Правовое основание обработки персональных данных
Подборка наиболее важных документов по запросу Правовое основание обработки персональных данных (нормативно–правовые акты, формы, статьи, консультации экспертов и многое другое).
Формы документов
Форма: Политика оператора в отношении обработки персональных данных (образец заполнения)
(КонсультантПлюс, 2025)3. Правовые основания обработки персональных данных
(КонсультантПлюс, 2025)3. Правовые основания обработки персональных данных
Судебная практика
Подборка судебных решений за 2024 год: Статья 13.11 "Нарушение законодательства Российской Федерации в области персональных данных" КоАП РФДействия ООО "УК Управдом-7" по обработке персональных данных заявителей подпадают под правовые основания, предусмотренные пунктом 2, пунктом 5 части 1 статьи 6 Закона о персональных данных, что исключает наличие оснований для вывода о нарушениях обществом законодательства Российской Федерации в сфере персональных данных.
Статьи, комментарии, ответы на вопросы
Готовое решение: Каковы обязанности оператора персональных данных
(КонсультантПлюс, 2025)Что указывать в качестве правового обоснования обработки персональных данных при заполнении уведомления об обработке персональных данных
(КонсультантПлюс, 2025)Что указывать в качестве правового обоснования обработки персональных данных при заполнении уведомления об обработке персональных данных
Готовое решение: В каких случаях и как оператор должен обезличивать персональные данные
(КонсультантПлюс, 2025)Учтите при оценке правовые основания для обработки персональных данных, подлежащих обезличиванию, категории субъектов, чьи персональные данные вы будете обезличивать, и категории таких данных;
(КонсультантПлюс, 2025)Учтите при оценке правовые основания для обработки персональных данных, подлежащих обезличиванию, категории субъектов, чьи персональные данные вы будете обезличивать, и категории таких данных;
Нормативные акты
Федеральный закон от 27.07.2006 N 152-ФЗ
(ред. от 24.06.2025)
"О персональных данных"3.1. При предоставлении сведений, предусмотренных частью 3 настоящей статьи, оператор для каждой цели обработки персональных данных указывает категории персональных данных, категории субъектов, персональные данные которых обрабатываются, правовое основание обработки персональных данных, перечень действий с персональными данными, способы обработки персональных данных.
(ред. от 24.06.2025)
"О персональных данных"3.1. При предоставлении сведений, предусмотренных частью 3 настоящей статьи, оператор для каждой цели обработки персональных данных указывает категории персональных данных, категории субъектов, персональные данные которых обрабатываются, правовое основание обработки персональных данных, перечень действий с персональными данными, способы обработки персональных данных.
Статья: Информация об интересах и поведении потребителя как объект правоотношений в период цифровизации
(Белов В.А.)
("Журнал российского права", 2023, N 2)В рамках приведенных положений указание О.М. Ксенофонтова о незаконности парсинга данных пользователей социальных сетей без их предварительного согласия <28> выглядит весьма обоснованным, в том числе для целей защиты неприкосновенности частной жизни граждан и потребителей. Аналогичный вывод следует из судебного дела, где компания Google, зарегистрированная на территории Российской Федерации, была привлечена к ответственности за нарушение тайны переписки, поскольку, используя специальное программное обеспечение, размещала рекламу в электронной почте пользователя, руководствуясь результатами мониторинга его электронной корреспонденции <29>. В связи с этим возникает закономерный вопрос: насколько правомерным является подход, связанный с автоматическим проставлением (предоставлением) согласия о том, что, продолжая использовать ресурс, пользователь - потенциальный потребитель выражает согласие с тем, что данные о нем и его скрытых интересах будут собираться, обрабатываться или даже продаваться, хотя и с применением методик по обезличиванию и автоматизации на основании соответствующего алгоритма, содержащегося в цифровом пространстве? А.В. Гапанович справедливо отмечает, что предоставлением подобных согласий является не более чем формальностью, не основанной на добровольном волеизъявлении субъектов персональных данных, поскольку усматривается неравенство статусов <30>, в связи с тем что такого рода соглашения заключаются по модели договора присоединения, имеющего одноименное наименование click-wrap-соглашений, где факт заключения договора осуществляется щелчком компьютерной мыши в окошке согласия с условиями конфиденциальности и сбора cookies <31>. "...Проблема может заключаться в том, что если сайт предоставляет уникальный контент, то пользователю не остается ничего иного, как принять предложение, иначе просмотреть информацию он не сможет. Другими словами, должно ли у пользователя быть право просматривать сайт без применения к нему соответствующих технологий? Ответ на данный вопрос остается открытым..." <32>. Отметим, что в судебной практике также встречаются дела, по результатам рассмотрения которых суд признает нарушение компаниями порядка обработки персональных данных и находит основания для включения веб-сайта в реестр нарушителей прав субъектов персональных данных. Так, в одном из дел суд указал: "...на сайте не реализован функционал, предполагающий получение конкретного, информированного и сознательного согласия на обработку персональных данных, а равно отсутствует информация о наличии иных правовых оснований на обработку персональных данных..." <33>.
