Обработка персональных данных без согласия: когда законно
«Под каждой формой нужна галочка согласия», так думают почти все владельцы сайтов. На деле обработка персональных данных без согласия во многих случаях полностью законна: согласие субъекта это лишь одно из оснований обработки персональных данных, и для самых частых ситуаций интернет-магазина или сайта услуг оно не нужно вообще. А там, где оно действительно обязательно, его как раз часто забывают.
В этой путанице есть цена вопроса. Лишняя галочка под формой заказа выглядит безобидно, но она маскирует более дорогую проблему: пока оператор гордится «согласием», которое здесь и не требовалось, реальная рассылка или передача данных партнёру может идти вообще без основания. А это уже состав по статье 13.11 КоАП. Ниже разберём, какие основания обработки без согласия даёт закон, где галочка избыточна, где обязательна, и как по своему сайту понять, что требуется именно вам.
Обработка персональных данных без согласия: когда это законно
Главное недоразумение в том, что обработку персональных данных приравнивают к согласию. Закон устроен иначе. Статья 6 закона о персональных данных перечисляет несколько оснований, при которых обработка законна. Согласие субъекта стоит в этом списке первым пунктом, но оно равноправно остальным, а не главнее их. Достаточно, чтобы обработка опиралась на любое из перечисленных оснований.
Это значит простую вещь: если обработка попадает под другое основание из перечня, отдельное согласие запрашивать не нужно, данные и так обрабатываются законно. Требовать галочку «поверх» договора или прямого требования закона юридически избыточно. Хуже того, лишняя галочка создаёт у оператора ложное чувство, что он закрыл вопрос, и отвлекает внимание от случаев, где согласие действительно необходимо. Логика «поставим галочку везде, на всякий случай» не делает сайт безопаснее: она лишь скрывает реальные пробелы.
Сразу оговоримся про две вещи, которые из этого не следуют. Во-первых, обойтись без согласия не значит обойтись без политики: публиковать политику обработки персональных данных оператор обязан в любом случае, и от основания обработки эта обязанность не зависит. Нет согласия как основания, политика всё равно нужна. Во-вторых, отсутствие согласия как основания не отменяет других прав субъекта, например права обратиться к оператору и потребовать прекратить обработку. К этому вернёмся в конце, потому что именно здесь чаще всего ошибочно ищут «российский аналог GDPR», которого в законе нет.
Основания обработки без согласия: что в перечне
Перечень оснований в статье 6 закрытый: оператор не может придумать своё основание, он обязан попасть в один из пунктов. Но для сайта обычного бизнеса реально работают несколько. Разберём те, что встречаются чаще всего.
Исполнение договора, стороной которого является субъект. Это рабочая лошадка для интернет-магазина и сайта услуг. Если человек оформляет заказ, бронирует столик, оплачивает услугу, между ним и оператором возникает договор, и обработка его имени, телефона, адреса доставки нужна, чтобы этот договор исполнить. Основанием служит сам договор, а не согласие. Сюда же закон относит обработку для заключения договора по инициативе самого субъекта: оставил заявку на расчёт, значит, инициировал договорные отношения, и собрать контакт для ответа можно без отдельной галочки. Важно держать рамку цели: договор покрывает ровно те данные, что нужны для его исполнения. Адрес для доставки, да; дата рождения «чтобы поздравлять с акциями», уже нет, это другая цель.
Достижение целей, предусмотренных законом, и исполнение возложенных на оператора обязанностей. Когда обработка прямо предписана нормой, основанием служит закон. Классический пример, хранение данных о расчётах и платежах для налогового учёта. Оператор хранит их не потому, что клиент «согласился», а потому что так требует законодательство. Согласие здесь не только избыточно, но и бессмысленно: отозвать его клиент не сможет, обязанность хранить документы от его воли не зависит.
Защита жизни, здоровья и иных жизненно важных интересов субъекта, если получить его согласие невозможно. Основание узкое и для типового коммерческого сайта почти не встречается, но в перечне оно есть, и важно знать, что закон такие ситуации предусматривает. Ссылаться на него для обычной формы заявки нельзя: «невозможность получить согласие» означает реальную экстренную ситуацию, а не нежелание добавлять чекбокс.
Осуществление прав и законных интересов оператора или третьих лиц. Это основание звучит широко, и в нём кроется главная ловушка. Применять его «на всякий случай» вместо согласия нельзя: оно работает только при условии, что не нарушаются права и свободы субъекта, и не покрывает маркетинг, рассылки и передачу данных рекламным партнёрам. Опираться на «законный интерес» как на универсальную замену согласию, частая и опасная ошибка, особенно у тех, кто переносит на российский закон европейскую практику legitimate interest. В 152-ФЗ это основание заметно у́же, чем кажется по названию.
