Анализ распространенных недостатков согласий и меры по приведению согласий в соответствие с 152-ФЗ

Одним из элементов правового механизма защиты персональных данных в Российской Федерации является согласие субъекта персональных данных на их обработку. Именно согласие определяет пределы допустимых действий оператора и обеспечивает баланс интересов между субъектом данных и лицом, осуществляющим их обработку.

Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее — Закон о персональных данных, или 152-ФЗ) устанавливает обязательные требования к форме и содержанию согласия, закреплённые, в частности, в статье 9. Нарушение этих требований делает обработку данных неправомерной и влечёт административную ответственность оператора в соответствии со статьёй 13.11 КоАП РФ.

Практика показывает, что даже крупные организации допускают многочисленные ошибки при оформлении согласий: используют неконкретные цели, не указывают перечень данных, срок обработки, способы отзыва и иные сведения, прямо предусмотренные законом. Более того, во многих случаях работодатели продолжают запрашивать согласие на обработку данных работников там, где такое согласие не требуется в силу закона, что образует практику так называемых избыточных согласий.

Статья направлена на системный анализ наиболее распространённых недостатков согласий на обработку персональных данных, встречающихся в деятельности операторов, а также на выработку мер по приведению этих документов в соответствие с требованиями 152-ФЗ и разъяснениями Роскомнадзора.

1. Отсутствие конкретной и определённой цели обработки

Наиболее часто встречающееся нарушение — использование расплывчатых, формальных или избыточных формулировок целей обработки персональных данных.

В согласиях нередко можно встретить такие выражения, как «для улучшения качества обслуживания», «для принятия решений, порождающих юридические последствия» или «для обеспечения функционирования компании».

Подобные конструкции не позволяют определить конкретное назначение обработки и тем самым противоречат пункту 2 части 1 статьи 5 152-ФЗ, в соответствии с которым цели обработки должны быть конкретными, заранее определёнными и законными.

Особое внимание заслуживает использование формулировок, связанных с принятием решений, порождающих юридические последствия, что фактически относится к случаям автоматизированной обработки данных. В соответствии с частью 1 статьи 16 152-ФЗ, принятие решений, основанных исключительно на автоматизированной обработке персональных данных, допускается лишь в случаях, прямо предусмотренных законом, либо при наличии письменного согласия субъекта.

Следовательно, включение подобной цели в общее согласие без фактического наличия автоматизированной обработки является избыточным и юридически необоснованным. Согласие должно содержать чёткие, функционально определённые цели, отражающие реальные процессы: формирование и ведение кадрового резерва, оформление полисов страхования, проведение маркетинговых исследований и т.д.

2. Некорректное определение операции «распространение персональных данных»

Ещё одной типичной ошибкой является неправильное толкование термина «распространение персональных данных». В ряде согласий указывается, что распространение осуществляется «определённому кругу лиц», что противоречит пункту 5 статьи 3 152-ФЗ, где под распространением понимаются действия, направленные на раскрытие персональных данных неопределённому кругу лиц (например, публикация данных на сайте в сети Интернет, где нет авторизации).

Если доступ к персональным данным предоставляется определённым лицам или организациям, то такие действия квалифицируются как предоставление или доступ, а не распространение. Следовательно, включение термина «распространение» в перечень действий по обработке персональных данных в случаях, когда фактически речь идёт о передаче конкретным контрагентам (например, банкам, курьерским службам, аутсорсинговым компаниям), является ошибочным.

Отдельно следует отметить, что статья 10.1 152-ФЗ выделяет особый порядок оформления согласия на обработку персональных данных, разрешённых субъектом для распространения, который предполагает оформление отдельного документа и соблюдение требований Приказа Роскомнадзора от 24 февраля 2021 г. № 18. Таким образом, указание на «распространение» в общем согласии без реального намерения публиковать данные в открытом доступе противоречит нормам закона и создаёт риск некорректной квалификации действий оператора.

3. Нарушение права субъекта на свободный отзыв согласия

Одним из ключевых принципов правового регулирования обработки персональных данных является добровольность согласия субъекта и возможность его свободного отзыва.

В соответствии с частью 2 статьи 9 152-ФЗ, субъект персональных данных вправе отозвать согласие в любое время. После получения отзыва оператор обязан прекратить обработку данных и уничтожить их в течение тридцати дней, если иное не предусмотрено федеральным законом (ч. 5 ст. 21 152-ФЗ).

Тем не менее, на практике в ряде согласий встречаются положения, ограничивающие это право. Например, формулировки, согласно которым отзыв допускается «не ранее чем через три месяца после расторжения трудового договора» либо «по истечении определённого периода». Подобные условия фактически ставят реализацию права субъекта в зависимость от воли оператора и прямо противоречат требованиям закона.

Следует отметить, что 152-ФЗ не допускает установления каких-либо временных ограничений на отзыв согласия. Исключение возможно только в случаях, когда обработка осуществляется на иных законных основаниях. Например, во исполнение трудового, налогового или гражданско-правового законодательства.

Таким образом, в целях правовой определённости согласие должно содержать прямое указание на возможность его отзыва в любой момент, а также порядок направления уведомления об отзыве (адрес электронной почты, почтовый адрес оператора, форма письменного обращения и т.д.). Это требование закреплено в пункте 8 части 4 статьи 9 152-ФЗ.

4. Отсутствие исчерпывающего перечня персональных данных

Серьёзным недостатком многих согласий является использование открытых формулировок, например: «включая, но не ограничиваясь следующими данными…». Такие выражения противоречат пункту 5 части 4 статьи 9 152-ФЗ, который требует точного указания перечня персональных данных, подлежащих обработке.

