Так что же всё-таки считать персональными данными, а что нет? Разбираем примеры

Полный разбор для тех, кто хочет разобраться: от ФИО и IP-адреса до cookie и биометрии — с судебной практикой, позицией Роскомнадзора и практическими чек-листами

Почему этот вопрос важен сейчас

Российское законодательство о персональных данных переживает период активных изменений. За последние два года вступили в силу поправки, которые, с одной стороны, ужесточили ответственность до уровня оборотных штрафов и уголовного преследования, а с другой — расширили саму трактовку того, что считать персональными данными.

При этом ключевая проблема остаётся неизменной: закон № 152-ФЗ не содержит закрытого перечня персональных данных. Это не недоработка, а осознанная позиция законодателя, которая, однако, создаёт постоянную правовую неопределённость для бизнеса, государственных структур и обычных граждан.

Вопрос «является ли эта конкретная информация персональными данными?» регулярно встаёт перед:

• разработчиками, которые проектируют системы сбора данных;
• HR-специалистами, работающими с информацией о сотрудниках;
• маркетологами, использующими аналитические инструменты и cookie;
• юристами и офицерами по защите данных, оценивающими риски;
• руководителями, которые хотят понять, какие обязательства возникают у их компании.

Эта статья — попытка дать исчерпывающий ответ с опорой на тексты законов, официальные разъяснения Роскомнадзора и актуальную судебную практику.

Раздел 1. Что говорит закон: определение, которое ничего не объясняет

1.1 Буква закона

Статья 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» определяет персональные данные как «любую информацию, относящуюся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных)» [1].

Из этого определения вытекают два ключевых слова: «прямо» и «косвенно». Именно в разнице между ними скрывается большинство спорных ситуаций.

Прямая идентификация — это когда информация сама по себе, без дополнительных действий, позволяет установить личность. Классический пример — паспортные данные или СНИЛС.

Косвенная идентификация — это когда данные позволяют установить личность при наличии дополнительной информации или путём сопоставления нескольких источников. Именно здесь закон намеренно оставляет пространство для интерпретации.

1.2 Почему определение такое широкое

Широкая трактовка — это не российская особенность. Аналогичный подход используется в европейском GDPR, который тоже не даёт закрытого перечня, опираясь на принцип: данные персональны, если «можно идентифицировать субъекта прямо или косвенно» [7]. Законодатели разных стран сознательно отказались от конкретных списков, понимая, что технологии меняются быстрее, чем нормы закона.

Следствие этого подхода в российской практике — ни один сотрудник Роскомнадзора не даёт однозначного ответа на вопрос «является ли X персональными данными?» без контекста [2]. Закон развязывает руки как операторам, так и регулятору.

Раздел 2. Три категории персональных данных: общие, специальные, биометрические

2.1 Общие (стандартные) персональные данные

Это базовый уровень — информация, которая позволяет идентифицировать человека, но не несёт повышенного риска дискриминации или причинения вреда. К ней относятся:

ФИО, дата и место рождения, адрес регистрации и проживания, семейное положение, социальное положение, имущественное положение, образование, профессия, доходы [8].

Эта категория обрабатывается по общим правилам 152-ФЗ: нужно правовое основание (чаще всего — согласие субъекта или исполнение договора), уведомление в Роскомнадзор, политика конфиденциальности и прочие стандартные требования.

2.2 Специальные категории персональных данных

Статья 10 закона 152-ФЗ выделяет особую категорию данных, обработка которых по умолчанию запрещена. К специальным относятся сведения о:

• расовой и национальной принадлежности;
• политических взглядах;
• религиозных или философских убеждениях;
• состоянии здоровья;
• интимной жизни;
• судимости [9].

Важная оговорка: это не строгий список конкретных полей базы данных, а именно категории. Оператор обязан самостоятельно определять, не относится ли конкретная информация к одной из этих категорий [9].

Практический пример: поле «диагноз» в медицинской карте — это очевидно категория «состояние здоровья». А вот поле «группа крови» формально относится к биометрическим данным по статье 11, но в контексте заявления о приёме на работу может также свидетельствовать о здоровье человека.

