Коллеги, давайте честно: избыточные согласия на обработку персональных данных — это реальность, несоответствующая 152-ФЗ (хотя пока что за это и не наказывают).
Парадокс:
- РКН годами говорит: «отказывайтесь от согласий там, где они не нужны, есть иные основания для обработки ПДн», а бизнес как будто слышит: «нужно больше согласий с обязательным указанием в них паспортных данных».
- Закон требует получать согласия отдельно от иных документов – бизнес трактует эту норму, как новую обязанность по получению согласия всегда, во всех отношениях и все чаще мы слышим: «сейчас закон требует обязательно подписывать согласия, поэтому без него мы вам не можем предоставить услугу».
Сегодня в статье разберем основные проблемы использования согласий и непонимания их применения в реальной жизни.
1. Договор допускает обработку ПДн без согласия. Это действительно так!
Когда вы заключаете договор с физическим лицом (клиент, заказчик, курьер) — отдельное согласие на обработку его ПДн для заключения и исполнения этого договора не требуется. Основание — п. 5 ч. 1 ст. 6 152-ФЗ (подготовка, заключение и исполнение договора).
Реальность: многие продолжают брать отдельный лист А4 с согласием, в котором указана одна единственная цель: «Исполнение настоящего Договора». Зачем? Это лишний документ, который увеличивает риск: если что-то в нем будет неправильно, некорректно описано — это уже нарушение. И поверьте, не каждый контрольный орган будет разбираться — а нужно ли вообще было согласие в вашей ситуации, раз вы его берете — его проверят и выявят несоответствия, а вы вынуждены будете «разгребать» последствия.
2. Согласие за сотрудника компании (или иного субъекта) — абсолютное нарушение прав субъекта на добровольное и свободное согласие.
Когда контрагент — юридическое лицо от имени компании дает «согласие на обработку персональных данных всех своих сотрудников (или иных субъектов), чьи данные будут переданы в рамках договора» — это нонсенс.
Исходя из положений ч. 1 ст. 9 152-ФЗ, согласие дает только сам субъект – физическое лицо, свободно, своей волей и в своем интересе, лично или через представителя, наделенного соответствующими полномочиями, подтвержденными документально (проверить такие полномочия – обязанность оператора).
Компания не вправе расписываться за своих работников, учредителей, акционеров или каких-либо еще субъектов, чьи данные нужны для исполнения договора с контрагентом. Такие «корпоративные согласия» — мусор с точки зрения закона. Если вам нужны данные, например, ответственного сотрудника контрагента — берите согласие напрямую у человека, а лучше используйте договорную конструкцию, законный интерес, обоснование в передаче ПДн через требование закона — и действуйте без согласий.
Примеры из практики:
Случай 1. При заключении договора между двумя юридическими лицами Исполнитель настаивал на обязательном подписании Согласия на обработку персональных данных (далее – Согласие) руководителей и собственников (участников, учредителей, акционеров), в том числе конечных бенефициаров, участников закупки (потенциальных контрагентов)/контрагентов/ третьих лиц, привлеченных контрагентом к исполнению своих обязательств по договору. Предполагалось получение одного Согласия, подписанного представителем Заказчика – юридического лица.
При этом, в Согласии была указана следующая цель обработки ПДн: «Обеспечение соблюдения требований законодательства Российской Федерации, в том числе статьи 13.3 Федерального закона от 25.12.2008 № 273-ФЗ «О противодействии коррупции»…».
Случай 2. Физическое лицо (Заказчик) занималось организацией поездки коллектива детей на конкурс и заключало Договор с агентством по ее организации (билеты, гостиница и тд.). К Договору было приложено Согласие на обработку персональных данных (Согласие), которое должен был подписать Заказчик. В данном Согласии предполагалось получение согласия Заказчика на обработку ПДн всех участников поездки (Участники) для целей исполнения Договора (оформления билетов, заселения в гостиницу).
Какие аспекты можно отметить:
1. И в первом, и во втором случае подписание подобных Согласий за субъектов (руководителей и собственников (участников, учредителей, акционеров), участников поездки) не представляется возможным, поскольку это нарушит положения ч.1 ст. 9 152-ФЗ о свободе и добровольности согласия со стороны Субъекта.
