В Роскомнадзоре прошел день открытых дверей по вопросам ПДн

В статье ниже будут приведены основные тезисы-разъяснения от экспертов надзорного органа по нюансам работы с ПДн.

Что является основанием для обрабатывания данных

Выделяют несколько оснований, однако наиболее распространенным является согласие на обработку ПДн. Оно должно даваться субъектом на добровольных началах, быть информированным и содержать в себе ряд обязательной информации, например, целы обрабатывания. Оформляется оно отдельным документом (согласно законодательным изменениям от 1 сентября 2025 года) и не может быть составной частью другого документа.

Иные основания для обработки согласно ст.6 ФЗ от 27.07.2006 №152-ФЗ:

1. Обработка осуществляется для исполнения целей, которые предусмотрены законом или международным договором.
2. Сведения необходимы при участии физического лица в судебном производстве.
3. ПДн нужны для исполнения судебного акта или постановления другого органа, если подобное предусмотрено законодательством об исполнительном производстве.
4. Обработка сведений осуществляется для исполнения полномочий государственных органов и организаций, предоставляющих государственные или муниципальные услуги. 
5. Требуется защиты жизни и здоровья гражданина, но получение его согласия в данный момент невозможно.
6. Сведения могут подлежать обработке с целью защиты прав и законных интересов организации или третьих лиц, в том числе для возврата задолженности или для достижения общественно значимых целей, при условии, что отсутствует нарушение прав человека.
7. Обработка разрешена в рамках профессиональной деятельности журналиста, работы СМИ, научной, литературной или иной творческой деятельности, если права человека соблюдены.
8. Персональные данные используются в статистических или исследовательских целях, но только после их обезличивания, кроме случаев, прямо запрещенных законом.

Персональные данные в сфере трудовых отношений

Обработка личной информации сотрудников в 2025 году не требует предварительного подписания ими согласия в случае, если затрагивается стандартный набор сведений, которые требуются работодателю для исполнения обязанностей: кадровый учет, налогообложение и т.д. Если же работодатель планирует запрашивать любую другую информацию, необходимо будет получить согласие гражданина на это.

За увольнением сотрудника не следует сиюминутное уничтожение его сведений. Законодатель определил, что ПДн должны храниться после разрыва трудовых отношений минимум 50 лет (ст.22.1 ФЗ от 22.10.2004 № 125-ФЗ). По прошествии данного временного промежутка можно приступать к уничтожению информации в установленном порядке.

Обрабатывание биометрии

Под биометрическими данными понимается особая категория сведений, которые соответствуют следующим условиям:

1. Отражает физиологию физлица.
2. При их помощи можно однозначно провести идентификацию человека.
3. Использование фотографии осуществляется именно в идентификационных целях.

Поэтому фотографии, которые используются в удостоверяющих личность документах, считаются биометрией, в то время как изображения человека в социальных сетях, пропусках или бейджах — нет. Потому что последние применяются не для идентификации физического лица.

Обработка биометрии должна осуществляться только на основании согласия. Причем оформлять его необходимо отдельно от остальных согласий.

Передача ПДн

Если организация направляет персональные данные субъектов третьим лицам, требуется заключение договора поручения. Делать это необходимо в тех случаях, когда происходит делегирование полномочий — например, если компания передает бухгалтерские и кадровые вопросы на аутсорс.

Если же передачи полномочий не происходит, то договор поручения заключать не нужно. Подобным образом функционируют службы доставки: курьер располагает адресом доставки, но, по закону, не становится обработчиком личных сведений субъекта.

Вместе с тем передача полномочий не снимает с оператора обязанности по контролю всех операций с персональными данными. Он продолжает нести ответственность и перед заключением договора с подрядчиком должен убедиться, что последний располагает всеми необходимыми средствами для защиты личной информации субъектов. Это делать необходимо, поскольку в случаях нарушений ответственность ляжет на организацию, передавшую персональные данные.

Если вы намереваетесь передавать данные сторонним лицам, возьмите у субъекта персональных данных согласие на это. Он должен понимать — кому, куда и зачем направляются его сведения. В то же время делать этого не нужно, если передача данных обуславливается необходимостью исполнения законодательства — например, при передаче данных в налоговую или военкомат.

Обрабатывание сведений на сайтах и онлайн-сервисах

Зачастую многие онлайн ресурсы допускают ошибки при взаимодействии с персональными данными физических лиц. Наиболее часто встречаемые:

1. Сбор избыточного количества данных.
2. Установление бессрочного срока хранение информации.
3. Копирование документов по работе с персональными данными с других сайтов.
4. Хранение персональных данных на серверах, расположенных за пределами Российской Федерации.

Любое нарушение — это риски и для самой организации, и для посетителей сайта.

Из важных требований к обработке ПДн в части сайтов:

1. Основной документ — Политика обработка персональных данных, должна быть размещена в открытом доступе — у любого пользователя, зашедшего на веб-ресурс организации, должна присутствовать возможность ознакомиться с ней. Внутри документа должна быть собрана только актуальная информация, отображающая реальные аспекты взаимодействия с персональными данными.
2. Согласие на обработку персональных данных на сайте должно быть прозрачным, с указанием целей, сроков, способов обрабатывания и хранения информации. Нельзя «заворачивать» согласие в длинную текстовку без пояснений — составляйте этот документ отдельно от других.

