Нужно ли согласие на вынос ПДн на удалёнку?

Алексей Ветров

Эксперт по защите данных IC-TECH

Задать вопрос

Нет, отдельное согласие работников или клиентов не требуется, если их персональные данные используются в рамках исполнения договора или трудовых отношений, но при этом компания обязана обеспечить защиту данных при работе на удалёнке. ФЗ-152 не запрещает обработку ПДн вне офиса, однако вынос данных за пределы контролируемой информационной системы всегда повышает риски, и оператор обязан учитывать это в своих документах и мерах безопасности.

Когда согласие не нужно:

- если сотрудники обрабатывают ПДн для выполнения своих трудовых обязанностей;
- если используется защищённый доступ к корпоративным системам (VPN, удалённый рабочий стол);
- если порядок удалённой работы с ПДн закреплён во внутренних документах.

Когда согласие может потребоваться:

- если данные планируется использовать вне целей договора или трудовых отношений (например, передавать подрядчикам без договора поручения);
- если работодатель хочет опубликовать или распространить сведения о сотрудниках или клиентах, что не связано с удалёнкой.

Обоснование по законодательству

• Ст. 6 ФЗ-152 — согласие не требуется, если обработка необходима для исполнения договора или трудовых обязанностей.
• Ст. 19 ФЗ-152 — оператор обязан принимать меры для защиты ПДн, включая организационные и технические.
• Постановление Правительства РФ № 1119 — устанавливает требования к защите ПДн в информационных системах, включая удалённый доступ.
• Ст. 88 ТК РФ — работодатель обязан обеспечивать конфиденциальность ПДн работников.

Практика и позиция Роскомнадзора

Роскомнадзор в проверках неоднократно указывал, что обработка ПДн при удалённой работе допустима, если:

• компания закрепила порядок удалённого доступа в локальных актах;
• сотрудники используют только корпоративные устройства и защищённые каналы связи;
• установлены правила хранения и уничтожения документов с ПДн дома.

Нарушения чаще всего выявлялись, когда сотрудники выносили базы ПДн на личные компьютеры или обменивались файлами через незащищённые мессенджеры.

Важный момент для работодателей

Удалённая работа сама по себе не требует согласия субъектов ПДн. Главное — не допустить, чтобы при переносе данных нарушались требования по их защите. Все процессы должны быть формализованы в политике безопасности и положении о работе с ПДн.

Рекомендации и выводы

Для выноса ПДн на удалёнку согласие субъектов не требуется, но компания обязана:

1. Закрепить порядок обработки ПДн на удалёнке в локальных актах.
2. Обеспечить сотрудников корпоративными устройствами и защищёнными каналами доступа.
3. Запретить использование личных устройств без контроля и защиты.
4. Включить эти меры в комплект документов по ФЗ-152.

Компания ICTech поможет вашей организации правильно оформить процессы работы с ПДн на удалёнке, разработать регламенты и подготовить пакет документов. Это позволит пройти проверку Роскомнадзора и минимизировать риски утечек.

Хотите защитить себя от проверок и штрафов?

Подготовим документы по 152-ФЗ

Разработаем полный пакет документации по обработке персональных данных для вашей организации.

Заказать

О услуге