Обработка специальных категорий допустима только в строго определённых случаях: при наличии письменного согласия субъекта, в медицинских целях, в рамках трудового законодательства (и то с ограничениями) [9]. За нарушение предусмотрена повышенная ответственность.

Отдельный случай — судимость. Для неё действует особый режим: даже письменного согласия субъекта недостаточно — нужно специальное федеральное основание [9].

2.3 Биометрические персональные данные

Статья 11 закона 152-ФЗ определяет биометрические данные как «сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность» [1].

К биометрическим данным относятся: изображение лица (фотография), отпечатки пальцев, голос (запись для аутентификации), сетчатка глаза, ДНК-профиль.

Важный нюанс: не каждая фотография является биометрическими данными. Если фото используется только для визуального восприятия (в удостоверении для пропуска, в профиле корпоративной системы, на страничке сотрудника на сайте), то оно относится к обычным персональным данным. Биометрическими данными фото становится тогда, когда организация обрабатывает его в рамках системы биометрической идентификации — то есть когда изображение анализируется алгоритмом для распознавания и верификации личности [6].

Раздел 3. Серая зона: данные, статус которых не очевиден

3.1 ФИО: персональные данные или нет?

Интуитивный ответ — конечно да. Но официальная позиция Роскомнадзора неожиданна: ФИО лица «не является единственным признаком его идентификации» [10].

Это значит, что фамилия «Иванов» сама по себе не позволяет выделить конкретного человека из миллионов однофамильцев. Однако «Иванов Иван Иванович, проживающий по адресу: г. Москва, ул. Ленина, 1, кв. 1» — это уже персональные данные, поскольку совокупность сведений позволяет идентифицировать конкретное лицо [10].

Судебная практика в данном вопросе устоялась: суды, как правило, рассматривают ФИО в контексте — отдельно или в совокупности с другими данными [11].

3.2 Номер телефона: главная зона неопределённости

Именно этот вопрос породил наибольшее количество споров. Ситуация парадоксальна: позиции РКН и судов на протяжении лет расходились.

РКН в своих разъяснениях указывал, что абонентский номер без иных данных не является персональными данными [2]. Одновременно существуют решения судов, где номер телефона признаётся персональными данными — например, Решение Черемушкинского районного суда г. Москвы от 18 июня 2019 г. по делу № 12-973/2019 [3].

В Санкт-Петербурге суд признал персональными данными email, а в Липецке — номер телефона [12].

На практике сложился следующий подход: номер телефона, зарегистрированный на физическое лицо, в сочетании с любой другой идентифицирующей информацией (имя, адрес, должность) однозначно является персональными данными. Сам по себе номер — спорная история, но большинство практикующих юристов рекомендуют относиться к нему как к персональным данным, опираясь на консервативную позицию [3].

3.3 Адрес электронной почты: история с Верховным судом

В 2023 году Верховный суд РФ рассмотрел дело, в котором нижестоящие инстанции пришли к выводу: «только на основе адреса электронной почты невозможно идентифицировать конкретное лицо, следовательно, адрес электронной почты не является персональными данными» [13].

РКН с этой позицией не согласился и обратился с жалобой в ВС, однако последний отказался переносить дело в Судебную коллегию по экономическим спорам.

Тем не менее практикующие юристы настоятельно рекомендуют относиться к email как к персональным данным по следующим причинам: сам адрес может содержать ФИО (ivanov.ivan@company.ru), позиция Роскомнадзора при проведении проверок остаётся консервативной, а судебная практика может быть скорректирована [13].

Дополнительный нюанс: если адрес email содержит имя, фамилию или дату рождения — он почти гарантированно будет признан персональными данными. Набор случайных символов (x7k9m@mail.ru) — в большей степени спорный случай.

3.4 IP-адрес: между статическим и динамическим

Вопрос об IP-адресе прошёл долгий путь в российских судах. Ключевое решение по делу № 2-5354/2015 от 24.09.2015 сформулировало следующую позицию: идентификация пользователя по статическому IP-адресу по своим правовым последствиям не отличается от аналогичной идентификации по динамическому IP [11].

Практический вывод: если оператор связи на основании IP-адреса может установить личность абонента, то IP является косвенным персональным данным. Применительно к обычным веб-сервисам это означает, что IP-адрес посетителя сайта — это персональные данные, требующие соответствующего обращения.

