День открытых дверей Роскомнадзора по вопросам персональных данных (27 августа 2025 года)

Эксперты Роскомнадзора ответили на вопросы, возникающие при применении законодательства о персональных данных («ПД») – Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» («152-ФЗ»).

Видео опубликовано по ссылке. Презентации экспертов опубликованы в официальной группе в ВКонтакте.

Мы представляем разъяснения экспертов в формате Q&A. Для удобства разбили их на 5 смысловых блоков:

• постулаты обработки ПД: как обеспечить правомерность
• хранение и передача ПД в 2025 году
• как организовать обработку ПД на сайте в сети «Интернет»
• как и зачем обезличивать ПД с 01.09.2025
• иные вопросы

Постулаты обработки ПД: как обеспечить правомерность

Вопрос

На каких основаниях можно собирать и обрабатывать ПД?

Ответ

Обработка возможна не только на основании согласия. В ч. 1 ст. 6 152-ФЗ перечислены 13 правовых оснований. На практике самыми распространенными являются требование законодательства (когда закон прямо дает право) и исполнение / заключение гражданско-правового договора (п. 5 ч. 1 ст. 6 152-ФЗ). Согласие – это резервная опция при обработке, выходящей за рамки договора, а не автоматический «универсальный» инструмент.

Вопрос

Как выбрать основание обработки: договор vs. согласие?

Ответ

Вопрос

Какие требования предъявляются к согласию?

Ответ

• Содержание. Субъект должен понимать цель, объем и срок обработки.
• Форма / способ представления. Любой способ, позволяющий подтвердить, что субъект его предоставил сознательно и по своей воле.
• Оформление. С 01.09.2025 согласие должно быть информированным, конкретным, предметным, сознательным и оформлено отдельно от других документов. Недопустимо «склеивать» согласие с иными документами и собирать его через единый электронный подписной комплекс, если это мешает отдельному оформлению. Для случаев, прямо предусмотренных федеральным законом, согласие должно быть письменным (ч. 4 ст. 9 152-ФЗ).

Вопрос

Можно ли включать согласие в договор как отдельный блок с подписью или нужно оформлять отдельным документом?

Ответ

Новые требования касаются визуального оформления и подтверждения согласия. Если обработка ПД осуществляется на основании договора, согласие не требуется. В остальных случаях важно обеспечить оформление и подтверждение согласия так, чтобы субъект мог ознакомиться и подтвердить его. Это комплексное требование к форме, содержанию и способу предоставления.

Вопрос

Согласие в письменной форме по ч.4 ст.9 152-ФЗ: допустима ли «мульти‑форма» с несколькими целями в таблице (да / нет / подпись)?

Ответ

Определяющим является содержание, поскольку закон не утверждает унифицированную форму. В одном документе можно указывать несколько целей, но для согласий по ч.4 ст.9 152-ФЗ требования повышенные, рекомендуется полностью конкретизировать и разделять такие согласия от иных.

Вопрос

Корректно ли объединение согласия на рекламу и согласия на обработку ПД в рекламных целях с 01.09.2025?

Ответ

Если это общее согласие по ч.1 ст.9 152-ФЗ, ограничений на указание нескольких целей в одном согласии нет. Это касается случаев, когда рассылка рекламных сообщений осуществляется с использованием ПД. Если ПД не используются, то вопрос вне компетенции Роскомнадзора.

Вопрос

Пакетное подписание: можно ли подписывать пакет документов сразу, если волеизъявление о включении согласия в пакет выражается отдельно?

Ответ

Да. Если технически подпись ставится вместе с другими документами, но факт волеизъявления субъекта о предоставлении согласия зафиксирован на этапе дачи согласия, это не противоречит ч.1 ст.9 152-ФЗ. Важен факт предоставления согласия, а не технический способ подписания.

Вопрос

Можно ли объединить несколько согласий в один документ?

Ответ

Несколько операторов – возможно, если цель обработки общая.

Несколько целей – возможно.

Спецкатегории (биометрия) – только одно согласие на одну цель.

Вопрос

Является ли галочка согласием?

Ответ

Да, как форма волеизъявления, если текст соответствует ст. 9 152-ФЗ. Доказательством получения служит лог-файл.

Вопрос

Когда необходимо прекратить обработку и уничтожить ПД?

Ответ

По общему правилу прекратить обработку ПД необходимо после достижения цели обработки. Оператор обязан прекратить обработку и уничтожить данные в соответствии с требованиями 152-ФЗ и Приказа Роскомнадзора № 179. Исключения могут быть предусмотрены законом, договором, но они должны быть обоснованы.