Отдельно отметим основания, связанные с государством: осуществление правосудия, исполнение судебного акта, предоставление государственных и муниципальных услуг, исполнение полномочий органов власти. К сайту обычного бизнеса они отношения, как правило, не имеют, но в перечне присутствуют. Поэтому, встречая утверждение «обработка без согласия вообще запрещена», знайте, что это неверно: запрещена обработка без основания, а согласие, лишь одно из оснований.
Где согласие всё-таки обязательно
Простое правило: согласие нужно там, где обработка не покрывается ни договором, ни прямым требованием закона. На сайте это прежде всего:
- Рассылки и e-mail-маркетинг. Подписка на новости, акции, дайджесты, это отдельная цель, которая не вытекает из договора на покупку. Человек купил товар, это договор; присылать ему после этого рекламные письма, уже отдельная обработка, на которую нужно согласие. Тот факт, что вы и так знаете его e-mail из заказа, права рассылать рекламу не даёт.
- Маркетинг и профилирование. Сбор данных, чтобы показывать таргетированные предложения, строить сегменты, дообогащать профиль, это не исполнение договора, и согласие здесь обязательно. Цель «улучшать продукт» или «персонализировать предложения» договором не покрывается.
- Передача данных третьим лицам в рекламных целях. Отдать контакты партнёру, рекламной сети, агрегатору без согласия нельзя. Договор с клиентом такую передачу не покрывает, и формулировка согласия должна прямо называть, кому и зачем данные передаются.
Сюда же примыкает частый спорный случай, аналитика и рекламные cookie. Когда счётчик собирает данные, которые позволяют выделить конкретного посетителя, обработку нельзя «спрятать» под договор: человек ничего не заказывал и ни о чём с вами не договаривался, он просто открыл страницу. Поэтому аналитические и рекламные cookie работают на отдельном основании и требуют отдельного информирования и согласия, причём согласие на cookie нельзя совмещать в одной галочке с согласием на обработку данных из форм. Техническая передача данных, без которой страница не загрузится (например, IP для отдачи шрифта или карты), это другой разговор; речь именно про сбор данных для аналитики и рекламы.
Здесь и кроется типовая ошибка наоборот: оператор ставит галочку «согласен на обработку» под формой заказа, где она избыточна, но при этом подписывает человека на рассылку без отдельного согласия. Получается, что галочка стоит не там, где нужно. Лишняя там, где обработка и так законна по договору, и отсутствует там, где без неё не обойтись.
Важная деталь про оформление. С 1 сентября 2025 года согласие на обработку персональных данных оформляется отдельно от других документов: его нельзя «зашить» в текст оферты или совместить одной галочкой с принятием правил и согласием на рассылку. Поэтому разные цели, требующие согласия (например, заявка и отдельно рассылка), корректнее разводить, а не собирать под общую отметку. Один чекбокс «согласен со всем» под формой теперь не закрывает вопрос. Как оформить такое согласие правильно, подробно разобрано в статье как оформить согласие на обработку персональных данных.
Особый случай: специальные категории и распространение
Всё сказанное выше касается обычных персональных данных. Для специальных категорий, о здоровье, национальности, религиозных и философских убеждениях, интимной жизни, судимости, и для биометрических данных закон устанавливает более строгие правила и более узкий перечень оснований. Для типового сайта это редкость, но если вы, например, медцентр и собираете данные о здоровье через форму записи, общими рассуждениями про «договор» уже не обойтись: к таким данным применяются специальные нормы, и согласие на их обработку обычно требуется в усиленном виде.
Отдельный режим действует и для данных, которые субъект сам разрешил распространять неограниченному кругу лиц, например публичный отзыв с именем и фотографией. Здесь закон требует отдельного, специально оформленного согласия именно на распространение, и молчание или бездействие субъекта таким согласием не считается. Это не «обработка без согласия», а наоборот, усиленный вариант согласия, и путать их не стоит. Разместить отзыв клиента с его данными «по умолчанию», раз он его написал, нельзя.
Практический вывод: чем чувствительнее данные, тем меньше работает логика «у нас же договор». Для специальных категорий и для публичного распространения проверяйте основание отдельно, общая схема из предыдущих разделов на них не распространяется.
Как понять, нужно ли вам согласие
Чтобы не гадать, пройдитесь по своему сайту с одним вопросом к каждой форме и каждому сценарию сбора данных: зачем я собираю эти данные и покрыта ли эта цель договором или законом? Если да, согласие избыточно. Если нет, согласие обязательно. Третьего, как правило, не дано.
