Обработка персональных данных не всегда требует согласия субъекта. В случаях, прямо предусмотренных законом (например, исполнение договора, трудовые отношения, обязанности по закону), оператор вправе работать с данными без получения отдельного согласия. Но чтобы подтвердить законность такой обработки, необходим пакет внутренних документов.
Основные документы, подтверждающие законность обработки без согласия:
- Договоры с субъектами — трудовые, гражданско-правовые, договоры оказания услуг, где ПДн необходимы для исполнения обязательств.
- Локальные акты по ПДн (политика, положение, регламенты) — закрепляют основания обработки без согласия.
- Перечень обрабатываемых ПДн — показывает, что собираются только те данные, которые необходимы для целей, предусмотренных законом или договором.
- Приказы и распоряжения — о назначении ответственного за ПДн, об утверждении политики, о допуске сотрудников.
- Журналы учёта — обращений субъектов, инструктажей сотрудников, передачи данных.
- План реагирования на инциденты — обязателен даже если согласия не оформляются, так как касается безопасности.
Обоснование по законодательству
- Ст. 6 ФЗ-152, ч. 1 — перечисляет случаи, когда согласие не требуется (исполнение договора, трудовые отношения, выполнение обязанностей по закону, судебные акты и др.).
- Ст. 18.1 ФЗ-152 — обязывает оператора принимать локальные акты и организационные меры.
- Ст. 19 ФЗ-152 — требует обеспечения безопасности ПДн, независимо от наличия согласия.
- Ст. 90 ТК РФ — обязывает работодателя защищать трудовые данные сотрудников без их согласия.
Практика проверок Роскомнадзора
Роскомнадзор проверяет не только наличие согласий, но и основания для их отсутствия. В одной компании обрабатывали ПДн сотрудников, но не оформили приказы и перечень данных — проверка признала это нарушением. В другой организации показали трудовые договоры, политику ПДн и регламент обработки — претензий не возникло.
Что важно учесть компаниям
- Даже если согласие не требуется, обработка должна быть ограничена законными целями (например, расчёт зарплаты, ведение отчётности).
- Политика и положение по ПДн должны прямо указывать, какие данные обрабатываются без согласия и на каком основании.
- При проверке РКН оператор обязан документально доказать правомерность обработки — договора и локальные акты играют ключевую роль.
Рекомендации и выводы
Да, при обработке ПДн без согласия субъектов обязательно нужны документы. Без них оператор не сможет доказать законность своих действий и рискует штрафом. Чтобы соответствовать ФЗ-152:
- Утвердите политику, положение и регламенты, где закреплены законные основания обработки.
- Ведите перечень данных и договоры, которые подтверждают необходимость их обработки.
- Разработайте приказы и журналы для фиксации организационных мер.
- Храните все документы в едином пакете для предъявления Роскомнадзору.
Компания ICTech подготовит для вашей организации полный комплект документов, подтверждающих законную обработку ПДн без согласия, и встроит их в пакет по ФЗ-152. Это позволит работать в рамках закона и безопасно пройти проверку.