3.5 Cookie и идентификаторы устройств

Это, пожалуй, единственный случай, где позиция Роскомнадзора однозначна и не вызывает споров: cookie и идентификаторы устройств являются персональными данными [3].

На «Дне открытых дверей» РКН 2022 года начальник Управления по защите прав субъектов ПДн прямо указал на это. Судебная практика полностью поддерживает регулятора — в 2022 году мировым судьёй Таганского района г. Москвы было вынесено соответствующее решение [3].

Следствие: если ваш сайт собирает cookie и передаёт данные в системы аналитики (Яндекс.Метрика, Google Analytics), это является обработкой персональных данных. Необходимы: политика конфиденциальности, баннер об использовании cookie и, для ряда случаев, согласие пользователя [16].

С 30 мая 2025 года требования ещё ужесточились: для сбора и анализа поведения пользователей на сайте (клики, время просмотра) теперь требуется отдельное согласие [8].

3.6 Данные геолокации

Координаты местоположения сами по себе — не персональные данные. Но история перемещений конкретного устройства, которое можно привязать к лицу, — уже персональные данные, поскольку может раскрывать место жительства, работы, привычки и маршруты человека.

3.7 Никнейм и логин

Официальная позиция, озвученная руководством РКН: «сами по себе имена пользователей и пароли к учётным записям в сервисах электронной почты или в социальных сетях не являются персональными данными» [12].

Однако если никнейм содержит реальное имя и фамилию, или если он публично известен как принадлежащий конкретному человеку (например, верифицированный аккаунт в социальной сети) — такой никнейм становится персональными данными. Аналогично и ник в мессенджере: если известно, чей это ник, то это персональные данные [4].

Раздел 4. Что точно НЕ является персональными данными

4.1 Данные юридических лиц

152-ФЗ регулирует только данные физических лиц. Информация о юридических лицах — название ООО, ОГРН, ИНН организации, юридический адрес, телефон колл-центра — персональными данными не является [4].

Если в базе данных хранится ООО «Ромашка» с телефоном и адресом, это не персональные данные. Но как только появляется поле с именем директора или любого другого конкретного сотрудника — это уже обработка персональных данных [4].

4.2 ИП: особый случай

Индивидуальный предприниматель остаётся физическим лицом по статье 23 ГК РФ. Поэтому ФИО ИП и его ИНН (который совпадает с ИНН физлица) — это персональные данные [14].

Вместе с тем часть информации об ИП является общедоступной и размещается в ЕГРИП: ФИО, ИНН, ОГРНИП, коды ОКВЭД, статус. Обработка этих данных допускается без отдельного согласия ИП, поскольку он сам согласился на их публикацию при регистрации [14].

4.3 ИНН: спор Минфина и судов

Ситуация с ИНН демонстрирует, насколько сложной бывает правовая неопределённость. Минфин России в письмах от 2018 и 2020 года настаивает: «ИНН не является информацией, входящей в перечень персональных данных, применяется исключительно в целях упорядочения учёта налогоплательщиков» [15].

Минкомсвязи в разъяснении 2017 года придерживается противоположной позиции: «согласно сложившейся судебной практике ИНН физического лица относится к сведениям, позволяющим идентифицировать гражданина, то есть относится к персональным данным» [15].

РКН в своих разъяснениях относит ИНН к персональным данным физического лица наряду с паспортными данными и СНИЛС [10].

Практическая рекомендация: относитесь к ИНН физического лица как к персональным данным.

4.4 Обезличенные и анонимизированные данные

Данные, прошедшие процедуру обезличивания в соответствии с требованиями закона, выходят из-под действия 152-ФЗ. Согласно статье 3, обезличивание — это «действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту» [1].

С 1 сентября 2025 года введены новые правила: обезличенные персональные данные можно обрабатывать без согласия гражданина, если обезличивание проведено методами, исключающими прямую идентификацию, согласно новой статье 13.1 152-ФЗ, введённой Федеральным законом № 233-ФЗ от 08.08.2024 [6].

4.5 Статистика и агрегированные данные

«Средний возраст покупателей нашего магазина — 32 года» — это не персональные данные, поскольку относится к группе, а не к конкретному человеку. Однако исходные данные, из которых извлечена статистика, остаются персональными.

