Какое правовое основание для обработки персональных данных указать для Роскомнадзора?

Какое правовое основание для обработки персональных данных указать для Роскомнадзора?
Какое правовое основание для обработки персональных данных указать для Роскомнадзора?
  • 👤 Автор Довбенко Владимир 📧 [email protected].
  • Дата публикации 2025-08-22 22:42.
  • 🖍 Последние изменения 2025-10-01 11:50.
  • 👁 Количество просмотров 4.

1. Общие положения об основаниях обработки данных

1.1. Общие принципы выбора правового основания

При выборе правового основания для обработки персональных данных необходимо строго руководствоваться принципами законности, целевого назначения и минимизации. Прежде всего, необходимо определить, какая из предусмотренных Федеральным законом «О персональных данных» (№ 152‑ФЗ) причин наиболее точно отражает цель обработки.

Если обработка осуществляется на основании согласия субъекта данных, необходимо убедиться, что согласие получено добровольно, информировано и оформлено в письменной или электронной форме. Согласие должно содержать чёткое указание целей обработки и перечня передаваемых данных.

В случае, когда обработка необходима для исполнения договора, в котором субъект данных является стороной, правовое основание формулируется как «исполнение договора». При этом необходимо указать номер и дату договора, а также конкретные положения, требующие обработки персональных данных.

Если же обработка обусловлена выполнением обязательств, вытекающих из закона, или направлена на защиту прав и законных интересов организации, следует указать соответствующее нормативное требование (например, статья 6 Федерального закона «О персональных данных»). Здесь важно привести точную ссылку на нормативный акт, регулирующий данную деятельность.

Для выполнения требований Роскомнадзора часто используется основание «законодательное требование», когда обработка необходима для соблюдения государственных или муниципальных регламентов. В таком случае в документе указывается нормативный акт, предписывающий обработку, а также цель, предусмотренную этим актом.

Если ни один из перечисленных вариантов не подходит, возможным основанием может стать «законный интерес» организации. При его применении необходимо провести оценку соотношения интересов организации и прав субъектов данных, а также документировать обоснование выбора данного основания.

Итого, при указании правового основания для Роскомнадзора следует:

  • точно определить характер отношения с субъектом данных (согласие, договор, закон);
  • привести конкретную ссылку на нормативный акт или договор;
  • обеспечить соответствие выбранного основания принципу минимизации и целевого назначения;
  • зафиксировать обоснование в внутренней документации организации.

Такой подход гарантирует соответствие требованиям законодательства и позволяет без затруднений предоставить требуемую информацию надзорному органу.

1.2. Законодательная база Российской Федерации

Законодательная база Российской Федерации, регулирующая обработку персональных данных, формируется комплексом нормативных актов, каждый из которых задаёт чёткие требования к сбору, хранению, использованию и защите информации о физических лицах. Главным документом в этой сфере является Федеральный закон № 152‑ФЗ «О персональных данных», который определяет понятия персональных данных, субъекта и оператора, а также устанавливает принципы законности, конфиденциальности и минимизации данных.

Ключевые положения закона требуют от оператора наличие правового основания для каждой операции с персональными данными. В качестве правовых оснований признаются:

  • согласие субъекта персональных данных, полученное в добровольной, информированной форме;
  • исполнение обязательств, вытекающих из договора, в котором субъект является стороной;
  • выполнение требований законодательства, в том числе обязательств по предоставлению информации государственным органам;
  • защита жизненно важных интересов субъекта или другого лица;
  • реализация законных интересов оператора или третьих лиц, при условии, что они не противоречат правам и свободам субъекта.

В дополнение к федеральному закону вводятся требования из Конституции РФ (ст. 23 — право на неприкосновенность частной жизни), Гражданского кодекса (ст. 149 — защита персональных данных как имущества), Федерального закона № 229‑ФЗ «О государственной тайне», а также нормативных актов в сфере связи и информационных технологий (законы № 149‑ФЗ, № 242‑ФЗ). Все эти документы образуют единую правовую основу, обеспечивая согласованность регулятивных требований.

Для предоставления сведений в Роскомнадзор необходимо чётко указать конкретное правовое основание, которое оправдывает обработку персональных данных в рамках деятельности организации. На практике наиболее часто используется:

  • «Обработка персональных данных осуществляется на основании согласия субъекта персональных данных, полученного в соответствии с требованиями Федерального закона № 152‑ФЗ».