(Белов В.А.)
("Журнал российского права", 2023, N 2)В рамках приведенных положений указание О.М. Ксенофонтова о незаконности парсинга данных пользователей социальных сетей без их предварительного согласия <28> выглядит весьма обоснованным, в том числе для целей защиты неприкосновенности частной жизни граждан и потребителей. Аналогичный вывод следует из судебного дела, где компания Google, зарегистрированная на территории Российской Федерации, была привлечена к ответственности за нарушение тайны переписки, поскольку, используя специальное программное обеспечение, размещала рекламу в электронной почте пользователя, руководствуясь результатами мониторинга его электронной корреспонденции <29>. В связи с этим возникает закономерный вопрос: насколько правомерным является подход, связанный с автоматическим проставлением (предоставлением) согласия о том, что, продолжая использовать ресурс, пользователь - потенциальный потребитель выражает согласие с тем, что данные о нем и его скрытых интересах будут собираться, обрабатываться или даже продаваться, хотя и с применением методик по обезличиванию и автоматизации на основании соответствующего алгоритма, содержащегося в цифровом пространстве? А.В. Гапанович справедливо отмечает, что предоставлением подобных согласий является не более чем формальностью, не основанной на добровольном волеизъявлении субъектов персональных данных, поскольку усматривается неравенство статусов <30>, в связи с тем что такого рода соглашения заключаются по модели договора присоединения, имеющего одноименное наименование click-wrap-соглашений, где факт заключения договора осуществляется щелчком компьютерной мыши в окошке согласия с условиями конфиденциальности и сбора cookies <31>. "...Проблема может заключаться в том, что если сайт предоставляет уникальный контент, то пользователю не остается ничего иного, как принять предложение, иначе просмотреть информацию он не сможет. Другими словами, должно ли у пользователя быть право просматривать сайт без применения к нему соответствующих технологий? Ответ на данный вопрос остается открытым..." <32>. Отметим, что в судебной практике также встречаются дела, по результатам рассмотрения которых суд признает нарушение компаниями порядка обработки персональных данных и находит основания для включения веб-сайта в реестр нарушителей прав субъектов персональных данных. Так, в одном из дел суд указал: "...на сайте не реализован функционал, предполагающий получение конкретного, информированного и сознательного согласия на обработку персональных данных, а равно отсутствует информация о наличии иных правовых оснований на обработку персональных данных..." <33>.
Статья: Какие документы запросит Роскомнадзор на проверке по персданным
(Жижерина Ю., Снежкина Т.)
("Юридический справочник руководителя", 2024, N 4)- правовое основание обработки персональных данных (необходимость получения согласия на обработку либо заключение договора, ссылки на нормы: статьи/части/пункты/подпункты закона или подзаконного акта);
(Жижерина Ю., Снежкина Т.)