Раздел 5. Принцип совокупности: главный инструмент понимания

5.1 Как данные «становятся» персональными

Один из важнейших уроков правоприменительной практики: данные часто становятся персональными не сами по себе, а в совокупности с другими данными.

Официальная позиция РКН: ни ФИО, ни номер телефона при рассмотрении обособленно от каких-либо других данных не являются персональными данными. Но как только оператор обрабатывает их в совокупности (ФИО + телефон или ФИО + email), он уже обрабатывает персональные данные [2].

Примеры из практики:

• Адрес квартиры без других данных → не всегда ПДн (может принадлежать арендатору).
• Адрес + ФИО → ПДн.
• Номер квартиры + сумма долга по ЖКХ → не ПДн (согласно позиции из письма РКН от 20.01.2017 № 08АП-6054 — нет прямой идентификации).
• Полный адрес + ФИО собственника + сумма долга → ПДн, нарушение при публикации без согласия [10].

5.2 Контекст обработки меняет статус данных

Фотография сотрудника в корпоративном справочнике — обычные персональные данные. Та же фотография, загруженная в систему распознавания лиц для контроля доступа — биометрические персональные данные с принципиально иным режимом защиты и требованием письменного согласия [6].

Номер телефона в записной книжке физического лица — данные, обрабатываемые для личных нужд, 152-ФЗ на них не распространяется. Тот же номер в CRM-системе компании для маркетинговых рассылок — персональные данные с полным набором требований [4].

Раздел 6. Обезличивание, анонимизация и псевдонимизация: в чём разница

6.1 Три разных понятия

В российском законодательстве и международной практике используются три близких, но различных понятия, которые нередко путают.

Обезличивание (российский термин в 152-ФЗ) — действия, после которых невозможно без дополнительной информации определить принадлежность данных конкретному субъекту. По содержанию это ближе к тому, что в европейской традиции называется псевдонимизацией: ключ к расшифровке существует, но хранится отдельно и недоступен получателю данных [7].

Анонимизация (международный термин) — необратимое удаление возможности идентификации. Данные становятся полностью анонимными и больше не регулируются законом о ПДн. Однако в российском законодательстве этот термин используется непоследовательно.

Псевдонимизация (европейский термин GDPR) — замена прямых идентификаторов на псевдонимы с сохранением ключа соответствия. Данные остаются персональными по GDPR, но считаются обработанными с применением мер защиты [7].

Эксперт в области ПДн Сергей Воронкевич поясняет: «анонимизацию не следует путать с обезличиванием в значении, принятом в Российской Федерации» [7].

6.2 Методы обезличивания по российским требованиям

Приказ Роскомнадзора № 140 и Постановление Правительства № 1154 устанавливают конкретные методы [17]:

Введение идентификаторов (псевдонимизация): замена прямых идентификаторов (ФИО) на код. Таблица соответствия хранится отдельно.

Изменение состава или семантики: удаление, обобщение (возраст «25» → «20–30»), маскирование части данных.

Декомпозиция: разделение данных на части и их раздельное хранение.

Агрегация: предоставление данных в обобщённом, групповом виде (средний возраст по группе, процентное соотношение).

6.3 Практические ловушки при обезличивании

Хэши без соли: если использовать SHA-256 без дополнительной «соли» для хэширования email или телефона, злоумышленник может восстановить исходные значения методом перебора по известным спискам. Это псевдонимизация, а не реальное обезличивание.

Забытые логи: данные удалены из основных таблиц, но остались в лог-файлах, где email или ID мелькают в заголовках HTTP-запросов.

Тестовые базы: по привычке в тестовые среды загружают копию продакшн-базы с реальными ПДн [17].

Раздел 7. Данные ИП, самозанятых и должностных лиц

7.1 ИП — физическое лицо с особым статусом

Данные ИП представляют собой особый случай: предприниматель одновременно является физическим лицом, и его ФИО, адрес места жительства, телефон — это персональные данные. Часть информации об ИП (из ЕГРИП) публичная, но это не отменяет её статуса персональных данных — она просто относится к категории разрешённых для распространения [14].

