Продукты
Продукты
Menu
02
База знаний
05
Услуги
01
О нас
04
2025
Контакты
phone
e-mail:
Обучение
03
Кому можно предоставлять персональные данные без согласия?
13.01.2023
18/02/26
Б-152
В бизнес-практике согласие часто воспринимают как универсальный пропуск для любых операций с персональными данными. На деле закон выстроен иначе: сначала рассматриваются законные основания, закрепленные прямо в 152‑ФЗ и профильных актах.
Согласие подключается по остаточному принципу: когда другого легального основания нет. Такой подход снижает бумажную нагрузку, убирает лишние документы и, что важнее, уменьшает риск претензий при проверке.
Содержание
Содержание
Статья 6 152‑ФЗ перечисляет закрытый перечень случаев, когда обработка и предоставление данных допустимы без согласия. Перечень закрытый — новых «оснований по аналогии» не бывает. Согласие нужно только если ни одно из законных оснований не подходит (ч. 1 ст. 6; ст. 9 152‑ФЗ).
1. Базовая логика закона: согласие — не главный инструмент
Для оператора практическая задача звучит просто: на каждую операцию с данными должен быть выбран и зафиксирован конкретный пункт закона. Если такого пункта нет, берите согласие и оформляйте его корректно.
Чтобы избежать путаницы, удобно держать в регламенте «матрицу оснований»: операция → цель → получатель → правовое основание → ограничения. Этот инструмент помогает как в ежедневной работе, так и при диалоге с проверяющими.
2. Кому и на каком основании можно передавать ПДн без согласия
Ниже — ключевые категории получателей и ситуации из ч. 1 ст. 6 152‑ФЗ. Для каждой краткая логика, примеры и ограничения.
2.1. Органы госвласти и иные публично‑правовые образования
Правовое основание: исполнение функций, полномочий и обязанностей оператора, возложенных федеральным законом или международным договором (п. 2 ч. 1 ст. 6 152‑ФЗ).
Типичные получатели: ФНС, МВД, СФР, Росстат, Банк России.
Практический пример: направление сведений в ФНС в составе отчетности; ответы на запросы следователя.
Ограничения: передача «про запас» недопустима. Запрос должен корреспондировать полномочиям органа, а состав данных — цели запроса.
2.2. Суды и участники судопроизводства
Правовое основание: участие лица в конституционном, гражданском, административном, уголовном или арбитражном процессе (п. 3 ч. 1 ст. 6).
Пример: направление в суд копий кадровых документов по спору о зарплате; передача контрагенту копии договора и первички как доказательств.
Ограничения: раскрывается только то, что необходимо для процессуальных целей. Внутренние лишние сведения закрывайте, используйте маркировку «конфиденциально».
2.3. Предоставление государственных и муниципальных услуг
Правовое основание: исполнение полномочий органов власти и организаций, участвующих в предоставлении госуслуг (п. 4 ч. 1 ст. 6).
Пример: работа с профилем пользователя на ЕПГУ, подтверждение личности через ЕСИА, предоставление сведений из реестров.
Ограничения: проверяйте регламенты конкретной услуги, там обычно описан состав данных и оператор.
2.4. Договорные отношения
Правовое основание: обработка необходима для заключения или исполнения договора, стороной, выгодоприобретателем или поручителем по которому является субъект (п. 5 ч. 1 ст. 6).
Примеры:
• интернет‑магазин принимает заказ и передает ФИО, телефон и адрес в курьерскую службу;
• банк обменивается данными с платежным агрегатором для исполнения платежа;
• сервис доставляет электронный чек на email из реквизитов заказа.
• банк обменивается данными с платежным агрегатором для исполнения платежа;
• сервис доставляет электронный чек на email из реквизитов заказа.
Граница применения: цель должна быть прямо связана с договором. Маркетинг «по следам сделки» сюда не относится. Для трудовых отношений действует глава 14 ТК РФ, а не «договорное» основание.
2.5. Защита жизни и здоровья
Правовое основание: при невозможности получить согласие, если обработка необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта (п. 6 ч. 1 ст. 6).
