Можно ли включать в одно согласие сразу несколько целей обработки персональных данных?

02/09/25

Б-152

Елизавета Воронова

Можно ли включать в одно согласие сразу несколько целей обработки персональных данных?

Вопрос о допустимости объединения целей обработки персональных данных в рамках одного согласия возникает практически в любой компании: от отдела кадров до маркетингового блока. Его задают в самых разных ситуациях. Например, можно ли получить единое согласие от соискателя, охватывающее не только кадровый учёт, но и внутреннюю коммуникацию? Или возможно ли уместить в одном документе и согласие на оказание услуги, и разрешение на рассылку акций?

На первый взгляд, идея объединения целей обработки в одном согласии кажется логичной и удобной: и с управленческой точки зрения, и с точки зрения пользовательского опыта. Однако закон о персональных данных (152-ФЗ) предлагает гораздо более нюансированный подход.

Возможность использовать одно согласие для нескольких целей зависит не только от намерений оператора, но и от правовой формы самого согласия, категории данных, а также контекста обработки.

Закон различает согласие, оформленное в письменной форме, и согласие, выраженное иным способом. Это различие не техническое, а концептуальное: именно от формы зависит допустимость объединения целей.

Такой подход особенно часто применяется в HR-сфере, где письменная форма согласия требуется, например, при передаче данных сторонней страховой компании или обработке биометрических данных.

Письменное согласие требует не только соблюдения формальных реквизитов, но и указания цели обработки в единственном числе. Это указано прямо в ч. 4 ст. 9 закона, и Роскомнадзор на протяжении последних лет трактует это положение последовательно. Позиция регулятора однозначна: каждое письменное согласие должно быть привязано к одной конкретной цели.

Если компания получает фото для пропускного режима, направляет сведения в страховую для оформления ДМС или размещает изображения сотрудников на корпоративном сайте: каждое из этих действий требует отдельного согласия, если в отношении них отсутствует иное правовое основание (например, трудовой договор или нормативный акт).

Согласие, не требующее письменной формы (в понимании ч. 1 ст. 9), может быть выражено в более гибком виде: в электронной форме, в интерфейсе приложения, через подтверждение чекбоксом или иным способом, позволяющим достоверно зафиксировать факт согласия. В таких случаях объединение нескольких целей в одном согласии возможно, но лишь при соблюдении принципов, заложенных в законе.

Речь идет не столько о количестве целей, сколько о качестве их формулировки: каждая цель должна быть конкретной, понятной и логически привязанной к контексту обработки. Человек, дающий согласие, должен ясно понимать, что именно с его данными будет происходить, зачем это нужно, и каким образом может быть реализовано.

Например, при подборе кандидатов на вакантные должности согласие может охватывать обработку данных из резюме, проверка кандидата и включение его в кадровый резерв. Все эти действия подчинены единой цели — подбору кандидатов на вакантные должности — и потому могут быть обоснованно объединены в одном документе, при условии прозрачной формулировки.

Обработка персональных данных в маркетинговых целях — одна из самых строго регулируемых сфер в рамках закона № 152‑ФЗ. Согласно статье 15, любые действия, направленные на продвижение товаров, работ или услуг, будь то рекламная рассылка, участие в акциях, уведомления о скидках, ретаргетинг или персонализированное предложение, требуют отдельного согласия субъекта персональных данных.

Это согласие не может быть «встроено» в общее соглашение на оказание услуги или исполнение договора. Причина в том, что маркетинг не является необходимым условием для предоставления основной услуги. Он носит факультативный характер, а значит, предполагает добровольное и осознанное решение пользователя.

Клиент должен иметь возможность получить услугу, не соглашаясь на рекламу. И напротив — если он соглашается на маркетинг, это должно быть его свободным выбором, подтвержденным отдельно и документированно.

Такой подход закреплен в судебной и регуляторной практике: маркетинговая обработка — это особая категория, в отношении которой действует принцип отдельности, прозрачности и технической фиксации согласия. Организация должна обеспечить:

Самая распространенная ошибка в корпоративной практике — это попытка использовать универсальное согласие, охватывающее сразу все цели и процессы. В одном документе пытаются закрыть оказание услуг, рассылку, видеонаблюдение, публикации на сайте, обработку внутри CRM, передачу подрядчику и т. д. Формально такое согласие есть, но юридически оно не защищает компанию, а, наоборот, создаёт уязвимость.

Закон № 152‑ФЗ требует, чтобы согласие было конкретным и информированным, а это невозможно, если в одном тексте указано 6−8 разнонаправленных целей. Это особенно критично, если хотя бы одна из целей подпадает под требования письменной формы согласия (например, при обработке специальных категорий данных, биометрии или при передаче данных работников третьим лицам, согласно ч. 4 ст. 9 152-ФЗ). В таких случаях упрощенное согласие (чекбокс или форма без подписи) может быть признано недействительным.

Если возникает спор (к примеру, пользователь требует удалить свои данные или оспаривает передачу их подрядчику), универсальное согласие не поможет доказать правомерность конкретной цели. Более того, такое согласие может быть признано ничтожным по всей совокупности целей, а это уже прямой путь к административной ответственности.

Кроме того, надзорные органы и суды всё чаще анализируют не только сам факт получения согласия, но и его юридическую чистоту и соответствие принципам закона. Согласие, оформленное «про запас», может быть оспорено субъектом данных, особенно если он не был в момент подписания осведомлен о характере и объеме предстоящей обработки.

Практика показывает, что универсализация согласий не гарантия снижения юридических рисков, а их многократное увеличение. Такой подход:

Объединение целей обработки в одном согласии допустимо, но только в рамках, установленных законом. Если закон требует получения согласия в письменной форме, допускается только одна цель. Если используется иная форма, объединение возможно, но при этом требуется соблюдение принципов конкретности, сознательности и однозначности.

Юридически корректная структура согласия — это часть архитектуры комплаенса, вопрос зрелости бизнес-процессов и способности компании управлять рисками, а также демонстрировать регулятору (или суду), что субъект данных был реально информирован и осознанно выразил волю.

Согласие на обработку ПДн становится точкой, в которой юридическая ответственность соединяется с пользовательским доверием. Ошибки на этом этапе могут стоить дорого. А грамотная настройка, наоборот, стать конкурентным преимуществом.

Б‑152 помогает компаниям выстроить юридически устойчивую систему согласий: от выбора формы до точной формулировки, от настройки интерфейса до регламента внутреннего хранения. Если вы хотите избежать ошибок и снизить риски — мы готовы подключиться

Ввод оборотных штрафов за утечки откладывается минимум до 1 июля 2023 года

Подписывайтесь на наш Telegram-канал, чтобы быть в курсе последних новостей и событий!

реклама

бизнес

юридические вопросы

маркетинг

Материалы по теме