7.2 Должностные лица организаций

Имя и должность директора ООО «Ромашка» — это информация о конкретном физическом лице, то есть персональные данные. Тем не менее обработка публично доступных данных (из ЕГРЮЛ, с официального сайта компании) допускается без согласия субъекта, поскольку он сам разрешил их распространение [4].

Рабочий телефон и корпоративный email директора, указанные на сайте компании для деловых контактов, — это персональные данные, разрешённые для распространения. Однако использовать их для спам-рассылок без согласия всё равно запрещено.

Раздел 8. Ответственность: штрафы и уголовная ответственность в 2025–2026 годах

8.1 Новый уровень санкций с 30 мая 2025 года

Федеральный закон № 420-ФЗ от 30.11.2024, вступивший в силу 30 мая 2025 года, кардинально изменил систему штрафов. Теперь размер санкций зависит не только от типа нарушения, но и от количества затронутых субъектов [5].

За утечку персональных данных менее 10 000 граждан: штраф для организаций и ИП от 3 до 5 млн рублей.

За утечку данных от 10 000 до 100 000 граждан: штраф от 5 до 10 млн рублей.

За утечку данных свыше 100 000 граждан: штраф от 10 до 15 млн рублей [5].

За повторное нарушение введены оборотные штрафы: для организаций — от 1 до 3% совокупной годовой выручки, но не менее 25 млн и не более 500 млн рублей [5].

За неуведомление Роскомнадзора о намерении обрабатывать ПДн: от 100 000 до 300 000 рублей для организаций [4].

Особый режим для биометрических данных: за их утечку для граждан штраф от 400 000 до 500 000 рублей, для организаций — от 15 до 20 млн рублей [5].

8.2 Уголовная ответственность

Федеральный закон № 421-ФЗ, вступивший в силу 11 декабря 2024 года, ввёл уголовную ответственность за сбор, использование и передачу компьютерной информации, содержащей персональные данные, полученной незаконным путём [5].

Закон включает наказание в форме лишения свободы на срок до 5 лет за нарушения с данными специальных категорий [5].

8.3 Масштаб проблемы

По данным Роскомнадзора, за 2024 год в России зафиксировано 135 утечек персональных данных. Большинство из них произошло в торговле и сфере услуг — там, где работает малый и средний бизнес [4]. При этом для небольшого магазина с выручкой 2–3 млн рублей в год штраф в 300 000 рублей — это месячная выручка или больше [4].

Раздел 9. Практический чек-лист: как определить, являются ли данные персональными

9.1 Алгоритм оценки

При работе с любой информацией задайте себе следующие вопросы:

Шаг 1. Это данные физического лица? Если данные касаются юридического лица (ОГРН, название, адрес ООО) — 152-ФЗ не применяется. Если данные касаются физлица — переходите к шагу 2.

Шаг 2. Можно ли по ним идентифицировать конкретного человека напрямую? Паспортные данные, СНИЛС, полное ФИО в сочетании с адресом — ответ да. Это однозначно персональные данные.

Шаг 3. Нет прямой идентификации — есть ли косвенная? Можно ли, сопоставив эти данные с другими доступными вам или третьим лицам источниками, установить личность? Если да — это косвенно идентифицирующие данные, то есть тоже персональные.

Шаг 4. Оцените контекст обработки. Фото без подписи — обычные ПДн. Фото + система распознавания лиц — биометрические ПДн с повышенными требованиями.

Шаг 5. Если сомневаетесь — применяйте консервативный подход. При неопределённости безопаснее считать данные персональными и обращаться с ними соответственно. Это дороже с точки зрения операционных издержек, но дешевле с точки зрения регуляторных рисков [13].

