Считается ли пересылка данных в мессенджере обработкой ПДн?

Алексей Ветров

Эксперт по защите данных IC-TECH

Задать вопрос

Да, пересылка персональных данных в мессенджерах (WhatsApp, Telegram, Viber и др.) считается обработкой в смысле ФЗ-152. Закон даёт очень широкое определение обработки: к ней относится любое действие с персональными данными, включая передачу, распространение и предоставление третьим лицам. Пересылка в мессенджере — это как раз форма передачи ПДн, и, следовательно, она подпадает под требования закона.

Почему это обработка:

- при пересылке участвует не только оператор и его сотрудник, но и сервис мессенджера (третье лицо);
- информация фактически хранится на серверах провайдера мессенджера (часто за пределами РФ);
- оператор не может контролировать безопасность такой передачи.

Обоснование по законодательству

• Ст. 3 ФЗ-152 — обработка ПДн включает «сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение».
• Ст. 19 ФЗ-152 — оператор обязан принимать меры для обеспечения безопасности ПДн при обработке.
• Ст. 12 ФЗ-152 — при трансграничной передаче данных необходимо обеспечить защиту на уровне, не ниже установленного в РФ. При использовании мессенджеров это условие, как правило, не выполняется.
• Ст. 13.11 КоАП РФ — нарушение требований обработки и передачи ПДн влечёт штраф.

Практика и позиция Роскомнадзора

Роскомнадзор в методических рекомендациях отмечает, что пересылка ПДн через мессенджеры является обработкой и должна соответствовать требованиям по защите данных. В нескольких проверках организации получали предписания именно за то, что паспортные данные и анкеты клиентов передавались сотрудниками через WhatsApp.

В одном из кейсов компания ссылалась на то, что пересылка — это лишь рабочая переписка. Однако Роскомнадзор указал: передача через сервисы, находящиеся за пределами контроля оператора, = обработка ПДн с нарушением требований безопасности.

Что важно учитывать

Пересылка в мессенджере = обработка, но при этом оператор обязан обеспечить:

• наличие законного основания для такой передачи (договор или согласие субъекта);
• минимизацию данных (например, не отправлять полные сканы паспортов в чаты);
• фиксирование данных в официальных системах (CRM, защищённый сервер), а не в личной переписке сотрудников.

Рекомендации и выводы

Да, пересылка ПДн в мессенджере — это обработка, и она несёт риски нарушений. Чтобы действовать законно, компании нужно:

1. Запретить пересылку полных наборов ПДн через мессенджеры.
2. Ввести регламент работы сотрудников с переписками.
3. Использовать защищённые корпоративные каналы связи.
4. Обеспечить фиксацию всей критичной информации в официальных системах.
5. Включить правила пересылки ПДн в комплект документов по 152-ФЗ.

Компания ICTech поможет вашей организации разработать регламенты по использованию мессенджеров, подготовить сотрудников к безопасной работе и включить порядок пересылки ПДн в пакет документов по ФЗ-152. Это позволит законно вести коммуникации и избежать претензий Роскомнадзора.

Хотите защитить себя от проверок и штрафов?

Подготовим документы по 152-ФЗ

Разработаем полный пакет документации по обработке персональных данных для вашей организации.

Заказать

О услуге