Общедоступные источники персональных данных: понятие и правовое регулирование

28 апреля 2026
До 2021 года в Федеральном законе от 27.07.2006 № 152-ФЗ «О персональных данных» отдельные нормы были посвящены обработке персональных данных, сделанных общедоступными субъектами персональных данных.

В настоящий момент данный институт заменен институтом обработки разрешенных субъектом персональных данных для распространения. Однако в законодательстве все еще встречаются упоминания об общедоступных персональных данных и общедоступных источниках персональных данных.
Поговорим о них подробнее.

Содержание:
1. Общедоступные персональные данные.
2. Общедоступные источники персональных данных: понятие и правовое регулирование.
3. Относятся ли к общедоступным источникам персональных данных корпоративные справочники и информация, размещенная на сайте?
4. Условия обработки персональных данных, включенных в общедоступные источники персональных данных.
5. Практические рекомендации.

1. Общедоступные персональные данные.

В настоящее время действующее законодательство не содержит определения общедоступных персональных данных. 
До 2021 года в статье 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – ФЗ от 27.07.2006 № 152-ФЗ) содержалось специальное определение общедоступных персональных данных.

Под общедоступными персональными данными понимались персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.

На сегодняшний день такое определение исключено. 
На замену общедоступных персональных данных ввели понятие «персональные данные, разрешённые субъектом персональных данных для распространения», под которыми понимаются персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения (п. 1.1 ст. 3 ФЗ от 27.07.2006 № 152-ФЗ).

Однако в законодательстве все же встречается упоминание об общедоступных персональных данных, например, в Постановлении Правительства РФ от 01.11.2012 № 1119.

В указанном Постановлении общедоступные персональные данные используются применительно к информационной системе, обрабатывающей персональные данные, и определяются через общедоступные источники персональных данных, которым ФЗ от 27.07.2006 № 152-ФЗ все-таки уделяет внимание. 
Рассмотрим, что понимается под общедоступными источниками персональных данных. 

2. Общедоступные источники персональных данных: понятие и правовое регулирование.

Несмотря на недостаточную детализацию законодательства об общедоступных источниках персональных данных, разобраться в этом вопросе важно: при плановых проверках Роскомнадзор контролирует соблюдение требований по включению данных в такие источники с письменного согласия субъекта (вопрос № 7 проверочного листа, утв. Приказом Роскомнадзора от 24.12.2021 № 253). 

Итак, в соответствии с частью 1 ст. 8 ФЗ от 27.07.2006 № 152-ФЗ в целях информационного обеспечения могут создаваться общедоступные источники персональных данных (в том числе справочники, адресные книги).

Казалось бы, ничего сложного – это источники, которые доступные неопределенному кругу лиц и которые имеют своей целью информационное ознакомление населения. Однако на практике очень часто возникают вопросы: какие источники персональных данных относятся к общедоступным, на основании каких норм такие источники признаются общедоступными и т.д.

К сожалению, в действующем законодательстве прямых ответов на данные вопросы нет, поэтому давайте разбираться. 

Исходя из буквального толкования части 1 ст. 8 ФЗ от 27.07.2006 № 152-ФЗ можно выделить следующие признаки общедоступных источников персональных данных:

1. Содержание источника. 
Источник содержит в основном контактную и иную справочную информацию.
Как закреплено частью 1 ст. 8 ФЗ от 27.07.2006 № 152-ФЗ, такими источниками могут быть, например, справочники и адресные книги.

Кроме того, такие источники могут содержать в себе персональные данные субъекта персональных данных – ФИО, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, сообщаемые субъектом персональных данных. Такие данные также должны публиковаться с целью предоставления контактной или иной справочной информации.

2. Содержание данных, включаемых в общедоступные источники, определяет владелец источника.
Так, положения части 1 ст. 8 ФЗ от 27.07.2006 № 152-ФЗ не содержат указаний, что субъект персональных данных самостоятельно формирует содержание общедоступного источника. Закон лишь устанавливает, какие данные могут включаться в источник с согласия субъекта, но не регулирует, как именно эти данные будут систематизированы, предоставлены и использованы в рамках источника. 

Поэтому решение о том, какие именно данные, предоставленные субъектом персональных данных, будут размещены в общедоступных источниках, а также в какой форме они будут предоставлены (например, в виде таблицы, списка, онлайн-формы и т. д.), принимает именно владелец источника.

3. Цель общедоступного источника персональных данных - информационно-справочное обеспечение граждан.
Таким образом, общедоступный источник персональных данных можно определить следующим образом: это источник, который создан для информационного обеспечения, включающий в себя преимущественно контактную или справочную информацию (в том числе о субъекте персональных данных (физическом лице)), содержание которого определяет владелец источника.

