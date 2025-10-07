Законные основания обработки
Самое распространенное основание — согласие на обработку персональных данных. Оно должно быть добровольным и информированным, и обязательно включать цели обработки. Также данные нередко обрабатываются без согласия на основании договора, стороной которого выступает субъект ПДн: например, если он является инициатором его заключения или выгодоприобретателем.
Важно! Обработка персональных данных с 1 сентября 2025 года возможна только при наличии отдельного согласия, если оно требуется. Раньше его можно было включать в другие документы, но теперь так делать нельзя.
Также есть другие основания, предусмотренные ст. 6 ФЗ от 27.07.2006 № 152-ФЗ:
Данные обрабатываются для выполнения целей, предусмотренных законом или международным договором.
Персональные данные нужны при участии субъекта в судопроизводстве.
Данные необходимы для исполнения судебного акта или постановления другого органа, если это предусмотрено законом об исполнительном производстве.
Персональные данные обрабатываются для исполнения полномочий государственных органов и организаций, предоставляющих государственные или муниципальные услуги.
Обработка нужна для защиты жизни и здоровья, когда получить согласие невозможно.
Данные могут обрабатываться для защиты прав и законных интересов компании или третьих лиц, в том числе для возврата задолженности или для достижения общественно значимых целей, при условии, что права человека не нарушаются. Такое основание нужно тщательно проработать с правовой точки зрения. Оно не заменяет согласие автоматически.
Обработка разрешена в рамках профессиональной деятельности журналиста, работы СМИ, научной, литературной или иной творческой деятельности, если права человека соблюдены.
Персональные данные используются в статистических или исследовательских целях, но только после их обезличивания, кроме случаев, прямо запрещенных законом.
Персональные данные в трудовых отношениях
Для обработки персональных данных работников в 2025 году согласие не нужно, если речь идет о базовой информации, которая необходима работодателю для исполнения своих обязанностей: например, сведениях о кадровом учете, для расчета выплат и налогов, и т.д.
Любые дополнительные данные, которые не предусмотрены законодательством или трудовым договором, требуют согласия сотрудника. Но после увольнения ПДн сразу уничтожать нельзя: они должны храниться минимум 50 лет (ст.22.1 ФЗ от 22.10.2004 № 125-ФЗ). По истечении указанного срока они уничтожаются в установленном порядке.
Также работодатель вправе запрашивать ПДн для оценки благонадежности сотрудников и их родственников, но строго в рамках трудового и антикоррупционного законодательства. Это позволяет выявлять конфликты интересов, предотвращать коррупционные риски и обеспечивать безопасность на рабочем месте.
Обработка биометрических данных
Биометрические данные — это не любые фотографии и другие изображения человека. Чтобы фото признали биометрией, должны выполняться три условия одновременно:
оно отражает физиологические особенности;
по нему можно однозначно идентифицировать человека;
фото используется именно для идентификации.
Поэтому фото в паспорте, на других документах или в Единой биометрической системе (ЕБС) всегда считаются биометрическими данными. Такие изображения напрямую применяются для подтверждения личности.
А вот фотографии в социальных сетях, на бейджах или пропусках в офис чаще всего не подпадают под понятие биометрии. Они используются для других целей и не предназначены для строгой идентификации.
Важно! Для обработки биометрических персональных данных необходимо согласие. Оно оформляется отдельно от остальных согласий. В случае, когда биометрия передается в ЕБС, используйте форму, утвержденную распоряжением Правительства от 30.06.2018 №1322-р.
Передача персональных данных
Если компания передает обработку ПДн другому лицу, она должна заключить договор поручения. Это обязательно, когда полномочия делегируются, например, для ведения бухгалтерского или кадрового учета.
В ситуациях, где полномочия не передаются, договор поручения не нужен. Так работает курьерская доставка: курьер получает адрес получателя, но не становится обработчиком персональных данных по закону. Для этого согласие субъекта не нужно.
За все действия привлеченных обработчиков отвечает сам оператор, он же и осуществляет контроль за обработкой персональных данных. Сам обработчик может подключать субподрядчиков, но только если это прямо указано в договоре.
