Информационная система персональных данных: определение и состав

Иван Корнев·08.05.2026·5 мин

Информационная система персональных данных (ИСПДн) — это совокупность баз данных с личной информацией граждан и обеспечивающих их обработку технологий (ПО, серверы, сети). В ИСПДн входят любые сведения, позволяющие идентифицировать человека: от ФИО и телефона до биометрии и истории покупок. Даже простая Excel-таблица с контактами клиентов юридически считается ИСПДн и требует соблюдения требований 152-ФЗ по защите данных.

Что такое ИСПДн простыми словами

Согласно ст. 3 Федерального закона № 152-ФЗ «О персональных данных», ИСПДн — это не просто программное обеспечение, а комплекс, включающий:

  1. Сами данные — информация о физических лицах, хранящаяся в базах.
  2. Технические средства — серверы, компьютеры, сетевое оборудование.
  3. Программные средства — ОС, СУБД, прикладное ПО (CRM, ERP, кадры).
  4. Организационные меры — регламенты, инструкции, политики безопасности.

Ключевой критерий: если вы собираете, записываете, систематизируете или храните информацию, по которой можно определить конкретного человека, вы создаете ИСПДн и становитесь её оператором.

Важно понимать, что статус ИСПДн не зависит от размера компании или объема данных. Маленький интернет-магазин с базой из 50 email-адресов и небольшой локальный салон красоты с журналом записей клиентов так же являются операторами ИСПДн, как и крупные банки.

Какие данные входят в состав ИСПДн

Персональные данные (ПДн) — это любая информация, относящаяся к прямо или косвенно определенному физическому лицу. В ИСПДн могут входить следующие категории сведений:

Общие (базовые) данные

Наиболее распространенный тип информации, обрабатываемый в большинстве коммерческих организаций:

  • Фамилия, имя, отчество.
  • Дата и место рождения.
  • Контактные данные: номер телефона, адрес электронной почты, почтовый адрес.
  • Паспортные данные, СНИЛС, ИНН (при заключении договоров или трудоустройстве).
  • Сведения об образовании, профессии, месте работы.

Специальные категории

Обработка этих данных запрещена, за исключением строго оговоренных законом случаев (например, медицинская деятельность или исполнение трудового законодательства):

  • Расовая и национальная принадлежность.
  • Политические взгляды, религиозные убеждения.
  • Состояние здоровья, интимная жизнь.

Биометрические данные

Сведения, которые характеризуют физиологические и биологические особенности человека и используются для установления его личности:

  • Отпечатки пальцев.
  • Сканы сетчатки глаза.
  • Фотографии и видеозаписи (если они используются исключительно для идентификации, например, в системах контроля доступа).
  • Образцы голоса.

Частая ошибка: Считать фотографии сотрудников на сайте или в базе CRM биометрией. Если фото используется просто для визуального ознакомления (кто есть кто), это общие ПДн. Если же по фото работает алгоритм распознавания лиц для прохода в офис — это биометрия, требующая отдельного письменного согласия субъекта.

Иные данные

  • Имущественное положение (доходы, наличие имущества).
  • История покупок, предпочтения, поведение на сайте (cookie-файлы, IP-адреса, если они привязаны к профилю пользователя).
  • Семейное положение, наличие детей.

Примеры информационных систем на практике

ИСПДн — это не абстрактное понятие, а конкретные инструменты, с которыми бизнес сталкивается ежедневно. Вот типичные примеры систем, подпадающих под регулирование:

Тип системыКакие данные обрабатываетКто является оператором
CRM-системаФИО клиентов, телефоны, история заказов, перепискаИнтернет-магазины, сервисные компании
Кадровая система (1С:ЗУП и аналоги)Резюме, паспортные данные сотрудников, сведения о зарплате, больничныеЛюбые работодатели
Система контроля доступа (СКУД)ФИО, номера пропусков, время входа/выхода, иногда биометрияОфисные центры, производства
Веб-сайт с формой обратной связиИмя, email, телефон посетителя, IP-адрес, cookieВладельцы сайтов, лендингов
ВидеонаблюдениеВидеоизображения людей (если возможно их идентифицировать)Торговые центры, подъезды, офисы

Даже локальный файл Excel на компьютере бухгалтера, содержащий список сотрудников с их паспортными данными, формально является частью ИСПДн организации.