Хранение и передача ПД в 2025 году

Вопрос

Чем отличается поручение обработки от передачи ПД?

Ответ

Поручение обработки ПД происходит, когда третье лицо действует в интересах оператора. На поручение распространяются требования ч.3 ст.6 152-ФЗ, а именно нужно получить согласие субъекта на поручение и заключить договор поручения.

Передача ПД происходит, когда лицо получает данные и действует согласно собственным целям. Передача допустима при наличии одного из оснований ч.1 ст.6 152-ФЗ (договор, согласие, закон и т.д.).

Субпоручение допускается, но только если первоначальный договор поручения и согласие субъекта это предусматривают.

Вопрос

Как изменились требования по локализации баз данных? На кого они распространяются?

Ответ

С 01.07.2025 были ужесточены нормы о локализации. Так, оператор, который осуществляет сбор ПД, обязан обеспечивать запись / систематизацию / хранение с использованием баз данных, размещенных на территории России (норма императивная). При этом прямого запрета на трансграничную передачу в ч. 5 ст. 18 152-ФЗ нет, трансграничная передача возможна при соблюдении правил ст. 12 152-ФЗ.

Вопрос

Какие критерии делают передачу трансграничной?

Ответ

Выделяются три критерия, которые должны соблюдаться в совокупности:

• передаются ПД
• предполагается размещение / передача на территорию иностранного государства (включая серверные мощности)
• получателем является иностранное лицо / орган / юрлицо

Не считается трансграничной передача гражданину России за границей, трансфер между российской компанией и ее иностранным представительством в определенных обстоятельствах, использование иностранных сервисов, которые не обрабатывают ПД.

Вопрос

Что изменилось в процедуре трансграничной передачи?

Ответ

С 01.03.2023 введен порядок, предусматривающий уведомление Роскомнадзора о намерении осуществлять трансграничную передачу, право Роскомнадзора ограничить / запретить передачу и полномочие запрашивать сведения у лица-получателя передачи о способах обработки. Есть исключения, когда уведомление не требуется.

Вопрос

Оператор производит сбор ПД с использованием базы данных, находящейся в России, затем происходит трансграничная передача, то есть за рубежом формируются вторичные ПД и отдельная база данных. Законно ли это?

Ответ

Положения ч. 5 ст. 18 152-ФЗ применяется к оператору, собравшему ПД. Дальнейшая трансграничная обработка осуществляется третьим лицом. Однако важно учитывать:

• в каких правоотношениях передаются ПД (например, в туризме обработка ПД гостиницей за границей осуществляется в рамках договора и по праву соответствующей страны)
• при передаче ПД в материнскую компанию за границу соблюдать ст. 12 152-ФЗ о трансграничной передаче, а именно оформить договор поручения, контролировать обработку за границей. За инциденты в таком случае ответственность несет оператор в России

Вопрос

KYC с контрагентами за пределами России. Нужно ли по каждой стране подавать уведомление о передаче ПД?

Ответ

Да. При появлении новой страны необходимо подать уведомление о внесении изменений в ранее поданное уведомление.

Вопрос

При передаче ПД работников в страховую компанию для организации командировок требуется ли письменное согласие по ТК РФ?

Ответ

Передача осуществляется во исполнение трудовых обязанностей. Это подпадает под п.2 ч.1 ст.6 152-ФЗ и не требует согласия.

Вопрос

Обязательно ли поручение на обработку ПД с IT‑подрядчиками (внедрение систем, SaaS и т.п.)?

Ответ

Основной критерий – это делегирование полномочий оператора по обработке ПД. Если подрядчик выполняет задачи оператора по обработке / хранению ПД (в т.ч. размещение в инфраструктуре третьей стороны), то требуется поручение.

Если подрядчик лишь предоставляет ПО, а обработку осуществляет сам оператор, делегирования не происходит, поручение не нужно.

Вопрос

Несет ли оператор ответственность за действия обработчика, вышедшего за пределы поручения, в т.ч. при утечке из его системы?

Ответ

Согласно положениям ст.6 152-ФЗ основную ответственность несет оператор. Отношения с обработчиком у оператора договорные, то есть договором можно предусмотреть деликтную ответственность обработчика. В случае утечки вопрос переходит к квалификации с точки зрения статьи 13.11 КоАП РФ, очевидный выход за пределы и неправомерное действие по обработке ПД.

Вопрос

Является ли трансграничной пересылка писем в мессенджере или email?

