Быть в курсе
Аватарка автора Андрей Лебедев
БезопасностьОблако

Что такое персональные данные (ПДн), как их обрабатывать и защищать

Обновлено: 16 февраля 2026

10 минут

Телеграм

ВКонтакте

Каждый день мы регистрируемся на веб-страницах, делаем онлайн-покупки, заполняем анкеты. Все эти действия связаны с передачей личной информации. Для обычного человека это рутина, но для любой организации, собирающей эти сведения, это огромная ответственность. Неправильное обращение с такой информацией приводит к крупным штрафам и возможным репутационным потерям среди клиентов.

В этом тексте мы подробно разберем, что закон называет персональными данными, как правильно с ними работать и уверенно защищать в современном цифровом мире.

Всё актуальное — в наших соцсетях. Подписывайтесь!
Телеграм ВКонтакте

Что такое персональные данные

Если сказать простыми словами, персональные данные (ПДн) — это абсолютно любая информация, которая помогает напрямую или по косвенным признакам найти конкретного человека.
Представьте себе визитную карточку. На ней есть ФИО, номер, почта. Этот набор сведений однозначно указывает на одного человека. Вот это и есть наглядная иллюстрация, что такое персональные данные.

В Федеральном законе № 152-ФЗ таким образом определяет это понятие: это «любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу». Ключевое здесь — возможность найти конкретного человека.

В цифровую эпоху компании хранят огромные массивы такой информации. Их нужно не только правильно обработать и, самое главное, надежно защитить. Простого компьютера в офисе для этого уже недостаточно. Современный бизнес использует профессиональные инструменты, такие как облачные решения от Рег.облако. Они позволяют размещать корпоративную инфраструктуру в защищенной и отказоустойчивой среде. Для соблюдения строгих требований законов компании арендуют специальные серверы для хранения персональных данных. Это аттестованная инфраструктура, изначально спроектированная так, чтобы обеспечить максимальный уровень сохранности и соответствовать всем нормам законодательства.

Какие данные относятся к персональным

Что считается персональными данными? Многие думают, что персональные данные — это только паспорт и прописка. На самом деле этот список гораздо шире. К ПДн относится любая информация, которая помогает идентифицировать человека. Вот основные примеры:

Основная идентификационная информация:

  • ФИО (как вместе, так и по отдельности, если в контексте можно понять, о ком речь).
  • День рождения.
  • Данные паспорта.
  • Регистрация и фактическое место жизни.
  • СНИЛС, ИНН.

Прямые контакты:

  • Номера телефонов.
  • Адреса электронных почт (например, a.ivanov@company.ru).

Профессиональная и социальная информация:

  • Данные об обучении, работе, квалификации.
  • Место работы и должность.
  • Состав семьи и семейное положение.

Электронные данные:

  • IP- пользователя, с которого он заходит на сайт или ресурс.
  • Файлы cookie, если они позволяют отслеживать поведение конкретного пользователя.
  • Гео-данные устройств.
Источник: Freepik. Нужно понимать: даже один фрагмент информации (например, уникальный рабочий email) уже можно счесть персональной информацией, в случае когда по нему можно найти человека

Разновидности персональных данных

Закон делит все данные на несколько видов по степени их чувствительности. Для каждой из них действуют свои, более строгие или, наоборот, более мягкие рекомендации по обработке.

Общие

Это самый распространенный вид. К нему относятся все данные, которые не попадают в спецданные или биометрию.

  • Примеры: ФИО, телефон, email, адрес, работа, образование.

Чтобы обрабатывать такие данные чаще всего достаточно получить простое письменное или электронное согласие от их владельца.

Специальные

Это «чувствительная» информация, раскрытие которой может нанести человеку существенный вред или стать причиной дискриминации. Законом такие данные защищаются особенно тщательно.

Примеры:

  • Сведения о расе и национальности.
  • Политические предпочтения и религия.
  • Данные о состоянии здоровья (диагнозы, история болезни).
  • Все, что касается интимных отношений.

Обработать эту информацию разрешено только в строго оговоренных законом ситуациях и, как правило, только с отдельного разрешения в письменном виде, где четко прописаны цели.

Биометрические

Это уникальные характеристики персоны, касающиеся его физиологии и биологии, которые применяются для идентификации его личности. Ключевой момент — использование именно для определения.

Примеры:

  • Отпечаток пальца для разблокировки телефона или прохода в офис.
  • Изображение лица для системы распознавания (например, в банкомате или для оплаты проезда).
  • Образец голоса для подтверждения личности в колл-центре банка.

Простая фотография сотрудника на пропуске не всегда является биометрией. Но если эта фотография загружена в программу, которая сравнивает ее с лицом входящего человека, — это уже обработка биометрии

Иные (к которым относятся и общедоступные)

Это информация, к которой есть доступ у неограниченного круга лиц, предоставленный самим человеком. Например, если он опубликовал свой телефон в социальной сети. Однако даже такие данные нельзя просто так собирать и использовать в своих целях без ведома их владельца.

Источник: Freepik. Понимание этих категорий — первый шаг к построению грамотной и законной системы работы с данными о клиентах и работниках

Обработка и работа с ПДн

Итак, ваша организация получила данные клиента или сотрудника. Что дальше? Любые действия с этой информацией называются обработкой. Это очень широкое понятие. Закон о защите персональных данных включает в него практически все, что можно сделать с информацией:

  • Сбор персональных данных (когда вы просите клиента заполнить анкету).
  • Запись и систематизация (когда вы вносите данные в CRM-систему или таблицу).
  • Накопление и хранение (когда данные лежат на вашем сервере).
  • Уточнение (когда клиент просит изменить номер телефона, и вы это делаете).
  • Использование (когда вы отправляете рассылку по собранной базе email-адресов).
  • Передача (когда вы передаете данные курьерской службе для доставки заказа).
  • Стирание данных после достижения цели их сбора.

