Как документировать законные основания обработки ПДн?

Чтобы оператор персональных данных мог доказать, что он обрабатывает данные законно, недостаточно устных объяснений. Необходимо документально закрепить основания обработки ПДн в соответствии с ФЗ-152 и смежными законами. Такие документы показывают Роскомнадзору, что компания действует строго в рамках законодательства и не выходит за пределы заявленных целей.

Какие документы фиксируют законные основания обработки:

1. Договоры — трудовые, гражданско-правовые, договоры оказания услуг, банковские, страховые и другие. В них обработка ПДн предусмотрена как условие для исполнения обязательств.
2. Законы и нормативные акты — ссылки на статьи ТК РФ, НК РФ, Закона «Об архивном деле», процессуального законодательства, где прямо указана необходимость обработки данных без согласия.
3. Политика обработки ПДн — должна содержать перечень законных оснований (например, кадровый учёт сотрудников, налоговая отчётность).
4. Положение (регламент) об обработке ПДн — конкретизирует, какие категории данных и на каком основании обрабатываются.
5. Перечень ПДн — документ, где закреплено, что собираются только необходимые сведения.
6. Журналы учёта — подтверждают, что обработка ведётся в рамках регламентированных процедур (например, журнал передачи ПДн).
7. Приказы руководителя — о назначении ответственного за ПДн, утверждении политики, перечня и регламентов.

Обоснование по законодательству

• Ст. 6 ФЗ-152 — перечисляет законные основания обработки без согласия субъекта: исполнение договора, выполнение обязанностей по закону, судебные акты, защита жизни и здоровья и др.
• Ст. 18.1 ФЗ-152 — обязывает оператора принимать локальные акты, регламентирующие обработку.
• Ст. 19 ФЗ-152 — требует документировать организационные меры, подтверждающие законность и безопасность обработки.
• Ст. 90 ТК РФ — предусматривает обязанность работодателя вести кадровый учёт сотрудников, обрабатывая их ПДн без согласия.

Практика Роскомнадзора

Роскомнадзор при проверках требует не только согласия, но и документы, подтверждающие законность обработки без согласия. В одной компании кадровые данные обрабатывались, но политика не содержала ссылки на ТК РФ — это признали нарушением. В другой организации политика и положение содержали прямые ссылки на ст. 6 ФЗ-152 и ТК РФ, что подтвердило законность.

Что важно учесть

• В локальных актах всегда указывайте конкретные статьи законов, на основании которых обрабатываются данные.
• Договоры должны содержать положения о предоставлении данных, необходимых для исполнения обязательств.
• Все документы должны храниться системно в пакете по ФЗ-152 для быстрого предоставления при проверке.
• Основания обработки нужно разделять: трудовые отношения, бухгалтерия, медицинские данные, маркетинг и т.д.

Рекомендации и выводы

Да, законные основания обработки ПДн должны быть документально зафиксированы. Чтобы соответствовать ФЗ-152 и пройти проверку без нарушений:

1. Внесите ссылки на законодательные основания в политику и регламент обработки.
2. Обеспечьте хранение договоров и приказов, подтверждающих законность.
3. Ведите перечень ПДн с указанием оснований обработки для каждой категории данных.
4. Обновляйте документы при изменении законодательства или бизнес-процессов.

Компания ICTech подготовит для вашей организации документы, подтверждающие законные основания обработки ПДн, включая политику, положение и перечни с прямыми ссылками на ФЗ-152 и ТК РФ. Это позволит доказать правомерность работы с данными и избежать претензий Роскомнадзора.

Хотите защитить себя от проверок и штрафов?

Подготовим документы по 152-ФЗ

Разработаем полный пакет документации по обработке персональных данных для вашей организации.

Заказать

О услуге