("Юридический справочник руководителя", 2024, N 4)- правовое основание обработки персональных данных (необходимость получения согласия на обработку либо заключение договора, ссылки на нормы: статьи/части/пункты/подпункты закона или подзаконного акта);
Готовое решение: Какие существуют требования к обработке персональных данных работников организации
(КонсультантПлюс, 2025)Такой документ должен включать в себя, в частности, сведения о цели сбора персональных данных, правовых основаниях их обработки, объеме и категориях обрабатываемых данных, порядке и условиях их обработки.
(КонсультантПлюс, 2025)Такой документ должен включать в себя, в частности, сведения о цели сбора персональных данных, правовых основаниях их обработки, объеме и категориях обрабатываемых данных, порядке и условиях их обработки.
Статья: Легализация передачи персональных данных при работе с внешними и внутренними консультантами и аудиторами
(Белякова Ю., Лукаш Д.)
("Внутренний контроль в кредитной организации", 2025, N 1)Несколько слов об обезличивании передаваемых персональных данных. В своей практике мы встречали случаи, когда аудиторская организация и аудируемая организация включают в договор положение о передаче только обезличенных персональных данных. Обезличенные персональные данные по-прежнему являются персональными данными, а обезличивание является способом обработки персональных данных (ст. 3 Закона N 152-ФЗ), которое должно осуществляться по заранее определенной методике и на соответствующих основаниях, предусмотренных ч. 1 ст. 6 Закона N 152-ФЗ. Использование терминологии "обезличенные" добавляет необходимость внедрения аудируемому лицу процессов обезличивания персональных данных, что повышает операционную нагрузку и не устраняет, а увеличивает риск, связанный с правовыми основаниями обработки персональных данных, хотя риск информационной безопасности снижается.
(Белякова Ю., Лукаш Д.)
("Внутренний контроль в кредитной организации", 2025, N 1)Несколько слов об обезличивании передаваемых персональных данных. В своей практике мы встречали случаи, когда аудиторская организация и аудируемая организация включают в договор положение о передаче только обезличенных персональных данных. Обезличенные персональные данные по-прежнему являются персональными данными, а обезличивание является способом обработки персональных данных (ст. 3 Закона N 152-ФЗ), которое должно осуществляться по заранее определенной методике и на соответствующих основаниях, предусмотренных ч. 1 ст. 6 Закона N 152-ФЗ. Использование терминологии "обезличенные" добавляет необходимость внедрения аудируемому лицу процессов обезличивания персональных данных, что повышает операционную нагрузку и не устраняет, а увеличивает риск, связанный с правовыми основаниями обработки персональных данных, хотя риск информационной безопасности снижается.
Статья: Значение институтов согласия на использование изображения гражданина и согласия на обработку персональных данных для регулирования рынка гражданского оборота данных
(Донников Ю.Е.)
("Хозяйство и право", 2022, N 3)Закон о персональных данных направлен на защиту публичного интереса в виде придания значимой общественной ценности приватности частной жизни физических лиц. Законодатель в таком отдельном акте, как Закон N 149-ФЗ, подчеркивает особую чувствительность такой категории информации и поэтому через этот Закон устанавливает не только правовые основания к обработке персональных данных, но и технические требования к защите таких данных и обеспечению режима их конфиденциальности. Общественная значимость возникает тогда, когда риск нарушения какого-либо блага может носить массовый характер. Именно по этой причине законодатель мог исключить из-под регулирования этого Закона случаи обработки персональных данных для личных и семейных нужд (подп. 2 ст. 1 Закона о персональных данных).
(Донников Ю.Е.)
