Часто задают: как оформить обработку ПДн по закону? — Q&A 🔍

Меня зовут Кристина, и я более 3 лет помогаю онлайн‑экспертам безопасно собирать и хранить персональные данные. Отвечаю на самые частые вопросы по оформлению обработки ПДн по 152‑ФЗ, разъяснениям Роскомнадзора и КоАП РФ.

Вопрос 1. Нужно ли получать согласие для любой обработки ПДн на сайте?

Ответ:

Да. Согласно ч. 4 ст. 9 ФЗ‑152, любая обработка персональных данных должна основываться на одном из законных оснований, а самым распространённым является конкретное, информированное и сознательное согласие субъекта ПДн. Согласие оформляется отдельной галочкой в форме, без предустановок, с указанием целей и способов обработки, а также порядком отзыва согласия.

Вопрос 2. Как правильно оформить политику конфиденциальности?

Ответ:

В политике (ч. 1 ст. 18 ФЗ‑152) нужно указать:

1. Полное наименование оператора (ИП или ООО), юридический/фактический адрес и email для связи.

2. Перечень собираемых данных (ФИО, email, телефон и т. д.).

3. Цели обработки (рассылки, аналитика, CRM и пр.).

4. Сроки хранения данных и порядок их удаления.

5. Перечень третьих лиц‑партнёров, которым данные передаются и другое

Политика должна быть доступна по единой ссылке из подвала или меню сайта.

Вопрос 3. Когда и как нужно уведомлять Роскомнадзор?

Ответ:

До начала обработки ПДн оператор обязан подать уведомление в Роскомнадзор (ч. 1 ст. 22 ФЗ‑152). Уведомление подают ВСЕ операторы, которые занимаются автоматизированной обработкой данных. Автоматизированная, то есть с использованием технических средств (телефон, компьютер, специальные средства и т.д.). Рассказать больше про автоматизированную обработку?

По правилам:

• Подаёте форму через портал ПДн РКН или почтой.
• После подачи в течение 30 дней вас вносят в реестр операторов.
• При изменении целей или инструментов обработки нужно подать уточнение не позднее 10 рабочих дней.

Вопрос 4. Есть ли исключения из требования согласия?

Ответ:

Да, согласие не требуется, если обработка осуществляется:

• по исполнительным документам (судебным решениям);
• для защиты жизни и здоровья (если невозможно получить согласие);
• для статистики и научных исследований после обезличивания данных;
• для реализации прав и законных интересов оператора при условии, что это не нарушает права субъекта (ч. 1 ст. 6 ФЗ‑152)

Вопрос 5. Как субъект может отозвать своё согласие и что должен сделать оператор?

Ответ:

Согласно ч. 2 ст. 9 ФЗ‑152, субъект ПДн вправе отозвать согласие в любой момент. После получения отзыва оператор обязан:

• Незамедлительно прекратить обработку данных, основанную на этом согласии.
• Удалить или обезличить персональные данные, если иное не предусмотрено иными законами.
• Сообщить субъекту о результатах отзыва или обосновать, почему обработка может продолжаться (например, если есть иное законное основание).

Это позволяет контролировать использование своих данных и гарантирует право на неприкосновенность информации.

Итог

1. Соберите явные согласия субъектов через формы с отдельными галочками.
2. Опубликуйте политику ПДн с полными данными оператора и целями обработки.
3. Уведомьте Роскомнадзор до начала работы с данными и обновляйте уведомление при изменениях.
4. Обеспечьте возможность отзыва согласия и алгоритм действий после него.

Для уверенности в корректности оформления вы можете заказать мини‑аудит сайта — проверка форм, текстов, подвала, политики и всех согласий поможет исключить риски.

❓Ещё остались вопросы? Пишите в комментариях!