Алексей Ветров
Эксперт по защите данных IC-TECH
Да, ведение реестра согласий субъектов персональных данных — обязательная мера для любой организации, которая обрабатывает ПДн на основании согласия. Такой реестр позволяет подтвердить факт получения согласий и обеспечить прозрачность обработки данных. Его отсутствие может трактоваться как нарушение ФЗ-152, особенно при проверке Роскомнадзора.
Для чего нужен реестр согласий:
- фиксирует дату и способ получения согласия (бумажная форма, электронное подтверждение, чекбокс);
- отражает перечень данных, цели и сроки обработки, на которые субъект дал согласие;
- позволяет оперативно найти конкретное согласие по запросу субъекта или при проверке;
- служит доказательством законности обработки ПДн.
Для чего нужен реестр согласий:
- фиксирует дату и способ получения согласия (бумажная форма, электронное подтверждение, чекбокс);
- отражает перечень данных, цели и сроки обработки, на которые субъект дал согласие;
- позволяет оперативно найти конкретное согласие по запросу субъекта или при проверке;
- служит доказательством законности обработки ПДн.
Обоснование по законодательству
- Ст. 6 и 9 ФЗ-152 — обработка возможна только с согласия субъекта, если иное не установлено законом.
- Ст. 18.1 ФЗ-152 — оператор обязан вести учёт и обеспечивать документальное подтверждение факта получения согласий.
- Ст. 21 ФЗ-152 — при отзыве согласия оператор должен прекратить обработку данных, а наличие реестра облегчает выполнение этого требования.
- Ст. 13.11 КоАП РФ — нарушение порядка сбора и хранения согласий влечёт административную ответственность.
Практика проверок Роскомнадзора
- При проверках РКН часто запрашивает образцы согласий и журнал или реестр их учёта.
- В одной компании согласия хранились разрозненно (в договорах, анкетах, сканах), и не было единого учёта. РКН вынес предписание завести реестр и централизовать хранение.
- В другой организации был внедрён электронный реестр согласий с указанием даты, целей и сроков. Проверка подтвердила его корректность и признала лучшей практикой.
Важные моменты
- Реестр может быть как бумажным журналом, так и электронной таблицей/базой данных.
- В нём должны быть обязательные реквизиты: ФИО субъекта, дата получения согласия, форма согласия, цели обработки, срок действия, дата отзыва (если был).
- Реестр помогает отслеживать актуальность согласий и своевременно прекращать обработку по истечении сроков.
- Для электронных согласий нужно фиксировать технические доказательства (лог-файлы, отметки о чекбоксе, e-mail-подтверждения).
Рекомендации и выводы
Да, вести реестр согласий обязательно. Без него компания не сможет подтвердить законность обработки данных и рискует получить штраф. Чтобы соответствовать ФЗ-152:
- Утвердите форму реестра согласий.
- Ведите его в актуальном состоянии (обновляйте при получении и отзыве согласий).
- Храните согласия и доказательства их получения в приложении к реестру.
- Включите порядок ведения реестра в локальные акты по ПДн.
Компания ICTech подготовит для вашей организации реестр согласий, а также полный комплект документов по ФЗ-152. Это позволит подтвердить законность обработки и избежать претензий Роскомнадзора.
Хотите защитить себя от проверок и штрафов?
Разработаем полный пакет документации по обработке персональных данных для вашей организации.