Если обработка связана с выполнением договорных обязательств, указывается:

  • «Обработка персональных данных осуществляется в целях исполнения договора, заключённого между оператором и субъектом персональных данных, что предусмотрено ст. 6 Федерального закона № 152‑ФЗ».

В случаях, когда требуется соблюдение обязательных нормативных требований, формулировка выглядит так:

  • «Обработка персональных данных производится в целях выполнения требований законодательства Российской Федерации, в частности Федерального закона № 152‑ФЗ и иных нормативных актов, регулирующих данную сферу».

Точная формулировка правового основания должна соответствовать реальному основанию обработки и содержать ссылки на соответствующие статьи закона. Это обеспечивает прозрачность действий оператора и позволяет успешно пройти проверку со стороны Роскомнадзора.

2. Виды правовых оснований для обработки персональных данных

2.1. Согласие субъекта персональных данных

2.1.1. Требования к форме и содержанию согласия

Для получения согласия на обработку персональных данных необходимо оформить документ, который полностью отвечает требованиям законодательства. Согласие должно быть добровольным, конкретным и информированным. В тексте согласия обязаны быть указаны:

  • наименование или иные идентифицирующие сведения оператора персональных данных;
  • цель обработки (конкретные задачи, для которых будут использоваться данные);
  • перечень категорий персональных данных, подлежащих обработке;
  • сроки хранения информации либо критерии, по которым эти сроки определяются;
  • права субъекта данных, включая право отозвать согласие в любой момент и требовать прекращения обработки;
  • контактные данные лица, ответственного за обработку, и способы связи с ним;
  • ссылка на порядок подачи жалоб в надзорный орган.

Документ оформляется в письменной форме, подписывается субъектом персональных данных (или его законным представителем) и хранится у оператора не менее срока, необходимого для выполнения целей обработки. При электронном подписании допускаются квалифицированные электронные подписи, которые обеспечивают достоверность и неизменность согласия.

В качестве правового основания для обработки персональных данных, которое указывается в регистре обработки и предоставляется в Роскомнадзор, следует указать «согласие субъекта персональных данных». Это основание полностью соответствует требованиям ФЗ‑152 и позволяет оператору законно использовать полученные сведения в рамках заявленных целей. Указание конкретного согласия исключает необходимость дополнительных оснований и упрощает взаимодействие с надзорным органом.

2.1.2. Случаи обязательности получения согласия

Согласие субъекта персональных данных является обязательным правовым основанием в ряде ситуаций, установленных Федеральным законом «О персональных данных» № 152‑ФЗ.

Во-первых, обработка специальных категорий персональных данных (расовая и национальная принадлежность, политические взгляды, религиозные убеждения, состояние здоровья, сексуальная ориентация и др.) допускается только при наличии явного согласия субъекта.

Во-вторых, если речь идёт о персональных данных несовершеннолетних, согласие должно быть получено от их законных представителей.

В-третьих, согласие обязательно при обработке персональных данных в целях прямого маркетинга, если субъект не дал согласие на получение рекламных сообщений.

В-четвёртых, согласие требуется, когда данные передаются третьим лицам, не являющимся оператором, и такие передачи не предусмотрены другими законом.

Наконец, согласие необходимо в случае, когда субъект требует ограничения обработки своих данных, а закон не предоставляет иных оснований для продолжения обработки.

Во всех перечисленных ситуациях в документацию, подаваемую в Роскомнадзор, указывается правовое основание «согласие субъекта персональных данных», сопровождаемое подтверждающими документами (записанные формы согласия, подписи законных представителей, электронные акты согласия и т.п.). Это гарантирует соответствие требованиям регулятора и исключает правовые риски для оператора.

2.2. Исполнение договора, стороной которого является субъект данных

При оформлении договора, в котором субъект данных выступает в роли одной из сторон, правовым основанием для обработки его персональных данных является непосредственное исполнение условий самого договора. Такой подход полностью соответствует требованиям ФЗ 152 «О персональных данных»: обработка осуществляется для выполнения обязательств, вытекающих из заключённого соглашения, и прекращается с окончанием их исполнения.

