тел:8 (800) 775-99-90

Личный кабинет

Выйти из системы

Сменить пользователя

Блог компании Cortel > Обработка персональных данных > Согласия, уведомления, политики: вопрос-ответ по документам ПДн

By 15.07.2025 Обработка персональных данных 0 Comments

Согласия, уведомления, политики: вопрос-ответ по документам ПДн

Закон 152-ФЗ требует не только подготовки 50+ документов по персональным данным, но также их ведения и обновлений в соответствии с правилами. В ином случае ждём штраф — например, за неправильно оформленное уведомление в РКН тоже наступает административная ответственность.

Какой срок хранения ПДн нужно указывать? Можно ли не вносить партнеров в согласие на обработку? И что будет, если уведомление об обработке подали позже 30 мая?

На эти другие вопросы ответила наш директор по информационной безопасности — Вероника Нечаева.

Вопрос 1

В организацию на вводный инструктаж по охране труда приходят посетители. Они предоставляют персональные данные (такая форма журнала). Нужно ли предоставлять для ознакомления Положение (политику) об обработке ПДн и подписывать с ними cоглашение об обработке ПДн?

Не нужно в 2 случаях:

  • вы делаете это в соответствии с нормативными документами — то есть, прямо в нормах регулятора сказано, что необходимо ведение такого-то журнала с такими-то данными
  • если у вас с этими людьми есть договор, по которому они — выгодоприобретатели

Вопрос 2

Какой срок хранения персональных данных должен быть указан?

В зависимости от требований законодательства, в рамках которого вы работаете.

И (или):

  • до отзыва согласия;
  • до срока достижения цели обработки

Вопрос 3

Если в политике и согласии указано, что возможна передача третьим лицам, обязательно ли в согласии перечислять/указывать эти третьи лица (например, юридические лица контрагентов?

Да, обязательно

Вопрос 4

Мы из ДНР. Тема ПДн раньше не была актуальна. Уведомление подали с датой начала обработки — в 2022 году. Все локальные нормативные акты разработаны в этом месяце. Дата на них должна совпадать с 2022 или можно текущую ставить? Не будет ли вопросов со стороны проверяющих?

Нет, оставьте текущую. Если не написали в уведомлении на обработку в 2022 году, что все меры были выполнены, и реализовали их только сейчас, то ок. Если написали, то дата выполнения мер должна указана та же, какую ставили в уведомлении

Вопрос 5

Передачу персональных данных сотрудников контрагентам нужно указывать?

Да

Вопрос 6

Обязателен ли отдельный текст (форма) СОГЛАСИЯ на обработку ПДн в добавление к небольшому блоку текста, подтверждающего на обработку ПДн, рядом с формой и с местом для проставления отметки (вдобавок к ссылке на Политику конфиденциальности)?

Да, если мы говорим про чек-бокс, то согласие должно быть кликабельным, с гиперссылкой на согласие, с формой и местом для предоставления отметки. Чек-лист по сайтам в соответствии с требованиями по ПДн разместили здесь 

Вопрос 7

Нужно ли брать согласие на обработку специальных категорий ПДн (информация о состоянии здоровья), если работнику по законодательству не обязательно проходить медицинский осмотр? Осмотр планируется проводить раз в месяц.

Да

Вопрос 8

Если в офисе размещен стенд с фотографиями сотрудников, нужно ли отдельное согласие сотрудников на распространение? Стенд расположен в закрытой зоне, доступ к которой есть только у сотрудников (пропускной режим).

Да. У нас ребята отправляли запрос в РКН: являются ли справочники общедоступным источником информации, нужно ли брать согласие? Ответ Роскомнадзора — да. Это подобный случай, поэтому нужно

Вопрос 9

Должны ли полностью и буквально совпадать цели и перечень ПДн из локальных нормативных актов с тем, что заявлено на сайте РКН?

Да. Если полностью не совпадают, вносите изменения в уведомление

Вопрос 10

Если средства СКЗИ не используются, просто уведомляем об этом? Если потом при разработке модели угроз окажется, что средства нужны (сразу не можем оценить), просто нужно будет подать корректирующее уведомление после закупки средств?

Да, всё верно. Подробно про СКЗИ рассказывали здесь

Вопрос 11

Можно ли в согласии на обработку предусмотреть «передачу ПДн аффилированным лицам»? То есть, не называть конкретные компании.

Нельзя. Если их много, где-нибудь на сайте должен быть размещен список. Посмотрите мой предыдущий вебинар. Там есть примеры сайтов, как эти списки могут быть реализованы для того, чтобы не плодить длинные согласия 

— Вероника Нечаева, CISO CORTEL

Вопрос 12

Необходимо ли подавать фото в целях кадрового и бухгалтерского учета?

Нет. Если вы не госслужащие и не попадаете в перечень организаций, для которых это обязательно — у вас нет требования фото для личного дела

Вопрос 13

Данные работника передаются контрагенту для непосредственного взаимодействия. В должностной инструкции это указано. Достаточно ли такого указания и ознакомления, или необходимо отдельное согласие?

Достаточно. Отдельное согласие можно не брать

Вопрос 14

Если в ходе оказания услуги клиенты могут добавлять персональные данные выгодоприобретателя (наследников) — несовершеннолетних лиц (детей), то будет ли увеличиваться уровень защищенности? И нужно ли брать согласие у самого несовершеннолетнего?

По численности — более или менее ста тысяч. Если будет более ста тысяч записей, то может быть необходимо увеличение уровня защищенности. Брать согласие нужно 

Вопрос 15

Яндекс.Метрика —  третья сторона? Надо брать отдельно согласие?

Да, третья сторона. Нужно указывать в рамках согласия в перечне третьих лиц

Вопрос 16

Обязательно ли согласие на передачу третьим лицам должно содержать четкое указание названия юрлица? Или достаточно целей и круга задач партнера? Партнер ведь можно смениться завтра.

Да, согласие должно содержать название. Если полный перечень в одно согласие не входит, вы можете написать, мол, перечень лиц указан в приложении или в форме на сайте. И, да, указать там. Так можно 

Вопрос 17

А что будет, если скорректированное уведомление будет подано после 30 мая (первичное уведомление было подано до 01.01.2023)?

Ничего не будет. Уведомление подано, если оно соответствует требованиям, и вы внесли изменения позже, то ничего страшного 

Вопрос 18

Нужно ли при составлении перечня мест хранения материальных носителей персональных данных указывать, что и в каком шкафу хранится (например, кабинет 1, сейф 1: приказы, служебные записки и т.д.) или можно не детализировать, а просто кабинет указать?

Если носители по категориям и целям распределены по шкафам, то да, расписывайте, что и в каком шкафу

Вопрос 19

Компания для делопроизводства принимает фото сотрудника и делает фото самостоятельно для пропускной системы — необходимо согласие на обработку биометрии. Верно?

А фото на доске почета на входной группе (до прохождения в компанию) + рассылка документа с указанием дат рождения сотрудников (один документ и сразу на всю компанию, по всем подразделениям) — является распространением. Необходимо брать согласие на распространение или нет?

Всё правильно. В первом случае у вас биометрия — добро пожаловать в нюансы и тонкости работы с ЕБС. И да, во втором случае — распространение. Необходимо согласие 

Если вы также хотите получить подробную консультацию по вопросам ПДн от нашего ИБ-отдела — просто заполните форму. Мы свяжемся с вами.

А также читайте нашу рубрику об обработке персональных данных — в 40+ статьях разобрали темы средств защиты информации, всей документации по ПДн, определения уровней защищенности, собрали пошаговую инструкцию по обработке и хранению ПДн и т.д.