2. В первом случае, исходя из цели обработки персональных данных, указанной в Согласии, имеются иные правовые основания для обработки ПДн руководителей и собственников (участников, учредителей, акционеров), в том числе конечных бенефициаров, участников закупки, не требующих оформления Согласия (пп. 2, 7 ч. 1 ст. 6 152-ФЗ – требования законодательства РФ и законный интерес контрагентов).
В данном случае согласовали с контрагентом возможность заключения и исполнения договора без согласия.
3. Во втором случае важно понимать, что если Участники совершеннолетние – они сами могут дать Согласие, если несовершеннолетние – Согласие дает родитель (законный представитель), но никак не Заказчик услуг. Возможные варианты решения вопроса с согласием:
- Заказчик берет согласие Участников (их законных представителей) на передачу ПДн Исполнителю;
- Заказчик собирает Согласия для Исполнителя (Оператором указан Исполнитель, а Заказчик выполняет роль «рук», собирающих Согласия);
- Участники должны быть поименованы в Договоре, как лица в пользу которых он заключен.
В данном случае из-за нехватки времени на внесение изменений в Договор – внесли изменения в Согласие, оно стало более понятным для Заказчика, Участников и их законных представителей.
Но в целом отметим – приятно, когда контрагенты готовы обсуждать вопросы обработки ПДн, прорабатывать их и корректировать документы.
3. Согласие с паспортными данными — это орудие пытки для субъектов, а не стандарт деловой практики. Особенно, когда паспортные данные больше НИГДЕ, кроме этого злополучного согласия не нужны.
Закон не требует паспорт для большинства операций: запись на стрижку, консультация, регистрация на вебинар, подписка на рассылку, участие в программе лояльности, и даже выполнение работ по договору порой возможно без паспорта.
Да, в некоторых ситуациях паспорт нужен, например: для зачисления/выплаты денег, в рамках противодействия коррупции, легализации (отмыванию) доходов, полученных преступным путем, совершения нотариальных действий, получения госуслуг, заселения в гостиницу, оформление сим-карты и тд.
Общее в таких ситуациях то, что они вполне обоснованы с точки зрения законодательства (положения о предоставлении паспорта для данных ситуаций найдутся в отраслевом законодательстве). Без законного основания обработка паспортных данных и включение их в согласие, которое, по сути, окажется ненужным, — избыточность. А избыточность – это прямое нарушение основополагающих принципов обработки ПДн, закрепленных в ст. 5 152-ФЗ. Если для сбора данных нет законной и справедливой основы, то и получение согласия не спасет.
Здесь также отметим, что включение паспортных данных в согласие не всегда обязательно – это требование для письменной формы согласия (с. 4 ст. 9 152-ФЗ), которое потребуется только в установленных законом случаях:
- Согласие на обработку специальных категорий ПДн (п. 1 ч. 2 ст. 10 152-ФЗ);
- Согласие на обработку биометрических ПДн (ч. 1 ст. 11 152-ФЗ);
- Согласие на использование автоматизированных методов обработки ПДн для принятия юридически значимых решений, оказывающих влияние на правовое положение субъекта (ч. 2 ст. 16 152-ФЗ);
- Согласие на передачу ПДн работников, за исключением установленных законом случаев (ст. 88 ТК РФ);
- Согласие на получение ПДн работников от 3 лиц (п. 3 ст. 86 ТК РФ);
- Согласие на размещение ПДн в открытых источниках (ст. 8 152-ФЗ). Однако фактически с введением ст. 10.1 152-ФЗ (согласие для распространения) данное положение потеряло свою актуальность.
В остальных случаях согласие (если оно требуется) может быть оформлено в любой позволяющей подтвердить факт его получения форме и паспортные данные в нем указывать не требуется.
Если у вас вызывает трудности определить, какое согласие вам нужно (письменное по ч. 4 ст. 9 152-ФЗ, для распространения по ст. 10.1 152-ФЗ или в свободной форме) и как его правильно оформить – воспользуйтесь Конструктором согласий сервиса 152DOC. Всего несколько ответов на вопросы чат-бота и Конструктор определит, какую форму согласия необходимо использовать в вашем случае, подберет и поможет оформить правильный шаблон.
