Как доказать законность обработки персональных данных?

Алексей Ветров

Эксперт по защите данных IC-TECH

Задать вопрос

Законность обработки персональных данных организация обязана подтверждать документально. При проверке Роскомнадзора или при обращении субъекта оператор должен показать основания, по которым данные собираются, хранятся и используются. Без доказательств обработка считается незаконной.

Основные способы доказать законность:

1. Согласия субъектов ПДн
   • письменные согласия на обработку (например, фото сотрудников, маркетинговая рассылка);
   • электронные согласия (чекбоксы, регистрация в личном кабинете) с доказательствами получения.
2. Законы и нормативные акты
   • кадровые документы — Трудовой кодекс РФ;
   • бухгалтерский и налоговый учёт — НК РФ, ФЗ «О бухгалтерском учёте»;
   • обязательная отчётность в госорганы — иные федеральные законы.
3. Договоры с субъектами
   • если данные обрабатываются для заключения и исполнения договора (например, договор оказания услуг, купли-продажи).
4. Локальные нормативные акты
   • политика в отношении обработки ПДн;
   • положение о защите ПДн сотрудников и клиентов;
   • регламенты обработки, хранения и уничтожения данных.
5. Договоры с подрядчиками
   • если обработка поручена сторонней компании (IT-поддержка, облачный хостинг), нужны договоры поручения на обработку ПДн.
6. Регистрация оператора в Роскомнадзоре
   • уведомление о начале обработки ПДн (если оператор обязан это сделать).

Обоснование по законодательству

• Ст. 6 ФЗ-152 — обработка ПДн законна при наличии согласия или иных оснований, установленных законом.
• Ст. 9 ФЗ-152 — согласие должно быть конкретным, информированным и сознательным.
• Ст. 18.1 ФЗ-152 — оператор обязан публиковать политику обработки ПДн.
• Ст. 22 ФЗ-152 — оператор обязан уведомить Роскомнадзор о начале обработки, если не применяются исключения.
• Ст. 19 ФЗ-152 — оператор обязан обеспечить документальное подтверждение выполнения требований.

Практика проверок Роскомнадзора

В компании не смогли предъявить письменные согласия сотрудников на публикацию фото на сайте. Проверка признала обработку незаконной.

В банке при запросе Роскомнадзора представили трудовые договоры и локальные акты, которые подтвердили законность обработки данных сотрудников. Нарушений не выявлено.

Важный нюанс

Бремя доказательства всегда лежит на операторе. Если субъект или Роскомнадзор запрашивает документы, организация должна их предъявить. Недостаточно устных договорённостей или ссылок на «добровольность» — нужны документы.

Рекомендации и выводы

Чтобы доказать законность обработки ПДн, организации нужно:

1. Собрать все письменные и электронные согласия от субъектов, если они требуются.
2. Хранить договоры и локальные акты, подтверждающие обработку данных по закону.
3. Включить в комплект документов по 152-ФЗ: политику, положение о ПДн, регламенты обработки и уничтожения данных.
4. Разработать внутренний порядок хранения доказательств (журнал согласий, акты об уничтожении, договоры с подрядчиками).

Компания ICTech поможет вашей организации подготовить полный пакет документов по ФЗ-152. Это позволит подтвердить законность обработки данных при любой проверке Роскомнадзора и защитить бизнес от штрафов.

Хотите защитить себя от проверок и штрафов?

Подготовим документы по 152-ФЗ

Разработаем полный пакет документации по обработке персональных данных для вашей организации.

Заказать

О услуге