CloudPayments
Войти

Принципы и условия обработки ПДн по 152‑ФЗ

Получить CloudPayments бесплатно

Принципы и условия обработки ПДн по 152‑ФЗ

В этой статье собраны ключевые требования Федерального закона о персональных данных: какие принципы обязателен соблюдать оператор, на каких правовых основаниях допустима обработка, как формулировать цели и соблюдать совместимость целей, а также как определять сроки хранения ПДн.

Что регулирует 152‑ФЗ и зачем нужны принципы

Федеральный закон «О персональных данных» определяет, что такое персональные данные, кто такой оператор и как законно их обрабатывать. Обзор норм и терминов — в нашем материале «О персональных данных: 152‑ФЗ», а общую справку о самом акте — в разделе «Федеральный закон 152‑ФЗ» и «Структура и статьи 152‑ФЗ».

Принципы — это «правила игры» (ст. 5), которые должны соблюдаться всегда. Условия обработки — это правовые основания (ст. 6, 10, 11), на которых оператор вправе собирать и использовать данные. Если принципы определяют «как именно» обрабатывать ПДн, то условия отвечают на вопрос «почему и на каком основании».

Принципы обработки персональных данных 152‑ФЗ (ст. 5)

Схема принципов обработки ПДн по 152‑ФЗ: цели → минимизация → точность → безопасность → ограничение сроков хранения

Получить CloudPayments бесплатно

Ключевые принципы обработки персональных данных 152‑ФЗ:

  • Законность и справедливость. Любые действия с ПДн возможны лишь при наличии правового основания и без ущемления прав субъектов.
  • Определённость и законность целей. Цели обработки 152‑ФЗ должны быть конкретными, заранее определёнными и законными. Формулировки «иные цели» недопустимы.
  • Совместимость целей. Дальнейшая обработка не должна противоречить исходной цели. Изменяя цель, оператор проверяет совместимость целей и при необходимости получает новое основание (например, согласие).
  • Минимизация. Обрабатываются только те данные и в объёме, который необходим для заявленных целей (неизбыточность).
  • Точность и актуальность. Оператор обеспечивает актуальность, достаточность и достоверность ПДн; при выявлении неточностей — уточняет, блокирует или удаляет.
  • Ограничение сроков хранения ПДн. Хранение — не дольше, чем требуют цели обработки, после чего данные уничтожаются или обезличиваются.
  • Безопасность. Оператор обязан принимать необходимые правовые, организационные и технические меры защиты (подробнее — в разделе «Безопасность и защита»).
  • Недопустимость объединения несовместимых баз. Нельзя объединять базы данных, обработка в которых ведётся для целей, несовместимых между собой.

Важно: для ПДн граждан РФ действует требование локализации — базовые операции (запись, систематизация, накопление, хранение, уточнение, извлечение) должны выполняться с использованием баз данных, расположенных на территории России.

Условия обработки 152‑ФЗ: правовые основания (ст. 6, 10, 11)

Условия обработки — это исчерпывающий перечень законных оснований. Ниже — основное, чем руководствуется оператор при выборе основания.

Правовое основание Когда уместно Документ/доказательство
Согласие субъекта Маркетинг, подписки, участие в акциях, нестандартные цели Письменное/электронное согласие; журнал учёта согласий
Договор с субъектом Доставка, сервис, гарантия, билеты, личный кабинет Договор/оферта; заказы; акцепт
Закон/обязанность по закону Бухучёт, трудовые книжки, налоговый учёт Нормативные акты; локальные акты
Защита жизни/здоровья Экстренные случаи, медицина, безопасность Акт/служебная записка; регламент инцидентов
Судебные полномочия/правосудие Исполнение судебных актов Запрос суда/ССП
Права и законные интересы оператора/третьих лиц без нарушения прав субъектов Противодействие мошенничеству, ИБ‑мониторинг, претензионная работа Локальные политики, оценка рисков
ПДн, сделанные субъектом общедоступными Публичные профили, объявления Доказательства публичного размещения

Специальные категории ПДн (ст. 10)

К специальным относятся данные о расовой или национальной принадлежности, политических взглядах, религиозных или философских убеждениях, здоровье, интимной жизни. Их обработка запрещена, кроме строго установленных случаев: при наличии согласия; по трудовому, пенсионному, медико‑социальному законодательству; в медицинских целях; для исполнения правосудия; в статистических/научных целях при обезличивании и др. Оператор дополнительно обосновывает необходимость и усиливает защиту.

Биометрические ПДн (ст. 11)

Биометрия (например, фото‑ и видеоданные для идентификации, отпечатки, геометрия лица) обрабатывается при наличии согласия или прямой нормы закона. Важно обеспечить особые меры безопасности, минимизировать доступ и описать логику идентификации.

ПДн, разрешённые субъектом для распространения (ст. 10.1)

Отдельная категория — данные, которые субъект разрешил распространять. Требуется отдельное согласие с возможностью субъекту устанавливать запреты и условия распространения. Оператор обязан соблюдать такие ограничения и предоставлять инструменты управления ими.