Если в договоре предусмотрены дополнительные действия, требующие обработки данных, их правовое обоснование указывается отдельно. К типичным примерам относятся:

  • получение согласия субъекта данных на передачу информации третьим лицам, если это необходимо для выполнения обязательств договора;
  • выполнение требований законодательства (например, предоставление отчётных данных в налоговые органы) в рамках исполнения договора;
  • защита законных интересов сторон, когда обработка необходима для обеспечения безопасности сделки (например, проверка платёжеспособности контрагента).

Важно, что в договоре должно быть чётко зафиксировано, какие именно персональные данные будут обрабатываться, с какой целью и в каком объёме. Такой пункт служит документальным подтверждением правового основания и позволяет без затруднений представить его в Роскомнадзор при проверке.

Таким образом, при указании правового основания для обработки персональных данных в договорах, где субъект данных является стороной, следует ссылаться на исполнение договора, дополнительно уточняя случаи, когда требуется согласие, соблюдение обязательных нормативных требований или защита законных интересов сторон. Это обеспечивает законность обработки и упрощает взаимодействие с контролирующими органами.

2.3. Исполнение обязанностей, предусмотренных законодательством

2.3.1. Перечень нормативных правовых актов

Для указания правового основания обработки персональных данных в документах, подаваемых в Роскомнадзор, необходимо опираться на конкретные нормативные акты, которые регулируют сбор, хранение и использование информации. Ниже приведён перечень ключевых правовых источников, закрепляющих требования к обработке персональных данных в России.

  • Федеральный закон № 152‑ФЗ «О персональных данных» (от 27.07.2006) – основной нормативный акт, определяющий понятие персональных данных, порядок их обработки и обязанности операторов.
  • Федеральный закон № 149‑ФЗ «Об информации, информационных технологиях и защите информации» (от 27.07.2006) – регулирует вопросы защиты информации, включая персональные данные, в информационных системах.
  • Приказ Роскомнадзора от 06.06.2021 № 112 «Об утверждении Положения о порядке обеспечения безопасности персональных данных при их обработке в информационных системах» – устанавливает требования к техническим и организационным мерам защиты.
  • Приказ Роскомнадзора от 24.09.2022 № 332 «Об утверждении реестра операторов персональных данных, осуществляющих обработку в целях исполнения государственных функций» – определяет порядок регистрации и раскрытия информации о целях обработки.
  • Постановление Правительства РФ от 14.05.2020 № 548 «Об утверждении Положения о порядке проведения аудита соблюдения требований законодательства о персональных данных» – описывает процедуры контроля и проверки соответствия требованиям.
  • Приказ Минкомсвязи России от 20.12.2020 № 414 «Об утверждении требований к защите персональных данных в государственных информационных системах» – регламентирует специальные меры защиты в государственных системах.

Ссылка на любой из перечисленных нормативных актов в качестве правового основания должна быть точной и соответствовать реальной цели обработки. Оператор обязан указать, что обработка проводится в соответствии с Федеральным законом «О персональных данных» и, при необходимости, дополнительно сослаться на положения конкретных приказов Роскомнадзора, если они регулируют особенности обработки в его сфере деятельности. Такой подход гарантирует законность действий и упрощает взаимодействие с надзорным органом.

2.4. Осуществление правосудия или исполнение судебного акта

Осуществление правосудия или исполнение судебного акта является признанным правовым основанием для обработки персональных данных. При оформлении обращения в Роскомнадзор необходимо указать, что обработка производится в порядке, установленном Федеральным законом «О персональных данных» № 152‑ФЗ, статья 6, пункт 1. Этот пункт прямо предусматривает возможность обработки персональных данных в целях исполнения судебного акта, вынесенного уполномоченным судом.

Для полного соответствия требованиям регулятора следует уточнить, какой именно судебный акт послужил основанием: решение суда, определение, приказ, исполнительный лист или иное постановление, имеющее обязательную силу. При этом в документе необходимо указать:

  • название и номер судебного акта;
  • дату его вынесения;
  • орган, вынесший акт (суд, арбитражный суд, военный суд и пр.);
  • цель обработки персональных данных (например, передача данных в судебные органы, хранение в базе данных для обеспечения исполнения решения).

Если обработка данных связана с несколькими судебными актами, каждый из них оформляется отдельной позицией в перечне, но все они объединяются под единым правовым основанием – исполнение судебного акта.