3. Относятся ли к общедоступным источникам персональных данных корпоративные справочники и информация, размещенная на сайте?

Исходя из вышеописанных признаков общедоступных источников персональных данных возникает вопрос, можно ли отнести корпоративные справочники, в которых работодатель указывает ФИО, должности сотрудников организации, к общедоступным источникам персональных данных? А размещенная информация на сайте организации о сотрудниках, а также руководителях компании? 
Рассмотрим по порядку. 

- Корпоративные справочники/телефонные книги/путеводители и т.д. 
Работодатели нередко создают такие справочные материалы для удобства как самих работников организации, так и других лиц (например, партнеров, контрагентов организации и т.д.). 
В такие справочники, как правило, включаются ФИО работников, должности, номера рабочих телефонов.  

Учитывая, что такие справочники направлены именно на информирование, упрощение взаимодействия между структурами организации и другими лицами, то такие источники будут относиться к общедоступным источникам персональным данным, поскольку соответствуют признакам общедоступных персональных данных:

  1. содержание источника - контактная и иная справочная информация, которая необходима для надлежащего функционирования организации, взаимодействия работников между собой и между клиентами организации;
  2. перечень данных, которые будут включаться в корпоративные справочники, определяет сам работодатель. В этом случае работодатель является владельцем источника. Именно работодатель определяет, какие сведения, в каком объеме необходимо включить такие справочники;
  3. целью создания таких справочных материалов является именно информационно-справочное обеспечение работников организации, а также других лиц, взаимодействующих с организацией. 
- Информация, которую работодатель размещает на своем корпоративном сайте.
В данном случае дело обстоит интереснее.
Здесь уже необходимо разбираться, информацию какого именно характера и содержание публикует работодатель на сайте. 
Давайте рассмотрим возможные варианты:

Вариант 1. Если работодатель публикует общую информацию о работниках (руководящем составе организации) на сайте
Например, у организации есть корпоративный сайт, на котором есть раздел «Руководство». В этот раздел работодатель размещает информацию о единоличном исполнительном органе (директоре, генеральном директоре), о его заместителях, начальниках отделов и т.д. Возможно даже выкладывает фотографии таких должностных лиц. 

При этом информация носит лишь ознакомительный характер о таких лицах (например, ФИО должностного лица, наименование его должности, возможно даже фотография). 

То есть такая информация не содержит в себе контактную или иную справочную информацию (что является одним из признаков общедоступных источников персональных данных), а поэтому говорить о том, что такой сайт является общедоступным источником персональных данных нельзя. 

В этом случае речь идет именно об обработке персональных данных, разрешенных субъектом персональных данных для распространения (ст. 10.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»).

Поэтому для размещения такой информации на сайте у работодателя должно быть отдельное согласие работника на обработку персональных данных, разрешенных для распространения (часть 1 ст. 10.1 ФЗ от 27.07.2006 № 152-ФЗ). В таком согласии обязательно должны быть указаны, в частности, цели обработки персональных данных, перечень персональных данных, разрешенных субъектом для распространения, сведения об информационных ресурсах, где будут распространяться такие данные, биометрические персональные данные (при их наличии) (см. Приказ Роскомнадзора от 24.02.2021 № 18). 

Вариант 2. Если работодатель публикует информацию о работниках (руководящем составе организации) на сайте, указывая дополнительно контактную информацию таких лиц
Например, если у организации есть корпоративный сайт, тот же раздел «Руководство», но при опубликовании информации на таком сайте помимо ФИО, наименовании должности, указывает телефоны для связи, время работы/часы приема, иные способы связи с таким лицом, то такую информацию уже возможно отнести к контактной или иной справочной информации. 

То есть в этом случае публикуется не только общая информация о работниках организации, но и информация, которая может использоваться для связи и взаимодействия с таким работником.  

В этом случае уже можно говорить об общедоступных источниках персональных данных, поскольку имеется одновременное наличие признаков общедоступных источников персональных данных:

  1. раздел «Руководство» содержит в себе контактную или иную справочную информацию, которая необходима для надлежащего функционирования организации, взаимодействия работников между собой и между клиентами организации;
  2. работодатель самостоятельно определяет перечень сведений, публикуемых на сайте,
  3. целью опубликования такой информации является именно информационно-справочное обеспечение работников организации, а также других лиц, взаимодействующих с организацией. 
Таким образом, при решении вопроса, относится ли источник персональных данных общедоступным, необходимо обращаться к признакам общедоступного источника. 
Если отсутствует хотя бы один признак, то говорить об общедоступных источниках персональных данных нельзя. 
Дополнительная информация

