Вход
Энциклопедия решений. Понятие и виды персональных данных (май 2025)
Понятие и виды персональных данных
В соответствии со ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Закон N 152-ФЗ) под персональными данными понимается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). По сути, это всевозможные сведения, с помощью которых можно определить (идентифицировать) субъекта персональных данных, что в полной мере согласуется с положениями ст. 2 Конвенции о защите физических лиц при автоматизированной обработке персональных данных, принятой Советом Европы 28.01.1981. То есть правовой защите подлежит лишь та информация о человеке, которая позволяет его персонифицировать. Схожее определение персональных данных приводится и в Регламенте (ЕС) Европейского Парламента и Совета Европейского Союза 2016/679 от 27.04.2016, согласно которому - это любая информация, относящаяся к идентифицированному или идентифицируемому физическому лицу ("субъект данных"); идентифицируемое лицо - это лицо, которое может быть идентифицировано, прямо или косвенно, в частности, посредством таких идентификаторов как имя, идентификационный номер, сведения о местоположении, идентификатор в режиме онлайн или через один или несколько признаков, характерных для физической, психологической, генетической, умственной, экономической, культурной или социальной идентичности указанного физического лица (п. 1 ст. 4). То есть и Закон N 152-ФЗ и Регламент (ЕС) сопределяют персональные данные достаточно широко, поэтому какого-либо перечня сведений, относящихся к персональным данным субъекта, не существует.
Суды к персональным данным относят фамилию, имя, отчество, год, месяц, дату и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессию, доходы (определения Курганского облсуда от 07.09.2017 по делу N 33-2984/2017, Санкт-Петербургского горсуда от 26.03.2013 N 33-3815/13, Московского горсуда от 28.01.2014 N 33-5461/14, Саратовского облсуда от 29.01.2013 по делу N 33-500); информацию о количестве принадлежащих лицу акций (постановление Третьего ААС от 04.10.2011 N 03АП-3752/11) и др. Однако надлежит учитывать, что не всякий из этих элементов подпадает под защиту Закона N 152-ФЗ, а только те из них, которые в отдельности или в совокупности достоверно указывают на конкретное определяемое лицо. Так, например, идентификатор пользователя Telegram (Telegram ID), несмотря на его уникальность, без дополнительной информации невозможно отнести к субъекту персональных данных (см. письмо Управления Роскомнадзора по ЦФО от 24.09.2024 N 75084-02-11/77).
Фамилия и инициалы гражданина, как разъяснило управление Роскомнадзора по Республике Карелия, - это, несомненно, персональные данные субъекта. Однако без использования дополнительной информации определить их принадлежность конкретному субъекту невозможно. Фамилия, имя, отчество наряду со многими другими способами используется для идентификации отдельного человека среди других. По своей природе - это составной ключ, идентификатор, основанный на комбинациях трёх параметров фамилии, имени и отчества, на самом деле не идентифицирующий человека однозначно, а лишь сильно сокращающий выборку из тех, кому они могут принадлежать (обзор обращений граждан в Управление Роскомнадзора по Республике Карелия за II квартал 2012 года). Схожий вывод содержится в определении Приморского краевого суда от 09.09.2013 по делу N 33-7063, в котором суд указал, что только имя и отчество гражданина само по себе не позволяет достоверно установить о каком человеке идет речь, если, конечно, они неуникальны. Соответственно эти сведения не являются персональными данными лица, т.к. не содержат персонифицированных и детализированных данных о нем и в отсутствие дополнительной информации не позволяют его идентифицировать.
Виды персональных данных
Поскольку законодатель не приводит какого-либо перечня сведений, относимых к категории персональных данных, исходя из особенностей обработки отдельных категорий персональных данных можно выделить следующие их группы:
1. Обычные персональные данные, то есть это те сведения о физическом лице, которые не являются специальными персональными данными (ст. 10 Закона N 152-ФЗ); биометрическими персональными данными (ст. 11 Закона N 152-ФЗ); данными, разрешенными субъектом для распространения (ст. 10.1 Закона N 152-ФЗ).
К категории обычных персональных данных могут быть отнесены так называемые "анкетные" данные
гражданина (фамилия, имя, отчество, образование, место жительства и др.). То есть это те сведения, которые сообщаются самим субъектом персональных данных (ч. 1 ст. 8 Закона N 152-ФЗ).
В целях информационного обеспечения могут создаваться общедоступные источники персональных данных (различные справочники, адресные книги и т.п.). При этом по требованию субъекта персональных данных либо по решению суда или иных уполномоченных государственных органов персональные данные должны быть исключены из подобных источников (ч. 2 ст. 8 Закона N 152-ФЗ).
Режим конфиденциальности информации не распространяется также в случаи обезличивания персональных данных или совершения действий, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных (п. 9 ст. 3 Закона N 152-ФЗ).
2. Персональные данные, разрешенные субъектом персональных данных для распространения (далее - разрешенные персональные данные).
