Когда можно работать с персональными данными без согласия и не бояться Роскомнадзора

11/09/25

Б-152

Когда можно работать с персональными данными без согласия и не бояться Роскомнадзора

Ситуации, когда данные клиентов, партнеров или сотрудников попадают в руки компании стандартны:

— отправить рассылку,
— зарегистрировать обращение в поддержку,
— обновить профиль в CRM,
— передать контакты между отделами,
— оформить пропуск или доступ,
— передать подрядчику контактное лицо со стороны заказчика.

Это кажется рутиной, но именно в таких простых действиях и кроется одна из самых распространенных ошибок — обработка персональных данных без правового основания.

Закон № 152‑ФЗ не запрещает такую обработку. Но он требует, чтобы на каждую операцию с ПДн было основание. И если это не согласие, значит, должен быть один из альтернативных пунктов статьи 6.

Хорошая новость: согласие субъекта нужно не всегда. В законе предусмотрен целый перечень ситуаций, когда компания может обрабатывать данные законно и без согласия.

Основной документ, регулирующий порядок работы с персональными данными в России, — это Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных».

Ключевая норма — статья 6. Она устанавливает, что обработка персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных законом, и допускается в строго определённых случаях.

Первый из них — получение согласия субъекта на обработку его персональных данных (п. 1 ч. 1 ст. 6).

Кроме того, статья 6 содержит закрытый перечень ситуаций, когда согласие не требуется. К ним относятся, в частности:

Если ваша ситуация не подпадает под перечень в статье 6, согласие обязательно.

Если данные нужны, чтобы выполнить договор (например, доставить товар, выставить счет или зарегистрировать участие), согласие не требуется. Это называется исполнение договора.

Пример для маркетинга и продаж: Вы получили имя, телефон и адрес клиента, чтобы оформить заказ и доставку, и этого достаточно для законной обработки.

Но если вы решили заодно собрать дату рождения, род занятий или ссылки на соцсети, это уже будет избыточной обработкой. Без согласия субъекта такие данные собирать нельзя. Лучше вовсе не собирать лишние данные, если они не требуются для выполнения основной цели. А если все же требуется, необходимо указать, на каком основании вы их обрабатываете.

Если вы обязаны по закону обрабатывать персональные данные, согласие не требуется. Такое основание применяется, например, при выполнении требований трудового, налогового или иного отраслевого законодательства.

— бухгалтер передает данные сотрудников в СФР или ФНС в рамках отчетности;
— компания обязана вести кадровую документацию, содержащую ПДн;
— при проверке контролирующего органа предоставляются документы, содержащие персональные данные.

Важно не путать с законным интересом. Например, когда техподдержка передаёт данные об инциденте службе безопасности, или оформляется пропуск и данные фиксируются в журнале учета посетителей по внутреннему регламенту, это не всегда прямо предусмотрено законом. В таких случаях правовое основание — законный интерес организации, и его необходимо дополнительно обосновывать и документировать.

Для коммерческих операторов до 1 сентября 2025 года использование обезличенных персональных данных допускается только в научных и исследовательских целях.
Государственные и муниципальные органы могут обезличивать данные в установленном порядке.

С 1 сентября 2025 года коммерческие организации смогут проводить обезличивание также по запросу Минцифры, например, для формирования государственных информационных ресурсов.

Если данные используются без возможности установить личность человека, согласие действительно не требуется. Но обезличивание должно быть реальным и устойчивым: недостаточно просто удалить имя, т.к. необходимо исключить все идентификаторы (телефон, email, ID в CRM и другие уникальные связки), которые позволяют восстановить личность.

Рекомендуется проводить обезличивание в соответствии с Приказом Роскомнадзора от 19.06.2025 № 140 «Об утверждении требований к обезличиванию персональных данных и методов обезличивания персональных данных…», за исключением случаев, указанных в п. 9.1 ч. 1 ст. 6 152-ФЗ.

Реализацией законного интереса оператора можно считать обработку персональных данных для:

При этом отдельного внимания требует запись разговоров в службе поддержки: в большинстве случаев такая обработка осуществляется только на основании согласия субъекта, особенно если запись анализируется или используется в целях, не связанных напрямую с исполнением договора.

Важно: нельзя ссылаться на законный интерес и при этом собирать, передавать или иным образом использовать персональные данные, если цель обработки неочевидна, нарушает ожидания субъекта или затрагивает чувствительные категории персональных данных.

Если вы готовите документы по запросу суда или судебного пристава, согласие субъекта на обработку персональных данных не требуется. Это может быть, например, передача информации о должнике по запросу пристава или подготовка документов для суда в рамках уже начавшегося разбирательства.

В экстренных ситуациях, например при вызове скорой помощи, эвакуации или ином инциденте, когда нет времени или возможности запросить согласие, вы можете передать персональные данные без согласия субъекта.

1. «Они же сами оставили заявку»
Действительно, когда человек оставляет заявку, он добровольно передает свои данные. Но это не означает, что их можно использовать как угодно.

2. «Нам дали Excel с контактами»
Получение базы контактов — одна из самых рискованных ситуаций. Если у компании нет:

Многие считают, что если данные никуда не уходят, то нарушений нет. Но закон определяет обработку ПДн как любое действие с ними, включая хранение, систематизацию, использование в CRM. Даже внутренняя работа с данными должна быть обоснована правовым основанием и соответствовать целям, заявленным при их получении.

Если вы не можете обосновать, зачем собираете конкретные данные и как они связаны с целью обработки, скорее всего, их не стоит обрабатывать вовсе. Обработка «про запас» — это уже нарушение. Если данные не нужны, то не обрабатывайте. И не путайте это с наличием или отсутствием согласия. Ключевой вопрос: есть ли правовое основание и оправданная цель.

Не стоит запрашивать согласие «на всякий случай». Это может обернуться проблемами при проверке. Если цель обработки, например, «передача отчётности», и она прямо предусмотрена законом, сбор согласий на обработку персональных данных в таком случае будет избыточным.

Основание для обработки всегда определяется индивидуально, исходя из конкретной цели, категории данных и контекста их использования. Неправильно выбранное основание может привести к тому, что ваши действия окажутся формально нарушающими закон, даже если сами данные обрабатываются корректно.

Если агентство, фрилансер или подрядчик работает с ПДн, значит нужно поручение с условиями обработки.

Хранение тоже является обработкой. Удаляйте, если данные больше не нужны и если срок хранения закончился.

Согласие — важный инструмент, но не единственный. Закон дает достаточно оснований для работы с данными, если понимать, что, для чего и на каком праве вы делаете.

Если вы работаете в продажах, поддержке, маркетинге или подряде, соблюдение закона о персональных данных не должно быть головной болью. Но должно быть частью вашей операционной гигиены.

Ввод оборотных штрафов за утечки откладывается минимум до 1 июля 2023 года

Подписывайтесь на наш Telegram-канал, чтобы быть в курсе последних новостей и событий!

реклама

бизнес

юридические вопросы

маркетинг

Материалы по теме