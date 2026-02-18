Как оператору правильно обрабатывать персональные данные

Для законной обработки ПДн важно соблюдать несколько правил:

1. Наличие основания. Чаще всего таким основанием является согласие на обработку персональных данных субъекта. Оно должно быть конкретным, информированным и сознательным. Однако согласие не всегда требуется. Статья 6 ФЗ №152-ФЗ допускает обработку без него, например, для исполнения договора с субъектом (доставка товара), выполнения обязанностей оператора по закону (как работодателя) или для защиты жизни и здоровья субъекта, когда он сам дать согласие не может.

2. Уведомление Роскомнадзора. Если вы обрабатываете ПДн, вы обязаны подать в Роскомнадзор уведомление об обработке персональных данных для включения в реестр операторов. Это необязательно только в исключительных случаях: например, если ПДн обрабатываются в рамках законодательства о транспортной безопасности, исключительно на бумаге без использования средств автоматизации или обработка ведется в ГИС, созданной для обеспечения госбезопасности (ст.22 ФЗ №152-ФЗ).

3. Соблюдение специальных правил для работодателей. Если вы обрабатываете персональные данные сотрудников, помимо ФЗ №152-ФЗ, вы обязаны руководствоваться главой 14 ТК. Важно:

получать ПДн у самого работника (ст. 86 ТК);

ознакомить работников под подпись с положением об обработке и защите ПДн, а также с другими локальными документами по ПДн;

обрабатывать данные только для конкретных целей: обеспечение соблюдения законодательства, содействие в трудоустройстве, обеспечение личной безопасности, контроль работы и т.д.;

не собирать ПДн о членстве в профсоюзах, политических или религиозных убеждениях без согласия работника (за редкими исключениями).

4. Согласие для несовершеннолетних. Для обработки ПДн ребенка младше 14 лет необходимо согласие на обработку персональных данных несовершеннолетнего от его законного представителя (родителя). С 14 лет в ряде случаев подросток дает согласие самостоятельно: например, если оно нужно для совершения мелких бытовых сделок, регистрации в соцсетях, назначения стипендии и т.д.

5. Соблюдение принципов обработки. Вы можете использовать персональные данные строго для тех целей, для которых они были собраны. Хранение персональных данных не должно превышать сроков, установленных целями обработки. По истечении этих сроков данные должны быть уничтожены, если нет оснований для хранения.

6. Обеспечение безопасности. Вы обязаны обеспечить защиту информационной системы обработки персональных данных от несанкционированного доступа. Нужно внедрить технические средства защиты информации и организационные меры: приказы, инструкции, разграничение прав доступа сотрудников.