К общедоступным источникам персональных данных можно отнести также:

  1. Государственные и муниципальные информационные системы, где общедоступность данных определена законом. Например, Единый государственный реестр юридических лиц (ЕГРЮЛ), Единый государственный реестр индивидуальных предпринимателей (ЕГРИП), которые ведутся во исполнение требований п. 1 ст. 6 Федерального закона от 08.08.2001 № 129-ФЗ "О государственной регистрации юридических лиц и индивидуальных предпринимателей".
  2. Профессиональные реестры и базы данных, которые публикуются в силу закона. Например, Единый государственный реестр адвокатов, Реестр нотариусов Российской Федерации и т.д.
  3. Сборники и энциклопедии, если они содержат персональные данные в рамках своей справочно-информационной функции.

4. Условия обработки персональных данных, включенных в общедоступные источники персональных данных.

Можно выделить следующие основные правила обработки персональных данных, включенных в общедоступные источники персональных данных:

1. Включение персональных данных в общедоступный источник персональных данных допускается только с письменного согласия субъекта персональных данных (часть 1 ст. 8 ФЗ от 27.07.2006 № 152-ФЗ).
Такое согласие должно быть конкретным, предметным, информированным, сознательным и однозначным, соответствовать общим требованиям, установленным ст. 9 ФЗ от 27.07.2006 № 152-ФЗ.

2. Работодатель, публикуя информацию в общедоступных источниках персональных данных должен соблюдать основные принципы обработки персональных данных (ст. 5 ФЗ от 27.07.2006 № 152-ФЗ).

3. Субъект персональных данных имеет право:

  • в любое время потребовать исключения своих данных из общедоступного источника (часть 2 ст. 8 ФЗ от 27.07.2006 № 152-ФЗ).
  • Такое требование может также предъявить суд или иные уполномоченные государственные органы (например, Роскомнадзор);
  • запросить сведения об операторе данных и цель обработки (п. 2, 4 часть 7 ст. 14 ФЗ от 27.07.2006 № 152-ФЗ);
  • узнать, какие средства использует оператор для их обработки (п. 3 части 7 ст. 14 ФЗ от 27.07.2006 № 152-ФЗ);
  • получить доступ к своим данным (п. 5 части 7 ст. 14 ФЗ от 27.07.2006 № 152-ФЗ).
4. Оператор персональных данных (владелец источника персональных данных) обязан обеспечить меры по обеспечению безопасности персональных данных (ст. 19 ФЗ от 27.07.2006 № 152-ФЗ). 
Обеспечить защиту персональных данных оператор обязан независимо от того, являются ли такие данные конфиденциальными или общедоступными.
Практические рекомендации
Для минимизации возможных рисков рекомендуем работодателям:

1. Проанализировать, есть ли у работодателя общедоступные источники персональных данных.
Изучить:

  • корпоративные сайты и онлайн-ресурсы (например, наличие разделов с информацией о сотрудниках (к примеру «О компании», «Команда», «Контакты»), размещение фотографий сотрудников, их ФИО, должностей, рабочих телефонов, email-адресов, адресов офисов),
  • внутренние системы и документы (электронные справочники, базы данных, где хранятся общедоступные сведения о сотрудниках, бумажные документы (например, доски почёта, информационные стенды), где могут быть размещены персональные данные),
  • проверить внешние ресурсы, не размещены ли данные сотрудников в сторонних справочниках, адресных книгах или других общедоступных источниках по инициативе компании.
2. Если такие общедоступные источники выявлены, рекомендуем проверить, имеется ли письменное согласие работников на размещение их данных в этих источниках.

3. Проверить, не относятся ли обрабатываемые персональные данные к особым категориям (специальные, биометрические), которые не могут быть общедоступными даже при согласии субъекта.

4. Проверить локальные нормативные акты на предмет урегулирования вопросов о работе с общедоступными данными.
Если такие положения отсутствует, то следует разработать и утвердить такие нормы, закрепив, в частности, порядок получения, хранения и отзыва согласия.

5. Провести обучение сотрудников, ответственных за размещение информации в открытых источниках, чтобы они понимали требования законодательства и локальных нормативных актов.

6. Регулярно проводить аудит общедоступных источников на предмет актуальности данных и соответствия согласиям.
Свяжитесь с нами!

Чтобы получить анкету для подготовки индивидуального предложения:

- написать на почту i.krotov@mitrofanova.ru

- позвонить по тел. +7(916) 416-49-60

Проконсультироваться

Поделиться материалом
Скопировать ссылку
Все статьи
Этот сайт использует файлы cookie для хранения данных. Продолжая использовать сайт, вы даете свое согласие на работу с этими файлами.
Хорошо, принимаю