Пример: врач сообщает сведения скорой помощи при экстренной госпитализации; администратор спортклуба передает данные спасателям при травме на тренировке.
Ограничение: как только появляется возможность получить согласие, переходите на обычный режим.
2.6. Реализация прав и законных интересов оператора или третьих лиц
Правовое основание: необходимая обработка в целях законных интересов, при условии, что не нарушаются права и свободы субъекта (п. 7 ч. 1 ст. 6).
Практика: видеонаблюдение и контроль доступа в офисе, антифрод в интернет‑сервисе, взыскание задолженности.
Как документировать баланс интересов:
• зафиксируйте легитимную цель (безопасность, предотвращение злоупотреблений);
• опишите ожидаемую пользу и риски для субъектов.
• опишите ожидаемую пользу и риски для субъектов.
Что точно не проходит как «законный интерес»: обработка чувствительных данных для маркетинга; непрозрачный профайлинг без альтернативы для субъекта.
2.7. Журналистика, наука и творчество
Правовое основание: профессиональная деятельность журналиста, законная деятельность СМИ, научная, литературная или иная творческая деятельность при ненарушении прав и законных интересов субъекта (п. 8 ч. 1 ст. 6).
Пример: редакция публикует материал об общественно значимом событии с указанием ФИО спикеров; исследовательский институт обрабатывает архивные массивы в научных целях.
Граница: «блогерский» статус сам по себе не дает иммунитета. Нужна связь с профессиональной деятельностью и соразмерность раскрытия.
2.8. Статистические и иные исследовательские цели
Правовое основание: статистика и исследования при обязательном обезличивании (п. 9 ч. 1 ст. 6).
Что считать корректным обезличиванием: методы и требования закреплены приказом РКН от 19.06.2025 № 140, вступившим в силу 01.09.2025 (установлены базовые техники: идентификаторы, изменение состава и семантики, перемешивание, декомпозиция и др.; также определены требования к процессу).
Пример: ретроспективный анализ покупок в аптечной сети с заменой идентификаторов клиентов.
2.9. Обязательное опубликование или раскрытие
Правовое основание: если обязанность опубликования или раскрытия установлена федеральным законом (п. 11 ч. 1 ст. 6).
Примеры: декларации о доходах отдельных категорий лиц; сведения в делах о банкротстве; обязательные публикации в медицине и образовании.
Граница: «мы так решили по внутреннему регламенту» — не основание. Нужна прямая норма закона.
Ограничение: любые попытки «легко обратимой анонимизации» — это риск.
3. Особые категории, судимость, биометрия — где без согласия можно, а где нет
3.1. Специальные категории
Сведения о здоровье, убеждениях, интимной жизни и другие чувствительные данные разрешены к обработке без согласия только в специально оговоренных случаях (пп. 2.1−10 ч. 2 и ч. 2.1 ст. 10 152‑ФЗ).
Примеры законных исключений: медицинская деятельность в целях охраны здоровья; социальные выплаты; правосудие.
Практический ориентир: если цель не подпадает под конкретный пункт ч. 2 ст. 10, готовьте письменное согласие или не обрабатывайте.
3.2. Сведения о судимости
Такие сведения могут обрабатываться без согласия исключительно госорганами и муниципалитетами в пределах их полномочий (ч. 3 ст. 10 152‑ФЗ). Частные компании запрашивают их только если прямая норма закона это допускает (например, для отдельных должностей).
3.3. Биометрические данные
Общий режим: письменное согласие субъекта (ч. 1 ст. 11 152‑ФЗ). Без согласия — только в случаях, перечисленных в ч. 2 ст. 11 (например, обеспечение безопасности, государственные информационные системы при выполнении закона). Оператор не вправе отказывать в услуге из‑за отказа предоставить биометрию, если закон не требует согласия и биометрии (ч. 3 ст. 11 152‑ФЗ).
