Основания обработки персональных данных
Подборка наиболее важных документов по запросу Основания обработки персональных данных (нормативно–правовые акты, формы, статьи, консультации экспертов и многое другое).
Судебная практика
Подборка судебных решений за 2024 год: Статья 13.11 "Нарушение законодательства Российской Федерации в области персональных данных" КоАП РФДействия ООО "УК Управдом-7" по обработке персональных данных заявителей подпадают под правовые основания, предусмотренные пунктом 2, пунктом 5 части 1 статьи 6 Закона о персональных данных, что исключает наличие оснований для вывода о нарушениях обществом законодательства Российской Федерации в сфере персональных данных.
Статьи, комментарии, ответы на вопросы
Путеводитель по госуслугам для юридических лиц. Представление уведомления об обработке персональных данных- основание прекращения обработки персональных данных: ликвидация оператора, его реорганизация, прекращение деятельности по обработке персональных данных, аннулирование лицензии, наступление срока или условия прекращения обработки персональных данных, указанного в уведомлении, вступившее в законную силу решение суда и др.;
Готовое решение: Каковы обязанности оператора персональных данных
(КонсультантПлюс, 2025)Что указывать в качестве правового обоснования обработки персональных данных при заполнении уведомления об обработке персональных данных
(КонсультантПлюс, 2025)Что указывать в качестве правового обоснования обработки персональных данных при заполнении уведомления об обработке персональных данных
Нормативные акты
Федеральный закон от 27.07.2006 N 152-ФЗ
(ред. от 24.06.2025)
"О персональных данных"3.1. При предоставлении сведений, предусмотренных частью 3 настоящей статьи, оператор для каждой цели обработки персональных данных указывает категории персональных данных, категории субъектов, персональные данные которых обрабатываются, правовое основание обработки персональных данных, перечень действий с персональными данными, способы обработки персональных данных.
(ред. от 24.06.2025)
"О персональных данных"3.1. При предоставлении сведений, предусмотренных частью 3 настоящей статьи, оператор для каждой цели обработки персональных данных указывает категории персональных данных, категории субъектов, персональные данные которых обрабатываются, правовое основание обработки персональных данных, перечень действий с персональными данными, способы обработки персональных данных.
Формы
Форма: Политика оператора в отношении обработки персональных данных (образец заполнения)
(КонсультантПлюс, 2025)3. Правовые основания обработки персональных данных
(КонсультантПлюс, 2025)3. Правовые основания обработки персональных данных
Статья: Обезличенные данные: есть ли будущее в России?
(Сафьянников А.В.)
("Вестник экономического правосудия Российской Федерации", 2022, N 9)Введение новых оснований обработки персональных данных в целях, предусмотренных Законом об экспериментальных правовых режимах и Законом о проведении эксперимента в г. Москве, должно было способствовать развитию рынка обезличенных данных. Но с учетом громоздкой процедуры разработки и утверждения экспериментального правового режима, а также ограничений по обработке обезличенных данных только участниками такого режима на территории "регуляторной песочницы" реализовать эти цели пока не удалось <25>. Проекты с применением обезличенных данных существуют на настоящий момент только в Москве, где тем не менее их обработка возможна только на основании соглашения с органом исполнительной власти субъекта (Департаментом информационных технологий г. Москвы), обладающим полной монополией на потоки обезличенной информации (п. 6 ч. 1 ст. 4 Закона о проведении эксперимента в г. Москве, п. 3 Постановления Правительства Москвы от 3 декабря 2020 года N 2138-ПП). Из-за того что такие данные могут обрабатываться исключительно на территории Москвы (ч. 7 ст. 4 Закона о проведении эксперимента в г. Москве), потенциальным получателям необходимо перенести свои вычислительные мощности и отказаться от услуг большинства иностранных вендоров, не локализованных на территории РФ, что создает существенные препятствия для реализации большинства проектов.
(Сафьянников А.В.)
