Главная / Глоссарий / Персональные данные (ПДн)

Персональные данные (ПДн) — что это, защита, уровни, ответственность

Персональные данные (ПДн) — это любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных).

Простыми словами: ПДн — это всё, что позволяет идентифицировать человека: ФИО, паспорт, адрес, телефон, фото, биометрия, место работы и т.д.

Содержание

Что такое персональные данные?

Согласно Федеральному закону № 152-ФЗ «О персональных данных», к персональным данным относится любая информация о человеке.

Примеры персональных данных:

  • Фамилия, имя, отчество
  • Дата и место рождения
  • Адрес места жительства
  • Паспортные данные
  • ИНН, СНИЛС
  • Номер телефона, email
  • Фотографии и видеозаписи
  • Биометрические данные (отпечатки, голос, лицо)
  • Место работы, должность
  • Семейное положение
  • Сведения о доходах

📌 Важно: Даже простое имя и фамилия могут считаться ПДн, если они позволяют идентифицировать человека.

Категории и уровни защищённости ПДн

Категории персональных данных:

КатегорияОписаниеПримеры
Общедоступные} Данные, которые человек сам разрешил публиковать Справочники, сайты, открытые источники
Специальные} Особо чувствительные данные Раса, национальность, религия, здоровье, интимная жизнь
Биометрические} Физиологические характеристики Отпечатки пальцев, ДНК, голос, лицо, сетчатка глаза
Иные} Все остальные данные ФИО, адрес, телефон, email, место работы

Уровни защищённости ПДн (по Приказу ФСТЭК № 21):

УровеньЧто требуетсяДля каких систем
1 уровень} Самый высокий — аттестация, СЗИ, криптография ПДн более 100 000 субъектов или спецкатегории
2 уровень} Аттестация, СЗИ, криптография (слабее) ПДн 10 000 - 100 000 субъектов
3 уровень} Аттестация, СЗИ (криптография не всегда) ПДн до 10 000 субъектов или внутри организации
4 уровень} Минимальные требования (антивирус, пароли) ИСПДн без конфиденциальности по решению оператора

⚠️ Внимание: Для 1-3 уровней защищённости обязательна аттестация информационной системы персональных данных (ИСПДн) в ФСТЭК.

Требования к защите персональных данных

В соответствии с 152-ФЗ, оператор ПДн обязан:

  1. Назначить ответственного за обработку ПДн
  2. Разработать политику обработки ПДн
  3. Получить согласие на обработку ПДн
  4. Обеспечить техническую защиту
    • Использование сертифицированных СЗИ и СКЗИ
    • Защита от НСД
    • Защита от утечек по каналам связи
    • Шифрование при передаче и хранении
  5. Провести аттестацию ИСПДн (для 1-3 уровня)
  6. Уведомить Роскомнадзор об обработке ПДн
  7. Сообщать об утечках в Роскомнадзор в течение 24 часов

📌 Документы, которые должны быть у оператора ПДн: Политика обработки ПДн, согласия на обработку, перечень ПДн, порядок уничтожения, журналы событий, инструкции для сотрудников.

Ответственность за утечку персональных данных

Вид ответственностиНормаНаказание (на 2025 год)
Административная} Ст. 13.11 КоАП РФ Штраф на юрлиц до 500 000 руб., на должностных до 50 000 руб.
Уголовная (утечка ПДн)} Ст. 272, 273, 274 УК РФ (для хакеров) Лишение свободы до 7 лет
Уголовная (для оператора)} Ст. 137 УК РФ (нарушение неприкосновенности частной жизни) Штраф до 500 000 руб., исправительные работы, лишение свободы до 2 лет

⚠️ С 2025 года: Ужесточение ответственности за утечку ПДн. Для юрлиц — оборотные штрафы (до 3% годового оборота), для госорганов — уголовная ответственность руководителей.

Как защитить персональные данные в организации?

1. Организационные меры:

  • Назначить ответственного за ПД
  • Разработать пакет документов по 152-ФЗ
  • Провести обучение сотрудников
  • Заключить договоры с контрагентами (о неразглашении)

2. Технические меры (зависит от уровня защищённости):

  • Сертифицированное СЗИ от НСД (для 1-3 уровня)
  • СКЗИ для шифрования (для 1-2 уровня)
  • Антивирусная защита
  • Межсетевой экран
  • СОА (система обнаружения атак) — для 1 уровня
  • Защита от ПЭМИН (для выделенных помещений)

3. Аттестация ИСПДн:

Для 1-3 уровня защищённости обязательна аттестация в ФСТЭК. АО «РНТ» проводит полный цикл аттестации «под ключ».

4. Продукты АО «РНТ» для защиты ПДн:

Часто задаваемые вопросы

Обязательно ли получать согласие на обработку ПДн?
Да, за исключением случаев, прямо предусмотренных законом (например, для исполнения договора, для обязательных требований госорганов).
Нужно ли уведомлять Роскомнадзор об обработке ПДн?
Да, все операторы ПДн (юридические лица и ИП) обязаны уведомить Роскомнадзор, за исключением случаев из ст. 22 152-ФЗ (например, только для трудового договора).
Что делать при утечке ПДн?
Уведомить Роскомнадзор в течение 24 часов, пострадавших субъектов — в 72 часа. Провести внутреннее расследование, принять меры для предотвращения дальнейшей утечки.
Нужна ли аттестация для ИСПДн 3 уровня?
Да, согласно Приказу ФСТЭК № 21, для всех ИСПДн (кроме 4 уровня) требуется аттестация. Для 3 уровня — проще, чем для 1-2, но обязательна.
Можно ли хранить ПДн на обычном ноутбуке?
Для 1-3 уровня защищённости — нет. Нужен сертифицированный компьютер (например, ПЭВМ «Обруч»), для 4 уровня — можно, но с антивирусом и паролем.
Какие штрафы за нарушение 152-ФЗ с 2025 года?
Оборотные штрафы: 1-3% годового оборота компании (но не менее 500 000 руб.) за утечку ПДн. Для госорганов — уголовная ответственность.

Связанные термины

ФСТЭК России Аттестация объектов информатизации Техническая защита информации (ТЗИ) СКЗИ ПЭВМ «Обруч»

Услуги АО «РНТ» по защите ПДн

Аттестация ИСПДн

Проведём полную аттестацию системы персональных данных для 1-3 уровня.

Аудит 152-ФЗ

Проверим готовность к проверкам Роскомнадзора.

Поставка защищённых ПЭВМ «Обруч»

Компьютеры для работы с ПДн с сертификатами ФСТЭК/ФСБ.

Нужна защита персональных данных в организации?

Поможем с документами, техническими средствами и аттестацией ИСПДн

Заказать аттестацию Заказать аудит