Ответ

Нет, если получатель находится в России. Трансграничной считается передача на территорию иностранного государства.

Вопрос

Нужно ли локализовывать обезличенные данные?

Ответ

Да, они также считаются ПД.

Вопрос

Чем отличается договор оказания услуг от договора поручения на обработку ПД?

Ответ

Ключевой критерий – это делегирование полномочий:

• если оператор делегирует третьему лицу обязанности, возложенные на него законом (например, бухгалтерия, кадровый учет), то требуется договор поручения
• если речь идет об оказании услуг (курьерская доставка, специализированные работы) без делегирования полномочий, то поручение не требуется

Вопрос

Нужно ли поручать обработку ПД курьерской службе при доставке?

Ответ

Нет, это профессиональная деятельность курьера. Но в пользовательском соглашении интернет-магазина должно быть прямо указано, что данные могут передаваться курьеру для доставки.

Вопрос

Нужно ли указывать все привлекаемые организации в согласии или договоре?

Ответ

Достаточно сослаться на страницу официального сайта с актуальным перечнем организаций. Согласия и договоры при изменениях обновлять не требуется, обязанность заключается в поддержании списка организаций на сайте в актуальном виде.

Вопрос

Можно ли переложить ответственность на обработчика в договоре поручения?

Ответ

Нет. По закону (ст. 6 ч. 3 152-ФЗ) ответственность перед субъектом всегда несет оператор. Обработчик отвечает только перед оператором. С 2022 года оператор обязан мониторить исполнение поручений и меры безопасности у привлеченных лиц.

Вопрос

Нужно ли оформлять поручение разработчику ПО при использовании стороннего ПО (кадровый ЭДО и др.)?

Ответ

Нет. Разработчик передает программу по лицензионному соглашению, а обработку ПД с ее помощью осуществляет сам оператор.

Вопрос

Нужно ли заключать взаимные поручения (например, в туризме, когда организации обмениваются ПД)?

Ответ

Все зависит от предмета договора. Если есть делегирование полномочий, то поручение оформляется. Однако возможна ситуация, когда организации одновременно выступают оператором и обработчиком.

Вопрос

Может ли обработчик привлекать субподрядчиков?

Ответ

Да, но это должно:

• быть прямо указано в договоре поручения
• включаться в согласие субъекта ПД
• содержать полный набор требований (цель, перечень данных, меры безопасности, сроки)

Вопрос

Нужно ли получать согласие субъекта при поручении?

Ответ

Если есть прямая норма в законе (например, связь, ЖКХ), то согласие не нужно.

В иных случаях согласие может быть включено в договор, если цели совпадают с предметом договора.

Вопрос

Как часто нужно обновлять перечень лиц, имеющих доступ к ПД?

Ответ

Можно утвердить по должностям. Обновлять можно только при изменении организационно-штатной структуры.

Вопрос

Что делать, если курьер требует паспортные данные, а оператор их не собирает?

Ответ

Возможны два пути:

• оператор собирает эти данные при заказе и указывает цель
• сам курьер проверяет паспорт при доставке (без передачи интернет-магазину)

Вопрос

Можно ли привлекать самозанятых в качестве обработчиков?

Ответ

Да, законодательство не запрещает.

Как организовать обработку ПД на сайте в сети «Интернет»

Вопрос

Какие типовые ошибки допускают операторы на сайтах?

Ответ

Частыми нарушениями являются:

• отсутствие / неверные правовые основания (формальность «я даю согласие» под формой)
• бессрочные / неопределенные сроки обработки в тексте согласия
• указание передачи ПД неопределенному кругу лиц
• избыточный сбор данных, обработка на основании договора ПД, которые не требуются для заключения и исполнения договора
• избыточный срок обработки ПД
• размещение политик / согласий «вшито» в другие документы
• отсутствие или несоответствие политики обработки ПД
• несоответствие политики требованиям п. 2 ч. 1 ст. 18.1 152-ФЗ
• неправильное оформление оферт (например, акцепт оферты через бездействие)
• неподача / неверное указание сведений в уведомлении в реестр Роскомнадзора

Вопрос

Как нужно информировать пользователей об использовании метрических программ?

Ответ

Сведения, собираемые метриками, могут считаться ПД. Поскольку сбор начинается с момента входа на сайт, пользователь должен сразу видеть уведомление (баннер) о сборе метрик. Далее можно предусмотреть согласие (или использовать правовую основу договора / оферты), а также дать ссылку на политику. Оператор обязан обеспечить юридическое основание сбора ПД и проинформировать пользователя.