("Вестник экономического правосудия Российской Федерации", 2022, N 9)Введение новых оснований обработки персональных данных в целях, предусмотренных Законом об экспериментальных правовых режимах и Законом о проведении эксперимента в г. Москве, должно было способствовать развитию рынка обезличенных данных. Но с учетом громоздкой процедуры разработки и утверждения экспериментального правового режима, а также ограничений по обработке обезличенных данных только участниками такого режима на территории "регуляторной песочницы" реализовать эти цели пока не удалось <25>. Проекты с применением обезличенных данных существуют на настоящий момент только в Москве, где тем не менее их обработка возможна только на основании соглашения с органом исполнительной власти субъекта (Департаментом информационных технологий г. Москвы), обладающим полной монополией на потоки обезличенной информации (п. 6 ч. 1 ст. 4 Закона о проведении эксперимента в г. Москве, п. 3 Постановления Правительства Москвы от 3 декабря 2020 года N 2138-ПП). Из-за того что такие данные могут обрабатываться исключительно на территории Москвы (ч. 7 ст. 4 Закона о проведении эксперимента в г. Москве), потенциальным получателям необходимо перенести свои вычислительные мощности и отказаться от услуг большинства иностранных вендоров, не локализованных на территории РФ, что создает существенные препятствия для реализации большинства проектов.
Статья: Легализация передачи персональных данных при работе с внешними и внутренними консультантами и аудиторами
(Белякова Ю., Лукаш Д.)
("Внутренний контроль в кредитной организации", 2025, N 1)Законный интерес является достаточным основанием обработки персональных данных при обработке документов (п. 7 ст. 6 Закона N 152-ФЗ), содержащих персональные данные, и не требует дополнительного согласия субъектов персональных данных и при внутреннем аудите. Так, например, Центральный районный суд г. Кемерово в своем решении от 30.09.2022 по делу N 12-532/2022 встал на сторону органа Роскомнадзора и банка, подтвердив, что внутренняя проверка (ревизия) работников на предмет соблюдения локального акта по конфликту интересов правомерно проведена на основании законного интереса.
(Белякова Ю., Лукаш Д.)
("Внутренний контроль в кредитной организации", 2025, N 1)Законный интерес является достаточным основанием обработки персональных данных при обработке документов (п. 7 ст. 6 Закона N 152-ФЗ), содержащих персональные данные, и не требует дополнительного согласия субъектов персональных данных и при внутреннем аудите. Так, например, Центральный районный суд г. Кемерово в своем решении от 30.09.2022 по делу N 12-532/2022 встал на сторону органа Роскомнадзора и банка, подтвердив, что внутренняя проверка (ревизия) работников на предмет соблюдения локального акта по конфликту интересов правомерно проведена на основании законного интереса.
Статья: Влияние цифровизации на состояние правовой защищенности частной жизни
(Авдеев Д.А.)
("Государственная власть и местное самоуправление", 2023, N 11)Еще одна опасность заключается в том, что появляются новые электронные сервисы, агрегирующие информацию о гражданах и распространяющие ее. Один из самых резонансных случаев нарушения прав граждан в этом контексте связан с функционированием сервиса "Глаз Бога" в мессенджере Telegram. Сервис предоставлял пользователям Интернета информацию, содержащую персональные данные граждан, которую собирал как из открытых источников, так и из материалов "утечек". Роскомнадзор проверил деятельность бота на предмет исполнения требований законодательства о персональных данных. Было установлено, что правовых оснований для обработки персональных данных нет. В 2021 г. решением Таганского районного суда г. Москвы данный интернет-ресурс был включен в Реестр нарушителей прав субъектов персональных данных <8>.
(Авдеев Д.А.)
("Государственная власть и местное самоуправление", 2023, N 11)Еще одна опасность заключается в том, что появляются новые электронные сервисы, агрегирующие информацию о гражданах и распространяющие ее. Один из самых резонансных случаев нарушения прав граждан в этом контексте связан с функционированием сервиса "Глаз Бога" в мессенджере Telegram. Сервис предоставлял пользователям Интернета информацию, содержащую персональные данные граждан, которую собирал как из открытых источников, так и из материалов "утечек". Роскомнадзор проверил деятельность бота на предмет исполнения требований законодательства о персональных данных. Было установлено, что правовых оснований для обработки персональных данных нет. В 2021 г. решением Таганского районного суда г. Москвы данный интернет-ресурс был включен в Реестр нарушителей прав субъектов персональных данных <8>.
Вопрос: Самозанятый на основании договора оказывает услуги по бухгалтерскому сопровождению организации. Требуется ли ему получать согласие на обработку персональных данных работников организации?
(Консультация эксперта, 2023)Вопрос: Самозанятый на основании договора оказывает услуги по бухгалтерскому сопровождению организации. Требуется ли ему получать согласие на обработку персональных данных работников организации?
