Согласие на обработку персональных данных: Когда обязательно, а когда не нужно? Разбор ошибок для бизнеса

Соблюдение требований Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных" (далее – 152-ФЗ) является неотъемлемой частью правомерной деятельности любого бизнеса. Нарушения в части получения согласия субъекта персональных данных (ПДн) – одно из наиболее частых оснований для привлечения к административной ответственности по ст. 13.11 КоАП РФ, где штрафы для юридических лиц могут достигать 700 000 рублей. Помимо финансовых санкций, неисполнение требований закона влечет репутационные риски и утрату доверия контрагентов.

Эта статья – ваш четкий гид. Мы разложим по полочкам, основываясь на 152-ФЗ "О персональных данных", когда согласие обязательно, а когда не требуется. Разберем типичные ошибки и дадим практические выводы. Материал основан на актуальной редакции 152-ФЗ в 2025 году и практике его применения.

Правовые основания обработки ПДн: Статья 6 vs Статья 9 152-ФЗ – Ключ к Пониманию

Ключ к пониманию необходимости согласия кроется в разграничении этих двух статей:

Статья 6: Основания обработки ПДн БЕЗ согласия.
- Суть: Обработка обычных ПДн (ФИО, телефон, email, адрес, паспортные данные для договора и т.д.) разрешена без согласия, если она прямо необходима для конкретной законной цели.
- Основания обработки:
  - Исполнение договора, где клиент/контрагент – сторона (например, сбор адреса доставки для интернет-магазина, реквизитов для оплаты услуг).
  - Исполнение обязанностей, возложенных законом (например, кадровый учет сотрудников по ТК РФ).
  - Обработка общедоступных данных (информация из открытых источников, если цель обработки соответствует характеру этой доступности).
  - Осуществление правосудия, госуслуг и др. (менее актуально для большинства бизнеса).
- Важно! Цель обработки должна быть конкретной, законной и заявленной в вашей Политике обработки ПДн. Нельзя собирать данные "про запас".
Статья 9: Согласие ОБЯЗАТЕЛЬНО для специальных категорий и биометрии.
- Суть: Обработка особо чувствительных данных ТРЕБУЕТ письменного согласия субъекта ПДн. Исключения очень узкие и строго прописаны в законе.
- Что относится?
  - Специальные категории: Раса, национальность, политические взгляды, религиозные или философские убеждения, состояние здоровья, интимная жизнь, данные о профсоюзном членстве. Внимание! Данные о судимости – тоже специальная категория!
  - Биометрические данные: Физиологические и биологические особенности человека, позволяющие установить личность (отпечатки пальцев, сетчатка глаза, фотография/видеозапись, используемые специально для идентификации – например, для пропуска).
- Форма согласия: Обязательно письменная (включая электронную форму с КЭП). Устного или галочки в договоре – НЕДОСТАТОЧНО.

✅ Вывод для бизнеса: Первый вопрос, который вы должны задать: "Обрабатываю ли я обычные ПДн (ст. 6) или специальные/биометрические (ст. 9)?" От ответа зависит необходимость согласия.

Когда согласие на обработку ПДн НЕ НУЖНО? (Разбор кейсов по ст. 6)

Давайте на конкретных примерах, актуальных для бизнеса:

Ситуация 1: Клиент заключил с вами договор
- Что можно без согласия: Собирать и обрабатывать ФИО, контактный телефон, email, адрес доставки/выполнения работ, платежные реквизиты – все, что строго необходимо для исполнения ЭТОГО конкретного договора.
- Пример: Интернет-магазин обрабатывает адрес покупателя для доставки заказа – согласие не нужно (основание – ст. 6 п. 5 ч. 1: договор). Автосервис записывает ФИО и телефон клиента для ремонта по заказу-наряду – согласие не нужно.
- ➔ Ошибка: Требовать отдельное согласие на обработку этих данных для основной цели договора. Решение: Прописать условие об обработке ПДн непосредственно в договоре (оферте) и иметь Политику обработки ПДн, размещенную на сайте.
Ситуация 2: Вы обязаны что-то сделать по закону (чаще всего – кадровый учет)
- Что можно без согласия: Собирать паспортные данные, ИНН, СНИЛС, данные об образовании, трудовой книжке, воинском учете сотрудника – все, что требует Трудовой кодекс РФ и другие ФЗ.
- Пример: Передача данных в ПФР, ФНС, передача данных для военкомата – согласие не нужно (основание – ст. 6 п. 2 ч. 1: исполнение закона).
- ➔ Ошибка: Путать обязательную обработку (по закону) с дополнительной. Например, добровольное медицинское страхование (ДМС) сверх обязательного часто требует согласия сотрудника, так как это не предписано законом напрямую.
Ситуация 3: Работа с общедоступными данными
- Что можно без согласия: Использовать ФИО, должность, рабочий email/телефон, опубликованные на официальном сайте компании-контрагента или в профессиональных сетях (Сетка, Хабр Карьера, если профиль открыт) для установления делового контакта.
- Пример: Нашли email директора на сайте компании-поставщика и направили коммерческое предложение – согласие не нужно (если данные действительно общедоступны).
- ➔ Ошибка: Использовать такие данные для массовых рекламных рассылок (SMS, email-спам) или если источник не является достоверно общедоступным. Важно: Цель использования должна соответствовать тому, для чего данные были опубликованы.

