Чтобы оператор персональных данных мог доказать, что он обрабатывает данные законно, недостаточно устных объяснений. Необходимо документально закрепить основания обработки ПДн в соответствии с ФЗ-152 и смежными законами. Такие документы показывают Роскомнадзору, что компания действует строго в рамках законодательства и не выходит за пределы заявленных целей.
Какие документы фиксируют законные основания обработки:
- Договоры — трудовые, гражданско-правовые, договоры оказания услуг, банковские, страховые и другие. В них обработка ПДн предусмотрена как условие для исполнения обязательств.
- Законы и нормативные акты — ссылки на статьи ТК РФ, НК РФ, Закона «Об архивном деле», процессуального законодательства, где прямо указана необходимость обработки данных без согласия.
- Политика обработки ПДн — должна содержать перечень законных оснований (например, кадровый учёт сотрудников, налоговая отчётность).
- Положение (регламент) об обработке ПДн — конкретизирует, какие категории данных и на каком основании обрабатываются.
- Перечень ПДн — документ, где закреплено, что собираются только необходимые сведения.
- Журналы учёта — подтверждают, что обработка ведётся в рамках регламентированных процедур (например, журнал передачи ПДн).
- Приказы руководителя — о назначении ответственного за ПДн, утверждении политики, перечня и регламентов.
Обоснование по законодательству
- Ст. 6 ФЗ-152 — перечисляет законные основания обработки без согласия субъекта: исполнение договора, выполнение обязанностей по закону, судебные акты, защита жизни и здоровья и др.
- Ст. 18.1 ФЗ-152 — обязывает оператора принимать локальные акты, регламентирующие обработку.
- Ст. 19 ФЗ-152 — требует документировать организационные меры, подтверждающие законность и безопасность обработки.
- Ст. 90 ТК РФ — предусматривает обязанность работодателя вести кадровый учёт сотрудников, обрабатывая их ПДн без согласия.
Практика Роскомнадзора
Роскомнадзор при проверках требует не только согласия, но и документы, подтверждающие законность обработки без согласия. В одной компании кадровые данные обрабатывались, но политика не содержала ссылки на ТК РФ — это признали нарушением. В другой организации политика и положение содержали прямые ссылки на ст. 6 ФЗ-152 и ТК РФ, что подтвердило законность.
Что важно учесть
- В локальных актах всегда указывайте конкретные статьи законов, на основании которых обрабатываются данные.
- Договоры должны содержать положения о предоставлении данных, необходимых для исполнения обязательств.
- Все документы должны храниться системно в пакете по ФЗ-152 для быстрого предоставления при проверке.
- Основания обработки нужно разделять: трудовые отношения, бухгалтерия, медицинские данные, маркетинг и т.д.
Рекомендации и выводы
Да, законные основания обработки ПДн должны быть документально зафиксированы. Чтобы соответствовать ФЗ-152 и пройти проверку без нарушений:
- Внесите ссылки на законодательные основания в политику и регламент обработки.
- Обеспечьте хранение договоров и приказов, подтверждающих законность.
- Ведите перечень ПДн с указанием оснований обработки для каждой категории данных.
- Обновляйте документы при изменении законодательства или бизнес-процессов.
Компания ICTech подготовит для вашей организации документы, подтверждающие законные основания обработки ПДн, включая политику, положение и перечни с прямыми ссылками на ФЗ-152 и ТК РФ. Это позволит доказать правомерность работы с данными и избежать претензий Роскомнадзора.
