Информация относящаяся к прямо или косвенно определенному или определяемому физическому лицу, субъекту ПДн (ст. 3 Федерального закона № 152-ФЗ «О персональных данных»).

Пример:
- Фамилия, имя, отчество;
- Дата и место рождения;
- Адрес проживания или регистрации;  
- Паспортные данные;  
- ИНН, СНИЛС;  
- Контактные данные (номер телефона, адрес электронной почты);  
- Сведения о трудовой деятельности и образовании и т.д.

Физическое лицо (человек), которому принадлежат персональные данные.

Оператор ПДн – это государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку ПДн, а также определяющие цели обработки ПДн, состав ПДн, подлежащих обработке, действия (операции), совершаемые с ПДн (ст.3 Федерального закона № 152-ФЗ «О персональных данных» от 27 июля 2006 года).

Пример оператора ПДн: 
1) Работодатель, ведущий учет сотрудников;
2) Банк, хранящий сведения о клиентах;
3) Онлайн магазин, обрабатывающий заказы покупателей;
4) Государственный орган, оказывающий услуги населению;
5) Управляющая компания, хранящая информацию о проживающих;
6) Больница, хранящая информацию о вашем здоровье (медкарта);
7) Учебное заведение, которое обрабатывает личные дела обучающихся.

Кто не будет являться оператором ПДн:
1) Сосед по дому, который знает место вашего проживания;
2) Сотрудник отдела кадров, занимающийся наймом;
3) Директор (руководитель), который осведомлён о том, с кем и куда вы полетите отдыхать;
4) Ваша жена, которая регистрируется на сайте с вашего e-mail;
5) Заместитель директора, занимающийся обработкой личных дел учеников.

Обработчиком персональных данных может выступать как сама организация, так и привлечённая сторонняя компания.

ВАЖНО

Лицо, осуществляющее обработку персональных данных по поручению оператора, не обязано получать согласие субъекта персональных данных на обработку его персональных данных (п.4 ст.6 ФЗ от 27.07.2006 № 152-ФЗ "О персональных данных").

В случае, если оператор поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет оператор. Лицо, осуществляющее обработку персональных данных по поручению оператора, несет ответственность перед оператором (п.5 ст.6 ФЗ от 27.07.2006 № 152-ФЗ "О персональных данных").

В случае, если оператор поручает обработку персональных данных иностранному физическому лицу или иностранному юридическому лицу, ответственность перед субъектом персональных данных за действия указанных лиц несет оператор и лицо, осуществляющее обработку персональных данных по поручению оператора (п.6 ст.6 ФЗ от 27.07.2006 № 152-ФЗ "О персональных данных")

Пример:
1) Вы как предприниматель оказываете бухгалтерские услуги. Организация с кем у вас заключен договор передают данные о сотрудниках компании для расчёта зарплат: Ф.И.О., оклады и т.д. Вы не являетесь оператором, вы помогаете обрабатывать персональные данные. В соответствии с п.5 ст.6 ФЗ от 27.07.2006 № 152-ФЗ "О персональных данных" вы являетесь «Лицо, осуществляющее обработку персональных данных по поручению оператора». Оператор поручает вам как обработчику выполнять действия с данными;

2) Ваша организация планирует провести мероприятие, нанимает охранную компанию и просит при входе вести журнал учёта посетителей. Организация — оператор, охранная компания — обработчик.

Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных; (ст. 3 Федерального закона № 152-ФЗ «О персональных данных» от 27 июля 2006 года).

Формы обработки:  
- Сбор;
- Запись;
- Хранение;
- Уточнение (обновление, изменение);
- Извлечение;
- Использование;
- Передача (распространение, предоставление, доступ);
- Уничтожение.

У вас ВСЕГДА должно быть основание для обработки персональных данных (ПДн).

Рассмотрим основания:

1) Требования закона. Закон требует от организации обрабатывать некоторые ПДн.

Пример: Ваша организация передает данные работников в налоговую. Согласие работников на это не нужно — они не могут потребовать не передавать или уничтожить данные. Обрабатываться должны только требуемые данные. Сбор согласий будет расцениваться как ввод субъекта в заблуждение.

2) Договор с субъектом данных. Для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем.

Пример: Вы желаете купить на маркетплейсе товар с доставкой. Для выполнения заказа нужны данные — Ф.И.О., номер телефона и адрес доставки. Под кнопкой «Приобрести» есть подпись «Я принимаю условия договора». Покупатель нажимает на кнопку и заключает с магазином договор. Этот договор — основание для обработки данных. Персональные данные можно обрабатывать, если это нужно для выполнения договора с субъектом. Его согласие не нужно. 

- ЕСЛИ бы под кнопкой еще бы размещалась другая фраза: «Я согласен на обработку персональных данных». Тогда под основанием понималось бы согласие. Однако разница с договором серьёзная — человек может отозвать согласие в любой момент. Тогда обработать его данные и доставить заказ не получится.

