Статья 10 152‑ФЗ: Специальные категории персональных данных

Что говорит закон: кратко о ст. 10 152‑ФЗ

Статья 10 152‑ФЗ регулирует «специальные категории персональных данных» — наиболее чувствительную информацию о человеке. По общему правилу их обработка запрещена, за исключением прямо предусмотренных законом случаев. Это одна из ключевых норм закона «О персональных данных» и она тесно связана с статьёй 9 (согласие субъекта), статьёй 11 (биометрические ПДн) и специальной статьёй 10.1 (данные, разрешённые для распространения).

Для точной формулировки и актуальных правок рекомендуем сверяться с текстом 152‑ФЗ, последняя редакция и общей структурой и статьями закона.

Схема обработки специальных категорий ПДн

Какие данные считаются «специальными» (и что ими не является)

К специальным категориям персональных данных (далее — спецкатегории) по ст. 10 относятся сведения о:

Получить CloudPayments бесплатно

расовой и национальной принадлежности;
политических взглядах;
религиозных или философских убеждениях;
состоянии здоровья;
интимной жизни.

Важно отличать их от других видов ПДн:

биометрические ПДн (лица, голос и т. п.) — отдельная тема ст. 11 и раздел Биометрические ПДн;
«данные, разрешённые для распространения» — регулируются ст. 10.1 и требуют отдельного согласия;
сведения о судимости и правонарушениях — не спецкатегория, но их обработка ограничена отдельными федеральными законами (обычно разрешена государственным органам и операторам в строго установленных случаях).

Таблица: примеры спецкатегорий и комментарии

Категория	Примеры	Комментарий
Раса/национальность	графа «национальность», этническое самоопределение	Обработка допускается только по законным основаниям
Политические взгляды	членство/симпатии к партиям, политическая активность	Особая чувствительность данных
Религиозные/философские убеждения	конфессиональная принадлежность, мировоззрение	Возможны исключения для религиозных организаций
Состояние здоровья	диагнозы, инвалидность, медкарта	Сильные ограничения, медицинская тайна
Интимная жизнь	сексуальная ориентация, семейные обстоятельства интимного характера	Максимально ограниченные данные
Судимость (не спецкатегория)	сведения о судимости	Обрабатываются только в случаях и порядке, установленных ФЗ

Дополнительно см. разделы: Специальные категории ПДн, Медицинские ПДн.

Общее правило: запрет и законные исключения

Базовый принцип ст. 10 152‑ФЗ: обработка специальных категорий персональных данных запрещена. Разрешения возможны только при наличии конкретного правового основания (в том числе письменного согласия субъекта) и при соблюдении усиленных мер защиты.

Кратко:

нельзя собирать, хранить, передавать такие данные «на всякий случай»;
даже при наличии основания — обрабатывайте минимально необходимый объём;
доступ — строго ограниченному кругу сотрудников;
часто требуется письменное согласие субъекта (см. ст. 9).

Основания обработки специальных категорий персональных данных: примеры

Ниже перечислены типичные законные основания, упоминаемые в статье 10 и смежных нормах. Используйте их строго по назначению, документируйте и сочетайте с принципами минимизации и целевого характера обработки.

Письменное согласие субъекта. Классическое основание, особенно для данных о здоровье или мировоззрении. Требования к содержанию — в ст. 9. Шаблоны: Согласие на обработку ПДн, заявления и отзыв согласия.
Данные сделаны общедоступными самим субъектом. Но это не «свободная лицензия»: нужна проверка источника и объёма, а для публичного распространения применяется особый режим ст. 10.1 и страница Общедоступные ПДн.
Исполнение обязанностей и реализация прав оператора в области трудового законодательства, пенсионного и социального обеспечения (например, подтверждение инвалидности для льгот). Подробнее: Кадры и 152‑ФЗ.
Защита жизни, здоровья или иных жизненно важных интересов субъекта или третьих лиц, когда получение согласия невозможно (экстренные медицинские ситуации).
Медицинские цели: охрана здоровья, оказание медицинских услуг, при обязательном соблюдении медицинской тайны и иных требований профзаконов. См. раздел Медицинские ПДн.
Установление или осуществление прав, а также в связи с осуществлением правосудия (судебные разбирательства, защита интересов в суде).
Деятельность религиозных и иных общественных объединений — обработка данных членов/участников для законных целей объединения, при запрете распространения без согласия.
Статистические, научные и иные исследовательские цели — при обязательном обезличивании ПДн и соблюдении дополнительных гарантий.

Отдельно: сведения о судимости / привлечении к административной ответственности могут обрабатываться только в случаях и порядке, установленном федеральными законами (как правило, уполномоченными органами или при наличии прямой нормы).

Чем спецкатегории отличаются от биометрии и «данных для распространения»

Спецкатегории (ст. 10) — это взгляды, убеждения, здоровье, интимная жизнь, раса/национальность. Ключевое: общий запрет + узкие исключения.
Биометрические ПДн — отдельный режим ст. 11 и раздел Биометрические ПДн. Это идентификация по физиологическим и биологическим характеристикам.
Персональные данные, разрешённые субъектом для распространения — новый режим ст. 10.1: требуется отдельное, детализированное согласие на распространение (со списком категорий, субъектов и запретами). См. также: Согласие на распространение ПДн.

