Logo WCR Consulting
WCR Consulting
Какие данные считаются персональными, специальными и биометрическими: разбор на примерах
Олег Просин
9 марта, 2026
9:55 дп
Какие данные считаются персональными, специальными и биометрическими: разбор на примерах
152-ФЗ • Классификация данных • Примеры 2025

Какие данные считаются персональными, специальными и биометрическими: разбор на примерах

Категория данных определяет всё: правовое основание для обработки, уровень защиты, форму согласия и размер штрафа при нарушении. В статье разбираем каждую категорию на конкретных примерах — от очевидных случаев до неожиданных.

  • Персональные данные
  • Специальные категории
  • Биометрия
  • Примеры по отраслям
  • Расширительное толкование
  • 152-ФЗ compliance

Содержание статьи

1. Что закон понимает под «персональными данными»

152-ФЗ определяет персональные данные как любую информацию, прямо или косвенно относящуюся к определённому или определяемому физическому лицу. Ключевое слово — «любую». Закон намеренно не ограничивает перечень.

На практике это означает: данные считаются персональными не только когда они сами по себе идентифицируют человека, но и когда позволяют это сделать в сочетании с другой доступной информацией. IP-адрес — персональные данные. Cookie-идентификатор браузера — персональные данные. Ник в мессенджере, если по нему можно установить личность — тоже персональные данные.

  • Прямые идентификаторы: ФИО, паспортные данные, СНИЛС, ИНН, телефон, email
  • Сетевые идентификаторы: IP-адрес, cookies, device ID, рекламный идентификатор
  • Косвенные идентификаторы: геолокация, история покупок, поведенческие паттерны
  • Комбинации данных: дата рождения + город + профессия могут однозначно идентифицировать человека
🔍 Прямая идентификация

Данные, которые сами по себе указывают на конкретного человека без дополнительной информации: ФИО, паспортные данные, СНИЛС, ИНН, номер телефона, адрес электронной почты.

🔗 Косвенная идентификация

Данные, которые в сочетании с другой информацией позволяют установить личность. Классический пример: IP-адрес + провайдер + дата/время = конкретный пользователь. Каждый элемент по отдельности может казаться безобидным.

⚖️ Принцип неопределённости

Если существует реальная (пусть и гипотетическая) возможность установить личность — данные признаются персональными. РКН и суды применяют расширительное толкование. Сомнения трактуются в пользу защиты субъекта.

2. Специальные категории персональных данных

Статья 10 152-ФЗ выделяет отдельную группу — специальные категории персональных данных. Их обработка допускается только в строго определённых законом случаях и требует особого правового основания.
Принципиальное отличие от обычных ПДн: для спецкатегорий недостаточно «простого» согласия — требуется явное, конкретное, письменное согласие. Либо прямое указание в законе, допускающем обработку без согласия.
❤️Состояние здоровья и медицинские данные

Диагнозы, история болезней, результаты анализов, медикаменты, инвалидность, группа крови, генетические данные. Любая информация, из которой можно сделать вывод о здоровье человека.

⚠ Даже упоминание факта болезни сотрудника в корпоративной переписке без его согласия — нарушение. Кадровые данные о больничных листах требуют особой осторожности.
🌍Расовая и национальная принадлежность

Данные о расовом происхождении, национальности или этнической группе человека. Применяется расширительно: анкеты, переписи, документы, содержащие сведения о происхождении.

Примеры контекстов: записи о национальности в паспорте (если обрабатываются), анкеты при трудоустройстве с графой «национальность», данные из опросов для статистических исследований.
🗳️Политические взгляды и партийность

Членство в политических партиях, политические убеждения, данные об участии в выборах (при условии возможности идентификации). Обработка допустима только в строго определённых законом случаях — например, самими политическими партиями в отношении своих членов.

✝️Религиозные и философские убеждения

Вероисповедание, членство в религиозных организациях, философские или мировоззренческие взгляды человека. Обработка допускается самими религиозными организациями в отношении своих членов.

Практический пример: работодатель не вправе собирать сведения о вероисповедании сотрудников и учитывать их при принятии кадровых решений.
⚖️Судимость и административные правонарушения

Сведения о наличии или отсутствии судимости, о совершённых преступлениях, данные уголовного учёта. Обработка допускается, как правило, только государственными органами или в случаях, прямо предусмотренных законом.

⚠ Запросы о судимости при трудоустройстве допустимы только для должностей, по которым закон прямо устанавливает соответствующие ограничения (педагоги, госслужащие и др.).
🔒Интимная жизнь

Данные о сексуальной жизни человека. Самая редко встречающаяся на практике категория, но её нарушение влечёт наиболее серьёзные последствия. Обработка допускается исключительно с явного письменного согласия субъекта либо если он сам сделал данные общедоступными.

