Какие категории субъектов ПДн выделяет закон?

Федеральный закон № 152-ФЗ «О персональных данных» не устанавливает жёсткого перечня категорий субъектов ПДн, но на практике и в нормативных актах выделяются несколько основных групп физических лиц, чьи данные могут обрабатываться организациями.

Ключевые категории субъектов персональных данных:

1. Сотрудники (работники, кандидаты)
   • трудоустроенные сотрудники;
   • лица, проходящие собеседование или кадровый конкурс;
   • бывшие работники, чьи дела хранятся в архивах.
2. Клиенты и заказчики
   • физические лица, приобретающие товары или услуги;
   • пользователи интернет-сервисов, посетители сайтов;
   • абоненты, подписчики, пациенты (в зависимости от сферы деятельности).
3. Контрагенты — представители организаций
   • руководители и сотрудники компаний-партнёров;
   • доверенные лица и представители по договорам.
4. Посетители и иные субъекты
   • посетители офисов, мероприятий (данные из журналов посещения, видеонаблюдение);
   • арендаторы, собственники помещений;
   • иные физлица, чьи данные обрабатываются в рамках деятельности организации.
5. Специальные категории субъектов
   • субъекты, чьи данные относятся к «специальным» (состояние здоровья, убеждения, интимная жизнь);
   • субъекты, чьи данные относятся к биометрическим (фото, видео, отпечатки пальцев, голос).

Обоснование по законодательству

• Ст. 3 ФЗ-152 — субъект персональных данных — это физическое лицо, к которому относятся данные.
• Ст. 10 ФЗ-152 — выделяет специальные категории данных (здоровье, убеждения, интимная жизнь).
• Ст. 11 ФЗ-152 — отдельно регулирует обработку биометрических персональных данных.
• Трудовой кодекс РФ, ст. 86–90 — регулирует работу с персональными данными работников.

Таким образом, субъектами персональных данных могут быть любые физические лица, чьи сведения оператор собирает, хранит или использует.

Практика

• При проверке компании Роскомнадзор выявил отсутствие согласий на обработку данных кандидатов, которые присылали резюме. Несмотря на то что они не стали сотрудниками, их данные также считаются персональными.
• В медицинской организации к субъектам ПДн относились пациенты, и это требовало усиленных мер защиты, так как данные относились к специальной категории (состояние здоровья).

Почему важно выделять категории

Выделение категорий субъектов ПДн помогает оператору:

• правильно определить состав и объём данных, которые обрабатываются;
• подготовить формы согласий и уведомлений, адаптированные для каждой группы (для работников, клиентов, кандидатов и т. д.);
• выстроить меры защиты в зависимости от характера данных (обычные, специальные, биометрические).

Рекомендации и выводы

Организациям необходимо классифицировать все категории субъектов ПДн, с которыми они работают. Это позволит:

1. Понять, какие именно документы нужны для каждой категории (согласия, положения, приказы).
2. Установить порядок хранения и обработки данных сотрудников, клиентов и кандидатов.
3. Соблюдать требования закона в части специальных и биометрических данных.
4. Подготовить полный пакет документов по 152-ФЗ, учитывающий специфику деятельности компании.

Компания ICTech поможет вашей организации провести аудит обработки ПДн, выделить все категории субъектов и подготовить корректные документы для каждой группы. Это позволит минимизировать риски нарушений и штрафов со стороны Роскомнадзора.

Хотите защитить себя от проверок и штрафов?

Подготовим документы по 152-ФЗ

Разработаем полный пакет документации по обработке персональных данных для вашей организации.

Заказать

О услуге