Когда согласие на обработку ПДн НУЖНО ОБЯЗАТЕЛЬНО? (Главные риски для бизнеса)

Здесь сосредоточены самые опасные для бизнеса ошибки:

Ситуация 1: Любая обработка специальных категорий данных или биометрии
- Примеры:
  - Сбор данных о здоровье клиента для предоставления "специальной скидки медработникам".
  - Запрос информации о религиозных убеждениях или национальности в анкете клиента или сотрудника без явной необходимости.
  - Использование фотографии сотрудника специально для системы контроля доступа (пропуск с фото) – это биометрия! Исключение: фото в пропуске, которое просто помогает охране визуально идентифицировать человека, но не используется автоматизированной системой – спорный момент, лучше перестраховаться.
  - Сбор данных о судимости для должностей, где это не требуется по ст. 65 ТК РФ.
- ➔ Жесткое требование: Письменное согласие с точным указанием, какие именно спецданные/биометрию вы собираете, и для каких конкретных целей. Устно или "галочкой" – не пройдет!
- ➔ Ошибка: Собирать "на всякий случай", не оформлять письменно, не указывать цели четко. Риск: Самые высокие штрафы по ст. 13.11 КоАП РФ.
Ситуация 2: Рекламные рассылки (Email, SMS, Звонки)
- ➔ Жесткое правило (ст. 18 ФЗ "О реклама" + 152-ФЗ): Рассылать рекламу на электронную почту или совершать рекламные телефонные звонки можно ТОЛЬКО с предварительного согласия адресата/абонента.
- Пример грубой ошибки: Купили базу email/телефонов или собрали контакты на выставке и начали рассылать рекламу – прямое нарушение!
- Серая зона: Рассылка своим клиентам (уже есть договор):
  - Без согласия можно: Информировать об исполнении ИХ договора (статус заказа, изменение тарифа их услуги, дата доставки их товара).
  - Согласие ОБЯЗАТЕЛЬНО: Рассылать информацию о новых товарах/услугах, акциях, специальных предложениях. Даже если у вас есть их контакт по договору!
- ➔ Ошибка: Считать, что раз клиент дал email для договора, можно слать ему любую рекламу. Важно: Согласие на маркетинг должно быть отдельным, информированным, конкретным. Чекбокс "Согласен получать рекламу" – не должен быть предотмечен! – и вести на текст согласия.