4. Обработка по поручению: когда отдельное согласие не нужно
Если оператор поручает обработку подрядчику, отдельное согласие не требуется (ч. 4 ст. 6 152‑ФЗ). Но с подрядчиком должно быть поручение с зафиксированными целями, действиями, составом и сроками, а также требованиями по безопасности и возврату/уничтожению. Ответственность перед субъектом несет оператор. В договорах избегайте расплывчатых формулировок «любой объем, любые цели», т.к. это повод для претензий.
5. Трансграничная передача: согласие не спасает от процедур
Даже если основание не требует согласия, при передаче за рубеж включаются требования ст. 12 152‑ФЗ: проверка «адекватности» страны по перечню РКН, оценка правового режима и рисков, уведомление/согласование в предусмотренных законом случаях.
Доступ иностранного подрядчика к данным в облаке — тоже трансграничная передача. Локализация первой записи в РФ по‑прежнему обязательна (ч. 5 ст. 18 152‑ФЗ): это отдельная обязанность, не зависящая от согласия.
6. Надзор: почему «согласие на всякий случай» стало риском
С 05.09.2025 действует обновленная редакция Положения о контроле за обработкой ПДн (ПП РФ № 1046, ред. от 27.08.2025). Пересмотрены группы тяжести и критерии риска. К высокой группе тяжести «А», отнесены: операторы, собирающие согласия там, где они не требуются.
Позиция регулятора при этом последовательна: избыточные согласия там, где есть прямое законное основание, — плохая практика. Она запутывает субъектов, мешает прозрачности и повышает регуляторный риск.
Группа вероятности нарушений учитывает факты прежних привлечений по 13.11 КоАП РФ: недавно наказанные операторы попадают в более высокий риск, а значит, в более плотный график контрольных мероприятий.
7. Ответственность: что грозит за неверный выбор основания
Бремя доказывания законности обработки лежит на операторе (ч. 3 ст. 9 152‑ФЗ). Ошиблись с основанием — готовьтесь объяснять.
С 30.05.2025 усилены санкции по 13.11 КоАП РФ: выросли штрафы по «общему составу», введены высокие штрафы за неправомерную передачу (включая пороговые составы по количеству субъектов) и отдельные составы за несвоевременное уведомление об инциденте.
Для организаций размеры санкций доходят до миллионов рублей и процентов от выручки по тяжелым составам. Это прямой экономический стимул перестроить процессы.
8. Что чаще всего идет не так: типовые сбои и как их чинить
- «Договорное» основание используется для маркетинга.
Исправление: выделите отдельное основание (согласие).
- В поручениях подрядчикам отсутствуют сроки и способы уничтожения.
Исправление: добавьте требования по подтверждению уничтожения (приказ РКН № 179) и запрет на использование данных вне целей поручения.
- Видеонаблюдение настроено на всякий случай.
Исправление: опишите цели, зоны, сроки хранения, порядок доступа; установите предупреждающие таблички, исключите избыточные углы обзора.
- «Обезличивание» сведено к удалению пары полей.
Исправление: примените методы из приказа РКН № 140 и зафиксируйте процесс — от выбора метода до контроля качества обезличивания.
- Раскрытие в суд и госорган «с запасом».
Исправление: готовьте пакеты под конкретный запрос, чувствительные части закрывайте.
Итоги
Закон предлагает достаточно оснований, где согласие используется только при отсутствии иной легальной опоры. Безошибочный выбор основания, аккуратное документирование и минимизация обработки снижают риски споров с субъектами, экономят бюджет на штрафах и снимают лишнюю бумагу.
Начните с инвентаризации операций и построения матрицы оснований, исправьте пограничные кейсы (маркетинг, видеонаблюдение, подрядчики). Этот набор шагов дает понятную траекторию к устойчивой модели работы с данными, без лишних согласий и с опорой на закон.
Ввод оборотных штрафов за утечки откладывается минимум до 1 июля 2023 года
Практику проверок, свежие разъяснения регуляторов и разборы пограничных кейсов (договоры, подрядчики, видеонаблюдение, маркетинг) мы публикуем в нашем Telegram-канале.
Материалы по теме