Нужно ли соблюдать ФЗ-152, если данные не передаются третьим лицам?

Алексей Ветров

Эксперт по защите данных IC-TECH

Задать вопрос

Да, соблюдать Федеральный закон № 152-ФЗ «О персональных данных» необходимо даже в том случае, если данные не передаются третьим лицам. Сам факт обработки персональных данных — будь то сбор, хранение, систематизация, изменение или уничтожение — уже накладывает на организацию обязанности оператора ПДн.

Передача третьим лицам — это лишь один из возможных процессов обработки. Даже если данные сотрудников или клиентов хранятся только внутри компании и нигде не публикуются, организация всё равно должна:

- уведомить Роскомнадзор о начале обработки (если нет оснований для освобождения по ст. 22 ФЗ-152);
- разработать локальные нормативные акты и политику в отношении ПДн;
- назначить ответственного за организацию обработки ПДн;
- обеспечить физическую и техническую защиту данных;
- вести учёт и контроль доступа к персональным данным.

Обоснование по законодательству

• Ст. 3 ФЗ-152 — определяет обработку ПДн как любое действие (сбор, запись, хранение, систематизация, уничтожение и др.), вне зависимости от передачи третьим лицам.
• Ст. 5 ФЗ-152 — закрепляет принципы обработки ПДн (законность, ограничение цели, минимизация).
• Ст. 18.1 ФЗ-152 — перечисляет обязанности оператора: назначение ответственного, принятие локальных актов, публикация политики.
• Ст. 19 ФЗ-152 — требует принятия организационных и технических мер по защите ПДн.

Закон не связывает обязанность его соблюдения с фактом передачи данных третьим лицам.

Практика проверок Роскомнадзора

Роскомнадзор регулярно проверяет компании, которые хранят персональные данные только внутри организации. Например:

• небольшая компания оштрафована за отсутствие политики по обработке ПДн и назначения ответственного, хотя данные сотрудников не передавались третьим лицам;
• образовательное учреждение получило предписание, так как в бумажных личных делах сотрудников отсутствовали согласия на обработку их персональных данных.

Важный нюанс: внутренняя обработка

Даже если данные сотрудников хранятся исключительно в бухгалтерии или отделе кадров, это уже обработка. Закон обязывает обеспечить их защиту от утечки, несанкционированного доступа и искажения. Ответственность компании наступает не только за передачу данных, но и за их ненадлежащее хранение внутри организации.

Рекомендации и выводы

Организации обязаны соблюдать ФЗ-152 независимо от того, передаются ли данные третьим лицам. Чтобы минимизировать риски:

1. Определите состав персональных данных, которые обрабатываются внутри компании.
2. Разработайте полный пакет документов по защите ПДн: политика, согласия, приказы, инструкции и журналы учёта.
3. Назначьте ответственного за организацию обработки ПДн.
4. Обеспечьте условия хранения данных (бумажных и электронных), исключающие доступ посторонних лиц.

Компания ICTech поможет подготовить пакет документов по 152-ФЗ и выстроить систему защиты данных «под ключ». Это позволит вашей организации соответствовать требованиям закона, избежать штрафов и спокойно проходить проверки Роскомнадзора.

Хотите защитить себя от проверок и штрафов?

Подготовим документы по 152-ФЗ

Разработаем полный пакет документации по обработке персональных данных для вашей организации.

Заказать

О услуге