Вопрос

Соответствуют ли куки‑баннеры и метрические программы с одной кнопкой и описанием требованиям законодательства?

Ответ

Зависит от целей и средств.

К техническим куки, необходимым для работы сайта (в т.ч. противодействие DDoS) и не собирающим ПД, не применяются требования 152‑ФЗ.

Однако если метрические программы собирают широкий перечень данных, позволяющий установить субъекта, то происходит обработка ПД. Баннер в таком случае должен обеспечивать правовое основание (согласие / договор) обработки ПД и информировать о сути обработки ПД и способе получения акцепта (например, продолжение использования сайта). Важнее содержание, а не размер баннера.

Вопрос

Уведомления в реестр Роскомнадзора. Какие частые ошибки допускаются при подаче?

Ответ

• Уведомление направляется после начала обработки ПД
• Неопределенность в отношении: категорий ПД; категорий субъектов, ПД которых обрабатываются; правового основания обработки ПД; перечня действий с ПД; способов обработки ПД
• Указание на «распространение» и (или) «обезличивание» ПД при фактическом неосуществлении такового
• Отсутствие сведений об обработке ПД пользователей сайта при сборе с помощью сайта (в т.ч. сведения, собираемые посредством метрических программ)
• «Неактуальная» информация об осуществлении трансграничной передачи ПД (да / нет)
• Указание не всех обязательных сведений (например, пропуск адреса ЦОДа)
• Фото-, видео-изображение физического лица как биометрические ПД (при неосуществлении деятельности в понимании ч. 1 ст. 11 152-ФЗ)

Вопрос

Поддержание актуальности реестровой записи. Когда нужно вносить изменения?

Ответ

При изменениях в деятельности по обработке ПД, которые подразумевают возникновение новой или измененной цели обработки, следует подавать уведомление об изменении. При прекращении следует подавать уведомление о прекращении. Портал Роскомнадзора предоставляет удобный интерфейс для таких уведомлений. Отсутствие уведомления не освобождает от соблюдения требований закона и мер контроля со стороны регулятора.

Вопрос

На сайте пользователи размещают комментарии, отзывы, фотография и ФИО комментаторов доступны всем без регистрации на сервисе. Будет ли это являться случаем распространения ПД?

Ответ

Если оператор распространяет ПД, то применяется Приказ Роскомнадзора от 24.02.2021 № 18, необходимо получать согласие на распространение. Если субъект сам разместил ПД в общем доступе, то дальнейшее использование / распространение другими лицами возможно при подтверждении законности источника (сайта), где субъект сам опубликовал данные.

Вопрос

Операторы обрабатывают ПД в информационной системе ПД («ИСПД»). ИСПД накапливает лог‑файлы, куда попадают ПД. При необходимости уничтожения / перезаписи применим ли Приказ Роскомнадзора от 28.10.2022 № 179, если цели обработки не достигнуты и обработка продолжается?

Ответ

Если логи содержат информацию, относящуюся к ПД, Приказ № 179 применяется в полном объеме.

Вопрос

Как оформлять правовое основание привлечения обработчиков (например, хостинг‑провайдера) по п. 5 ч. 1 ст. 6 152-ФЗ с 01.09.2025?

Ответ

Правовые основания: согласие и договор поручения.

При этом оператор должен иметь возможность мониторить соблюдение требований и подтвердить локализацию базы данных в России.

После вступления в силу новелл согласие должно быть оформлено отдельно от других документов (ч. 1 ст. 9 152-ФЗ).

Как и зачем обезличивать ПД с 01.09.2025

Вопрос

В чем различие двух подходов к обезличиванию ПД?

Ответ

Выделяют два вида обезличивания:

• обезличивание по требованию уполномоченного органа (например, Минцифры). В этом случае применяется порядок, утвержденный Постановлением Правительства № 1154
• инициативное (добровольное) обезличивание оператором осуществляется по методам и требованиям Приказа Роскомнадзора № 140

Вопрос

В чем различие Приказов об обезличивании № 996 и № 140?

Ответ

Приказ № 996 прекратил действие, но его идеи и практика перекочевали / обогатились в новом Приказе № 140. Приказ № 140 расширяет перечень методов с учетом международной практики и дает дополнительные методы, совместимые с базовыми четырьмя подходами. Допускается комбинирование методов.

Вопрос

Если оператор решил не обезличивать ПД, нужно ли заранее готовиться к возможному требованию о необходимости предоставить ПД (согласно Постановлению Правительства от 01.08.2025 № 1154)?