Важно! Оператор обязан контролировать действия сторонних исполнителей и перед передачей данных убедиться, что у них есть все средства безопасности при обработке персональных данных, они обеспечили надежную защиту. Также нужно проверять, как они обрабатывают данные. В противном случае вся ответственность ляжет на компанию, которая передала ПДн.
Учтите, что для передачи чаще всего нужно согласие субъекта. В нем указывается перечень персональных данных на обработку, цели и другие нюансы. Субъект должен знать, кому и для чего вы передаете его ПДн. Согласие не требуется, если передача осуществляется для исполнения требований законодательства оператором: например, когда сведения передаются в военкомат или налоговую службу.
Обработка данных на сайтах и онлайн-сервисах
Сайты и онлайн-сервисы часто допускают одни и те же ошибки: собирают слишком много данных, устанавливают бессрочные сроки хранения, работают без законных оснований или копируют чужие политики конфиденциальности. Все это создает риски и для бизнеса, и для пользователей.
Отдельное внимание стоит уделить метрикам и аналитике. С 01 июля 2025 года все операторы должны хранить ПДн граждан РФ на серверах, размещенных в России.
Какие еще требования к обработке персональных данных важно учитывать:
Политика обработки ПДн должна быть публичной и доступной для любого пользователя. Документ обязан отражать реальные процессы обработки, которые происходят в компании.
Формы согласия на обработку персональных данных на сайте должны быть прозрачными. В них указывают цели, способы обработки и срок хранения. Нельзя прятать согласие в длинный текст без пояснений — оно должно быть понятным и добровольным. Документ обязательно составляется отдельно.
Важно! При обработке данных из социальных сетей и других открытых источников важно учитывать риски нарушения прав пользователей. Даже если информация размещена в публичном доступе, это не дает права использовать ее без ограничений. Например, вы не можете отправлять рекламные сообщения пользователю Вконтакте, который ранее заказывал у вас товар через эту платформу, если он не давал согласие на маркетинговые рассылки и сам не подписывался на уведомления.
Использование иностранных сервисов и трансграничная передача
Персональные данные граждан России в 2025 году подлежат обязательной локализации. Это значит, что основные базы должны храниться на территории РФ, даже если компания использует иностранные сервисы.
Если требуется трансграничная передача данных, оператор обязан уведомить об этом Роскомнадзор и убедиться, что страна-получатель обеспечивает адекватный уровень защиты. Передача через сервисы и ресурсы, которые входят в перечень Роскомнадзора как запрещенные, полностью недопустима.
При выборе облачного провайдера нужно проверять, где физически расположены его серверы. Для работы с персональными данными граждан РФ допускаются только те сервисы, которые обеспечивают первичный сбор ПДн внутри страны. Это же требование действует и для сторонних компаний, которые компания привлекает для обработки данных.
Особое внимание стоит уделить мессенджерам. Иностранные приложения могут использоваться внутри компании, но для информирования граждан РФ установлено ограничение: официальные оповещения должны отправляться через отечественные сервисы. Это снижает риски нарушения закона в области обработки персональных данных и блокировок.
Обработка данных при оказании государственных услуг
При оказании госуслуг обработка персональных данных регулируется ФЗ № 152-ФЗ и административными регламентами. Если по закону обязательно согласие, его нужно оформить. В остальных случаях обработка допускается без отдельного согласия, если есть другие основания. Например:.
Обработка установлена законом: например, при предоставлении услуг в соответствии с ФЗ от 27.07.2010 № 210-ФЗ.
При исполнении полномочий органов власти и местного самоуправления — если обработка напрямую вытекает из их функций.
При подаче уведомлений и заявлений через Госуслуги — данные обрабатываются на основании закона и регламентов, а не по согласию.
При использовании машиночитаемых доверенностей — их обработка осуществляется в силу закона, отдельное согласие не запрашивается.
Когда обработка необходима для исполнения судебного акта или акта другого органа, в том числе решений судов или надзорных органов.
В случаях, прямо предусмотренных ст.6 ФЗ № 152-ФЗ: например, для защиты жизни и здоровья граждан, исполнения договора или других законных оснований.
Хранение и уничтожение персональных данных
Лицо, осуществляющее обработку персональных данных, обязано уничтожить их, если достигнуты цели обработки, субъект отозвал согласие или выяснились, что ПДн обрабатывались неправомерно.