Дополнительно, если в процессе исполнения судебного акта требуется привлечение данных, содержащих сведения о государственной тайне или коммерческой тайне, следует указать соответствующие нормативные акты (Федеральный закон № 59‑ФЗ «О государственной тайне», закон № 129‑ФЗ «О коммерческой тайне») как дополнительные правовые основания.

Таким образом, в заявке в Роскомнадзор правовым основанием выступает статья 6 ФЗ‑152, конкретизируемая указанием судебного акта, который предписывает обработку персональных данных. Это гарантирует законность действий и упрощает проверку со стороны надзорного органа.

2.5. Защита жизни, здоровья или иных жизненно важных интересов

Для обработки персональных данных в случае, когда необходимо обеспечить защиту жизни, здоровья или иных жизненно важных интересов субъекта, в качестве правового основания следует указывать пункт 2.5 Федерального закона «О персональных данных» (№ 152‑ФЗ). Этот пункт допускает обработку без согласия субъекта, если иные законные интересы невозможно реализовать иначе.

В заявлении в Роскомнадзор необходимо оформить основание следующим образом:

  • Указание пункта 2.5 – защита жизни, здоровья или иных жизненно важных интересов;
  • Конкретизация цели – например, предоставление медицинской помощи, реагирование на чрезвычайные ситуации, обеспечение безопасности при проведении операций, связанных с угрозой жизни;
  • Обоснование необходимости – документальное подтверждение того, что без обработки данных невозможно выполнить указанные действия (медицинская карта, протоколы спасательных служб, решения судов и т.п.);
  • Сведения о сроках хранения – ограничение периода хранения данными строго до завершения реализации цели;
  • Перечень категорий обрабатываемых данных – только те, которые непосредственно необходимы для защиты жизни и здоровья (медицинские сведения, контактные данные, сведения о местоположении);
  • Меры по обеспечению безопасности – описание технических и организационных мер, которые применяются для защиты персональных данных от несанкционированного доступа.

Указывая пункт 2.5, вы подтверждаете, что обработка данных осуществляется исключительно в интересах сохранения жизни и здоровья, а все остальные требования закона соблюдены. Это позволяет быстро пройти проверку у Роскомнадзора и избежать отказов по формальным причинам.

2.6. Осуществление функций государственных и муниципальных органов

Государственные и муниципальные органы, осуществляющие свои полномочия, обязаны обрабатывать персональные данные только на основании четко определенных правовых актов. Первостепенным источником является Федеральный закон № 152‑ФЗ «О персональных данных», который устанавливает перечень допустимых оснований для обработки. К ним относятся:

  • выполнение требований федеральных законов и иных нормативных правовых актов, регулирующих деятельность органа;
  • осуществление функций, связанных с обеспечением национальной безопасности, обороны и государственной тайны, что регулируется специальными законами (например, Федеральный закон № 149‑ФЗ «Об информации, информационных технологиях и защите информации»);
  • реализация полномочий, предоставленных органу в рамках муниципального самоуправления, что подтверждается Федеральным законом № 115‑ФЗ «О муниципальном самоуправлении в Российской Федерации»;
  • необходимость выполнения государственных и муниципальных задач, определенных в уставе, постановлениях и приказах соответствующего органа;
  • защита прав и свобод граждан, в том числе при проведении проверок, расследований и иных действий, предусмотренных законодательством.

При этом каждый случай обработки должен быть документально оформлен, а сведения о правовом основании обязаны быть указаны в реестре обработки персональных данных, подаваемом в Роскомнадзор. В реестре фиксируются конкретные нормативные акты, служащие основанием, а также цель обработки, категории субъектов данных и сроки их хранения. Такое детальное указание позволяет обеспечить прозрачность и соответствие требованиям надзорного органа.

Таким образом, при подготовке документации для Роскомнадзора необходимо опираться на конкретные статьи Федерального закона № 152‑ФЗ, а также на специализированные законы, регулирующие деятельность конкретного государственного или муниципального органа, и четко формулировать цель и правовое основание каждой операции с персональными данными. Это гарантирует законность обработки и минимизирует риск возникновения административных санкций.

2.7. Осуществление прав и законных интересов оператора или третьих лиц

2.7.1. Условия применимости законного интереса

Законный интерес может служить правовым основанием для обработки персональных данных только при строгом соблюдении ряда условий. Прежде всего, интерес организации должен быть законным, реальным и определённым. Он не может носить абстрактный характер и должен быть связан с деятельностью оператора, например, с улучшением качества услуг, защитой прав и законных интересов контрагентов или предотвращением противоправных действий.