3. Биометрические данные: отдельная категория со своими правилами

Биометрические данные по 152-ФЗ — это физиологические и биологические особенности, которые позволяют однозначно идентифицировать человека. Это отдельная категория с особым правовым режимом. Но граница между «биометрией» и «просто фотографией» часто непонятна бизнесу.
Ключевой критерий: биометрия — это не сам физический признак, а его цифровой шаблон, используемый для идентификации. Фотография в паспорте — не биометрия. Шаблон лица, извлечённый из камеры для авторизации — биометрия. РКН и суды трактуют это разграничение строго.
Является биометрией
  • Шаблон лица из Face ID / систем видеоаналитики
  • Отпечаток пальца в базе СКУД
  • Шаблон голоса для голосовой авторизации
  • Сетчатка / радужная оболочка глаза (скан)
  • ДНК-профиль
  • Рисунок вен ладони для доступа
НЕ является биометрией
  • Фотография в личном деле / паспорте (без цели идентификации)
  • Запись голоса на автоответчике
  • Видеозапись с камеры наблюдения (без систем распознавания)
  • Цвет волос / роста в анкете
  • Подпись на бумаге
🔐 Особый порядок обработки

Биометрические ПДн можно обрабатывать только с письменного согласия субъекта. Электронное согласие с усиленной КЭП или через ЕСИА — исключения.

🏛 ЕБС — Единая биометрическая система

Государственная платформа для хранения биометрии граждан РФ. Банки и госорганы обязаны интегрироваться. Оператор ЕБС — «Центр биометрических технологий».

⚠️ Санкции за нарушения

Незаконная обработка биометрии грозит штрафом до 300 000 руб. по ч. 2 ст. 13.11 КоАП. При повторном нарушении — до 500 000 руб.

4. Неочевидные персональные данные: разбор по отраслям

Бизнес часто не осознаёт, что уже обрабатывает персональные данные — потому что данные выглядят «техническими» или «обезличенными». На практике под определение 152-ФЗ попадает значительно больше информации, чем принято считать.
Разберём по отраслям: что именно неожиданно оказывается персональными данными и почему это важно для соблюдения закона.
🛒
E-commerce и интернет-магазины
История просмотров и кликов на сайте (если привязана к аккаунту или cookie) Содержимое корзины и брошенные заказы История поисковых запросов на сайте Параметры фильтров (размер одежды, предпочтения товаров) Оценки, отзывы, вишлисты
Даже анонимный cookie-идентификатор становится ПДн, если он позволяет связать сессию с конкретным пользователем через другую имеющуюся информацию.
👔
HR и кадровое делопроизводство
Результаты психологических тестов и оценок Записи в системах контроля рабочего времени Переписка в корпоративных мессенджерах Данные о больничных и отгулах (косвенно указывают на состояние здоровья — спецкатегория!) Фотографии с корпоративных мероприятий
Данные о больничных листах и причинах отсутствия — это специальные категории ПДн (здоровье). Обработка требует письменного согласия или прямого указания закона.
📊
Маркетинг и аналитика
Рекламные идентификаторы устройств (IDFA, GAID) UTM-метки с личными параметрами в ссылках Поведенческие сегменты в CRM (например, «высокий LTV», «часто возвращает товары») Профили в DMP/CDP-платформах Email-адрес, даже в хешированном виде (SHA-256) — если можно восстановить
Хеширование email-адреса не делает его обезличенным по смыслу 152-ФЗ — если существует возможность восстановления или сопоставления, данные остаются персональными.
🏥
Медицина и телемедицина
Факт самого обращения к врачу определённой специальности Названия принимаемых препаратов (из аптечных заказов) Результаты опросников самочувствия в приложениях Данные фитнес-трекеров (пульс, сон, активность) — если связаны с личностью Страховой полис ОМС/ДМС и его использование
В медицине почти любая информация связана со здоровьем — спецкатегорией ПДн. Это означает повышенные требования к правовому основанию и мерам защиты.
5. Как определить категорию данных в своём бизнесе

Классификация данных — это не разовое упражнение, а системный процесс. Чтобы понять, с какими категориями ПДн вы работаете, нужно последовательно пройти несколько шагов. Ошибка на любом из них влечёт неправильный выбор правового режима и, как следствие, нарушение закона.
1
Инвентаризация данных

Составьте полный список всех мест, где собираются или хранятся данные физических лиц: формы на сайте, CRM, 1С, HR-системы, мессенджеры, облачные сервисы, таблицы Excel. Каждый источник — отдельная строка в реестре.

📋 Реестр обработки
2
Тест на идентификацию

Для каждого типа данных задайте вопрос: «Позволяет ли эта информация — сама по себе или в сочетании с другими данными, которые у нас есть — установить личность конкретного человека?» Если ответ «да» или «возможно» — это персональные данные.