- Оператор должен выбрать корректное основание — договор. Основанием может быть только договор с физическим лицом (человеком) — субъектом персональных данных. Договор с другим оператором основанием не является.

3) Законный интерес. Иногда закон прямо не требует обрабатывать данные, договора с субъектом нет, а собрать согласие — нереально. Такое бывает, когда обработка нужна оператору исходя из ситуации, сложившейся практики и определённых целей, — цели должны быть законными и не нарушать чьих-то прав. Для таких случаев есть особое основание — законный интерес оператора.
Персональные данные можно обрабатывать, если это нужно для осуществления законного интереса оператора — реализации деятельности, на которую он имеет право. Согласие субъекта не нужно.

Пример: Организации нужно ограничить доступ на свою территорию для защиты имущества, информации и работников. Для этого она вводит пропускной режим и при входе записывает данные посетителей в журнал учёта. Обработка данных в этом случае может осуществляться на основании законного интереса компании в обеспечении безопасности

4) Согласие на обработку данных. Документ, в котором владелец указывает, что он добровольно предоставляет сведения личного характера о себе оператору для дальнейшего целевого использования.

Особенности:

1. Субъект всегда может отозвать согласие — тогда обработка данных становится невозможной. Сбор согласия в ситуациях, где можно использовать другие основания для обработки, вводит человека в заблуждение. Кажется, что по закону он может отозвать согласие, — на деле это невозможно. Работодатель всё равно передаст данные в налоговую, а онлайн-магазин всё равно как-то доставит заказ;
2. Согласия нужно хранить и вести их учёт;
3. Физическое лицо (человек) должен давать согласие свободно. Вставлять согласие в договор некорректно — человеку невольно придётся дать согласие при подписании договора;
4. Согласие должно быть конкретным и информированным. Человек должен знать, на что соглашается;
5. Согласия бывают в письменной форме или согласие на распространение данных и т.д.

К данному основанию лучше прибегнуть в последнюю очередь!

В соответствии с ч. 1 ст. 11 Федерального закона № 152-ФЗ «О персональных данных» от 27 июля 2006 года к биометрическим персональным данным (далее – ПДн) относятся сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные) и которые используются оператором для установления личности субъекта персональных данных, могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.

Пример:

- Отпечатки пальцев (может сканироваться на паспортном контроле);
- Снимки лица;
- Радужка глаза (может сканироваться при входе на закрытую территорию);  
- Голос;
- ДНК.

Письмо Роскомнадзора от 01.08.2024 N 62450-02-11/77 "Об обработке биометрических персональных данных" информирует о следующем:

По существу вопроса об отнесении видеозаписи/фотоизображения к биометрическим персональным данным сообщаем, что в соответствии с ч. 1 ст. 11 Закона к биометрическим персональным данным относятся сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность.

Как правило, возможность отнесения тех или иных сведений к биометрическим персональным данным регулируется законодательными и иными нормативными правовыми актами. В частности, в соответствии с п. 6 Перечня персональных данных, записываемых на электронные носители информации, содержащиеся в основных документах, удостоверяющих личность гражданина Российской Федерации, по которым граждане Российской Федерации осуществляют выезд из Российской Федерации и въезд в Российскую Федерацию, утвержденного постановлением Правительства Российской Федерации 04.03.2010 N 125, цветное цифровое фотографическое изображение лица владельца документа является биометрическими персональными данными владельца документа.

Требования к формату изображения лица, предназначенного для хранения представлений лица в записи биометрических данных, установлены Национальным стандартом Российской Федерации ГОСТ Р ИСО/МЭК 19794-5-2013, утвержденным приказом Федерального агентства по техническому регулированию и метрологии Российской Федерации от 06.09.2013 N 987-ст.

Обработка видеозаписи/фотоизображения, которые законодательным актом Российской Федерации отнесены к биометрическим персональным данным, должна осуществляться с согласия в письменной форме, с соблюдением требований, предусмотренных ч. 4 ст. 9 Закона. В иных случаях обработка видеозаписи/фотоизображения может осуществлять в соответствии с условиями, установленными ст. 6 Закона.

К специальным относятся ПДн, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья и интимной жизни (ч. 1 ст. 10 Федерального закона № 152-ФЗ «О персональных данных» от 27 июля 2006 года).

Обработка персональных данных О СУДИМОСТИ может осуществляться (только) государственными органами или муниципальными органами в пределах полномочий, предоставленных им в соответствии с законодательством Российской Федерации, а также иными лицами в случаях и в порядке, которые определяются в соответствии с федеральными законами.

Пример:

- Расовая и национальная принадлежность;
- Политические взгляды;
- Религиозные или философские убеждения;  
- Сведения о здоровье;
- Интимная жизнь.