К ним относятся сведения, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи отдельного письменного согласия на обработку персональных данных*(1) (п. 1.1 ст. 3 Закона N 152-ФЗ). Особенности обработки таких данных урегулированы ст. 10.1 Закона N 152-ФЗ.
Отметим, что ранее законодатель оперировал понятием "общедоступные персональные данные", подразумевая под ними сведения, доступ к которым неограниченному кругу лиц предоставлен с письменного согласия субъекта персональных данных или на которые в силу закона не распространяется режим конфиденциальности. Однако по смыслу Закона N 152, размещение персональных данных гражданами в открытых источниках (сети Интернет, социальных сетях и пр.) не делает их автоматически общедоступными. Следовательно, не допускается обработка таких данных без согласия субъекта, даже если он самостоятельно предоставил доступ к персональной информации о себе в открытых источниках (постановление Девятого ААС от 27.07.2017 N 09АП-31744/17, определение ВС РФ от 29.01.2018 N 305-КГ17-21291). Соответственно с 1 марта 2021 г. категория общедоступных персональных данных из Закона N 152-ФЗ исключена (п. 2 ст. 1 Федерального закона от 30.12.2020 N 519-ФЗ).
Таким образом, согласие субъекта персональных данных выступает в качестве исключительного правового основания на обработку разрешенных персональных данных, содержание которого в обязательном порядке должно включать в себя перечень ресурсов оператора, на которых планируется размещать эти сведения. Оператор обязан обеспечить субъекту персональных данных возможность определить перечень разрешенных персональных данных по каждой категории, указанной в согласии.
В целях обеспечения реализации принципа волеизъявления субъекта персональных данных введены положения, не допускающие получение оператором согласия по умолчанию или бездействию субъекта персональных данных.
Дополнительно вводится право субъекта персональных данных установить запрет на осуществление неограниченным кругом лиц обработки его разрешенных персональных данных (кроме получения доступа) и условия такой обработки, а также обязанность оператора информировать указанных лиц об имеющихся условиях и запретах.
3. Специальные категории персональных данных включают информацию о расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждений, состояния здоровья, интимной жизни, о судимости и т.п. (ч. 1 ст. 10 Закона N 152-ФЗ). Данный перечень не является закрытым и может дополняться новыми основаниями.
Придание специальным категориям персональных данных особого статуса обусловлено возможностью наступления крайне негативных последствий для человека при их противоправном распространении или ином несанкционированном использовании, которые могут выражаться в дискриминации носителя по различным признакам, невозможности реализации им статусных прав на образование, вероисповедание, проведение собраний и т.п.
4. Биометрические персональные данные - сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные) и которые используются оператором для установления личности субъекта персональных данных (ч. 1 ст. 11 Закона N 152-ФЗ).
В основе сбора и анализа сведений, составляющих биометрические данные человека, лежит использование биометрических признаков. Примерами биометрических методов идентификации являются дактилоскопические данные, изображение радужной оболочки глаз, анализы ДНК, изображение человека и другие.
Отнесение сведений персонального характера к биометрическим персональным данным и их последующая обработка должны рассматриваться в рамках проводимых оператором мероприятий, направленных на установление личности конкретного лица, если иное не предусмотрено федеральными законами и принятыми на их основе нормативными правовыми актами.
Так, например, не является биометрическими персональными данными фотографическое изображение, содержащиеся в личном деле работника, поскольку действия с использованием фотографии в данном случае не направлены на подтверждение их принадлежности конкретному физическому лицу, чья личность уже определена и чьи персональные данные уже имеются в распоряжении оператора (см. письмо Минцифры России от 28.08.2020 N ЛБ-С-074-24059). Однако если фотографическое или видеоизображение используется в целях распознавания лица, то тогда действия оператора квалифицируются как обработка биометрических персональных данных, которая должна осуществляться в строгом соответствии со ст. 11 Закона N 152-ФЗ.
-------------------------------------------
*(1) Требования к содержанию такого согласия утверждены приказом Роскомнадзора от 24.02.2021 N 18 (действуют с 1 сентября 2021 г. до 1 сентября 2027 г.)
Актуальная версия заинтересовавшего Вас документа доступна только в коммерческой версии системы ГАРАНТ. Вы можете подать заявку на получение полного доступа к системе бесплатно на 3 дня.
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
"Энциклопедия решений. Персональные данные" - это совокупность уникальных актуализируемых аналитических материалов по наиболее популярным темам в сфере обработки персональных данных
Каждый материал блока подкреплен ссылками на нормативные правовые акты, учитывает сложившуюся судебную практику и актуализируется по мере изменения законодательства
См. информацию об обновлениях Энциклопедии решений
См. содержание Энциклопедии решений. Персональные данные
При подготовке информационного блока "Энциклопедия решений. Персональные данные" использованы авторские материалы, предоставленные Л. Амировой, И. Разумовой
См. информацию об авторах