("Хозяйство и право", 2022, N 3)Закон о персональных данных направлен на защиту публичного интереса в виде придания значимой общественной ценности приватности частной жизни физических лиц. Законодатель в таком отдельном акте, как Закон N 149-ФЗ, подчеркивает особую чувствительность такой категории информации и поэтому через этот Закон устанавливает не только правовые основания к обработке персональных данных, но и технические требования к защите таких данных и обеспечению режима их конфиденциальности. Общественная значимость возникает тогда, когда риск нарушения какого-либо блага может носить массовый характер. Именно по этой причине законодатель мог исключить из-под регулирования этого Закона случаи обработки персональных данных для личных и семейных нужд (подп. 2 ст. 1 Закона о персональных данных).
"Научно-практический постатейный комментарий к Федеральному закону "О персональных данных"
(2-е издание, переработанное и дополненное)
(Савельев А.И.)
("Статут", 2021)3) правовые основания обработки персональных данных (федеральные законы и принятые на их основе нормативные правовые акты, регулирующие отношения, связанные с деятельностью оператора; уставные документы оператора; договоры, заключаемые между оператором и субъектом персональных данных; согласие на обработку персональных данных и др.);
(2-е издание, переработанное и дополненное)
(Савельев А.И.)
("Статут", 2021)3) правовые основания обработки персональных данных (федеральные законы и принятые на их основе нормативные правовые акты, регулирующие отношения, связанные с деятельностью оператора; уставные документы оператора; договоры, заключаемые между оператором и субъектом персональных данных; согласие на обработку персональных данных и др.);
Статья: Правовые аспекты обработки банками данных клиентов: между Сциллой и Харибдой
(Ушаков Д.А.)
("Банковское право", 2022, N 2)2. Еще одной важной темой представляется давно назревшая потребность в уточнении перечня случаев, при которых финансовые организации могут обрабатывать данные клиента без его согласия для целей предоставления своих услуг. Стоит отметить, что в действующем законодательстве установлен весьма обширный перечень таких случаев, и кажется, что для банков ситуация должна быть вполне комфортной, так как п. 5 ч. 1 ст. 6 Федерального закона N 152-ФЗ прямо устанавливает, что если обработка персональных данных осуществляется для целей заключения или исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, то это является самостоятельным правовым основанием обработки персональных данных и получать согласие в этом случае не требуется. Таким образом, получается, что при заключении, например, кредитного договора банк имеет полное право обрабатывать персональные данные в целях исполнения этого договора. Однако практика показала, что использовать эту норму можно только частично, так как в рамках предоставления кредита банку необходимо решить ряд сопутствующих вопросов, требующих обработки персональных данных: оценить платежеспособность заемщика, минимизировать риски невозврата кредита <7>, организовать работу по возврату просроченной задолженности при неисполнении заемщиком своих обязательств <8>, а также осуществить мероприятия по противодействию осуществлению мошеннических действий <9>.
(Ушаков Д.А.)
("Банковское право", 2022, N 2)2. Еще одной важной темой представляется давно назревшая потребность в уточнении перечня случаев, при которых финансовые организации могут обрабатывать данные клиента без его согласия для целей предоставления своих услуг. Стоит отметить, что в действующем законодательстве установлен весьма обширный перечень таких случаев, и кажется, что для банков ситуация должна быть вполне комфортной, так как п. 5 ч. 1 ст. 6 Федерального закона N 152-ФЗ прямо устанавливает, что если обработка персональных данных осуществляется для целей заключения или исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, то это является самостоятельным правовым основанием обработки персональных данных и получать согласие в этом случае не требуется. Таким образом, получается, что при заключении, например, кредитного договора банк имеет полное право обрабатывать персональные данные в целях исполнения этого договора. Однако практика показала, что использовать эту норму можно только частично, так как в рамках предоставления кредита банку необходимо решить ряд сопутствующих вопросов, требующих обработки персональных данных: оценить платежеспособность заемщика, минимизировать риски невозврата кредита <7>, организовать работу по возврату просроченной задолженности при неисполнении заемщиком своих обязательств <8>, а также осуществить мероприятия по противодействию осуществлению мошеннических действий <9>.
