Обычные персональные данные — это любые сведения, которые позволяют прямо или косвенно идентифицировать человека, но не относятся к отдельным защищённым категориям. К ним относятся:
- ФИО;
- дата и место рождения;
- адрес проживания;
- контактные телефоны и e-mail;
- паспортные данные;
- ИНН, СНИЛС;
- данные трудового договора;
- информация о семейном положении.
Специальные персональные данные — это данные, относящиеся к отдельным категориям, установленным законом, и требующие особой защиты. К ним относятся сведения о:
- расовой и национальной принадлежности;
- политических взглядах;
- религиозных или философских убеждениях;
- состоянии здоровья и интимной жизни.
Эти категории обрабатываются только при наличии специальных оснований: согласия субъекта, исполнения международного договора или в случаях, прямо предусмотренных законом
Обоснование по законодательству
- Ст. 3 ФЗ-152 — определяет понятие персональных данных.
- Ст. 10 ФЗ-152 — содержит перечень специальных категорий персональных данных (раса, национальность, политические взгляды, здоровье, интимная жизнь и др.) и правила их обработки.
- Ст. 5 ФЗ-152 — закрепляет условия обработки любых персональных данных (минимизация, законность, ограничение цели).
Практика применения
На практике большинство компаний обрабатывают именно обычные персональные данные (сотрудников, клиентов, посетителей сайта). Однако если организация ведёт, например, меддеятельность или кадровые обследования, то у неё появляется и обработка специальных категорий (данные о здоровье, инвалидности).
Пример: клиника обязана хранить медицинские карты пациентов — это обработка специальных персональных данных. А интернет-магазин, обрабатывающий только ФИО и телефоны клиентов, имеет дело с обычными персональными данными.
Почему это важно различать
От правильного определения категории зависит уровень требований:
- для обычных данных достаточно общего пакета документов по 152-ФЗ и организационных мер защиты;
- для специальных данных нужны дополнительные основания для обработки (обязательное письменное согласие, дополнительные меры безопасности).
Ошибка в квалификации может привести к нарушению закона и штрафам.
Рекомендации и выводы
Любая организация должна определить, с какими категориями персональных данных она работает. Если это только обычные данные (сотрудники, клиенты, посетители сайта), достаточно базового пакета документов. Если же обрабатываются специальные категории, необходимо:
- Получать письменные согласия субъектов на обработку.
- Установить строгий порядок хранения и доступа к таким данным.
- Обеспечить усиленные технические и организационные меры защиты.
Компания ICTech поможет провести аудит обработки данных и подготовить полный пакет документов по 152-ФЗ, учитывающий специфику вашей деятельности. Это гарантирует, что и обычные, и специальные персональные данные будут защищены в соответствии с законом, а организация сможет избежать штрафов и претензий.