4. Главный вред лишних согласий.
Бизнес думает, что подстраховывается. На деле:
- Создает дополнительные риски (не та форма, нет возможности быстрого и простого отзыва, нет срока действия).
- Получает предписание и даже штрафы РКН именно за избыточность, некорректность, несоответствие ч. 1 ст. 9 152-ФЗ, а не за отсутствие документа.
Пример судебной практики:
В ходе рассмотрения УРКН по ДФО материалов проверки в отношении АНО «Японский центр по развитию торгово-экономических связей» (далее — Центр), поступивших из УМВД по Владивостоку, было установлено, что правовыми основаниями для обработки ПДн со стороны Центра являются Анкеты для записи на курсы японского языка, в которые добавлен раздел о Согласии: «Согласен на хранение и обработку персональных данных».
В ходе рассмотрения дела согласие, включенное в Анкету, РКН и суд не признали законным правовым основанием для обработки ПДн: оно не соответствовало требованиям ч. 1 ст. 9 152-ФЗ, не было конкретным, предметным, информированным.
Суд признал Центр виновным по ч. 1 ст. 13.11 КоАП РФ, но учёл, что нарушение допущено впервые, и применил предупреждение (напомним, что штраф за такое нарушение мог составить от 100 000 до 300 000 рублей).
- Путает людей: клиент не понимает, зачем 15-й раз подписывать согласие, и начинает жаловаться.
- Создает иллюзию законности там, где нужна иная конструкция (например, договор или законный интерес — ст. 6 ч. 1 пп. 5, 7).
5. А что с отзывом согласия?
- Закон закрепляет право субъекта на отзыв согласия (ч. 2 ст. 9 152-ФЗ).
- РКН хочет видеть, что оператор позаботился о реализации права субъекта на отзыв — обеспечил возможность простого и быстрого отзыва, прописанного в согласии.
- Бизнес думает: «отзовет — мы не сможем исполнить договор, пойдут убытки. А давайте эти убытки возложим на субъекта, чтобы он даже не подумал отзывать согласие».
Но это конфликт мнимый. Если основание — договор, то отзыв согласия не прекращает обработку, потому что обработка идет по договору, а не по согласию (ч. 2 ст. 9 152-ФЗ предусматривает возможность продолжения обработки ПДн после отсутствия согласия). Если же вы все построили на согласии, а не на договоре — вы сами создали эту ловушку. И да, убытки с физического лица за отзыв не взыскать — это противоречит самой сути добровольности согласия и его отзыва.
6. Где свет в конце тоннеля.
Изменения в работе с Согласиями – важная тенденция, которую мы наблюдаем в работе с ПДн. Активно продолжает развиваться тренд по пересмотру правовых оснований обработки ПДн (отказ от Согласий в пользу иных правовых оснований) и разработка отраслевых стандартов. Надеемся, что со временем в законе или хотя бы в методических рекомендациях РКН будет закреплен перечень исключительных случаев, когда согласие будет обязательным, а когда нужно использовать иное основание. Это сильно поможет операторам и внесет ясность в данном вопросе, но уже сейчас:
- Пересмотрите все свои «согласия»: можно ли заменить их договором, требованиями закона, законным интересом?
- Уберите паспортные данные везде, где их можно не брать и не хранить.
- Сотрудникам/акционерам контрагентов не выдумывайте «корпоративные согласия».
Помните: РКН не против согласий — он против избыточных согласий, против их навязывания, получения «на всякий случай» и против ущемления прав субъектов.
7. Как не собирать Согласия и не нарушать закон.
Согласие нужно только тогда, когда нет договора, нет закона, законного интереса и иных случаев, описанных, прежде всего, в ч. 1 ст. 6 152-ФЗ.
Давайте рассмотрим эти случаи подробнее:
1. Осуществление и выполнение возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей.
Если есть закон, обязывающий вас обработать ПДн (например, передать в отчетности, хранить по закону, для трудоустройства сотрудника), то согласие не потребуется. Здесь важно обращать внимание на отраслевое законодательство.