Цели обработки и совместимость целей

Корректная формулировка целей — основа законности. Советы по практической постановке целей:

  • Формулируйте конкретно: «оформление заказа и доставка», «ведение кадрового учёта», «поддержка пользователей». Избегайте размытых описаний.
  • Проверяйте совместимость целей: если вы собрали данные для заключения договора, их последующее использование для ненавязчивой сервиса‑аналитики может быть совместимым, но для рассылки маркетинговых предложений чаще потребуется отдельное согласие и соблюдение законодательства о рекламе.
  • Разделяйте цели по процессам: HR, продажи, сервис, безопасность, маркетинг — под каждую цель проверьте отдельное основание.
  • Обновляйте реестр операций: при появлении новой цели оцените, совместима ли она с исходной, и при необходимости запросите согласие или выберите иное основание.

Пример совместимости целей:

  • Совместимо: гарантийное обслуживание → анализ отказов для улучшения качества сервиса (обезличенные данные предпочтительнее).
  • Несовместимо: сбор данных для выдачи пропуска → передача контактов партнёрам для рекламы.

Сроки хранения ПДн и уничтожение данных

Принцип ограниченности сроков хранения ПДн требует хранить данные не дольше, чем нужно для целей. Используйте график хранения, в котором отражены основания, сроки и действия по окончании срока (уничтожение, обезличивание, блокирование).

Категория ПДн Ориентир срока Обоснование/замечания
Заказы и расчёты До истечения сроков исковой давности и налоговых проверок Сроки определяются гражданским и налоговым законодательством
Кадровые данные По срокам хранения кадровых документов (часть — длительные сроки) Руководствуйтесь нпа по делопроизводству и архивному делу
Маркетинговые подписки До отзыва согласия или достижения цели кампании При отзыве — удаление/блокировка в разумный срок
Видеонаблюдение Короткий срок (несколько дней/недель) при отсутствии инцидентов Закрепите в локальных актах с учётом целей безопасности

Рекомендуется:

  • Периодически проводить ревизию баз и реестров.
  • Автоматизировать триггеры удаления/обезличивания.
  • Документировать уничтожение актами, вести журналы операций.

Обработка без согласия: когда допустимо

Согласие — не единственное основание. Обработка без согласия допустима, когда:

  • это необходимо для исполнения договора с субъектом или заключения договора по инициативе субъекта;
  • требование вытекает из закона или для исполнения госфункций/правосудия;
  • нужно для защиты жизни, здоровья или иных жизненно важных интересов субъекта;
  • необходимо для осуществления прав и законных интересов оператора или третьих лиц при условии, что не нарушаются права и свободы субъекта;
  • ПДн сделаны субъектом общедоступными;
  • проводится статистическая/научная обработка с обезличиванием и соблюдением ограничений.

Когда основание — согласие, следуйте рекомендациям из материала «Согласие на обработку персональных данных».

Безопасность и защита ПДн

Защита — сквозное требование: от проектирования процесса до ежедневной эксплуатации. Базовые меры:

  • разграничение прав доступа и принцип «минимально необходимого доступа»;
  • шифрование при хранении и передаче, защищённые протоколы;
  • журналирование и мониторинг событий безопасности;
  • резервное копирование и план восстановления;
  • моделирование угроз и аттестация значимых систем при необходимости;
  • обучение персонала и контроль подрядчиков.

Подробный обзор мер и уровней защиты смотрите в разделе «Безопасность и защита ПДн».

Трансграничная передача

Передавая ПДн за пределы РФ, оператор оценивает правовой режим принимающей стороны, фиксирует цели и основания, соблюдает локализацию и уведомительные требования (при наличии), а также заключает договоры с получателями данных. Практические разъяснения — в разделе «Трансграничная передача ПДн».

Права субъектов, обязанности оператора и контроль

  • Права субъектов: доступ, уточнение, блокирование, уничтожение, отзыв согласия, ограничение распространения и др. Подробнее — «Права субъектов ПДн».
  • Обязанности оператора: информирование, безопасность, документирование процессов, ответы на запросы, соблюдение сроков и процедур. См. «Обязанности оператора».
  • Контроль и реестры: уведомление о начале обработки (при необходимости), включение в реестр, плановые и внеплановые проверки. Раздел «Роскомнадзор: контроль и реестры».
  • Ответственность: административные штрафы, блокировка ресурсов, иные меры. Раздел «Ответственность и штрафы».

Как внедрить требования на практике: краткий чек‑лист

  • Составьте реестр операций обработки: цели, категории ПДн, основания, получатели, сроки хранения ПДн.
  • Проверьте совместимость целей и достаточность правовых оснований; подготовьте шаблоны согласий и информирования.
  • Обновите Политику и локальные акты; определите роли и ответственность.
  • Реализуйте организационно‑технические меры защиты и локализацию баз.
  • Настройте процедуры реагирования на запросы субъектов и инциденты.
  • Определите регламент уничтожения/обезличивания и контрольные точки по срокам.
  • Проведите обучение сотрудников и аудит подрядчиков.
  • Выполните уведомительные требования и проверьте записи в реестре Роскомнадзора (при применимости).

Заключение

Принципы обработки персональных данных 152‑ФЗ и корректно выбранные условия обработки — фундамент законности всей деятельности оператора. Чёткие цели, совместимость целей, минимизация и ограничение сроков хранения ПДн, а также надлежащая защита позволяют снизить риски и пройти проверку без претензий. Изучите смежные разделы — «История и изменения 152‑ФЗ» и «Структура и статьи», а затем проверьте свои процессы по чек‑листу. Нужны детали и примеры формулировок? Перейдите в разделы о согласии, обязанностях оператора и безопасности — и внедрите требования уже сегодня.

Получить CloudPayments бесплатно