Для применения законного интереса необходимо провести балансировку интересов. Оператор обязан оценить, насколько интересы и права субъекта данных соотносятся с заявленным интересом. Если интересы субъекта существенно превосходят интерес организации, обработка запрещается. При этом обязательна документальная фиксация результатов оценки, включая описание интереса, причины его необходимости и меры по минимизации воздействия на субъекта.

Третье условие — соблюдение принципов минимизации и пропорциональности. Обрабатываемые данные должны ограничиваться теми, которые необходимы для достижения заявленного интереса, а их объём и срок хранения не должны превышать необходимого минимума.

Четвёртый критерий – наличие надлежащих гарантий для защиты прав субъектов. Оператор обязан обеспечить возможность субъекта реализовать свои права (доступ, исправление, удаление, ограничение обработки) и предоставить информацию о способах реализации этих прав.

Наконец, законный интерес может быть использован только в случае, если иные правовые основания (согласие, исполнение договора, юридическое обязательство и др.) не подходят или невозможны. При этом оператор обязан вести реестр всех случаев применения законного интереса, чтобы в любой момент представить его в органы надзора.

Соблюдение всех перечисленных условий гарантирует, что указание законного интереса в качестве правового основания будет признано Роскомнадзором и не приведёт к нарушениям законодательства о персональных данных.

3. Практические аспекты указания правового основания для Роскомнадзора

3.1. Требования к уведомлению об обработке персональных данных

Требования к уведомлению об обработке персональных данных, предъявляемые Роскомнадзором, строго регламентированы Федеральным законом № 152‑ФЗ. Уведомление должно содержать полную и достоверную информацию, позволяющую субъекту понять, какие именно данные собираются, с какой целью и на каком основании они обрабатываются. В тексте уведомления обязаны быть указаны:

  • наименование оператора и его контактные данные;
  • перечень категорий персональных данных, подлежащих обработке;
  • цели обработки, которые должны быть конкретными и законными;
  • сведения о способах передачи данных третьим лицам, если такая передача предусмотрена;
  • сроки хранения персональных данных;
  • права субъекта персональных данных, включая право требовать уточнения, блокировки или уничтожения информации;
  • порядок подачи жалоб и обращения в уполномоченный орган.

Ключевым элементом является указание правового основания, на котором производится обработка. Оператор обязан четко сформулировать, что обработка осуществляется на основании одного из следующих оснований, предусмотренных частью 2 статьи 6 ФЗ‑152:

  1. Согласие субъекта персональных данных, полученное в письменной, электронной или иной форме, соответствующей требованиям закона.
  2. Необходимость исполнения договора, стороной которого является субъект персональных данных, либо выполнение преддоговорных действий по заключению такого договора.
  3. Выполнение обязательств, возложенных на оператора законодательством Российской Федерации.
  4. Защита жизненно важных интересов субъекта персональных данных или другого лица, если субъект сам не в состоянии дать согласие.
  5. Осуществление государственных или муниципальных функций, а также выполнение задач, связанных с обеспечением национальной безопасности, обороны, правопорядка и иных публичных интересов.
  6. Осуществление прав и законных интересов оператора или третьих лиц, при условии, что такие интересы не нарушают основные права и свободы субъекта персональных данных.

При составлении уведомления необходимо обеспечить, чтобы выбранное основание полностью соответствовало реальной цели обработки. Неправильно указать, например, согласие, если обработка проводится исключительно в интересах государства, или наоборот, ссылаться на выполнение обязательств, когда фактически используется согласие субъекта. Такая неточность считается нарушением требований Роскомнадзора и влечет за собой административную ответственность.

Кроме того, в уведомлении следует отразить порядок реализации прав субъекта, включая возможность отзыва согласия в любой момент без ущерба для законности обработки, если иное не предусмотрено законом. Информацию о праве на доступ к своим данным, их исправление и удаление следует представить в простой и понятной форме, чтобы субъект мог оперативно воспользоваться этими правами.

Соблюдение всех перечисленных требований гарантирует законность обработки персональных данных и минимизирует риск наложения штрафных санкций со стороны надзорного органа. Оператор обязан регулярно проверять актуальность уведомления и вносить изменения при изменении целей, способов или правовых оснований обработки. Это демонстрирует готовность к прозрачному взаимодействию с субъектами персональных данных и подтверждает соблюдение нормативных требований.

