справочник 22 июля 2027 По состоянию на 22 июля 2027

Расовая и национальная принадлежность как спецкатегория

Расовая и национальная принадлежность — специальная категория персональных данных по ст. 10 ФЗ-152. Обработка по общему правилу запрещена без явного основания.

Нарушение режима спецкатегории влечёт штраф по ч. 1 ст. 13.11 КоАП от 150 000 до 300 000 ₽, при повторности — до 500 000 ₽. Если юрист проверяет оператора — именно это нарушение труднее всего объяснить регулятору.

→ Если вы юрист и готовите компанию к проверке РКН или аудируете обработку ПДн — проверьте, нет ли в анкетах и системах скрытых спецкатегорий.

Большинство операторов знают, что медицинские данные — спецкатегория. Но расовая и национальная принадлежность стоят в том же ряду по ст. 10 ФЗ-152. Сбор национальности в анкете сотрудника, фиксация гражданства в маркетинговой базе, автоматическое определение по фотографии — каждый из этих сценариев требует отдельного правового основания либо полного исключения из обработки. Ниже — разбор понятий, оснований и типовых ошибок, которые юрист должен выявить при аудите.

Что относится к спецкатегории и почему это важно?

Статья 10 ФЗ-152 перечисляет виды ПДн, обработка которых по умолчанию запрещена: расовая принадлежность, национальная принадлежность, политические взгляды, религиозные и философские убеждения, состояние здоровья, интимная жизнь, судимость.

«Ст. 10 ФЗ-152: обработка специальных категорий персональных данных, раскрывающих расовую или национальную принадлежность субъекта, не допускается без специального основания из п. 2 той же статьи.»

Расовая принадлежность — принадлежность субъекта к расовой группе, определяемой по биологическим или визуальным признакам (цвет кожи, антропологические черты). Национальная принадлежность — самоидентификация субъекта с этнической или национальной группой (татарин, чеченец, еврей и т. д.).

Разграничение важно: гражданство само по себе не является спецкатегорией по ст. 10 ФЗ-152 — это общая категория ПДн по ст. 3. Но если оператор фиксирует не гражданство, а именно национальность или принадлежность к народу — это уже ст. 10. Ошибка в квалификации данных — одна из самых частых при аудите HR-систем и медицинских анкет.

Принцип недопустимости избыточного сбора (ст. 5 ФЗ-152) в случае со спецкатегориями работает строже: оператор обязан доказать, что обработка именно этого вида данных необходима для заявленной цели. Если необходимость не доказана — данные не должны собираться вовсе.

Какие основания разрешают обработку спецкатегорий?

Пункт 2 ст. 10 ФЗ-152 устанавливает закрытый перечень исключений из общего запрета. Юрист при аудите проверяет, подпадает ли фактическая обработка под одно из них:

Явное согласие субъекта — отдельный письменный документ по требованиям ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025 (с 01.09.2025 — отдельный документ, не объединённый с договором или политикой).
Обработка предусмотрена международным договором РФ или законом — в частности, в сфере трудовых отношений отдельных категорий работников, правоохранительной деятельности, судопроизводства.
Защита жизни и здоровья субъекта — когда субъект не способен дать согласие, а обработка необходима для спасения жизни.
Обработка для медицинских, профилактических целей или оказания медицинской помощи — лицом, обязанным соблюдать врачебную тайну.
Осуществление правосудия и исполнение судебных актов.
Публично доступные ПДн — если субъект самостоятельно раскрыл данные о своей национальности (например, в публичном заявлении или на открытом ресурсе).

«Ст. 10 ч. 2 ФЗ-152: перечень оснований для обработки спецкатегорий — исчерпывающий. Любое основание за его пределами не легитимизирует обработку.»

Согласие как основание — самое распространённое на практике, но и самое уязвимое при проверке. РКН при проверке запрашивает форму согласия и проверяет наличие всех обязательных реквизитов: ФИО, контакты, наименование оператора, цель, перечень ПДн, перечень действий, срок, способ отзыва. Отсутствие хотя бы одного реквизита делает согласие ненадлежащим — это основание для протокола по ч. 2 ст. 13.11 КоАП (штраф до 700 000 ₽).

Проводите аудит оператора и нашли обработку данных о национальности?

Если в HR-системе, медицинской анкете или маркетинговой базе есть поле «национальность» — это спецкатегория без исключений. У юриста есть 10 рабочих дней, чтобы зафиксировать нарушение и предложить устранение до проверки РКН. После предписания — исправление уже не снимает ответственность.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Как это применяется на практике: типовые ситуации для юриста

Три сценария, которые юрист встречает при аудите операторов разного профиля.

Ситуация 1. HR-анкета с полем «национальность». Работодатель собирает анкеты кандидатов, в которых есть поле «национальность» — ссылаясь на «традиционную форму» или ведомственный шаблон советского образца. Правовое основание для обработки этого поля отсутствует: трудовое законодательство не обязывает работодателя знать национальность работника. Исход: нарушение ч. 1 ст. 13.11 КоАП (обработка данных в случаях, не предусмотренных законом). Штраф 150 000–300 000 ₽. Стратегия: удалить поле из анкеты, уничтожить ранее собранные данные по ст. 21 ФЗ-152, зафиксировать факт уничтожения актом.