(Консультация эксперта, 2023)Вопрос: Самозанятый на основании договора оказывает услуги по бухгалтерскому сопровождению организации. Требуется ли ему получать согласие на обработку персональных данных работников организации?
"Глобальный атлас регулирования искусственного интеллекта. Вектор БРИКС"
(3-е издание, переработанное и дополненное)
(под ред. А.В. Незнамова)
(Подготовлен для системы КонсультантПлюс, 2024)В Российской Федерации установлены правила автоматизированной обработки персональных данных только для отдельных случаев. Так, принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, допускается только при наличии согласия в письменной форме субъекта персональных данных или в случаях, предусмотренных федеральными законами (ст. 16 Закона N 152-ФЗ) [359].
(3-е издание, переработанное и дополненное)
(под ред. А.В. Незнамова)
(Подготовлен для системы КонсультантПлюс, 2024)В Российской Федерации установлены правила автоматизированной обработки персональных данных только для отдельных случаев. Так, принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, допускается только при наличии согласия в письменной форме субъекта персональных данных или в случаях, предусмотренных федеральными законами (ст. 16 Закона N 152-ФЗ) [359].
Статья: Правовые аспекты обработки банками данных клиентов: между Сциллой и Харибдой
(Ушаков Д.А.)
("Банковское право", 2022, N 2)2. Еще одной важной темой представляется давно назревшая потребность в уточнении перечня случаев, при которых финансовые организации могут обрабатывать данные клиента без его согласия для целей предоставления своих услуг. Стоит отметить, что в действующем законодательстве установлен весьма обширный перечень таких случаев, и кажется, что для банков ситуация должна быть вполне комфортной, так как п. 5 ч. 1 ст. 6 Федерального закона N 152-ФЗ прямо устанавливает, что если обработка персональных данных осуществляется для целей заключения или исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, то это является самостоятельным правовым основанием обработки персональных данных и получать согласие в этом случае не требуется. Таким образом, получается, что при заключении, например, кредитного договора банк имеет полное право обрабатывать персональные данные в целях исполнения этого договора. Однако практика показала, что использовать эту норму можно только частично, так как в рамках предоставления кредита банку необходимо решить ряд сопутствующих вопросов, требующих обработки персональных данных: оценить платежеспособность заемщика, минимизировать риски невозврата кредита <7>, организовать работу по возврату просроченной задолженности при неисполнении заемщиком своих обязательств <8>, а также осуществить мероприятия по противодействию осуществлению мошеннических действий <9>.
(Ушаков Д.А.)
("Банковское право", 2022, N 2)2. Еще одной важной темой представляется давно назревшая потребность в уточнении перечня случаев, при которых финансовые организации могут обрабатывать данные клиента без его согласия для целей предоставления своих услуг. Стоит отметить, что в действующем законодательстве установлен весьма обширный перечень таких случаев, и кажется, что для банков ситуация должна быть вполне комфортной, так как п. 5 ч. 1 ст. 6 Федерального закона N 152-ФЗ прямо устанавливает, что если обработка персональных данных осуществляется для целей заключения или исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, то это является самостоятельным правовым основанием обработки персональных данных и получать согласие в этом случае не требуется. Таким образом, получается, что при заключении, например, кредитного договора банк имеет полное право обрабатывать персональные данные в целях исполнения этого договора. Однако практика показала, что использовать эту норму можно только частично, так как в рамках предоставления кредита банку необходимо решить ряд сопутствующих вопросов, требующих обработки персональных данных: оценить платежеспособность заемщика, минимизировать риски невозврата кредита <7>, организовать работу по возврату просроченной задолженности при неисполнении заемщиком своих обязательств <8>, а также осуществить мероприятия по противодействию осуществлению мошеннических действий <9>.
Статья: Какие документы запросит Роскомнадзор на проверке по персданным
(Жижерина Ю., Снежкина Т.)
("Юридический справочник руководителя", 2024, N 4)- правовое основание обработки персональных данных (необходимость получения согласия на обработку либо заключение договора, ссылки на нормы: статьи/части/пункты/подпункты закона или подзаконного акта);
(Жижерина Ю., Снежкина Т.)
("Юридический справочник руководителя", 2024, N 4)- правовое основание обработки персональных данных (необходимость получения согласия на обработку либо заключение договора, ссылки на нормы: статьи/части/пункты/подпункты закона или подзаконного акта);
Статья: Сфера применения права на забвение: комментарий к Постановлению Большой палаты Европейского суда по правам человека по делу "Хурбейн против Бельгии"
(Дедов Д.И., Гаджиев Х.И.)