3.2. Формулирование правового основания в документах

При подготовке документов, направляемых в Роскомнадзор, формулировка правового основания обработки персональных данных должна быть однозначной и соответствовать требованиям Федерального закона № 152‑ФЗ. В тексте необходимо указать конкретный нормативный акт или договор, который служит основанием для сбора, хранения и использования данных. Формулировка должна включать:

  • наименование закона, подзаголовка или статьи, например: «в соответствии с частью 1 статьи 6 Федерального закона «О персональных данных»»;
  • конкретный тип согласия, если обработка основана на добровольном согласии субъекта, с указанием даты получения и формы согласия;
  • цель обработки, соответствующую выбранному основанию, например: «для выполнения условий трудового договора», «для осуществления маркетинговой рассылки», «для соблюдения требований налогового законодательства»;
  • ссылки на договорные обязательства, если обработка связана с исполнением контракта, с указанием номера и даты договора;
  • указание на законные интересы организации, если они являются основанием, с кратким описанием интересов и подтверждением их соразмерности правам субъектов данных.

Важно, чтобы каждое основание было изложено отдельным пунктом, без двусмысленностей. Пример формулировки:

«Обработка персональных данных осуществляется на основании согласия субъекта, полученного в письменной форме 12.03.2025, в соответствии с частью 1 статьи 6 Федерального закона «О персональных данных», а также в целях выполнения трудового договора № 123 от 01.01.2025, предусмотренного частью 3 статьи 5 того же закона.»

Такой подход гарантирует прозрачность, соответствие нормативным требованиям и упрощает проверку со стороны надзорного органа.

3.3. Особенности указания основания для различных категорий данных

3.3.1. Данные работников

Для обработки персональных данных работников необходимо указать законное основание, которое полностью покрывает цели сбора, хранения и использования информации в рамках трудовых отношений. Наиболее надёжным правовым источником является Федеральный закон № 152‑ФЗ «О персональных данных», а также отдельные нормы Трудового кодекса РФ и иных федеральных актов, регулирующих трудовые отношения.

Во-первых, обработка может осуществляться на основании обязательного выполнения трудового договора. Данные используются для оформления и ведения кадрового учёта, расчёта заработной платы, начисления налогов и взносов в фонды обязательного социального страхования. Это основание закреплено в статье 6 ФЗ 152‑ФЗ (обработка персональных данных, необходимая для исполнения договора) и в статье 22 Трудового кодекса (обязанность работодателя вести индивидуальные трудовые книжки, карточки и другие документы).

Во-вторых, закон обязывает работодателя обрабатывать персональные данные для выполнения требований государственных органов. К таким целям относятся предоставление отчётности в Росстат, ФНС, Пенсионный фонд, Фонд социального страхования и другие структуры. Здесь применяется пункт «обработка персональных данных, необходимая для выполнения обязанностей, возложенных на оператора законодательством» (ст. 6 ФЗ 152‑ФЗ).

В-третьих, в случае необходимости обеспечения безопасности труда и предотвращения профессиональных рисков, обработка данных допускается в интересах защиты жизни и здоровья работников. Это предусмотрено пунктом «обеспечение безопасности и охраны труда» (ст. 6 ФЗ 152‑ФЗ) и соответствующими нормами Трудового кодекса о санитарно‑эпидемиологическом надзоре и профилактике профессиональных заболеваний.

Если обработка персональных данных осуществляется с согласия работника, необходимо получить письменное согласие, которое должно содержать чёткое указание целей и сроков обработки. Это согласие является отдельным правовым основанием, но его применение ограничено: согласие не может заменять обязательные основания, предусмотренные законодательством.

Перечень основных правовых оснований для указания в документах, подаваемых в Роскомнадзор:

  • исполнение трудового договора и выполнение обязанностей работодателя (ст. 6 ФЗ 152‑ФЗ);
  • выполнение требований законодательства РФ, в том числе отчётности перед государственными органами (ст. 6 ФЗ 152‑ФЗ);
  • обеспечение охраны труда и безопасность работников (ст. 6 ФЗ 152‑ФЗ);
  • согласие работника, полученное в письменной форме (при наличии согласия).

