Специальные категории персональных данных: ограничения и исключения

Специальные категории персональных данных — одна из самых чувствительных зон регулирования. Их обработка по общему правилу запрещена и допускается только в строго определенных случаях. Базовые нормы установлены в статье 10 Федерального закона № 152‑ФЗ «О персональных данных» (далее — ФЗ‑152). Ниже — понятный разбор того, что относится к специальным категориям, какие действуют исключения, как работать с медицинскими данными и какие меры безопасности требуются.

Для контекста рекомендуем обзорные материалы: О законе 152‑ФЗ, структура и статьи ФЗ‑152 и последние изменения 2025.

Table of contents

• Что относится к специальным категориям ПДн
• Когда обработка запрещена по ФЗ‑152
• Исключения из запрета: полный перечень по статье 10
• Медицинские данные: что именно защищает закон
• Согласие субъекта: форма, содержание, ошибки
• Передача и трансграничная обработка
• Обезличивание и минимизация рисков
• Безопасность: организационные и технические меры
• Примеры из практики
• Краткий чек‑лист соответствия
• Ответственность и проверки
• Вывод и что делать дальше

Что относится к специальным категориям ПДн

По статье 10 ФЗ‑152 к специальным категориям персональных данных относятся сведения о:

• расовой или национальной принадлежности;
• политических взглядах;
• религиозных или философских убеждениях;
• состоянии здоровья;
• интимной жизни.

Важно отличать близкие режимы:

• Биометрические ПДн (изображение лица, голос, отпечатки) не входят в «спецкатегории», но регулируются отдельно — см. ст. 11 ФЗ‑152 и раздел Биометрические ПДн.
• Сведения о судимости имеют особый порядок: обрабатываются уполномоченными органами и в случаях, прямо предусмотренных законом.

Категория	Примеры	Правовой режим	Типичные ошибки
Специальные категории ПДн	религия, политические взгляды, данные об инвалидности, диагнозы, сведения об интимной жизни	Ст. 10 ФЗ‑152: общий запрет обработки, строгие исключения	Включение лишних вопросов в анкеты/формы, использование для маркетинга
Медицинские данные (подвид спецкатегорий)	диагноз, результаты анализов, история болезни, ЭМК, инвалидность	Ст. 10 ФЗ‑152 + медицинская тайна; обрабатываются лицами, обязанными хранить тайну	Передача работодателю «для информации», рассылки по базе пациентов
Биометрические ПДн	фото для распознавания, голос, геометрия ладони	Ст. 11 ФЗ‑152: отдельные условия, часто требуется письменное согласие	Путаница с «спецкатегориями», отсутствие правового основания
Сведения о судимости	справка о судимости, факты привлечения	Специальное регулирование: только уполномоченные органы и/или случаи, установленные законом	Запрос справки у всех кандидатов без законных оснований

Когда обработка запрещена по ФЗ‑152

ФЗ‑152 специальные категории регулирует жёстко: по общему правилу их обработка запрещена. Это означает, что оператор не вправе:

• собирать такие сведения «про запас» или «на всякий случай»;
• включать поля про здоровье, религию, взгляды и интимную жизнь в стандартные формы и анкеты;
• обусловливать оказание услуги предоставлением спецкатегорий, если это не требуется законом или неизбежно для исполнения договора.

Исключения закреплены строго и исчерпывающе — см. далее и раздел Обработка без согласия.

Исключения из запрета: полный перечень по статье 10

Статья 10 152 ФЗ устанавливает закрытый список оснований, когда обработка специальных категорий допустима. К ключевым относятся:

1. Письменное согласие субъекта персональных данных — на бумаге или в электронной форме с ЭП. Для распространения особых данных требуется отдельное согласие по ст. 10.1.

2. Субъект сам сделал данные общедоступными — например, опубликовал их от собственного имени. Здесь действуют повышенные требования: важно доказать факт и волю субъекта, см. Общедоступные ПДн и раздел о согласии на распространение ниже.

3. Необходимость исполнения трудового законодательства и законов о социальной защите, пенсионном обеспечении, охране труда — в объёме, установленном законом и локальными актами работодателя.

4. Защита жизни, здоровья или иных жизненно важных интересов субъекта или другого лица, когда получить согласие невозможно.

5. Деятельность общественных объединений, религиозных и иных НКО в рамках их законных целей — в отношении членов или лиц, состоящих с ними в постоянном контакте, без передачи третьим лицам без согласия.

6. Установление или осуществление прав, а также исполнение судебных актов — в том числе в рамках судебных разбирательств и исполнительного производства.

7. Медицинская и профилактическая цель: установление диагноза, оказание медико‑социальных услуг — при обработке лицами, обязанными соблюдать врачебную тайну.

8. Иные случаи, прямо предусмотренные федеральными законами (например, в сфере санитарно‑эпидемиологического благополучия, социальной поддержки и др.).

Практический совет: фиксируйте конкретную норму (статью и закон), на которую вы опираетесь, и оформляйте соответствующие документы. Подробнее — Принципы и цели обработки и Обязанности оператора.

Медицинские данные: что именно защищает закон

Запрос «152 фз медицинские данные» чаще всего касается границ допустимой обработки сведений о здоровье. К медицинским ПДн относятся:

• диагнозы, результаты обследований и анализов, сведения об инвалидности;
• факт обращения за медпомощью, история болезни, выписки, ЭМК;
• информация о противопоказаниях к труду, вакцинации и т. п.

Кто вправе обрабатывать:

• медицинские организации и работники, иные лица, обязаные хранить медицинскую тайну;
• работодатели — строго в объёме, установленном трудовым и иным законодательством (например, медосмотры, охрана труда), без «избыточных» запросов.