🔍 Критерий идентифицируемости
3
Определение категории

Проверьте, не попадают ли данные в специальные категории (здоровье, религия, политика, биометрия, судимость). Если да — режим обработки принципиально другой: нужно письменное согласие или прямая норма закона. Если нет — стандартный режим.

⚠ Спецкатегории 🧬 Биометрия
4
Выбор правового основания

Для каждой цели обработки определите правовое основание: согласие субъекта, договор с субъектом, законная обязанность оператора или законный интерес. Для специальных категорий подходит только письменное согласие или прямое указание закона. Без правового основания обработка незаконна.

✅ Согласие 📑 Договор ⚖ Закон
5
Документирование и актуализация

Зафиксируйте результаты в реестре обработки ПДн — это обязательный документ для любого оператора. Повторяйте процедуру при каждом запуске нового продукта, сервиса или интеграции. Реестр должен быть актуальным, а не существовать «для галочки».

📂 Реестр ПДн
6. Типичные ошибки при классификации данных

Неправильная классификация — одна из самых частых причин нарушений 152-ФЗ. Бизнес либо не видит персональные данные там, где они есть, либо недооценивает категорию. Разбираем типичные ошибки и как их избежать.

Ошибка 1: «Мы не собираем персональные данные»

Компания убеждена, что не является оператором, потому что «не просит паспортные данные». На деле — на сайте есть форма обратной связи с полем email, в CRM хранятся имена клиентов, а в 1С — ФИО сотрудников. Всё это ПДн.

⚠ Риск: при проверке РКН отсутствие уведомления об операторе — штраф. Незарегистрированная обработка при утечке грозит значительно бо́льшими санкциями.
✓ Как правильно: проведите инвентаризацию всех форм, систем и файлов, где фигурируют физические лица — включая сотрудников. Наличие хотя бы одного поля с именем или email означает статус оператора.
Ошибка 2: «Хешированные данные — это не персональные данные»

Организация хеширует email-адреса (SHA-256) перед передачей в рекламные платформы, считая, что это обезличивание. Но если у получателя есть возможность сопоставить хеш с известными адресами — данные остаются персональными.

⚠ Риск: передача хешированных email в рекламные системы без надлежащего правового основания — нарушение требований о трансграничной передаче ПДн и привлечении обработчиков.
✓ Как правильно: обезличивание должно исключать возможность восстановления личности. Обратимые преобразования (хеш, шифрование) не являются обезличиванием по смыслу 152-ФЗ.
Ошибка 3: Недооценка специальных категорий

HR-отдел хранит сведения о больничных листах и причинах отсутствия сотрудников в обычной таблице без дополнительной защиты. Между тем, любые данные, из которых можно косвенно установить состояние здоровья, — это специальная категория.

⚠ Риск: обработка спецкатегорий без письменного согласия или без прямого указания закона — одно из наиболее серьёзных нарушений с повышенными штрафами по ч. 2 ст. 13.11 КоАП.
✓ Как правильно: при любом сомнении — применяйте режим специальной категории. Это принцип «лучше перестраховаться»: избыточная защита не нарушает закон, а её отсутствие — нарушает.
Ошибка 4: Смешение оператора и обработчика

Компания передаёт данные клиентов подрядчику (email-сервис, колл-центр, аналитическое агентство) без договора поручения на обработку. Считается, что «мы просто дали доступ». По закону оператор несёт ответственность за действия обработчика.

⚠ Риск: отсутствие договора поручения — нарушение ст. 6 152-ФЗ. При утечке данных у подрядчика ответственность перед субъектами и РКН несёт оператор, а не подрядчик.
✓ Как правильно: с каждым подрядчиком, которому передаются ПДн, заключайте договор поручения с обязательным перечнем: цели, объём данных, меры защиты, запрет на использование в своих целях.
Правильная классификация данных — фундамент всей системы соответствия 152-ФЗ. Ошибка на этом этапе означает неверное правовое основание, неподходящие меры защиты и неправильные документы. Команда WCR Consulting помогает выстроить процесс классификации системно — от инвентаризации до актуализации реестра.

Нужна помощь с классификацией и защитой данных?

WCR Consulting — практическое сопровождение по 152-ФЗ: аудит, документация, реестр обработки, политики и договоры поручения.

  • Инвентаризация всех источников персональных данных
  • Классификация по категориям и уровням защиты
  • Разработка реестра обработки ПДн
  • Политика персональных данных и согласия
  • Договоры поручения с подрядчиками-обработчиками
  • Уведомление Роскомнадзора и поддержка при проверках
Получить консультацию Политика персональных данных
Category : GDPR и защита данных
Tags : 152-ФЗ биометрические данные персональные данные специальные категории данных юридическая упаковка сайта