Ответ

Уполномоченным органом по этой части является Минцифры. Требования к обезличиванию направляются субъектам из установленного перечня. Если вы не входите в перечень, требование вам не направят. Обезличивать можно по собственной инициативе на основании Приказа Роскомнадзора от 19.06.2025 № 140.

Вопрос

Предъявляются ли требования о безопасности к обезличенным данным?

Ответ

Да. Требования к обработке ПД распространяются и на обезличенные данные, поскольку это все равно ПД. Меры, как правило, мягче из‑за невозможности идентификации субъекта.

Иные вопросы

Вопрос

В каких случаях фото считается биометрией?

Ответ

Разграничение происходит по двум нормативным уровням:

• Единая биометрическая система («ЕБС») (ФЗ-572 и подзаконные акты). Фотография, обрабатываемая в ЕБС для идентификации / аутентификации, является биометрией
• общие случаи (соцсети, пропуска, личные дела). Фото рассматривают по трем условиям (ст. 11 152-ФЗ): отражает ли оно физиологические / биологические особенности, позволяет ли установить личность, используется ли именно для установления личности. Если не все критерии выполняются в совокупности, то изображение не признается биометрическими ПД и обрабатывается по общим правилам 152-ФЗ

Вопрос

Являются ли фото в системах доступа (пропуска) биометрией?

Ответ

Зависит от цели и способов использования. Для пропускных систем важно смотреть на положения специального закона, где установлены условия применения фото в пропускных системах. Только в случаях, когда фото используется для идентификации / аутентификации и соответствует критериям биометрии, оно будет считаться биометрическими ПД.

Вопрос

Согласия, связанные с биометрией (обычная обработка vs. ЕБС): какие различия в согласиях при обработке биометрии?

Ответ

Для размещения в ЕБС форма согласия и порядок установлены Правительством. Согласие дается в установленной форме.

Для иных биометрических обработок (не в ЕБС) применяются требования ч. 4 ст. 9 152-ФЗ к содержанию согласия. Согласие должно быть письменным, с указанием специфических условий.

Отзыв согласия: при обычном согласии субъект направляет отзыв оператору. При согласии на размещение в ЕБС отзыв направляется оператору ЕБС или региональному оператору.

Запрет на размещение в ЕБС оформляется через МФЦ (письменное заявление), после чего сведения не размещаются. Операторы, работающие с ЕБС, обязаны выполнить требования субъекта об удалении данных из ЕБС / регионального сегмента.

Вопрос

Правомерен ли сбор согласия при оказании госуслуг?

Ответ

Да, если это предусмотрено административным регламентом (210-ФЗ).

Вопрос

Кто подписывает согласие за несовершеннолетних?

Ответ

До 14 лет – согласие законного представителя.

14–18 лет – частичная дееспособность (ст. 26 ГК РФ).

С 18 лет – полное согласие самостоятельно.

Вопрос

Законно ли собирать ПД через соцсети или ботов?

Ответ

Да, но:

• должно быть правовое основание (пользовательское соглашение)
• политика ПД размещается только на сайте оператора (не в соцсетях)
• сервис должен соответствовать требованиям локализации БД
• нельзя использовать запрещенные ресурсы (по 41-ФЗ и 149-ФЗ)

Вопрос

Можно ли собирать ПД о родственниках работников?

Ответ

Да, если это предусмотрено трудовым или антикоррупционным законодательством. Если требуется больший объем, то нужно согласие.

Вопрос

Что делать, если работник отказывается подписывать согласие?

Ответ

В трудовых отношениях согласие не требуется, поскольку достаточно положений ТК РФ и трудового договора. Исключение составляются случаи необходимости оформления ДМС и иные.

Вопрос

Является ли оператором организация, обрабатывающая ПД только на бумаге?

Ответ

Да, оператором является любая организация, обрабатывающая ПД, независимо от необходимости подачи уведомления в реестр.

Вопрос

Когда и как уничтожать ПД?

Ответ

Основания (ст. 21 152-ФЗ): достижение цели, отзыв согласия, незаконная обработка. Порядок определяется Приказом № 179 Роскомнадзора:

• без автоматизации – составляется акт
• с автоматизацией – составляется акт + выгрузка из системы

Вопрос

Можно ли использовать данные из открытых страниц соцсетей?