При взаимодействии с ПДн важны все три условия обработки персональных данных:

  1. Законность и получение соглашения. У вас нет права просто собирать персданные. Чаще всего на это требуется разрешение самого лица. Его можно получить в виде крестика на странице под текстом «Я соглашаюсь с тем, что мои персданные будут обработаны» или в виде отдельного документа с подписью.
  2. Конкретная цель. Вы обязаны работать с данными с заранее указанной и законной целью. Как пример: «для покупки товара и его доставки» или «для подписания соглашения. Нельзя собирать информацию «на всякий случай».
  3. Минимальный объем. Вы должны запрашивать только те данные, которые действительно необходимы для достижения этой цели.
Источник: Freepik. Если для email-рассылки достаточно только адреса электронной почты, запрашивать паспортные данные будет избыточно и незаконно

Обязанности оператора персональных данных

Любая компания, индивидуальный предприниматель или даже физическое лицо, которые организуют и осуществляют обработку персональных данных, становятся операторами ПДн. Это официальный статус, который накладывает серьезные обязанности. Если вы собираете контакты клиентов, вы — оператор обработки персональных данных. Если у вас есть сотрудники, данные которых вы обрабатываете, вы — тоже оператор.

Вот основные обязанности, которые должен выполнять каждый оператор:

  1. Уведомить Роскомнадзор. Перед началом обработки данных необходимо подать специальное уведомление в Роскомнадзор (федеральную службу, которая контролирует эту сферу). Это можно сделать в электронном виде на сайте ведомства. В случае изменения целей или условий обработки обновлять уведомление в Реестре операторов (ст. 22 ФЗ-152). Предоставлять по запросу Роскомнадзора документы и сведения, подтверждающие соблюдение требований законодательства о персональных данных (ст. 18.1 ФЗ-152)
  2. Разработать и опубликовать документы. У компании должна быть как минимум «Политика в отношении обработки персональных данных». Этот документ должен быть в открытом доступе, например, на вашем сайте. Также нужны внутренние локальные акты, которые регламентируют работу с данными внутри компании.
  3. Назначить ответственного. В организации приказом назначается сотрудник, ответственный за организацию обработки персональных данных. Он следит за соблюдением закона, консультирует коллег и взаимодействует с Роскомнадзором.
  4. Получать согласие субъектов обработки персональных данных. Как мы уже говорили, для обработки данных необходимо получать согласие от людей. Форма согласия зависит от категории данных.
  5. Обеспечивать безопасность. Оператор обязан принимать все необходимые правовые, организационные и технические меры для защиты данных от утечек, кражи или случайного уничтожения.
  6. Отвечать на запросы. Любой человек имеет право запросить у вас информацию о том, какие его данные вы храните, и потребовать их исправить или удалить. Оператор обязан ответить на такой запрос в установленные законом сроки обработки персональных данных.
Источник: Freepik. Невыполнение этих обязанностей грозит компании серьезными проверками и штрафами, которые могут достигать миллионов рублей

Как защитить персональные данные

Защита персональных данных — это не просто установка антивируса. Это целый комплекс мер, который должен работать как единая система.

Организационные меры безопасности обработки персональных данных

Это создание правильной и безопасной среды для работы с данными.

  • Внутренние правила и инструкции. Четко пропишите для сотрудников, как можно и как нельзя работать с данными клиентов.
  • Контроль доступа. Составьте список сотрудников, которым для работы действительно нужен доступ к персональным данным. Все остальные не должны иметь такой возможности.
  • Обучение персонала. Регулярно напоминайте сотрудникам о правилах цифровой гигиены: не открывать подозрительные письма, использовать сложные пароли, не оставлять документы на рабочем столе.
  • Режим коммерческой тайны для баз данных клиентов, чтобы дополнительно защитить их с правовой точки зрения.

Технические меры

Это использование специальных программ и оборудования для защиты информации.

  • Надежное хранение. Основа основ — безопасное место для размещения данных. Это могут быть защищенные серверы 152-ФЗ, размещенные в сертифицированных дата-центрах, которые изначально спроектированы для выполнения требований закона.
  • Антивирусная защита. Все рабочие компьютеры и серверы должны быть защищены современными антивирусами.
  • Межсетевые экраны (файрволы). Они защищают вашу внутреннюю сеть от несанкционированного доступа из интернета.
  • Шифрование. Важные данные на дисках и те, что передаются по сети, должны быть зашифрованы. Даже если злоумышленник их перехватит, он не сможет их прочитать.
  • Резервное копирование. Регулярно создавайте резервные копии баз данных, чтобы в случае сбоя или атаки можно было быстро восстановить информацию.

Физические меры

Не забываем и о защите от физического доступа к носителям информации.

  • Замки и контроль доступа. Серверные комнаты и архивы с бумажными документами должны быть закрыты.
  • Сейфы. Для хранения особо важных документов, печатей или электронных ключей используйте сейфы.
  • Политика «чистого стола». Приучите сотрудников не оставлять документы с персональными данными на виду, а убирать их в стол или шкаф в конце рабочего дня.

Только такой многоуровневый подход гарантирует, что персональные данные ваших клиентов и сотрудников будут под надежной защитой, а ваш бизнес будет работать спокойно и в рамках закона.

Аватарка автора Андрей Лебедев

Обновлено: 16 февраля 2026

Телеграм

ВКонтакте

Новые статьи