("Журнал зарубежного законодательства и сравнительного правоведения", 2024, N 2)Перейдем к более позднему документу, а именно к Регламенту Европейского Парламента и Совета ЕС 2016/679 от 27 апреля 2016 г. о защите физических лиц в отношении обработки персональных данных и о свободном перемещении таких данных (вступил в силу 25 мая 2018 г.), который содержит специальную ст. 17 о праве на забвение (право на стирание информации, право быть забытым). Статья 17 связывает это право с правовым институтом персональных данных и наделяет частных лиц правом требовать их удаления, если они больше не являются необходимыми для достижения цели, в связи с которой они были собраны и обработаны, или в случае отсутствия согласия или законных оснований на обработку персональных данных. Однако эти положения не применяются "в той мере, в какой обработка необходима" (принцип соразмерности) (а) для осуществления права на свободу выражения мнений и информации и (б) для целей архивирования в общественных интересах научных или исторических исследований или статистических целей в той мере, в какой право на забвение может сделать невозможным или серьезно затруднить достижение целей такой обработки.
(Дедов Д.И., Гаджиев Х.И.)
("Журнал зарубежного законодательства и сравнительного правоведения", 2024, N 2)Перейдем к более позднему документу, а именно к Регламенту Европейского Парламента и Совета ЕС 2016/679 от 27 апреля 2016 г. о защите физических лиц в отношении обработки персональных данных и о свободном перемещении таких данных (вступил в силу 25 мая 2018 г.), который содержит специальную ст. 17 о праве на забвение (право на стирание информации, право быть забытым). Статья 17 связывает это право с правовым институтом персональных данных и наделяет частных лиц правом требовать их удаления, если они больше не являются необходимыми для достижения цели, в связи с которой они были собраны и обработаны, или в случае отсутствия согласия или законных оснований на обработку персональных данных. Однако эти положения не применяются "в той мере, в какой обработка необходима" (принцип соразмерности) (а) для осуществления права на свободу выражения мнений и информации и (б) для целей архивирования в общественных интересах научных или исторических исследований или статистических целей в той мере, в какой право на забвение может сделать невозможным или серьезно затруднить достижение целей такой обработки.
Статья: Конец общедоступных персональных данных в России? К вопросу о Федеральном законе от 30 декабря 2020 года N 519-ФЗ
(Абышко А.О.)
("Закон", 2022, N 3)В условиях сокращения доступных операторам оснований обработки персональных данных, находящихся в открытом доступе, не исключена реанимация относительно редко применяемого основания, а именно обработки в статистических или иных исследовательских целях (при условии обязательного обезличивания) <27>, в связи с принятием в первом чтении законопроекта <28>, уточняющего полномочия Роскомнадзора по утверждению требований и методов обезличивания персональных данных. Редкая применимость данного основания объясняется сложившимся рестриктивным подходом Роскомнадзора, поддерживаемого судами <29>, который не позволяет применять по аналогии требования к обезличиванию персональных данных, утвержденные для государственных и муниципальных органов <30>, к деятельности иных организаций, в частности коммерческих.
(Абышко А.О.)
("Закон", 2022, N 3)В условиях сокращения доступных операторам оснований обработки персональных данных, находящихся в открытом доступе, не исключена реанимация относительно редко применяемого основания, а именно обработки в статистических или иных исследовательских целях (при условии обязательного обезличивания) <27>, в связи с принятием в первом чтении законопроекта <28>, уточняющего полномочия Роскомнадзора по утверждению требований и методов обезличивания персональных данных. Редкая применимость данного основания объясняется сложившимся рестриктивным подходом Роскомнадзора, поддерживаемого судами <29>, который не позволяет применять по аналогии требования к обезличиванию персональных данных, утвержденные для государственных и муниципальных органов <30>, к деятельности иных организаций, в частности коммерческих.
Статья: Информация об интересах и поведении потребителя как объект правоотношений в период цифровизации
(Белов В.А.)