Указывая эти основания, работодатель демонстрирует полное соответствие требованиям законодательства о персональных данных и гарантирует, что обработка информации о сотрудниках проводится на законных и обоснованных основаниях. Это позволяет избежать претензий со стороны Роскомнадзора и обеспечить надёжную правовую защиту как организации, так и её персонала.

3.3.2. Данные клиентов и контрагентов

Данные клиентов и контрагентов представляют собой информацию, необходимую для осуществления коммерческой деятельности, выполнения договорных обязательств и соблюдения требований законодательства. При их обработке в Роскомнадзоре необходимо указывать конкретное правовое основание, которое оправдывает сбор, хранение и использование персональных сведений.

Во-первых, согласие субъекта персональных данных является самым прямым основанием. Оно должно быть получено в письменной или электронной форме, содержать чёткое указание целей обработки и быть свободно предоставленным. Согласие необходимо, когда обработка выходит за рамки исполнения договора или выполнения обязательств, предусмотренных законом.

Во-вторых, исполнение договора, заключённого между организацией и клиентом (контрагентом), служит законным основанием. Обработка персональных данных в этом случае ограничивается теми целями, которые непосредственно необходимы для выполнения условий договора: оформление заказов, выставление счетов, доставка товаров, предоставление услуг и т.д.

В-третьих, юридические обязательства, вытекающие из нормативных актов, также могут стать основанием. К таким обязательствам относятся, например, предоставление информации в налоговые органы, соблюдение требований по противодействию отмыванию денежных средств, ведение бухгалтерской и кадровой отчётности.

В-четвёртых, законные интересы оператора могут быть использованы в качестве основания, если они не противоречат правам и свободам субъекта персональных данных. При этом необходимо провести оценку интересов, документировать её и обеспечить возможность отказа от обработки по инициативе субъекта.

Ниже приведён перечень типовых правовых оснований, применимых к данным клиентов и контрагентов:

  • Согласие субъекта персональных данных;
  • Исполнение договора, в рамках которого субъект является стороной;
  • Выполнение юридических обязательств, предусмотренных федеральными законами;
  • Защита законных интересов организации, при условии отсутствия превышения интересов субъекта.

Каждое из указанных оснований должно быть отражено в реестре обработки персональных данных и соответствующим образом задокументировано. При формировании заявлений в Роскомнадзор важно чётко указывать, какое из оснований применяется к каждой группе операций, чтобы обеспечить прозрачность и законность обработки.

3.3.3. Данные пользователей веб-сайтов и мобильных приложений

Для обработки персональных данных, получаемых от пользователей веб‑сайтов и мобильных приложений, необходимо указать конкретное правовое основание, которое соответствует требованиям Федерального закона «О персональных данных» и нормативных актов Роскомнадзора.

Во‑первых, если сбор и использование данных осуществляется в рамках предоставления услуги (например, регистрация аккаунта, оформление заказа, доставка контента), правовым основанием выступает выполнение договора, заключённого с пользователем. В этом случае в реестре обработки следует указать: «обеспечение исполнения договора о предоставлении услуг».

Во‑вторых, при получении явного согласия пользователя на обработку его данных (например, согласие на получение рекламных рассылок, аналитики поведения или персонализации контента) основанием становится согласие субъекта персональных данных. В реестре необходимо зафиксировать: «согласие субъекта персональных данных, полученное в порядке, предусмотренном частью 2 статьи 9‑го закона».

В‑третьих, если обработка данных необходима для соблюдения требований законодательства (например, хранение журналов доступа в соответствии с требованиями о безопасности информации), правовым основанием служит выполнение юридических обязательств. Формулировка в реестре: «исполнение обязательств, предусмотренных законодательством Российской Федерации».

В‑четвёртых, в случаях, когда обработка направлена на обеспечение законных интересов оператора (например, защита от мошенничества, обеспечение безопасности системы, проведение статистических исследований, не содержащих идентифицирующей информации), основанием выступают законные интересы. В реестре следует указать: «защита законных интересов оператора, не нарушающих права и свободы субъектов персональных данных».

Если деятельность предполагает обработку специальных категорий данных (например, биометрических данных для аутентификации), необходимо дополнительно подтвердить наличие согласия или иных оснований, предусмотренных статьей 10‑го закона.

