождение между перечнем и реальной обработкой — наиболее частое нарушение, выявляемое при проверках.
Специалисты DATUM сопровождают операторов при составлении политики и ОРД, включая структурирование перечня по категориям субъектов, привязку к правовым основаниям и согласование с реальными бизнес-процессами.
12 февраля 2027 года