"Комментарий к Федеральному закону от 27 июля 2010 г. N 210-ФЗ "Об организации предоставления государственных и муниципальных услуг"
(постатейный)
(2-е издание, переработанное и дополненное)
(Борисов А.Н.)
("Юстицинформ", 2025)2) правовые основания и цели обработки персональных данных;
(постатейный)
(2-е издание, переработанное и дополненное)
(Борисов А.Н.)
("Юстицинформ", 2025)2) правовые основания и цели обработки персональных данных;
Статья: Теоретические аспекты и особенности института персональных данных в системе права
(Прокопович Г.А.)
("Администратор суда", 2024, N 3)Принцип законности обработки персональных данных. Статья 5 GDPR начинается с того, что персональные данные должны обрабатываться законно, справедливо и прозрачно по отношению к субъекту данных. Принцип законности в значительной степени говорит сам за себя. Обработка персональных данных должна происходить законным образом и, следовательно, иметь правовую основу, которая делает обработку законной. Законность должна толковаться строго: должен быть закон, разрешающий обработку. Действительно, есть случаи, когда существуют другие законы, кроме GDPR, в Европейском союзе или в государстве-члене, которые требуют обработки персональных данных. Более того, иногда существенных правовых оснований для законной обработки персональных данных недостаточно. В качестве примера: хотя согласие является одним из правовых оснований для обработки персональных данных, в некоторых случаях требуется, чтобы оно было явно выражено <8>.
(Прокопович Г.А.)
("Администратор суда", 2024, N 3)Принцип законности обработки персональных данных. Статья 5 GDPR начинается с того, что персональные данные должны обрабатываться законно, справедливо и прозрачно по отношению к субъекту данных. Принцип законности в значительной степени говорит сам за себя. Обработка персональных данных должна происходить законным образом и, следовательно, иметь правовую основу, которая делает обработку законной. Законность должна толковаться строго: должен быть закон, разрешающий обработку. Действительно, есть случаи, когда существуют другие законы, кроме GDPR, в Европейском союзе или в государстве-члене, которые требуют обработки персональных данных. Более того, иногда существенных правовых оснований для законной обработки персональных данных недостаточно. В качестве примера: хотя согласие является одним из правовых оснований для обработки персональных данных, в некоторых случаях требуется, чтобы оно было явно выражено <8>.
Статья: Влияние цифровизации на состояние правовой защищенности частной жизни
(Авдеев Д.А.)
("Государственная власть и местное самоуправление", 2023, N 11)Еще одна опасность заключается в том, что появляются новые электронные сервисы, агрегирующие информацию о гражданах и распространяющие ее. Один из самых резонансных случаев нарушения прав граждан в этом контексте связан с функционированием сервиса "Глаз Бога" в мессенджере Telegram. Сервис предоставлял пользователям Интернета информацию, содержащую персональные данные граждан, которую собирал как из открытых источников, так и из материалов "утечек". Роскомнадзор проверил деятельность бота на предмет исполнения требований законодательства о персональных данных. Было установлено, что правовых оснований для обработки персональных данных нет. В 2021 г. решением Таганского районного суда г. Москвы данный интернет-ресурс был включен в Реестр нарушителей прав субъектов персональных данных <8>.
(Авдеев Д.А.)
("Государственная власть и местное самоуправление", 2023, N 11)Еще одна опасность заключается в том, что появляются новые электронные сервисы, агрегирующие информацию о гражданах и распространяющие ее. Один из самых резонансных случаев нарушения прав граждан в этом контексте связан с функционированием сервиса "Глаз Бога" в мессенджере Telegram. Сервис предоставлял пользователям Интернета информацию, содержащую персональные данные граждан, которую собирал как из открытых источников, так и из материалов "утечек". Роскомнадзор проверил деятельность бота на предмет исполнения требований законодательства о персональных данных. Было установлено, что правовых оснований для обработки персональных данных нет. В 2021 г. решением Таганского районного суда г. Москвы данный интернет-ресурс был включен в Реестр нарушителей прав субъектов персональных данных <8>.