Ситуация 2. Биометрическая система определения национальности. Ритейлер внедряет систему распознавания лиц с функцией автоматического определения расовых признаков для таргетирования предложений. Два нарушения одновременно: биометрические ПДн без письменного согласия (ст. 11 ФЗ-152) и обработка спецкатегории без основания (ст. 10 ФЗ-152). Исход: протоколы по ч. 2 и ч. 16 ст. 13.11 КоАП совокупно — потенциально более 1 млн ₽. Стратегия: немедленное отключение функции, письменное уведомление субъектов, уничтожение обработанных данных.

Ситуация 3. Медицинская организация и данные о национальности в МИС. Клиника фиксирует национальность в медицинской информационной системе для учёта наследственных заболеваний. Это — спецкатегория дважды: и как данные о здоровье, и как национальная принадлежность. Основание есть — медицинская цель по п. 4 ч. 2 ст. 10 ФЗ-152. Но согласие пациента должно явно охватывать именно этот вид данных и эту цель. Если согласие общее — его недостаточно. Стратегия: переработать форму согласия, выделить обработку данных о национальности в отдельный раздел с явным подтверждением субъекта.

Что проверить юристу при аудите обработки спецкатегорий

Наличие в формах и системах полей, раскрывающих национальность или расовую принадлежность.
Наличие специального правового основания из п. 2 ст. 10 ФЗ-152 для каждого такого поля.
Соответствие согласия требованиям ст. 9 ФЗ-152 в редакции с 01.09.2025: отдельный документ, все реквизиты.
Принцип минимизации: действительно ли обработка национальности необходима для заявленной цели.
Отражение спецкатегорий в политике обработки ПДн по ч. 2 ст. 18.1 ФЗ-152.

Если вы юрист и видите у клиента поля «национальность», «гражданство по происхождению» или систему с визуальной аналитикой — это сигнал для срочного аудита. Несоответствие ст. 10 ФЗ-152 даёт РКН основание для проверки без предварительного уведомления.

Заказать аудит 152-ФЗ

Частые вопросы

1. Что считается обработкой ПДн по 152-ФЗ?

Обработка — любое действие или совокупность действий с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, удаление, уничтожение (ст. 3 ФЗ-152). Даже одно только хранение поля «национальность» в базе данных — уже обработка. Разграничение автоматизированной и неавтоматизированной обработки влияет на применимые требования, но не на факт обработки как таковой.

2. На основании чего можно обрабатывать ПДн о национальности?

Только по исчерпывающему перечню из п. 2 ст. 10 ФЗ-152: согласие субъекта (отдельный документ с 01.09.2025), прямое указание федерального закона или международного договора, защита жизни и здоровья без возможности получить согласие, медицинская цель с соблюдением врачебной тайны, судопроизводство или публично раскрытые данные. Ни деловой обычай, ни корпоративный интерес, ни внутренний приказ не являются основанием.

3. Что грозит за нарушение порядка обработки спецкатегорий?

Обработка ПДн в случаях, не предусмотренных законом, — ч. 1 ст. 13.11 КоАП, штраф для юрлица 150 000–300 000 ₽; при повторности по ч. 1.1 — до 500 000 ₽. Обработка без надлежащего согласия — ч. 2 ст. 13.11, штраф до 700 000 ₽. Если данные о национальности совмещены с биометрией и нарушена ст. 11 ФЗ-152 — дополнительно ч. 16 ст. 13.11. Все нормы действуют в редакции ФЗ-420 от 30.11.2024 (с 30.05.2025).

4. Нужно ли уведомлять РКН, если оператор обрабатывает спецкатегории?

Да. По ст. 22 ФЗ-152 оператор обязан уведомить РКН о намерении обрабатывать ПДн до начала обработки. Для спецкатегорий (ст. 10) уведомление обязательно вне зависимости от размера организации или числа субъектов. Исключения из обязанности уведомления (ч. 2 ст. 22) для спецкатегорий практически не применимы. Неуведомление — штраф 100 000–300 000 ₽ по ч. 10 ст. 13.11.

5. С какого возраста нужно согласие на обработку ПДн?

По общему правилу — с 18 лет; за несовершеннолетних до 18 лет согласие дают родители или законные представители. Для спецкатегорий по ст. 10 этот принцип действует в усиленном режиме: согласие представителя должно явно охватывать обработку именно спецкатегорий и быть оформлено как отдельный документ по требованиям ст. 9 ФЗ-152.

Итог

Расовая и национальная принадлежность — спецкатегория по ст. 10 ФЗ-152 с закрытым перечнем оснований для обработки. Обнаружение соответствующих полей в HR-системах, медицинских анкетах или маркетинговых базах без надлежащего основания — прямое нарушение, которое проверяющий инспектор РКН зафиксирует в первую очередь.

Юристы DATUM сопровождают аудиты операторов, работающих с чувствительными категориями данных: выявляют скрытые спецкатегории в ИТ-системах, проверяют основания обработки, перерабатывают формы согласий под требования ФЗ-156 от 24.06.2025.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка оснований обработки спецкатегорий, выдача отчёта с планом устранений
Комплект ОРД под ключ — политика, согласия, приказы с учётом требований к спецкатегориям
DPO-аутсорсинг — постоянный контроль соответствия, ответы на запросы субъектов

ИБ

Игорь Беляев

Партнёр · РКН и арбитраж

Партнёр практики DATUM. Специализация — уведомления и проверки РКН, обжалование протоколов по ст. 13.11 КоАП, защита от оборотных штрафов с 30.05.2025, подсудность по ФЗ-508 от 28.12.2025.

22 июля 2027 года