Практика по отраслям: HR, медицина, образование, сервисы

HR и работодатели:
- можно запрашивать данные о здоровье только в пределах, предусмотренных трудовым и иным профильным законодательством (медосмотры, льготы). Запрос «про всякий случай» — нарушение.
- проверьте: Кадры и 152‑ФЗ, Сроки хранения ПДн, Уничтожение и блокировка.
Медицина и телемедицина:
- медорганизации и медработники обрабатывают данные о здоровье по закону, при соблюдении врачебной тайны и усиленных мер защиты; для сторонних ИТ‑подрядчиков — оформление поручения обработки ПДн и соглашений о конфиденциальности.
Образование и детские учреждения:
- справки о здоровье — по целям обучения/питания/безопасности; ограниченный доступ; запрещено публичное размещение. См. Дети и несовершеннолетние ПДн и кейс Фото детского сада и 152‑ФЗ.
Онлайн‑сервисы и маркетинг:
- опросы о мировоззрении/политике/интимной жизни — крайне рискованны; без надлежащего основания и письменного согласия — нельзя.
- куки и веб‑аналитика обычно не относятся к спецкатегориям, но всё равно подпадают под общие требования: см. Cookie и баннеры, Яндекс.Метрика.

Требования к согласию и документам оператора

Для спецкатегорий почти всегда требуется письменное согласие субъекта (бумага или усиленная электронная подпись — по ситуации). Что должно быть:

конкретная цель и перечень спецкатегорий ПДн;
источник данных и возможные получатели (включая трансграничную передачу — см. Трансграничная передача ПДн);
срок и способ отзыва согласия (см. Заявления и отзыв согласия);
ссылки на политику и контакты ответственного лица (см. Ответственный за обработку ПДн).

Оформите и поддерживайте пакет документов:

Политика обработки ПДн;
Пакет документов 152‑ФЗ и специфические документы для сайта;
договоры поручения с подрядчиками (об ИСПДн, SLA, конфиденциальности);
внутренние регламенты и обучение персонала.

Меры защиты: организационные и технические

Для «152 ФЗ специальные категории» требуются усиленные меры защиты, учитывающие угрозы и уровень ИСПДн:

классификация ИСПДн и выбор уровня защищённости;
модель угроз (модель угроз ИСПДн) и план внедрения мер;
шифрование и криптография (криптография/шифрование по 152‑ФЗ);
соответствие требованиям регуляторов (ФСТЭК и ФСБ);
контроль доступа, журналирование событий, DLP;
регулярный аудит, тестирование, внутренний контроль;
план реагирования на инциденты и уведомление Роскомнадзора при утечках.

Полезно: ИСПДн: определение и требования, Меры безопасности ПДн, Инциденты и утечки.

Частые ошибки операторов и ответственность

Сбор «про запас» лишних сведений о здоровье/убеждениях — нарушение принципа минимизации.
Отсутствие письменного согласия или неверное оформление.
Публичное размещение спецкатегорий без специального согласия по ст. 10.1.
Передача подрядчикам без договора поручения и проверок безопасности.
Неправильная трансграничная передача (без оценки уровня защиты в стране назначения).

За нарушения предусмотрены штрафы и иные меры: см. Ответственность и штрафы, в том числе КоАП 13.11. Роскомнадзор проводит проверки, нарушения попадают в публичные кейсы: Судебная практика по 152‑ФЗ.

Чек‑лист соответствия ст. 10 152‑ФЗ

Определите, действительно ли данные относятся к спецкатегориям (см. таблицу выше).
Проверьте законное основание: согласие, закон, жизненно важные интересы, медцели, правосудие, релобъединения, статистика с обезличиванием и т. п. См. Обработка без согласия.
Оформите корректное письменное согласие и процесс отзыва (см. Согласия и формы).
Обновите Политику и реестр процессов; назначьте ответственного.
Проведите классификацию ИСПДн и оценку угроз, внедрите меры защиты.
Настройте контроли доступа, шифрование, журналирование и процедуру реагирования на инциденты.
Проверьте необходимость уведомления/внесения в Реестр операторов ПДн и порядок уведомления Роскомнадзора.
Установите сроки хранения и процедуры прекращения обработки и уничтожения.
Проведите обучение сотрудников и периодический аудит соответствия.

Итоги и что делать дальше

Статья 10 152‑ФЗ (ст 10 фз 152) вводит жёсткий режим для «152 фз специальные персональные данные». Обработка таких сведений допустима только при наличии чёткого правового основания, корректного письменного согласия и усиленных мер безопасности. Разделите спецкатегории, биометрию и «данные для распространения», оформите документы и проверьте технологические контроли.

Следующие шаги:

проверьте процессы по нашему чек‑листу;
обновите документы: политику, согласья и договоры; при необходимости используйте наш генератор политики и согласий;
подготовьтесь к проверке: подготовка к проверке, онлайн‑аудит сайта.

Нужна помощь с внедрением требований ст. 10? Обратитесь за поддержкой: консалтинг и документы под ключ или услуги в Москве. Материал носит общий информационный характер; за подробностями сверяйтесь с последней редакцией 152‑ФЗ и связанными нормами (связанные законы).

Получить CloudPayments бесплатно