Что входит в понятие обработки персональных данных

Иван Корнев·07.05.2026·5 мин

Обработка персональных данных — это любое действие или совокупность действий с информацией о человеке: от сбора и записи до хранения, изменения, использования, передачи и уничтожения. Если ваша компания сохраняет номер телефона клиента в CRM, отправляет ему email-рассылку или удаляет его анкету после закрытия договора — вы осуществляете обработку персональных данных (ПДн).

Это определение закреплено в законодательстве (в РФ — ст. 3 Федерального закона № 152-ФЗ). Ключевой момент: обработкой считается не только автоматизированная работа с базами данных, но и ручные операции с бумажными носителями.

Важно: Даже если вы просто посмотрели паспорт посетителя и записали его данные в журнал учета, вы уже начали процесс обработки ПДн.

Какие конкретно действия относятся к обработке

Закон приводит открытый перечень операций. На практике их можно разделить на несколько логических этапов жизненного цикла данных.

1. Сбор и фиксация

Первичное получение информации.

  • Сбор: Получение данных от самого субъекта (через формы на сайте, анкеты) или из третьих источников (справочники, партнеры).
  • Запись: Внесение сведений в реестры, базы данных, журналы.
  • Систематизация: Структурирование информации для удобного поиска (например, сортировка клиентов по регионам).

2. Накопление и хранение

  • Накопление: Увеличение объема данных в информационной системе.
  • Хранение: Обеспечение сохранности данных в течение установленного срока (на серверах, в облаках, в бумажных архивах).
  • Уточнение (обновление, изменение): Корректировка устаревших или неточных сведений (например, изменение фамилии или адреса жительства).

3. Использование и распространение

  • Использование: Применение данных для принятия решений или совершения действий (отгрузка товара, начисление зарплаты, таргетированная реклама).
  • Передача: Предоставление данных конкретному лицу или организации (например, передача данных в банк для выплаты зарплаты или в службу доставки).
  • Распространение: Действия, направленные на раскрытие ПДн неопределенному кругу лиц (публикация списков в открытом доступе, рассылка новостей без сегментации).
  • Предоставление: Ознакомление конкретных лиц с данными (например, выдача справки сотруднику).

4. Защита и завершение цикла

  • Обезличивание: Действия, в результате которых невозможно определить принадлежность данных конкретному лицу без использования дополнительной информации.
  • Блокирование: Временное прекращение обработки (например, по запросу пользователя или при выявлении неточностей).
  • Уничтожение: Безвозвратное удаление данных, после которого они не могут быть восстановлены (стирание электронных носителей, shredding бумажных документов).

Лайфхак для бизнеса: Ведите реестр процессов обработки ПДн. Для каждого процесса пропишите, какие именно действия (из списка выше) вы совершаете. Это первое, что запрашивает регулятор при проверке.

Что считается персональными данными

Чтобы понять, подпадает ли информация под регулирование, нужно проверить, позволяет ли она идентифицировать конкретного человека.

КатегорияПримеры данныхУровень риска
ОбщиеФИО, телефон, e-mail, дата рождения, адрес, фото лицаСтандартный
БиометрическиеОтпечатки пальцев, сканы сетчатки глаза, генетические данные, фото/видео, используемые для установления личностиВысокий
СпециальныеРасовая принадлежность, политические взгляды, религиозные убеждения, состояние здоровья, судимостьКритический
ТехническиеIP-адрес, cookie-файлы, геолокация (если позволяют идентифицировать личность)Зависит от контекста

Если данные обезличены так, что субъект не определим, закон о ПДн на них не распространяется.

Правовые основания для обработки

Вы не имеете права обрабатывать данные просто потому, что они вам «могут пригодиться». Необходимо одно из следующих оснований (ст. 6 152-ФЗ):

  1. Согласие субъекта. Должно быть конкретным, информированным, сознательным и однозначным. Для специальных категорий данных согласие должно быть письменным.
  2. Исполнение договора. Если данные нужны для выполнения обязательств перед клиентом (например, доставка купленного товара).
  3. Исполнение закона. Например, передача данных в налоговую или ПФР.
  4. Трудоотношения. Обработка данных сотрудников в рамках ТК РФ.
  5. Законные интересы оператора. Например, видеонаблюдение для обеспечения безопасности на территории склада (при условии уведомления посетителей).

Частая ошибка: Считать, что галочка «Я согласен с правилами» под формой обратной связи покрывает все возможные виды обработки. Согласие должно быть дано на конкретную цель. Нельзя использовать email, оставленный для чека, для маркетинговой рассылки без отдельного согласия на рекламу.

Частые ошибки при организации процессов

  1. Избыточный сбор данных. Запрос номера паспорта при подписке на новостную рассылку. Принцип минимизации данных нарушен: для рассылки нужен только e-mail.
  2. Отсутствие Политики конфиденциальности. Документ должен быть общедоступен (размещен на сайте) и содержать сведения о том, кто, зачем и как обрабатывает данные.
  3. «Вечное» хранение. Данные должны храниться только столько, сколько требуется для цели обработки. После достижения цели или истечения срока consent их нужно уничтожить.
  4. Неконтролируемая передача. Передача баз клиентов менеджерам на личных ноутбуках или использование непроверенных облачных сервисов без договора поручения обработки.

FAQ: Ответы на популярные вопросы

Нужно ли согласие на обработку данных, если я звоню клиенту по номеру, который он оставил на сайте? Да, если цель звонка — маркетинг или продажи, а не исполнение уже заключенного договора. Факт оставления заявки обычно трактуется как согласие на обработку для ответа на эту заявку, но не для будущих холодных звонков.

Можно ли хранить копии паспортов сотрудников? Роструд и Роскомнадзор рекомендуют не хранить копии документов, если это не предусмотрено прямыми нормами закона (например, для воинского учета). Достаточно вести кадровые журналы. Хранение копий повышает риски утечки и требует усиленных мер защиты.

Что будет за нарушение правил обработки? Штрафы по ст. 13.11 КоАП РФ. Для юридических лиц штрафы могут достигать сотен тысяч рублей за каждый эпизод нарушения (неправильное согласие, отсутствие политики, утечка данных). При повторных нарушениях суммы многократно возрастают.

Является ли IP-адрес персональными данными? Сам по себе — нет. Но в совокупности с другими данными (логи сайта, время посещения, действия пользователя) он может позволить идентифицировать человека. Судебная практика всё чаще склоняется к тому, что технические данные требуют защиты как ПДн.