- Форма заказа, бронирования, заявки на услугу: обработка идёт по договору, отдельная галочка согласия избыточна.
- Хранение данных о платежах для отчётности: основание закон, согласие не нужно.
- Чекбокс подписки на рассылку: отдельная цель, нужно отдельное согласие.
- Передача контактов партнёрам, рекламным сетям: нужно согласие, и формулировка цели должна это прямо называть.
- Сбор специальных категорий данных (здоровье и т. п.): проверяйте основание по специальным нормам, не по общей логике договора.
Отдельно про права субъекта, потому что здесь часто переносят на российский закон чужие конструкции. В 152-ФЗ нет прямого аналога «права на возражение» из GDPR, которым человек одним заявлением запрещает любую обработку. Российская логика другая: субъект вправе обратиться к оператору с требованием, оператор обязан это требование рассмотреть, и если обработка держалась на согласии, после его отзыва её нужно прекратить. То есть прекращение идёт не через абстрактное «право возразить», а через отзыв согласия и обращение к оператору в порядке, который описывает закон. Приписывать своему сайту европейскую формулу не нужно, а обещать её в политике тем более.
Заодно проверьте обратную сторону: даже если согласие как основание не требуется, политика обработки персональных данных на сайте быть обязана, а формы должны собирать ровно те данные, что нужны для заявленной цели, не больше. Как технически устроен сбор данных через формы, мы разбирали в статье сбор персональных данных через формы на сайте.
Пройти эту сверку по своему сайту автоматически можно на странице проверки на соответствие 152-ФЗ: сканер найдёт формы, чекбоксы, ссылку на политику и подключённые сервисы и покажет, где оформление расходится с требованиями закона. Это не заменит юриста в спорном случае, но покажет, с чего начинать, и где у вас галочка стоит не там.
Коротко
Согласие субъекта это лишь одно из оснований обработки персональных данных, а не единственное. Для исполнения договора (заказ, доставка, услуга) и для исполнения прямых требований закона (учёт платежей) отдельное согласие не нужно, данные и так обрабатываются законно. Согласие обязательно там, где обработка не покрыта договором или законом: рассылки, маркетинг, передача данных третьим лицам в рекламных целях.
Типовая ошибка, поставить галочку «согласен» там, где идёт договор, и забыть про неё там, где запускают рассылку. Для специальных категорий данных и для публичного распространения действуют отдельные, более строгие правила. И помните: даже без согласия как основания политика на сайте обязательна, а субъект вправе обратиться к оператору и потребовать прекратить обработку, но через российский механизм отзыва согласия, а не через скопированное «право на возражение».
Нормативная база
- Федеральный закон «О персональных данных» от 27.07.2006 № 152-ФЗ, часть 1 статьи 6: перечень оснований обработки персональных данных. Согласие субъекта (пункт 1) — лишь одно из оснований; остальные пункты позволяют обрабатывать данные без отдельного согласия (исполнение договора, исполнение возложенных законом обязанностей, осуществление правосудия, предоставление государственных услуг, защита жизни и здоровья, осуществление прав и законных интересов оператора и др.).
- Федеральный закон «О персональных данных» от 27.07.2006 № 152-ФЗ, пункт 5 части 1 статьи 6: обработка необходима для исполнения договора, стороной либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта.
- Федеральный закон «О персональных данных» от 27.07.2006 № 152-ФЗ, пункт 2 части 1 статьи 6: обработка необходима для достижения целей, предусмотренных законом, для осуществления и выполнения возложенных законодательством на оператора функций, полномочий и обязанностей.
- Федеральный закон «О персональных данных» от 27.07.2006 № 152-ФЗ, пункт 6 части 1 статьи 6: обработка необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта, если получение его согласия невозможно.
- Федеральный закон «О персональных данных» от 27.07.2006 № 152-ФЗ, статья 9: согласие субъекта на обработку (конкретное, предметное, информированное, сознательное и однозначное); часть 2 статьи 9 — право отозвать согласие в любой момент.
- Федеральный закон «О персональных данных» от 27.07.2006 № 152-ФЗ, статьи 10 и 11: специальные категории персональных данных и биометрические персональные данные обрабатываются по более строгим правилам, перечень оснований для них уже.
- Федеральный закон «О персональных данных» от 27.07.2006 № 152-ФЗ, часть 1 статьи 14 и часть 1 статьи 20: право субъекта на доступ к своим данным и обязанность оператора рассмотреть его обращение; основание для требования прекратить обработку.