Не допускается использовать медицинские данные для маркетинга или профилирования без отдельного, специально информированного согласия и законного основания. Подробнее — раздел Медицинские ПДн.

Согласие субъекта: форма, содержание, ошибки

Для специальных категорий законом практически всегда требуется письменное согласие. Проверьте, чтобы документ содержал:

• идентификацию оператора и цель обработки;
• перечень конкретных данных и действий с ними;
• срок и способ обработки, круг получателей;
• подпись субъекта (или усиленную квалифицированную ЭП при электронном согласии) и дату.

Отдельно: распространение (публикация/передача неограниченному кругу лиц) специальных категорий требует отдельного согласия по ст. 10.1 ФЗ‑152 с возможностью granular‑настройки — какие сведения можно распространять, кому и как. См. готовые решения: Согласие на обработку ПДн и Согласие на распространение. Право на отзыв — здесь: Отзыв согласия.

Частые ошибки:

• «Общее» согласие без конкретики и без выделения специальных категорий;
• попытка прикрыть маркетинг согласием «на всё»;
• отсутствие отдельного согласия на распространение.

Передача и трансграничная обработка

• Передача третьим лицам. Нужны правовые основания, а с обработчиками — договор о поручении с инструкциями, мерами и ответственностью: см. Поручение обработки ПДн и Передача третьим лицам.
• Трансграничная передача. Проверьте уровень защиты в стране-получателе, уведомления/оценку, а также возможные запреты и ограничения — см. Трансграничная передача ПДн и Уведомление Роскомнадзора.
• Локализация. Первичный сбор граждан РФ — на серверах в РФ; выбирайте совместимые инфраструктуры: Серверы/хостинг/ЦОД, Облака (Yandex Cloud).

Обезличивание и минимизация рисков

Обработка специальных категорий без согласия иногда допускается при достижении целей с помощью обезличивания, когда по данным нельзя определить конкретное лицо без дополнительной информации. Рекомендации:

• минимизируйте состав: собирайте только то, что прямо нужно цели;
• разделяйте идентификаторы и чувствительные атрибуты, используйте токены;
• применяйте псевдонимизацию, шифрование, контроль доступа;
• фиксируйте методику обезличивания и периодически проверяйте устойчивость.

Безопасность: организационные и технические меры

Специальные категории требуют усиленных мер защиты. Минимальный набор:

• оценка угроз и моделирование сценариев — см. Модель угроз ИСПДн;
• классификация ИСПДн и выбор уровня защищенности;
• криптографическая защита и управление ключами — Шифрование по ФЗ‑152;
• регламенты, контроль и обучение персонала — Внутренний контроль и обучение;
• технические и организационные меры безопасности ПДн;
• готовность к инцидентам и утечкам: Инциденты и утечки и Уведомление Роскомнадзора.

Примеры из практики

• HR‑анкета спрашивает о религиозных взглядах и инвалидности. Нельзя. Допустимы только сведения, прямо требуемые трудовым законом (например, результаты обязательных медосмотров для отдельных должностей), и при наличии основания/согласия.

• Клиника направляет рекламную рассылку по базе пациентов. Нельзя использовать медицинские данные для маркетинга без отдельного согласия; лучше разделять базы и цели, хранить доказательства согласий.

• Фитнес‑клуб собирает анкету о противопоказаниях к тренировкам. Это специальные категории. Нужна корректная цель (безопасность услуг), минимум данных, письменное согласие, режим ограниченного доступа и шифрование.

• Школа/сад собирает медицинские сведения о детях. Допустимо в объёме, установленном законом и локальными актами, с повышенным контролем: см. Дети и несовершеннолетние и Образование и ФЗ‑152.

Краткий чек-лист соответствия

• Проверьте, требуются ли вообще специальные категории для заявленной цели; исключите избыточные вопросы/поля.
• Зафиксируйте правовое основание: конкретный пункт ст. 10 ФЗ‑152 или иной закон.
• Получите корректное письменное согласие; для публикации — отдельное согласие по ст. 10.1.
• Оформите договоры с обработчиками и инструкции, ограничьте доступ, ведите журналы.
• Примените обезличивание там, где это возможно, и минимизацию состава данных.
• Обеспечьте техническую и организационную защиту, проведите обучение персонала.
• Установите сроки хранения и порядок уничтожения — см. Сроки хранения и Уничтожение и блокировка.
• Подготовьтесь к проверкам: Проверки Роскомнадзора и Подготовка к проверке.

Ответственность и проверки

Нарушения в части специальных категорий часто приводят к существенным штрафам и предписаниям. Изучите:

• КоАП 13.11 (ПДн) и Ответственность и штрафы;
• Судебная практика по ФЗ‑152 — помогает оценить риски и корректно выстроить процессинг.

Контролирующий орган — Роскомнадзор. При инцидентах и существенных нарушениях возможны внеплановые проверки и блокировка незаконных практик.

Вывод и что делать дальше

Специальные категории персональных данных 152 ФЗ регулирует максимально строго: действует общий запрет, а разрешения — только по закрытому списку исключений. Медицинские данные — особо чувствительная часть этих сведений. Чтобы снизить риски, опирайтесь на точные правовые основания, оформляйте письменные согласия, минимизируйте состав и усиливайте защиту.

Нужна помощь? Закажите аудит и документы под ключ: Аудит соответствия ФЗ‑152, Консалтинг и документы, Генератор политики и согласий, а для сайтов — Аудит сайта. Мы поможем выстроить законный и безопасный процесс обработки.