Процедура проводится с соблюдением требований, установленных приказом Роскомнадзора от 28.10.2022 №179:
Установите правовые основания уничтожения.
Сформируйте комиссию и выберите способ уничтожения: шредирование бумажных носителей, полное стирание данных из ИСПДн без возможности восстановления.
Проведите фактическое уничтожение в соответствии с выбранным методом. Этим занимается комиссия.
Оформите акт уничтожения и выгрузку из журнала действий ИСПДн. Если уничтожены только бумажные носители, достаточно акта.
Важно! Акт и выгрузку рекомендуется хранить не менее трех лет с момента уничтожения ПДн. Они могут понадобиться при проверках Роскомнадзора.
Кто обязан подавать уведомление в Роскомнадзор
Чтобы законно работать с ПДн, в 2025 году нужно подать уведомление об обработке персональных данных (ст.22 ФЗ № 152-ФЗ). Это обязательно для всех организаций, ИП и самозанятых, за исключением тех, кто обрабатывают ПДн в ГИС, в рамках транспортного законодательства или работает с ПДн только на бумажных носителях.
Что нужно сделать пошагово:
Разработать пакет документов по ПДн: Политику, положение, инструкции, журналы, акты, и т.д.
Назначить ответственного за организацию обработки персональных данных.
Подать уведомление в РКН еще до начала сбора ПДн.
Дождаться регистрации в реестре операторов обработки персональных данных. Сведения туда вносятся на основании уведомления в течение 30 дней.
При подаче уведомления нужно указать принятые меры защиты. Они есть во внутренних локальных актах. Даже если часть документов в разработке, все равно уведомите Роскомнадзор, а после согласования дополнительных мер направьте уточненное уведомление.
Важно! Если не зарегистрироваться в реестре операторов, когда это обязательно по закону, компанию или ИП могут оштрафовать на сумму до 300 000 рублей (ч.10 ст.13.11 КоАП). Проверить регистрацию можно на сайте Роскомнадзора, введя наименование или ИНН организации.
Практика Роскомнадзора и кейсы
Сегодня судебная практика по делам о защите персональных данных и дистанционном мошенничестве постепенно уходит от формального подхода. Если раньше суды обычно соглашались с доводами банков и операторов, то теперь они все чаще учитывают реальное положение граждан и становятся на их сторону. Это связано и с развитием антифрод-систем: банки обязаны отслеживать подозрительные операции — входы с новых устройств, резкие изменения в привычной активности, переводы в нестандартные регионы или на незнакомые счета.
Роскомнадзор, в свою очередь, не ограничивается надзорными проверками: он регулярно публикует перечни запрещенных ресурсов и выпускает методические рекомендации для операторов, где фиксирует наиболее частые ошибки и пути их устранения.
В практике есть такой интересный кейс. Женщина пенсионного возраста много лет по старинке хранила сбережения на вкладе и ежегодно продлевала договор только в отделении банка. Однако в один из визитов она узнала, что ее вклад уже закрыт, а деньги переведены на неизвестные счета через систему дистанционного обслуживания, которой сама она никогда не пользовалась. Банк отказался признавать ответственность, ссылаясь на корректный ввод кодов из SMS и push-сообщений.
Суды первой инстанции и апелляции заняли сторону банка, но кассация отменила решения и вернула дело на пересмотр. Женщина вновь столкнулась с отказом, однако вторая апелляция наконец восстановила ее права. В итоге ей вернули сумму вклада и штраф по закону о защите прав потребителей в размере 50% от присужденных средств.
Вышестоящий суд отметил, что истица пользовалась кнопочным телефоном без доступа к интернету и никогда не активировала дистанционный сервис. Подозрительные переводы проводились с устройства в другом регионе, но антифрод-система банка это проигнорировала. Кредитная организация не заблокировала сомнительные операции и не предприняла меры для подтверждения их законности. В результате суд признал, что банк нарушил свои обязанности, а формальный довод «коды были введены верно» не может освобождать его от ответственности.
Этот кейс показателен: формальный подход уходит в прошлое, и сегодня банки и операторы обязаны внедрять эффективные механизмы защиты, а не перекладывать вину на пострадавших клиентов.
