Персональные данные: полный гид с примерами и разъяснениями

Иван Корнев·08.05.2026·6 мин

Персональные данные (ПДн) — это любая информация, относящаяся к прямо или косвенно определенному физическому лицу. Проще говоря, если набор сведений позволяет понять, о ком именно идет речь (даже без указания имени), это персональные данные. К ним относятся не только паспортные данные, но и cookie-файлы, IP-адреса, история покупок и геолокация.

В этом материале мы разберем юридическое определение, приведем актуальные примеры из цифровой среды и объясним, какие данные требуют особой защиты.

Краткий ответ: Персональными данными считается всё, что помогает идентифицировать человека. Это может быть один факт (номер паспорта) или совокупность данных (город + возраст + профессия), которая в контексте позволяет вычислить конкретную личность.

Юридическое определение и критерии

В Российской Федерации основное регулирование осуществляется Федеральным законом № 152-ФЗ «О персональных данных». Согласно ст. 3 этого закона, персональные данные — это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Ключевой критерий — идентифицируемость.

  1. Прямая идентификация: Данные однозначно указывают на человека (ФИО, ИНН, номер страхового полиса).
  2. Косвенная идентификация: Данные сами по себе могут быть обезличены, но в сочетании с другой информацией позволяют установить личность. Например, должность «Генеральный директор компании X» в маленьком городе может однозначно указывать на конкретного человека.

Важный нюанс: Даже если вы не знаете имя человека, но можете выделить его из толпы по уникальному набору признаков (например, уникальный ID пользователя в базе данных), этот ID является персональными данными.

Что конкретно относится к персональным данным: примеры

Перечень ПДн не является закрытым, так как технологии развиваются. Однако можно выделить основные группы данных, которые встречаются чаще всего.

1. Базовые идентификаторы

  • Фамилия, имя, отчество.
  • Дата и место рождения.
  • Серия и номер паспорта, водительского удостоверения.
  • ИНН, СНИЛС.
  • Адрес регистрации и фактического проживания.

2. Контактные и цифровые следы

  • Номер мобильного телефона.
  • Адрес электронной почты (особенно корпоративный или содержащий имя, например [email protected]).
  • IP-адрес.
  • Cookie-файлы и данные о сеансах браузера.
  • Геолокационные данные (история перемещений, отметки на картах).
  • Никнеймы в соцсетях и мессенджерах, если они позволяют связать аккаунт с реальным человеком.

3. Биометрические данные

Это сведения, которые характеризуют физиологические и биологические особенности человека и используются для установления его личности.

  • Отпечатки пальцев.
  • Сканы сетчатки глаза или радужной оболочки.
  • Фотографии и видеозаписи (если они используются для автоматической идентификации, например, система FaceID).
  • Образцы голоса.

Внимание: Обычная фотография в паспорте или на сайте компании не всегда считается биометрией в строгом юридическом смысле, если она не используется в автоматизированной системе идентификации. Однако суды и регуляторы часто трактуют любые фото, позволяющие идентифицировать лицо, как требующие повышенной защиты.

4. Специальные (особые) категории данных

Закон выделяет данные, обработка которых запрещена за исключением строгих случаев (ст. 10 152-ФЗ). К ним относятся сведения о:

  • Расовой и национальной принадлежности.
  • Политических взглядах.
  • Религиозных и философских убеждениях.
  • Состоянии здоровья (диагнозы, результаты обследований).
  • Интимной жизни.
  • Судимости.

5. Профессиональные и финансовые данные

  • Место работы, должность, уровень зарплаты.
  • Реквизиты банковских карт (хотя основная защита здесь регулируется стандартами платежных систем, такие данные также являются персональными).
  • История заказов и покупок.

Что НЕ является персональными данными

Не всякая информация о человеке защищается законом о ПДн. Исключения составляют:

  1. Обезличенные данные. Статистика, из которой невозможно восстановить личность конкретного человека. Например, «60% пользователей нашего приложения — мужчины от 25 до 30 лет».
  2. Информация об организациях. Название компании, ИНН юридического лица, адрес офиса — это не персональные данные, так как субъектом является юрлицо, а не физическое лицо.
  3. Контактные данные ИП и юридических лиц. Если email указан как общий контакт компании ([email protected]) или телефон указан на сайте организации для связи с отделом продаж, это обычно не считается ПДн конкретного сотрудника, если не привязано к его личности напрямую.
Тип данныхПримерЯвляется ПДн?
Прямой идентификаторИванов Иван Иванович, паспорт 1234 567890Да
Косвенный идентификаторПользователь #849302 в базе CRM, который купил товар по адресу ул. Ленина, д. 1, кв. 5Да (в связке с адресом)
Обезличенные данныеСредний чек покупателя в магазине за месяцНет
Данные организацииООО «Ромашка», ИНН 7700000000Нет
БиометрияСкан лица для входа в банк-приложениеДа (специальная категория)

Частые ошибки при работе с персональными данными

Многие владельцы сайтов и бизнесы нарушают закон непреднамеренно. Вот самые распространенные ошибки:

  • Сбор избыточных данных. Требование указать отчество или дату рождения там, где это не нужно для услуги (например, при подписке на рассылку). Нарушается принцип минимизации данных.
  • Отсутствие согласия. Размещение формы обратной связи без галочки «Я согласен на обработку персональных данных» и ссылки на политику конфиденциальности.
  • Хранение данных «навечно». Отсутствие сроков удаления данных. Закон требует удалять ПДн по достижении целей обработки.
  • Передача данных третьим лицам без уведомления. Использование сторонних сервисов аналитики или рассылок, которые получают доступ к базам клиентов, без отражения этого в политике конфиденциальности.
  • Незащищенное хранение. Хранение баз данных с паролями и клиентами в открытом виде (без шифрования) на общедоступных серверах.

FAQ: Ответы на популярные вопросы

Нужно ли согласие на обработку, если данные взяты из открытых источников? Да, общее правило требует согласия. Однако есть исключения: если данные общедоступны (например, справочники) и человек сам их опубликовал, обработка возможна, но субъект имеет право запретить их использование. В любом случае, оператор должен убедиться, что использование данных не нарушает права гражданина.

Является ли IP-адрес персональными данными? Да, согласно позиции Роскомнадзора и судебной практике, IP-адрес позволяет косвенно идентифицировать пользователя (провайдера, примерное местоположение, устройство). Поэтому сбор IP-адресов через cookie-баннеры и логи сервера подпадает под регулирование.

Что делать, если клиент просит удалить его данные? Оператор обязан прекратить обработку и уничтожить данные в срок, не превышающий 30 дней (по 152-ФЗ), если нет иных законных оснований для хранения (например, требования налогового кодекса хранить данные о транзакциях 5 лет).

Как правильно оформить сбор данных на сайте?

  1. Разместите ссылку на «Политику конфиденциальности» в футере и рядом с каждой формой сбора.
  2. Добавьте чекбокс (галочку) с текстом согласия, который пользователь должен поставить активно (предзаполненная галочка — риск нарушения).
  3. Укажите цели сбора данных в политике.

Резюме

Персональные данные — это широкий пласт информации, от очевидных паспортных данных до цифровых следов в интернете. Главный принцип работы с ними: законность, справедливость и прозрачность. Собирайте только то, что действительно нужно, храните безопасно и предоставляйте пользователям возможность контролировать свою информацию. Соблюдение этих правил не только убережет от штрафов, но и повысит доверие клиентов к вашему бренду.