Ситуация 3: Трудоустройство (Сочетание ст. 6 и ст. 9 152-ФЗ).
- Обработка данных соискателей:
  - ➔ Общее правило: Обработка персональных данных соискателей на замещение вакантных должностей требует получения их согласия. Основанием обработки в данном случае является согласие субъекта ПДн (п. 1 ч. 1 ст. 6 152-ФЗ). Это касается данных, предоставляемых резюме, анкете, на собеседовании.
  - ➔ Исключения (когда согласие не требуется):
    - Обработка данных, осуществляемая кадровым агентством, с которым соискатель заключил соответствующий договор (основание - договор с агентом, п. 5 ч. 1 ст. 6).
    - Обработка данных из резюме, сделанного соискателем общедоступным (например, размещенного на открытых платформах поиска работы - HeadHunter, SuperJob и т.д.) при условии, что цель обработки соответствует характеру общедоступности (п. 10 ч. 1 ст. 6). Однако при прямом контакте с соискателем и запросе дополнительных данных согласие обычно требуется.
  - ➔ Сроки хранения данных при отказе: В случае отказа в приеме на работу, персональные данные соискателя подлежат уничтожению в течение 30 дней с момента принятия решения об отказе или достижения соглашения об отказе от рассмотрения кандидатуры. Наличие согласия соискателя не отменяет это требование.
  - ➔ Запросы к третьим лицам: Получение согласия соискателя является обязательным условием для направления работодателем запросов в иные организации (включая предыдущих работодателей) с целью получения характеристик, рекомендаций или иной информации, не являющейся общедоступной или необходимой для исполнения закона (например, запрос в кредитное бюро - потребует отдельного согласия).
- Данные о здоровье (Спецкатегория - ст. 9):
  - Без согласия: Обработка данных обязательных предварительных и периодических медицинских осмотров (предусмотренных ст. 213 ТК РФ и иными ФЗ для определенных категорий работ) осуществляется на основании п. 2 ч. 1 ст. 6 152-ФЗ (исполнение закона). *Согласие соискателя на медосмотр, требуемый законом, оформляется, но это согласие на медицинское вмешательство, а не на обработку ПДн как спецкатегории по 152-ФЗ в чистом виде.* Основание для обработки результата осмотра - закон.
  - Требуется согласие: Сбор и обработка данных о состоянии здоровья, не связанных с профпригодностью по законодательно установленным требованиям (например, информация о хронических заболеваниях, инвалидности офисного сотрудника), требуют отдельного письменного согласия как обработку специальной категории ПДн (ст. 9 152-ФЗ). Включение таких вопросов в анкету без согласия незаконно.
- Данные о судимости (Спецкатегория - ст. 9):
  - Без согласия: Запрос справки о наличии (отсутствии) судимости для должностей, указанных в ст. 65 ТК РФ и иных федеральных законах, осуществляется на основании п. 2 ч. 1 ст. 6 152-ФЗ (исполнение закона). Согласие соискателя на получение этой справки обычно оформляется, но основание обработки данных о судимости - закон.
  - Требуется согласие: Запрос сведений о судимости для должностей, не предусмотренных ст. 65 ТК РФ, требует письменного согласия соискателя, так как данные о судимости относятся к специальным категориям ПДн (ст. 10 152-ФЗ).
Ситуация 4: Ведение кадрового резерва:
- ➔ Правовой статус: Ведение кадрового резерва трудовым законодательством РФ не регламентировано.
- ➔ Обработка данных соискателей в кадровом резерве:
  - Если в кадровый резерв включаются лица, не являющиеся действующими сотрудниками организации (соискатели), то обработка их персональных данных после завершения процедуры отбора в резерв может осуществляться только на основании их письменного согласия (п. 1 ч. 1 ст. 6 152-ФЗ). Основание "преддоговорные отношения" (п. 5 ч. 1 ст. 6) здесь неприменимо, так как договор с ними не заключается в момент нахождения в резерве.
    - Форма согласия: Согласие на включение в кадровый резерв должно быть отдельным (не частью согласия на рассмотрение кандидатуры на конкретную вакансию) и может оформляться как отдельный документ или путем проставления соискателем отчетливой отметки (чекбокса) в соответствующем поле электронной анкеты на сайте организации.
- ➔ Обработка данных сотрудников в кадровом резерве: Если в кадровый резерв включаются действующие сотрудники, обработка их данных может осуществляться:
  - На основании согласия сотрудника.
  - Или если условия о возможности включения в кадровый резерв и обработке соответствующих данных прямо предусмотрены в трудовом договоре или локальном нормативном акте организации (например, Положении о кадровом резерве), с которым сотрудник ознакомлен под подпись. В этом случае основанием может выступать исполнение договора (трудового) в части, предусмотренной его условиями (п. 5 ч. 1 ст. 6 152-ФЗ), либо согласие, данное при подписании договора/ознакомлении с ЛНА.