Итого, при формировании реестра обработки персональных данных для веб‑ресурса или мобильного приложения рекомендуется:

  1. Чётко определить, какой из перечисленных вариантов является основным для каждой категории собираемых данных.
  2. Оформить соответствующее согласие пользователя в письменной или электронной форме, если оно используется.
  3. Зафиксировать в реестре точную формулировку правового основания, отражающую реальное назначение обработки.

Только при строгом соблюдении этих требований Роскомнадзор признает законность обработки и допускает её в рамках действующего законодательства.

4. Риски и ответственность за неверное указание правового основания

4.1. Административные меры воздействия

Административные меры воздействия, применяемые Роскомнадзором за нарушение требований к обработке персональных данных, включают в себя ряд конкретных действий, направленных на принудительное приведение деятельности субъекта к соответствию законодательству. К таким мерам относятся:

  • Предупреждение и требование устранить нарушения в установленный срок;
  • Наложение административного штрафа в размере, установленном КоАП РФ, с учётом характера и степени тяжести правонарушения;
  • Приостановление или ограничение деятельности по обработке персональных данных, если нарушение представляет угрозу правам и свободам субъектов данных;
  • Приостановление действия лицензии или иного разрешительного документа, если таковое предусмотрено нормативными актами;
  • Обязание организации провести независимую экспертизу или аудит системы защиты персональных данных;
  • Восстановление нарушенных прав субъектов данных, включая направление уведомлений пострадавшим лицам.

Для корректного указания правового основания обработки персональных данных в отчетных документах, подаваемых в Роскомнадзор, необходимо ссылаться на нормативно-правовые акты, которые непосредственно регулируют данную деятельность. Основным источником является Федеральный закон № 152‑ФЗ «О персональных данных», статья 6, пункт 1, где указано, что обработка допускается только при наличии законных целей и в рамках установленных законом ограничений. При этом, если обработка осуществляется в рамках выполнения обязанностей, возложенных законодательством, необходимо также указать соответствующий закон, например, Федеральный закон № 149‑ФЗ «Об информации, информационных технологиях и защите информации», если речь идет о деятельности в сфере связи. При наличии специализированных нормативных актов (постановлений Правительства РФ, приказов Роскомнадзора) их ссылки также включаются в перечень правовых оснований.

Таким образом, в документе, подаваемом в Роскомнадзор, правовое основание должно включать конкретную ссылку на Федеральный закон № 152‑ФЗ «О персональных данных» и, при необходимости, на дополнительные нормативные акты, регламентирующие сферу деятельности организации. Это обеспечивает законность обработки, позволяет избежать административных санкций и демонстрирует готовность к выполнению требований регулятора.

4.2. Требования Роскомнадзора об устранении нарушений

Требования Роскомнадзора об устранении нарушений фиксируют обязательность предоставления полного и достоверного описания правовых оснований, на которых осуществляется обработка персональных данных. При получении предписания организация обязана в ответном документе указать конкретный пункт ФЗ «О персональных данных», который служит правовым основанием каждой операции с данными.

В качестве оснований могут быть указаны:

  • согласие субъекта персональных данных, подтверждённое в письменной или электронной форме;
  • исполнение договора, в рамках которого обработка необходима для выполнения обязательств сторон;
  • исполнение требований законодательства, в том числе налоговых, бухгалтерских и иных нормативных актов;
  • защита жизненно важных интересов субъекта или других физических лиц;
  • выполнение задач, возложенных на государственные органы, в том числе в сфере обороны, безопасности и обеспечения общественного порядка;
  • законные интересы оператора, если они не противоречат правам и свободам субъекта персональных данных;
  • иные основания, предусмотренные федеральным законом.

Если обработка касается специальных категорий персональных данных (расовая и национальная принадлежность, политические взгляды, религиозные убеждения и т.п.), требуется явное согласие субъекта, оформленное отдельно от общего согласия.

Роскомнадзор также требует приложить к ответу копии документов, подтверждающих наличие указанных оснований: договоров, согласий, нормативных актов, судебных решений и иных правовых актов. Отсутствие любого из перечисленных элементов считается нарушением, что влечёт наложение штрафных санкций и продление срока исправления нарушений.

Для ускорения процесса устранения нарушений рекомендуется подготовить перечень всех операций с персональными данными, сопоставить каждую из них с соответствующим правовым основанием и обеспечить наличие подтверждающих документов. Такой подход демонстрирует готовность к сотрудничеству и позволяет избежать повторных предписаний со стороны надзорного органа.