Ответ

Можно, но осторожно:

• на самом сайте соцсети могут быть размещены условия, связанные с ограничением возможности использования этих ПД. Пренебрежение этим запретом или ситуация, когда вы не увидели этот запрет, но используете данные, влечет за собой административную ответственность
• нужно учитывать условия пользовательского соглашения соцсети

Вопрос

Что указывать в качестве даты начала обработки?

Ответ

Фактическую дату начала обработки, даже если уведомление подается позже.

Вопрос

Какие особенности обработки у ИП?

Ответ

ИП – это оператор ПД и на него распространяются положения закона в полном объеме. Однако есть некоторые особенности.

ИП вправе не назначать ответственного за ПД. Это поле можно не заполнять. Многие, совершая эту ошибку, заполняют его и выкладывают номера телефонов, адреса электронной почты, и потом, соответственно, возникают вопросы, в связи с тем, что этими данными могут воспользоваться третьи лица.

Политика по ст. 18.1 152-ФЗ не обязательна для ИП, но при этом иные локальные акты, которые регламентируют порядок условий обработки ПД при оказании услуг, в том числе пользовательское соглашение или договор оферты, обязательно должны присутствовать.

Вопрос

Нужно ли согласие на публикацию фото и видео?

Ответ

Если фото сделано в общественном месте, носит групповой характер, то согласие не требуется (ст. 152.1 ГК).

В иных случаях необходимо согласие на основании ст. 6 152-ФЗ.

Вопрос

Является ли утечкой пересылка ПД сотрудником себе на личную почту?

Ответ

Да, это нарушение конфиденциальности и требований о безопасности.

Вопрос

Требуется ли согласие на обработку данных из доверенности?

Ответ

Нет, все урегулировано действующим законодательством.

Вопрос

Является ли ПД email? Госномер автомобиля?

Ответ

Email сам по себе не ПД, но с дополнительными данными является ПД. Корпоративная почта – только в совокупности с данными о работнике.

Госномер автомобиля, аналогично, сам по себе не ПД, только идентификатор транспортного средства.

Вопрос

Являются ли сведения об отсутствии судимости ПД?

Ответ

Сведения о наличии судимости – это спецкатегория ПД и обрабатываются госорганами / организациями на основании закона.

Сведения об отсутствии судимости спецкатегорией не являются и обрабатываются на общих основаниях.

Вопрос

Номер телефона + пользовательский идентификатор в e‑commerce – это ПД?

Ответ

Да. Исключение для номера телефона из понятия ПД возможно только при обработке «в чистом виде». В совокупности с ID и иной информацией – это ПД.

Вопрос

Оператору ПД требуется разработать пакет документов, но на старте непонятен полный перечень данных и мер. Сайт Роскомназора требует указать полный перечень мер. Что указывать в уведомлении?

Ответ

Начинать обработку без обеспечения безопасности неправильно. В уведомлении укажите первичный перечень мер, которые можно принять на старте. Далее направьте уведомление о внесении изменений и дополните перечень.

Вопрос

Компания использует корпоративно-информационную систему, в которой информация в полном объеме дублируется из карточки Т‑2. Нужно ли после увольнения удалять данные, не требуемые для справок / выписок?

Ответ

Сведения, необходимые по закону (в т.ч. для налоговых, пенсионных, иных целей), могут обрабатываться в установленные сроки. При пересечении сроков ориентируются на наибольший срок. Кроме того, допускается хранение данных, если это предусмотрено архивным законодательством.

Вопрос

Нужно ли удалять данные родственников в карточке Т‑2 после увольнения?

Ответ

Сведения о родственниках связаны со сведениями о работнике и могут использоваться, например, для оценки конфликта интересов. Если необходимость отпала, то данные могут быть уничтожены. При продолжающихся правоотношениях / рисках конфликта интересов обработка может быть продолжена.

Вопрос

Является ли обучающийся выгодоприобретателем по договору платных образовательных услуг между юридическими лицами (чтобы собирать его согласия)?

Ответ

Определяется в каждом конкретном случае исходя из предмета договора и обстоятельств. Институт «выгодоприобретателя» является общеправовым, легального определения в законе о ПД нет. Судебная практика допускает признание субъекта ПД выгодоприобретателем, если договор заключается в его пользу.

Вопрос

Если договор об обучении (см. вопрос выше) не заключен, а ПД переданы в ходе преддоговорных переговоров – какое это основание?

Ответ

Положение п. 5 ч. 1 ст.6 152-ФЗ охватывает заключение, исполнение и действия, направленные на заключение договора, в рамках этих целей обработка допустима. Если договор так и не заключен, то действует обязанность обеспечить прекращение обработки ПД.