9.2 Оценка распространённых типов данных

1. ФИО — статус: ПДн в совокупности. Само по себе — спорно, с другими данными (адрес, телефон) — однозначно ПДн.
2. Паспортные данные — статус: ПДн. Однозначно, обеспечивают прямую идентификацию.
3. СНИЛС — статус: ПДн. Однозначно, обеспечивает прямую идентификацию.
4. Номер телефона физлица — статус: ПДн в совокупности. РКН считает спорным отдельно, суды во многих решениях признают ПДн.
5. Email, содержащий ФИО — статус: ПДн. Если адрес включает имя или фамилию — однозначно персональные данные.
6. Email в виде набора символов — статус: спорно. Суды не всегда признают ПДн, РКН при проверках относит к ПДн.
7. Статический IP-адрес — статус: ПДн. Суды признают персональными данными при наличии связки с конкретным лицом.
8. Cookie и идентификаторы устройств — статус: ПДн. РКН квалифицирует однозначно, судебная практика поддерживает.
9. Фотография без биометрии — статус: ПДн. Относится к стандартным персональным данным.
10. Фотография в системе распознавания лиц — статус: биометрические ПДн. Требуется повышенный режим защиты и письменное согласие.
11. Данные о состоянии здоровья — статус: специальные ПДн. Обработка по умолчанию запрещена, допускается только в строго определённых законом случаях.
12. ИНН физического лица — статус: ПДн (по позиции РКН). Существует спор с позицией Минфина, на практике безопаснее считать ПДн.
13. ИНН юридического лица — статус: не ПДн. Данные организации, а не физического лица.
14. ОГРН юридического лица — статус: не ПДн. Данные организации.
15. Никнейм или логин — статус: зависит от контекста. Если содержит ФИО или публично известен как принадлежащий конкретному человеку — ПДн.
16. Геолокация без привязки к лицу — статус: не ПДн. Отдельная точка на карте не идентифицирует человека.
17. История перемещений с привязкой к лицу — статус: ПДн. Позволяет идентифицировать конкретного человека по маршрутам и привычкам.

Раздел 10. Типичные ошибки и риски

10.1 «Мы не собираем персональные данные, только email»

Это заблуждение, которое встречается особенно часто в сфере e-commerce и SaaS. Email в сочетании с именем пользователя (а большинство форм регистрации запрашивают оба поля) — это уже персональные данные. Даже один только email, по позиции РКН при проверках, считается ПДн.

10.2 «Мы B2B, нам не надо»

B2B-компании работают с контактными данными менеджеров, директоров, других сотрудников своих клиентов. Всё это — персональные данные физических лиц. При этом факт, что компания звонит конкретному менеджеру по его рабочему телефону, указанному на корпоративном сайте, не отменяет требований 152-ФЗ [4].

10.3 «Данные в агрегированном виде — не ПДн»

Это верно для итоговой статистики, но не для исходных массивов. Если вы храните записи с возрастом, полом, городом и датой покупки каждого клиента, это персональные данные. Агрегация означает, что вы вывели из них статистику, а не что исходные данные перестали быть персональными.

10.4 «У нас зашифровано, значит всё ок»

Шифрование снижает риск, но не меняет правовой статус данных. Зашифрованные персональные данные остаются персональными данными и требуют соблюдения всех требований 152-ФЗ — получения согласия, ведения реестра, уведомления регулятора и т.д.

10.5 Игнорирование изменений в ИТ-ландшафте

Новые поля в базе данных, новая интеграция с CRM, новый подрядчик, получивший доступ к данным, — всё это создаёт новые риски, которые могут долго оставаться незамеченными. Аудиты и инвентаризации, проводимые раз в год, уже не соответствуют скорости изменений современной ИТ-среды.

Раздел 11. Тренды и изменения 2024–2025 годов

11.1 Новые категории данных о пользовательском поведении

С 30 мая 2025 года для сбора и анализа поведения пользователей на сайте (клики, время просмотра товаров, траектории перемещения по страницам) требуется отдельное согласие пользователя [8]. Это существенно меняет требования к системам веб-аналитики.

11.2 Обязательное уведомление об утечках

За непредоставление в Роскомнадзор уведомления об утечке персональных данных в течение 24 часов с момента её обнаружения установлены штрафы от 1 до 3 млн рублей для организаций [5].

11.3 Запрет на использование зарубежных сервисов

Новые требования к локализации фактически ограничивают использование популярных зарубежных сервисов (Google Analytics, Mailchimp и других), если они обрабатывают персональные данные российских пользователей [6].

11.4 Расширение применения биометрии

Выделена отдельная административная ответственность за отказ обслуживать потребителя, который не захотел подтверждать личность через биометрию (200 000–500 000 рублей для юрлиц) [5]. Это означает, что компании не могут делать биометрическую идентификацию обязательной.