Ответственный специалист

Кустов Василий Юрьевич

ответит на вопросы:

+7 (966) 240-71-17

г. Казань, ул. Спартаковская, д. 2 , этаж 2

Наши юридические услуги по соблюдению 152-ФЗ для малого и среднего бизнеса

Минимизация рисков, связанных с обработкой персональных данных, требует профессионального подхода. Наша юридическая компания «Софист» специализируется на комплексном сопровождении бизнеса в вопросах соответствия требованиям 152-ФЗ и предлагает следующие услуги:

Юридический аудит обработки ПДн:
- Содержание услуги: Экспертная оценка текущих процессов обработки ПДн (клиенты, сотрудники, контрагенты), сайта, приложения на предмет соответствия 152-ФЗ. Анализ сайта на наличие обязательных документов. Выявление нарушений и рисковых зон (включая процедуры получения согласий).
- Результат: Заключение с перечнем выявленных несоответствий и рекомендациями по их устранению. Стоимость: определяется объемом проверки, начиная от 45 000 рублей.
Разработка и актуализация документооборота по 152-ФЗ:

Содержание услуги: Подготовка полного комплекта локальных нормативных актов и форм, в том числе Политика обработки персональных данных, Формы согласий на обработку ПДн, приказы, реестры, журналы, формы уведомлений для обработки ПДн сотрудников и клиентов.

- Результат: Юридически корректный комплект документов, обеспечивающий формальное соблюдение требований 152-ФЗ. Стоимость пакетных решений: от 35 000 рублей.
3. Консультационное сопровождение и абонентское обслуживание:
- Содержание услуги: Правовые консультации по сложным вопросам применения 152-ФЗ. Представление интересов клиента во взаимоотношениях с Роскомнадзором, в том числе при проведении проверок и обжаловании вынесенных предписаний и постановлений.
- Форматы: Разовые консультации (от 5 000 рублей/час), абонентское юридическое обслуживание (по запросу).
Защита при проверках Роскомнадзора:
- Содержание услуги: Правовой анализ предписания/протокола об административном правонарушении; подготовка мотивированных возражений и жалоб; представительство в территориальном управлении Роскомнадзора и в суде.

Преимущества сотрудничества с нами:

Специализация на правовых аспектах деятельности малого и среднего бизнеса.
Знание правоприменительной практики Роскомнадзора.
Практико-ориентированный подход: разработка решений, применимых в реальной деятельности бизнеса.
Четкие сроки и прозрачное ценообразование.

FAQ: Согласие на обработку ПДн – Главное для бизнеса

В каких основных случаях согласие на обработку ПДн НЕ ТРЕБУЕТСЯ?

Обычные ПДн: Для исполнения договора (клиентские данные для заказа) или закона (кадровый учет по ТК РФ).
Общедоступные данные: Для деловых контактов (контакты с сайта компании, ЕГРЮЛ).

Когда согласие согласие на обработку ПДн ОБЯЗАТЕЛЬНО?

Спецкатегории/биометрия: Здоровье, убеждения, биометрия (системы распознавания лица/отпечатков) – всегда письменное согласие (ст. 9 152-ФЗ).
Маркетинг: Рассылка рекламы (email/SMS) – требует согласия, даже существующим клиентам (для новых предложений).
Соискатели: На обработку данных при трудоустройстве (кроме общедоступных резюме), для направления запросов о соискателе в сторонние организации.
Кадровый резерв: Для соискателей – отдельное согласие на включение в резерв.
Для обработки данных о судимости соискателя на должности, НЕ указанные в ст. 65 ТК РФ.

Нужно ли согласие соискателя?

Да, нужно. Основание – согласие субъекта (ст. 6 п.1 ч.1 152-ФЗ).
Исключения: Данные из открытых резюме (HH, SuperJob) или обработка кадровым агентством.
❗ При отказе: Данные уничтожить в 30 дней (ст. 86.1 ТК РФ).

Как законно вести кадровый резерв?

Соискатели: Требуется отдельное согласие (отдельный документ или чистый чекбокс на сайте).
Сотрудники: Возможно на основании трудового договора/ЛНА (Положение о кадровом резерве), с которым сотрудник ознакомлен под подпись или согласия.

Считается ли фото сотрудника в пропуске биометрией?

Нет: Если фото – только для визуального контроля охраной.
Да: Если используется системой автоматического распознавания – нужно согласие по ст. 9.

6: Можно ли слать рекламу клиентам, с которыми уже есть договор, без их согласия?

Ответ: Нет, нельзя. Без согласия можно информировать только об исполнении их текущего договора (статус заказа, изменение тарифа их услуги). Рассылка информации о новых товарах/услугах/акциях требует отдельного согласия на рекламу.