Обязанности оператора ИСПДн

Как только организация начинает обработку ПДн, на неё возлагается ряд обязанностей по обеспечению безопасности и законности процессов.

  1. Локализация баз данных. Базы данных с ПДн граждан РФ должны физически находиться на серверах, расположенных на территории России (требование о локализации).
  2. Правовые основания. Необходимо получить согласие субъекта на обработку данных (или иметь иное законное основание, например, исполнение договора). На сайте должна быть опубликована Политика конфиденциальности.
  3. Защита информации. Оператор обязан реализовать технические и организационные меры защиты:
    • Разграничение прав доступа (сотрудник видит только те данные, которые нужны ему для работы).
    • Использование сертифицированных средств защиты информации (антивирусы, межсетевые экраны, средства криптографии при необходимости).
    • Регулярная оценка угроз безопасности.
  4. Уведомление Роскомнадзора. Перед началом обработки данных оператор должен подать уведомление в Роскомнадзор о включении в реестр операторов ПДн (за исключением редких случаев, указанных в ст. 22 152-ФЗ, например, если данные обрабатываются только для исполнения одного конкретного договора с самим субъектом и не передаются третьим лицам).

Совет: Не ждите проверки. Проведите внутренний аудит: составьте реестр всех мест, где хранятся данные клиентов и сотрудников (облачные сервисы, локальные ПК, бумажные архивы), и проверьте, защищены ли они паролем и антивирусом. Это первый шаг к合规 (compliance).

Частые ошибки при работе с ИСПДн

  • Игнорирование «малых» форматов. Многие считают, что закон касается только крупных баз данных. Однако утечка из таблицы Excel или блокнота менеджера влечет такие же штрафы, как и взлом сервера.
  • Отсутствие согласия на сайте. Размещение формы сбора данных без чекбокса «Согласен на обработку персональных данных» и ссылки на политику конфиденциальности — прямое нарушение.
  • Передача данных в незащищенные мессенджеры. Пересылка сканов паспортов или таблиц с зарплатами через WhatsApp или Telegram рабочими сотрудниками может быть расценена как недостаточность мер защиты.
  • Хранение избыточных данных. Сбор информации «про запас» (например, требование указать пол или дату рождения там, где это не нужно для услуги) нарушает принцип минимальной достаточности.

FAQ

Является ли IP-адрес персональными данными? Сам по себе динамический IP-адрес часто не позволяет однозначно идентифицировать личность. Однако в связке с другими данными (например, логином в личном кабинете) он становится частью персонального профиля и входит в ИСПДн. Судебная практика в РФ склоняется к тому, что IP-адрес может считаться ПДн, если оператор имеет техническую возможность сопоставить его с конкретным человеком.

Нужно ли регистрировать ИСПДн, если данные хранятся только на бумаге? Да. 152-ФЗ регулирует обработку ПДн любыми средствами, включая бумажные носители. Однако требования к технической защите для «бумажных» систем отличаются (упор делается на физическую охрану помещений, сейфы, журналы учета выдачи дел). Уведомление в Роскомнадзор подавать все равно нужно.

Что будет за отсутствие защиты ИСПДн? За нарушения в сфере обработки ПДн предусмотрены штрафы по ст. 13.11 КоАП РФ. Они могут достигать сотен тысяч рублей за каждый выявленный факт нарушения (например, за отсутствие политики конфиденциальности, за передачу данных без согласия, за неуведомление Роскомнадзора). При повторных нарушениях суммы штрафов суммируются и могут исчисляться миллионами рублей.