Раздел 12. Как держать ситуацию под контролем: инструменты и подходы

12.1 Инвентаризация данных

Первый шаг к управлению персональными данными — знать, где они хранятся. Это звучит очевидно, но на практике большинство организаций не имеют актуальной картины того, в каких системах, базах данных, таблицах и файловых хранилищах находятся ПДн.

Ключевые вопросы для инвентаризации:

• Где хранятся ПДн (БД, CRM, 1С, файловые серверы, email, AD/LDAP)?
• Кто является владельцем (ответственным) каждого массива?
• Какие именно категории данных присутствуют (общие, специальные, биометрические)?
• Кто имеет доступ к данным?
• Как долго хранятся данные?
• Передаются ли данные третьим лицам или подрядчикам?

12.2 Непрерывный мониторинг

Одноразовый аудит быстро устаревает: новые поля появляются в базах данных, подключаются новые интеграции, разработчики добавляют логирование. Необходим процесс, который позволяет замечать изменения в составе обрабатываемых данных в режиме, близком к реальному времени.

12.3 Документирование и подтверждение оснований

Для каждого вида обрабатываемых ПДн должно быть зафиксировано правовое основание: согласие, исполнение договора, законный интерес и т.д. Отсутствие документального подтверждения — одна из самых распространённых причин нарушений при проверках.

Раздел 13. Пятый фактор: автоматическая карта персональных данных

Одна из ключевых проблем, которую выявил наш разбор: компании часто не знают, где именно у них находятся персональные данные. Новые поля в БД, новые сервисы, интеграции, подрядчики — всё это создаёт постоянно меняющийся ландшафт рисков. Без единой актуальной картины компании пропускают новые риски и узнают о них слишком поздно — при инциденте или проверке.

Именно эту задачу решает Пятый фактор — on-prem платформа для автоматического обнаружения, инвентаризации и контроля персональных данных в корпоративных системах: БД, хранилищах, почте, AD/LDAP, CRM, 1С и API.

Принципиальная особенность — принцип «privacy-by-design»: платформа работает только с метаданными, структурой и агрегатами, не передаёт и не хранит «сырые» значения персональных данных. Это значит, что система сама не становится источником риска — она не создаёт новую точку концентрации конфиденциальной информации.

В результате компании получают:

• живую «карту ПДн» — где и какие данные есть, кто владелец, что изменилось;
• раннее обнаружение новых рисков — новые поля, интеграции, источники замечаются до того, как превращаются в инцидент;
• контроль как непрерывный процесс — понятные нарушения, владельцы, статусы и согласования вместо разрозненных ручных проверок;
• сокращение времени аудита и повышение готовности к проверкам Роскомнадзора.

В условиях, когда штрафы выросли до 500 млн рублей, а требования ужесточаются каждый год, наличие актуальной карты персональных данных — это уже не вопрос удобства, а базовый элемент управления регуляторным риском.

Что делать дальше

Вопрос «что является персональными данными?» не имеет универсального ответа, не зависящего от контекста. Закон намеренно широк, и это требует от операторов думать, а не искать исчерпывающий список.

Три главных вывода из нашего разбора:

Первый. Принцип совокупности важнее отдельных атрибутов. Один телефон или один email — спорно. Телефон + имя + должность — однозначно персональные данные. Оценивайте данные в связке, а не по отдельности.

Второй. Консервативный подход безопаснее. При сомнении относитесь к данным как к персональным. Цена ошибки в сторону избыточной защиты — небольшие операционные издержки. Цена ошибки в другую сторону с учётом новых штрафов — потенциально разрушительные санкции.

Третий. Статус данных меняется при изменении контекста их обработки. Фото становится биометрией при использовании системы распознавания лиц. Рабочий email, собранный для спам-рассылки, требует согласия. Следите не только за тем, что вы собираете, но и за тем, как и зачем вы это используете.

Что делать прямо сейчас:

• Проведите инвентаризацию: где и какие данные хранит ваша организация.
• Проверьте наличие правовых оснований для каждого вида обработки.
• Убедитесь, что политика конфиденциальности и уведомление РКН актуальны.
• Создайте процесс мониторинга изменений в составе обрабатываемых ПДн.
• Разработайте и задокументируйте регламент действий при утечке.

