В каких случаях можно хранить данные без согласия субъекта?

Согласие субъекта — одно из ключевых оснований обработки ПДн, но оно не всегда требуется. Закон № 152-ФЗ прямо предусматривает ситуации, когда оператор вправе хранить и использовать персональные данные без получения согласия. Эти случаи связаны с необходимостью выполнения закона, договора или охраной интересов государства и общества.

Когда согласие не нужно:

• если обработка необходима для заключения и исполнения договора, стороной которого является субъект;
• если обработка прямо предусмотрена законом (например, налоговый и бухгалтерский учёт, трудовые отношения);
• если данные используются для целей правосудия, исполнения судебных актов, работы органов власти;
• если ПДн обрабатываются для защиты жизни, здоровья или иных жизненно важных интересов субъекта, и получить согласие невозможно;
• если данные подлежат опубликованию или раскрытию в силу закона (например, сведения в ЕГРЮЛ, данные о государственных и муниципальных служащих);
• если данные обезличены и используются для статистики или исследований;
• если субъект сам сделал свои данные общедоступными.

Обоснование по законодательству

• Ст. 6, ч. 1 ФЗ-152 — перечисляет случаи обработки ПДн без согласия: договор, закон, судебные акты, гос. органы, жизненно важные интересы и др.
• Ст. 22 ФЗ-152 — хранение и обработка возможны без уведомления Роскомнадзора, если есть законные основания (например, кадровая работа).
• Ст. 5, ч. 7 ФЗ-152 — данные должны храниться не дольше, чем этого требуют цели обработки.
• Ст. 13.11 КоАП РФ — нарушение этих требований влечёт штраф.

Практика и комментарии Роскомнадзора

Роскомнадзор подчёркивает: если компания обрабатывает ПДн по закону или договору, отдельное согласие не требуется. Так, кадровый учёт сотрудников, бухгалтерские документы и налоговая отчётность не предполагают подписания согласий.

Вместе с тем, при выходе за пределы этих оснований (например, использование данных для рекламы или публикации) согласие обязательно. В одной из проверок организация ссылалась на «необходимость исполнения договора», но при этом использовала контакты клиентов для рассылок. РКН признал, что цель вышла за рамки договора, и обязал компанию оформить согласия.

Важный аспект

Даже если согласие не требуется, оператор обязан:

• документально подтвердить правовое основание обработки;
• соблюдать сроки хранения, установленные законом;
• обеспечить безопасность данных.

Отсутствие согласия не освобождает компанию от других обязанностей по ФЗ-152.

Рекомендации и выводы

Хранить ПДн без согласия можно, если есть иное законное основание (договор, закон, судебный акт, жизненно важные интересы субъекта). Чтобы избежать нарушений, компании нужно:

1. Определить, какие процессы требуют согласия, а какие — нет.
2. Вести учёт правовых оснований хранения данных.
3. Исключить использование данных для дополнительных целей без согласия.
4. Закрепить порядок работы с основаниями обработки в комплекте документов по 152-ФЗ.

Компания ICTech поможет вашей организации провести аудит обработки ПДн, выделить процессы, где согласие не нужно, и подготовить полный пакет документов по ФЗ-152. Это защитит бизнес от штрафов и претензий Роскомнадзора.

Хотите защитить себя от проверок и штрафов?

Подготовим документы по 152-ФЗ

Разработаем полный пакет документации по обработке персональных данных для вашей организации.

Заказать

О услуге