Например:
- Постановление Правительства РФ от 27.11.2025 № 1912 «Об утверждении Правил предоставления гостиничных услуг и услуг иных средств размещения в Российской Федерации» – регулирует, какие персональные данные нужны для заселения, для предоставления в органы регистрационного учета (МВД) в соответствии с Правилам регистрации граждан РФ (ПП РФ № 713) и миграционного учета иностранцев (ПП РФ № 9).
- Постановление Правительства РФ от 31.07.2021 № 825 «О федеральной информационной системе «Федеральный реестр сведений о документах об образовании и (или) о квалификации, документах об обучении» — определяет, какие именно сведения, в том числе относящиеся к ПДн, необходимо внести в ФИС ФРДО.
Для исполнения этих требований, зафиксированных в законодательстве РФ, не нужно брать согласие, если вы не выходите за рамки установленных законом требований.
2. Договор.
Он может быть заключен напрямую с субъектом, в интересах субъекта (субъект будет выгодоприобретателем) или договор, по которому субъект будет поручителем. Главное, чтоб в договоре не было положений, ущемляющих права субъектов (например, навязанных дополнительных услуг).
Пример, трехсторонний договор «ВУЗ-студент-предприятие» при организации прохождения практики в пределах цели, связанной с прохождением практики. Но, например, предложение понравившемуся практиканту о включении в кадровый резерв, потребует соответствующего согласия.
Согласие — это не альтернатива договору. Нельзя заменить договор на Согласие или, наоборот, взять Согласие вместо договора. Если у нас договорные отношения – то это договорные отношения, для их исполнения Согласие не нужно. Если обработка ПДн в рамки предмета и условий договора не укладывается, то мы ищем для этой конкретной обработки, выходящей за пределы договора, другое правовое основание (например, Согласие).
3. Защита жизни, здоровья или иных жизненно важных интересов субъекта
Например, при оказании скорой медицинской помощи, когда субъект без сознания и подписать согласие не в состоянии
4. Осуществление прав и законных интересов оператора или третьих лиц, либо для достижения общественно значимых целей.
Примеры применения законного интереса мы приводили в статье «Законный интерес как основание для обработки персональных данных: возможности и риски».
5. Опубликование или обязательное раскрытие в соответствии с федеральным законом.
Например, размещение сведений в определенном законом объеме в отношении медицинского персонала, педагогических работников и т.д. Но, если публикуете больше, чем требует закон (например, плюсом ко всему еще размещаете фото) – то на эту часть ПДн нужно согласие.
6. Профессиональная деятельность журналиста и (или) законная деятельность СМИ либо научная, литературная или иная творческая деятельность.
7. Статистика и исследования при условии обязательного обезличивания ПДн.
8. Участие в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах.
9. Исполнение судебного акта.
Например, работник имеет алиментные обязательства и вы как работодатель на основании поступившего исполнительного документа осуществляете удержание из заработной платы в пользу, например, супруги работника (ее ПДн вы обрабатываете правомерно и согласие от нее не получаете).
10. Предоставление государственных и муниципальных услуг.
Например, внесение ПДн в установленную форму заявления ПДн и предоставление необходимых копий документов в соответствии с регламентом предоставления государственной услуги. Или подача заявления с использованием портала Госуслуги.
11. В рамках законов от 24.04.2020 № 123-ФЗ «О проведении эксперимента по установлению специального регулирования в целях создания необходимых условий для разработки и внедрения технологий искусственного интеллекта в субъекте Российской Федерации — городе федерального значения Москве …» и от 31.07.2020 № 258-ФЗ «Об экспериментальных правовых режимах в сфере цифровых инноваций в Российской Федерации».
Обратите внимание, что если вы обрабатываете биометрию или специальные категории ПДн, то правовые основания для их обработки вы определяете в соответствии с ч. 2 ст. 10, чч. 1, 2 ст. 11 152-ФЗ, а не по ч. 1 ст. 6 152-ФЗ.
Вывод по-простому: если ни одно иных возможных условий обработки ПДн вам не подходит, вы берете согласие. Во всех остальных случаях вы берете его себе во вред.