Источники

[1] Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (ред. от 24.06.2025), ст. 3 — https://www.consultant.ru/document/cons_doc_LAW_61801/

[2] Обзор: «Как суды и РКН определяют, что является персональными данными, а что нет» — https://zakon.ru/blog/2020/05/24/kak_sudy_i_roskomnadzor_rkn_opredelyayut_chto_yavlyaetsya_personalnymi_dannymi_a_chto_net

[3] «Что является персональными данными: неочевидные ошибки и ежедневные действия бизнеса», Новости ИТ-канала — https://www.novostiitkanala.ru/news/detail.php?ID=193357

[4] «Штрафы за персональные данные в 2026 году», Habr / МойСклад — https://habr.com/ru/companies/moysklad/articles/994568/

[5] Федеральный закон от 30.11.2024 № 420-ФЗ «О внесении изменений в КоАП РФ» / КонсультантПлюс — https://www.consultant.ru/legalnews/28492/

[6] «152-ФЗ о персональных данных в 2025–2026 годах», Business.ru — https://www.business.ru/article/5705-152-fz-o-personalnyh-dannyh-gg

[7] «Обезличивание персональных данных в России и в Европе», Zakon.ru — https://zakon.ru/Blogs/obezlichivanie_personalnyh_dannyh_v_rossii_i_v_evrope_kogda_dannye_perestayut_byt_personalnymi/92725

[8] «Поправки в 152-ФЗ: что бизнесу нужно знать о персональных данных в 2025», РБК Компании — https://companies.rbc.ru/news/LfIRlNzMxt/popravki-v-152-fz-chto-biznesu-nuzhno-znat-o-personalnyih-dannyih-v-2025/

[9] Статья 10 152-ФЗ «Специальные категории персональных данных», КонсультантПлюс — https://www.consultant.ru/document/cons_doc_LAW_61801/26edb2934b899bf9c74c3a8f7e574651c6565e6d/

[10] Роскомнадзор, Разъяснения законодательства в сфере защиты прав субъектов ПДн — https://66.rkn.gov.ru/directions/p18760/p20284/

[11] «Что такое персональные данные?», ZarLaw.ru — https://zarlaw.ru/lifehacks/articles/4-neveroyatnykh-fakta-o-personalnyh-dannykh

[12] «Что такое персональные данные и как с ними работать», KsOnline — https://ksonline.ru/320392/narusheniya-zakona-o-personalnyh-dannyh-v-95-sluchaev-nahodyatsya-pryamo-na-sajte/

[13] «Верховный суд РФ не признал адрес электронной почты персональными данными», Denuo Legal — https://denuo.legal/ru/insights/news/230830/

[14] «Являются ли данные ИП персональными данными», Business.ru — https://www.business.ru/question/3322-yavlyayutsya-li-dannye-ip-personalnymi-dannymi

[15] Письмо Минфина России от 02.11.2020 № 03-01-11/95302 об ИНН и персональных данных / КонсультантПлюс — https://www.consultant.ru/law/podborki/inn_otnositsya_k_personalnym_dannym/

[16] «Соблюдение закона о персональных данных (152-ФЗ) для владельцев сайтов», vc.ru — https://vc.ru/marketing/2021565-soblyudenie-152-fz-instruktsiya-dlya-vladeltsev-saytov

[17] «Новые требования к обезличиванию персональных данных», Denuo Legal — https://denuo.legal/ru/insights/news/I22/

[18] «Виды персональных данных по закону № 152-ФЗ в 2025 году», Portal-Yug — https://portal-yug.ru/blog/vidy-personalnykh-dannykh-po-zakonu-152-fz/

[19] «С 30 мая 2025 года значительно ужесточена ответственность за нарушения в области ПДн», КонсультантПлюс — https://www.consultant.ru/document/cons_doc_LAW_490308/

[20] «Ужесточение ответственности за нарушение законодательства о ПДн», Юникон — https://www.unicon.ru/insights/obzor-izmenenii-zakonodatelstva/Tougher_liability_for_violations_of_the_law_on_personal_data/