Нужно ли согласие на обработку сертификатов ЭЦП?

Алексей Ветров

Эксперт по защите данных IC-TECH

Задать вопрос

Да, сертификаты электронной подписи (ЭЦП) содержат персональные данные, поскольку в них указываются сведения о владельце: ФИО, иногда должность, организация, а также данные удостоверяющего центра. Поэтому их обработка подпадает под действие ФЗ-152. Однако не всегда требуется отдельное согласие субъекта: если обработка сертификатов осуществляется в рамках исполнения договора, закона или трудовых обязанностей, согласие не нужно.

Когда согласие не требуется:

• если сертификат используется сотрудником организации в рамках исполнения трудового договора;
• если сертификаты применяются для исполнения требований законодательства (например, сдача отчетности через интернет, подача документов в госорганы);
• если обработка осуществляется для целей договора, стороной которого является субъект (например, клиент предоставляет сертификат для подписания электронных документов).

Когда согласие необходимо:

• если сертификаты обрабатываются для дополнительных целей, не связанных с законом или договором (например, передача данных сторонним организациям для маркетинга или иных несвязанных задач);
• если речь идёт о хранении и использовании сертификатов вне контекста договорных или обязательных процедур.

Обоснование по законодательству

• Ст. 3 ФЗ-152 — персональные данные — любая информация, относящаяся к прямо или косвенно определяемому лицу. Сертификат ЭЦП содержит ФИО и идентифицирующие сведения.
• Ст. 6 ФЗ-152, ч. 1, п. 2 — согласие не требуется, если обработка необходима для исполнения договора.
• ФЗ-63 «Об электронной подписи», ст. 14 — сертификат ключа проверки электронной подписи содержит данные о владельце, что подтверждает его связь с персональными данными.

Практика и позиция Роскомнадзора

Роскомнадзор указывает, что сертификаты ЭЦП приравниваются к персональным данным и должны защищаться по тем же правилам.
Пример: в компании сертификаты сотрудников хранились без разграничения доступа. Проверка РКН выявила нарушение, так как доступ имели лица, которым данные не требовались по службе.
В другой организации сертификаты хранились на защищённых носителях, доступ имели только владельцы, а порядок их использования был закреплён локальными актами. Такая практика признана корректной.

Что важно учитывать организациям

• Сертификаты ЭЦП требуют защиты как персональные данные.
• Хранение и использование сертификатов должно быть закреплено во внутренних документах.
• Передача сертификатов третьим лицам должна сопровождаться наличием законных оснований или согласия субъекта.

Рекомендации и выводы

Да, сертификаты ЭЦП обрабатываются как персональные данные. В большинстве случаев отдельное согласие не требуется, если обработка связана с законом или договором. Но при использовании для иных целей оператор обязан запросить согласие субъекта. Чтобы исключить риски:

1. Определите основания обработки сертификатов (закон, договор, согласие).
2. Настройте хранение сертификатов с ограничением доступа.
3. Закрепите порядок работы с сертификатами в комплекте документов по ФЗ-152.

Компания ICTech поможет вашей организации разработать регламенты работы с сертификатами ЭЦП, включить их в пакет документов по ФЗ-152 и обеспечить полное соответствие требованиям Роскомнадзора.

Хотите защитить себя от проверок и штрафов?

Подготовим документы по 152-ФЗ

Разработаем полный пакет документации по обработке персональных данных для вашей организации.

Заказать

О услуге