Согласие на обработку специальных категорий ПДн: что изменилось

Что относится к специальным категориям персональных данных

Специальные категории персональных данных – особый класс данных, обработка которых подчиняется строжайшим ограничениям ФЗ-152. Часть 1 статьи 10 ФЗ-152 определяет их перечень:

  • Расовая, национальная принадлежность
  • Политические взгляды
  • Религиозные или философские убеждения
  • Состояние здоровья
  • Интимная жизнь
  • Судимость

По общему правилу обработка специальных категорий запрещена. Статья 10 ФЗ-152 допускает исключения – но они строго ограниченные и большей частью не применимы к коммерческим сайтам. Для частного сайта единственное реально применимое основание обработки спецкатегорий – письменное согласие субъекта, с повышенными требованиями к форме этого согласия.

В 2024–2025 годах поправки в ФЗ-152 и сопутствующие акты ужесточили режим обработки спецкатегорий. В частности, уточнены требования к форме согласия, увеличены штрафы за нарушения, расширены обязанности операторов по информированию субъекта. Компании, собиравшие спецкатегории «по привычке», обязаны пересмотреть политики до конца 2026 года.

Биометрия: отдельный режим или часть спецкатегорий?

Юридический вопрос: биометрические персональные данные относятся к спецкатегориям? Формально – нет, это отдельная категория в отдельной статье 11 ФЗ-152. Однако требования к обработке биометрии по своей строгости сопоставимы со спецкатегориями, и на практике их часто объединяют под термином «чувствительные ПДн».

Класс данных Статья ФЗ-152 Основное правовое основание
Обычные ПДн ст. 3, 5–9 Согласие или 10 других оснований по ст.6
Специальные категории ст. 10 Только письменное согласие или 8 закрытых оснований
Биометрия ст. 11 Письменное согласие + особые исключения

Сведения о состоянии здоровья: самый массовый случай

Для сайтов самый частый случай спецкатегорий – сведения о здоровье. Где они возникают:

  • Медицинские сайты (клиники, стоматологии, косметология)
  • Онлайн-аптеки (если клиент указывает, для какого диагноза подбирает препарат)
  • Сайты БАДов, спортивного питания (анкеты с противопоказаниями)
  • Фитнес-клубы (анкета здоровья при первом посещении)
  • Страховые компании (ДМС-анкеты, полисы для выезжающих за рубеж)
  • Сайты знакомств (анкеты с ограничениями по здоровью)
  • Сайты услуг – психологи, тренеры, массажисты (противопоказания)

Политические взгляды и религиозные убеждения

Эти категории возникают реже, но есть ниши, где их обработка систематична:

  • Политические партии, общественные движения – обработка данных членов
  • Религиозные организации – обработка данных прихожан
  • Специализированные СМИ – подписные базы
  • НКО, работающие с определёнными группами
  • Контент-платформы со специализацией (православные, мусульманские ресурсы)

Для таких сайтов обработка спецкатегорий – основа деятельности, и соответствие ФЗ-152 требует особого внимания. Уведомление в РКН подаётся с пометкой о спецкатегориях, и далее – строгий контроль на каждом этапе.

Данные о национальности и расе

Национальность и расовая принадлежность – спецкатегория, но на практике большинство сайтов не запрашивают эти сведения в явном виде. Косвенная обработка возможна:

  • Формы с полем «национальный язык» (для переводчиков, эмигрантских услуг)
  • Онлайн-анкеты с полем «национальность» (наследие бюрократических форм)
  • Сервисы генеалогии и родословной
  • Специализированные СМИ для национальных диаспор

Если сбор данных о национальности не обусловлен очевидной целью и согласием субъекта, поле следует исключить из формы.

Интимная жизнь: что это с точки зрения закона

Категория «сведения об интимной жизни» трактуется широко: ориентация, семейная жизнь, сексуальное здоровье, репродуктивная функция. На практике это:

  • Сайты знакомств (особенно специализированные – для ЛГБТ, для беременных, для свингеров и т.д.)
  • Сайты репродуктивной медицины
  • Сайты по контрацепции, планированию семьи
  • Онлайн-консультации по сексологии
  • Интернет-магазины интим-товаров (с личным кабинетом и историей покупок)

Для этих сайтов обработка интимных сведений – существенная часть бизнеса. Требования: письменное согласие на обработку спецкатегорий, обособленное хранение, строгий доступ, короткие сроки хранения, согласие на рекламные рассылки – отдельно.

