Алексей Ветров
Эксперт по защите данных IC-TECH
Дата рождения относится к персональным данным, так как в совокупности с другими сведениями (ФИО, адрес, место работы и др.) позволяет идентифицировать личность.
ФЗ-152 прямо определяет персональные данные как любую информацию, относящуюся к прямо или косвенно определённому или определяемому физическому лицу. Даже сама по себе дата рождения может служить идентификатором, если известен круг лиц (например, в базе учеников класса или сотрудников небольшой компании).
Поэтому дата рождения — это персональные данные, и их обработка должна осуществляться в соответствии с требованиями ФЗ-152.
ФЗ-152 прямо определяет персональные данные как любую информацию, относящуюся к прямо или косвенно определённому или определяемому физическому лицу. Даже сама по себе дата рождения может служить идентификатором, если известен круг лиц (например, в базе учеников класса или сотрудников небольшой компании).
Поэтому дата рождения — это персональные данные, и их обработка должна осуществляться в соответствии с требованиями ФЗ-152.
Обоснование по законодательству
- Ст. 3 ФЗ-152 – персональные данные — любая информация, относящаяся к определяемому физическому лицу. Дата рождения однозначно относится к такой информации.
- Письмо Роскомнадзора № 08АП-2187 от 24.09.2013 – разъяснено, что дата рождения — это персональные данные.
- Ст. 86 ТК РФ – устанавливает, что работодатель обязан защищать персональные данные работников, в том числе дату рождения.
- Ст. 13.11 КоАП РФ – ответственность за нарушение правил обработки ПДн (штрафы за незаконное распространение, сбор или хранение без оснований).
Дата рождения как элемент идентификации личности
- Идентификация личности. В сочетании с ФИО позволяет почти всегда точно определить человека.
- Риск мошенничества. Использование даты рождения вместе с паспортными данными или реквизитами может привести к незаконным операциям.
- Частые нарушения. Организации нередко публикуют списки с датами рождения (например, поздравления на сайте или стенде). Это может стать основанием для жалобы и штрафа, если не получено согласие субъекта.
Пример из практики
- Школа публикует список «Поздравляем именинников месяца» с указанием ФИО и даты рождения учеников. Это распространение персональных данных без согласия родителей → нарушение ФЗ-152.
- Работодатель вывешивает список сотрудников с их днями рождения на доске объявлений. Без согласия работников это также нарушение.
Рекомендации и выводы
- Дата рождения — это персональные данные, и она должна обрабатываться с соблюдением ФЗ-152.
- Организация обязана:
- включить дату рождения в перечень обрабатываемых ПДн;
- определить цели её обработки (например, кадровое делопроизводство, начисление льгот);
- обеспечить хранение и защиту (не публиковать открыто без согласия);
- получать согласие, если дата рождения используется для публикации (например, в поздравлениях на сайте).
- За нарушения возможны штрафы до 75 000 руб. для организаций (ст. 13.11 КоАП РФ).
Чтобы избежать нарушений, мы рекомендуем организациям включить дату рождения в полный пакет документов по защите персональных данных. В нашей услуге ICTech мы фиксируем этот аспект в перечне ПДн и формах согласий, чтобы использование таких сведений было законным.
Хотите защитить себя от проверок и штрафов?
Разработаем полный пакет документации по обработке персональных данных для вашей организации.