В то же время использование информации, которая находится в свободном доступе в социальных сетях, не может осуществляться без ограничений. Например, если человек через социальную сеть Вконтакте заказал у вас какой-либо товар, но не давал согласие на рекламную рассылку, вы не можете направлять ему маркетинговые материалы.

Трансграничная передача информации и применение иностранных сервисов

Личные сведения людей с гражданством РФ должны быть локализованы. Это говорит о том, что базы данных, которые содержат персональные данные граждан России, должны находиться на территории страны — даже если компания применяет в своей работе иностранное ПО.

Если же оператору требует трансграничная передача данных, он должен направить соответствующее уведомление в адрес надзорного органа. При этом необходимо удостовериться в том, что страна, в которую планируется направлять сведения, готова обеспечить адекватный уровень защищенности ПДн.

Важно: осуществлять любые операции с персональными данными посредством сервисов, которые РКН пометил как запрещенные, нельзя!

Выстраивание работы в части трансграничной передачи данных — крайне объемная и сложная задача. Необходимо просчитать все риски, чтобы не столкнуться со штрафами, величина которых может достигать десятки миллионов рублей. 

Если вы планируете работать с облачным сервером, предварительно изучите, где физически находятся его сервера. Работать с данными граждан России могут только сервисы, обеспечивающие первичный сбор ПДн в пределах государства. Подобное правило также распространяется на сторонние компании, которые бизнес привлекает для организации системы работы с персданными.

Отдельный предмет разговора — мессенджеры, активно использующиеся компаниями в работе. Их можно применять внутри организации. Однако в целях информирования граждан России есть ограничительные факторы: официальные оповещения должны направляться только посредством российских сервисов.

Обработка данных при оказании государственных услуг

Для проведения подобных операций необходимо опираться на требования законодательства о персональных данных, а также административные регламенты. Законодательство обязывает, чтобы оформлялось согласие на обработку персданных. Однако в отдельных ситуациях можно делать это без него:

1. Основания обрабатывания предусмотрены законодательством: например, в рамках предоставления услуг в соответствии с ФЗ от 27.07.2010 №210-ФЗ.
2. При исполнении полномочий органов власти и местного самоуправления — если обрабатывание напрямую следует из их функционала.
3. При подаче извещений и заявлений посредством сервиса Госуслуги.
4. При использовании машиночитаемых доверенностей.
5. Когда проведение тех или иных операций с ПДн требуется для исполнения судебного акта или акта другого органа, в том числе решений судов или надзорных органов.
6. В случаях, прямо предусмотренных ст.6 ФЗ № 152-ФЗ.

Как хранить и уничтожать данные: основные аспекты

При достижении целей обработки персональные данные должны быть уничтожены. Также эта процедура должна произойти в случае, если субъект отозвал согласие на проведение операций со своими сведениями или обработка носила нелегитимный характер.

Уничтожение данных должно осуществляться в соответствии с требованиями, предписанными Приказом Роскомнадзора от 28.10.2022 №179:

1. Определите правовые основания проведения операции.
2. Создадите специальную комиссию и определите метод уничтожения данных.
3. Осуществите уничтожение.
4. Сформируйте акт уничтожения и выгрузку из журнала действий ИСПДн. Если удалению подлежали только сведения на бумаге, достаточно будет лишь акта.

Рекомендация: документы из пункта 4 храните минимум 3 года после удаления информации. Они могут потребоваться надзорному органу при проведении проверочных мероприятий.

Уведомление в РКН: кто должен его направлять

С 2025 года направление уведомлений в РКН носит обязательный характер. Исключения сделаны только для компаний, которые:

1. Обрабатывают ПДн в ГИС.
2. Взаимодействуют с персданными только на бумажных носителях.
3. Осуществляют обработку в рамках транспортного законодательства.

Те, кто должен извещать надзорный орган, должны:

1. Сформировать документацию по персданным: Политика, регламенты, журналы, акты и т.д.
2. Определить ответственное за обработку лицо.
3. Направить извещение в надзорный орган до начала сбора и обработки данных.
4. Дождаться, когда РКН внесет вас в качестве оператора ПДн в свой реестр.

Отсутствие регистрации в реестре РКН — основание для привлечения оператора к административной ответственности по ст. 13.11 КоАП РФ (штраф до 300 тысяч рублей).

Современная практика

В наши дни судебная практика по делам о защите ПДн и дистанционном мошенничестве постепенно переходит к подходу, где в центр ставится человек. Если ранее суды часто занимали позицию банков и операторов, то сейчас все чаще защищают интересы и права людей. Это в том числе обусловлено активным развитием антифрод-систем: обязанностью банков стало отслеживание подозрительных действий — авторизация с новых устройств, неоправданные скачки активности, направление средств на незнакомые счета и т.д.

РКН, со своей стороны, на постоянной основе размещает списки запрещенных ресурсов и материалов, а также готовит полезные материалы для операторов по самым частым ошибкам в обработке ПДн и способах их недопущения.

Если вы понимаете, что затрудняетесь организовать систему работы с персональными данными внутри своей организации, обращайтесь за помощью к профильным юристам. Это позволит вам:

1. Сделать все в рамках законодательства, которые на постоянной основе претерпевает изменения.
2. Снизить к 0 риски ответственности и штрафов (за отдельные нарушения величина санкции может достигать 500 млн руб.).
3. Сохранить свое время — все документы и процессы за вас сделают опытные юристы.

Грамотная система работы с персональными данными — залог вашего спокойствия и стабильной работы бизнеса, без претензий со стороны надзорного органа, проверок и штрафов.