Судимость и правовая биография

Сведения о судимости – спецкатегория, но для некоторых сайтов – необходимая часть бизнеса:

  • Юридические сайты и сервисы проверки контрагентов
  • Кадровые агентства, работающие с вакансиями с ограничениями (банки, охрана, работа с детьми)
  • Дейтинг-приложения с опцией проверки безопасности партнёра
  • Сайты-агрегаторы публичной информации

Обработка сведений о судимости без согласия субъекта – нарушение, даже если сведения получены из открытых источников. Одно из самых сложных направлений – юридически и технически.

Согласие на обработку спецкатегорий: форма и содержание

Согласие на обработку спецкатегорий – расширенная форма по сравнению с обычным согласием. Обязательные элементы:

  1. ФИО, адрес, паспортные данные или иные документы субъекта
  2. Наименование, адрес и ИНН оператора
  3. Цель обработки – конкретно и без общих формулировок
  4. Перечень обрабатываемых спецкатегорий (не общее «сведения о состоянии здоровья», а конкретно: «данные о наличии аллергии на анестетики для подбора премедикации»)
  5. Перечень действий с данными
  6. Третьи лица, которым могут быть переданы данные (если применимо)
  7. Срок действия согласия
  8. Условия отзыва согласия
  9. Подпись субъекта – собственноручная или квалифицированная электронная подпись
  10. Дата

Простого чекбокса «согласен» на сайте для спецкатегорий недостаточно. Нужна расширенная форма, текст которой подписывается пациентом/клиентом при первом визите или через ЭП.

Практика: подпись на бумаге или через ЭП

  • Собственноручная подпись на бумаге – классический способ, подходит для офлайн-визитов в клинику, салон, юрконсультацию
  • Квалифицированная электронная подпись (КЭП) – 100% юридическая сила, но пользователю нужен сертификат, что ограничивает применение
  • Простая электронная подпись (ПЭП) через СМС-код или «логин-пароль» – допустима при определённых условиях (соглашение об использовании ПЭП, фиксация факта подтверждения)
  • Госуслуги ЭП – через подтверждение в мобильном приложении Госуслуг; становится популярным для медицинских и юридических сервисов
  • Биометрическая подпись через ЕБС – для дистанционных операций, требует предварительной регистрации в ЕБС

Хранение спецкатегорий: технические требования

Уровень защищённости ИСПДн

Обработка спецкатегорий требует уровня защищённости УЗ-2 или УЗ-1 в зависимости от объёма субъектов:

  • УЗ-2: при числе субъектов менее 100 000
  • УЗ-1: при числе субъектов свыше 100 000

Минимальные технические меры

  1. Шифрование данных при хранении (как минимум, столбцы со спецкатегориями)
  2. Шифрование при передаче (HTTPS с TLS 1.2+, желательно ГОСТ TLS)
  3. Разграничение доступа по ролям – доступ к спецкатегориям ограничен узким кругом лиц
  4. Журналирование всех операций со спецкатегориями
  5. Двухфакторная аутентификация для сотрудников, имеющих доступ
  6. Изоляция сегмента сети с ИСПДн, содержащей спецкатегории
  7. Регулярные бэкапы в зашифрованном виде, хранение отдельно
  8. Антивирусная защита сертифицированной ФСТЭК
  9. Межсетевой экран, также сертифицированный
  10. Контроль целостности ПО ИСПДн

Обезличивание: способ снизить класс данных

Если обрабатываемые сведения можно обезличить до точки, когда субъекта невозможно идентифицировать, – режим спецкатегорий не применяется. Методы обезличивания:

Метод Описание Применимо к
Псевдонимизация Замена идентификаторов (ФИО, email, телефон) на псевдоним, с сохранением сопоставительной таблицы Аналитика внутри оператора
Агрегация Замена индивидуальных данных на статистические показатели (средний возраст, процент мужчин) Публикации, маркетинг
Обобщение Замена точных значений на диапазоны (возраст 25 вместо 25,43,30) Публикации
Рандомизация Добавление случайного шума к числовым данным (differential privacy) Публикации статистики
k-анонимизация Комбинация данных так, что каждая запись неотличима от ещё k-1 записей Исследовательские выборки

Правильно обезличенные данные не подпадают под ФЗ-152. Но любая ошибка в обезличивании (возможность реидентификации) возвращает их в режим персональных.

Специальные категории и маркетинг

Маркетинговые коммуникации с упоминанием спецкатегорий – зона высокого риска. Типичные нарушения:

  • Email-рассылка «Скидка на лекарство от диабета» – нарушение врачебной тайны (даже если получатель дал общее согласие на рассылку)
  • SMS «Прошёл месяц после лазерной эпиляции – пора повторить» – утечка спецкатегорий через SMS-оператора
  • Персонализированная реклама на сайте на основе диагнозов – профилирование спецкатегорий без согласия
  • Сегментация email-базы по «жирная кожа / проблемная кожа» – обработка спецкатегорий в маркетинге

Правильный подход: маркетинговые коммуникации ведутся без упоминания спецкатегорий. Персонализация – только в защищённом личном кабинете клиента, куда вход осуществлён под 2FA и с информированием о характере представляемого контента.