("Журнал российского права", 2023, N 2)В рамках приведенных положений указание О.М. Ксенофонтова о незаконности парсинга данных пользователей социальных сетей без их предварительного согласия <28> выглядит весьма обоснованным, в том числе для целей защиты неприкосновенности частной жизни граждан и потребителей. Аналогичный вывод следует из судебного дела, где компания Google, зарегистрированная на территории Российской Федерации, была привлечена к ответственности за нарушение тайны переписки, поскольку, используя специальное программное обеспечение, размещала рекламу в электронной почте пользователя, руководствуясь результатами мониторинга его электронной корреспонденции <29>. В связи с этим возникает закономерный вопрос: насколько правомерным является подход, связанный с автоматическим проставлением (предоставлением) согласия о том, что, продолжая использовать ресурс, пользователь - потенциальный потребитель выражает согласие с тем, что данные о нем и его скрытых интересах будут собираться, обрабатываться или даже продаваться, хотя и с применением методик по обезличиванию и автоматизации на основании соответствующего алгоритма, содержащегося в цифровом пространстве? А.В. Гапанович справедливо отмечает, что предоставлением подобных согласий является не более чем формальностью, не основанной на добровольном волеизъявлении субъектов персональных данных, поскольку усматривается неравенство статусов <30>, в связи с тем что такого рода соглашения заключаются по модели договора присоединения, имеющего одноименное наименование click-wrap-соглашений, где факт заключения договора осуществляется щелчком компьютерной мыши в окошке согласия с условиями конфиденциальности и сбора cookies <31>. "...Проблема может заключаться в том, что если сайт предоставляет уникальный контент, то пользователю не остается ничего иного, как принять предложение, иначе просмотреть информацию он не сможет. Другими словами, должно ли у пользователя быть право просматривать сайт без применения к нему соответствующих технологий? Ответ на данный вопрос остается открытым..." <32>. Отметим, что в судебной практике также встречаются дела, по результатам рассмотрения которых суд признает нарушение компаниями порядка обработки персональных данных и находит основания для включения веб-сайта в реестр нарушителей прав субъектов персональных данных. Так, в одном из дел суд указал: "...на сайте не реализован функционал, предполагающий получение конкретного, информированного и сознательного согласия на обработку персональных данных, а равно отсутствует информация о наличии иных правовых оснований на обработку персональных данных..." <33>.
(Белов В.А.)
("Журнал российского права", 2023, N 2)В рамках приведенных положений указание О.М. Ксенофонтова о незаконности парсинга данных пользователей социальных сетей без их предварительного согласия <28> выглядит весьма обоснованным, в том числе для целей защиты неприкосновенности частной жизни граждан и потребителей. Аналогичный вывод следует из судебного дела, где компания Google, зарегистрированная на территории Российской Федерации, была привлечена к ответственности за нарушение тайны переписки, поскольку, используя специальное программное обеспечение, размещала рекламу в электронной почте пользователя, руководствуясь результатами мониторинга его электронной корреспонденции <29>. В связи с этим возникает закономерный вопрос: насколько правомерным является подход, связанный с автоматическим проставлением (предоставлением) согласия о том, что, продолжая использовать ресурс, пользователь - потенциальный потребитель выражает согласие с тем, что данные о нем и его скрытых интересах будут собираться, обрабатываться или даже продаваться, хотя и с применением методик по обезличиванию и автоматизации на основании соответствующего алгоритма, содержащегося в цифровом пространстве? А.В. Гапанович справедливо отмечает, что предоставлением подобных согласий является не более чем формальностью, не основанной на добровольном волеизъявлении субъектов персональных данных, поскольку усматривается неравенство статусов <30>, в связи с тем что такого рода соглашения заключаются по модели договора присоединения, имеющего одноименное наименование click-wrap-соглашений, где факт заключения договора осуществляется щелчком компьютерной мыши в окошке согласия с условиями конфиденциальности и сбора cookies <31>. "...Проблема может заключаться в том, что если сайт предоставляет уникальный контент, то пользователю не остается ничего иного, как принять предложение, иначе просмотреть информацию он не сможет. Другими словами, должно ли у пользователя быть право просматривать сайт без применения к нему соответствующих технологий? Ответ на данный вопрос остается открытым..." <32>. Отметим, что в судебной практике также встречаются дела, по результатам рассмотрения которых суд признает нарушение компаниями порядка обработки персональных данных и находит основания для включения веб-сайта в реестр нарушителей прав субъектов персональных данных. Так, в одном из дел суд указал: "...на сайте не реализован функционал, предполагающий получение конкретного, информированного и сознательного согласия на обработку персональных данных, а равно отсутствует информация о наличии иных правовых оснований на обработку персональных данных..." <33>.