Передача специальных категорий третьим лицам

Передача спецкатегорий – ещё более строгая операция. Требования:

  1. Отдельное согласие на передачу (нельзя включать в общее согласие)
  2. Указание конкретных получателей (без общих формулировок «партнёры»)
  3. Договор о поручении обработки с получателем (с повышенными требованиями)
  4. Техническая защита канала передачи
  5. Журналирование всех передач с возможностью аудита

Типовые случаи передачи спецкатегорий: клиника → страховая (для оплаты по ДМС), клиника → другая клиника (для совместного лечения), агентство → работодатель (для вакансий с ограничениями по здоровью).

Права субъекта в отношении спецкатегорий

Субъект имеет особые права, когда речь идёт о спецкатегориях:

  • Право на немедленное удаление при отзыве согласия
  • Право на ограничение обработки (например, блокирование профилирования)
  • Право на получение копии своих спецкатегорий в удобоваримом формате
  • Право оспорить передачу третьим лицам, даже если формально было согласие
  • Право требовать обезличивания данных при прекращении целей обработки

Штрафы за нарушения в области спецкатегорий

Нарушение Статья КоАП Штраф ЮЛ
Обработка спецкатегорий без письменного согласия ч.2 ст.13.11 300 000 – 700 000 ₽
Нарушение формы согласия на спецкатегории ч.2 ст.13.11 300 000 – 700 000 ₽
Несоблюдение защиты ИСПДн со спецкатегориями ч.6 ст.13.11 25 000 – 75 000 ₽
Утечка спецкатегорий (оборотный штраф) ст. 13.11.3 от 15 млн ₽ или до 3% выручки
Повторное нарушение ч.5 ст.13.11 1 000 000 – 1 500 000 ₽

Практический порядок перехода к корректной обработке спецкатегорий

  1. Аудит: какие спецкатегории фактически обрабатываются на сайте и в CRM
  2. Обоснование – почему они нужны; для неочевидных случаев отказаться от сбора
  3. Разработка письменной формы согласия с полным содержанием по ст.10
  4. Внедрение процедуры получения подписи: собственноручной, через ПЭП, через ЭП Госуслуг
  5. Обновление политики конфиденциальности – раздел о спецкатегориях
  6. Обновление уведомления в РКН – с пометкой о спецкатегориях
  7. Модернизация ИСПДн до УЗ-2 или УЗ-1: шифрование, разграничение доступа, журналирование
  8. Заключение поручений обработки со всеми контрагентами, получающими спецкатегории
  9. Обучение персонала работе с спецкатегориями (медработники, юристы, HR)
  10. Внедрение регламента реагирования на инциденты с особой чувствительностью
  11. Периодический аудит соответствия – не реже раза в год

Частые мифы об обработке спецкатегорий

Миф 1. «Клиент мне сам рассказал о диагнозе – значит согласие дано по умолчанию»

Неверно. Устное сообщение о диагнозе – не согласие на обработку. Требуется документальное согласие в форме, предусмотренной статьёй 9 ФЗ-152.

Миф 2. «Я не храню диагнозы – просто записываю для себя»

Если запись сохраняется в любой форме (блокнот, электронная карта, Excel), это обработка. Применяется ФЗ-152.

Миф 3. «Эти данные в открытых источниках»

Даже общедоступные данные остаются спецкатегориями. Их сбор и обработка требует правового основания.

Миф 4. «Маленькая клиника – РКН не придёт»

Риск-ориентированный подход учитывает не только размер бизнеса, но и тип данных. Обработка спецкатегорий автоматически повышает внимание регулятора.

Миф 5. «Достаточно общего согласия в политике»

Согласие должно быть конкретным для спецкатегорий, с подписью субъекта. Политика – это информирование, а не согласие.

Итог

Специальные категории персональных данных – это область, где ошибки стоят дорого. Корректная обработка требует дополнительных усилий в правовой части (отдельные согласия, расширенные формы), в технической части (повышенный уровень защищённости) и в организационной части (обучение персонала, регулярный аудит). Если ваш бизнес связан с медициной, образованием, юридическими услугами, HR, страхованием – вы почти наверняка обрабатываете спецкатегории и обязаны настроить этот процесс в соответствии с усиленными требованиями ФЗ-152.