Применение неопределённых конструкций создаёт риск признания согласия недействительным, поскольку субъект фактически не информирован о том, какие именно сведения обрабатываются.

5. Отсутствие срока действия согласия

Аналогично нарушаются требования закона в части указания срока действия согласия. В действительности многие формы согласий содержат общие фразы вроде «согласие действует до его отзыва», что не позволяет определить фактические пределы обработки. Между тем законодатель обязывает включать в текст письменного согласия срок его действия, а также порядок отзыва (п. 8 ч. 4 ст. 9 152-ФЗ).

Для устранения данного нарушения рекомендуется:

• указывать конкретный срок (например, «в течение срока трудовых отношений и трёх лет после их прекращения»);

• определять событие, после которого обработка прекращается (например, «до достижения субъектом пенсионного возраста»).

Такое регулирование обеспечивает субъекту прозрачность обработки, а оператору юридическую защищённость в случае проверок Роскомнадзора.

6. Отсутствие описания способов обработки персональных данных

152-ФЗ требует, чтобы согласие содержало общее описание используемых способов обработки (п. 7 ч. 4 ст. 9 152-ФЗ). На практике этот элемент часто опускается, либо ограничивается фразой «обработка осуществляется с использованием средств автоматизации и без них», без какой-либо детализации.

Между тем, указание способов обработки имеет не формальный, а правозащитный характер: субъект должен понимать, каким образом его данные будут использоваться (автоматически, вручную или смешанным способом).

Рекомендуется формулировать данный пункт согласия с учётом реальных процессов оператора, например:

«Обработка персональных данных осуществляется смешанным способом, с использованием средств автоматизации, в информационных системах оператора и на бумажных носителях».

Такое уточнение позволяет подтвердить соответствие требованиям закона и минимизировать риск претензий со стороны надзорных органов.

7. Нарушение принципа «одна цель — одно согласие»

Согласно части 4 статьи 9 152-ФЗ, письменное согласие субъекта должно содержать сведения о цели обработки. Закон использует термин «цель» в единственном числе, что указывает на необходимость оформления отдельного согласия для каждой цели обработки.

Эта позиция неоднократно подтверждалась Роскомнадзором в публичных разъяснениях и отражена в правоприменительной практике. Принцип «одна цель — одно согласие» означает, что для каждой цели оператор обязан определить:

• категории и перечень персональных данных,

• перечень действий с ними,

• круг субъектов, чьи данные обрабатываются,

• способы обработки.

Между тем, в большинстве унифицированных форм согласий указано сразу несколько целей: например, «обеспечение доступа к информационным системам, предоставление парковочных мест, организация мероприятий, изготовление визиток, поздравление сотрудников и их родственников». При этом приводится единый перечень данных и единый перечень действий по их обработке.

Такой подход противоречит требованиям закона и создает риск признания согласия некорректным. Для соблюдения принципа правомерности оператору рекомендуется оформлять отдельные согласия на каждое направление обработки, либо структурировать документ в виде отдельных блоков с самостоятельным указанием цели и связанных с ней данных.

8. Практика избыточного получения согласий на обработку персональных данных

Среди операторов персональных данных до сих пор сохраняется устойчивая практика формального и избыточного получения согласий от субъектов, включая работников, контрагентов и клиентов, даже в тех случаях, когда обработка персональных данных уже предусмотрена законом и не требует отдельного согласия.

Подобный подход часто объясняется стремлением «перестраховаться», однако на практике приводит к обратному результату:

• во-первых, согласие утрачивает юридическую значимость, превращаясь в формальную процедуру;

• во-вторых, оператор создаёт видимость законности, не обеспечивая при этом реальной прозрачности и информированности субъектов.

152-ФЗ исходит из принципа минимизации согласий, то есть получения их только в тех случаях, когда иные правовые основания обработки отсутствуют.

Так, статья 88 Трудового кодекса РФ прямо устанавливает, что обработка персональных данных работника осуществляется без его согласия в случаях, предусмотренных трудовым законодательством и иными нормативными актами, регулирующими трудовые отношения.

Следовательно, согласие работника требуется лишь в тех ситуациях, когда предполагается использование его данных вне рамок трудовых функций, например:

• передача данных третьим лицам, не связанным с трудовыми отношениями (страховым компаниям, корпоративным партнёрам);

• публикация фотографий работников на сайте организации;

• участие в рекламных или PR-мероприятиях.

Таким образом, требование подписания согласия «на всё» при приёме на работу является избыточным и не соответствует законодательству.

Позиция Роскомнадзора и современные тенденции регулирования

Роскомнадзор в своих официальных разъяснениях и публичных выступлениях последовательно выступает против практики избыточного сбора согласий, указывая, что такие действия противоречат целям закона и подрывают правовую определённость в сфере обработки персональных данных.

Регулятор подчёркивает, что наличие согласия не освобождает оператора от обязанности соблюдать принципы обработки, установленные статьёй 5 152-ФЗ, и не заменяет собой иных правовых оснований обработки.

В последнее время данная позиция получила нормативное закрепление. Постановлением Правительства РФ от 29 июня 2021 г. № 1046, которым утверждены правила осуществления федерального государственного контроля (надзора) за обработкой персональных данных, была обновлена система оценки категорий риска операторов.

Согласно новой редакции, вступившей в силу с 5 сентября 2025 года, к категории высокого риска (группа А) отнесены операторы, которые осуществляют обработку персональных данных исключительно на основании согласий субъектов в случаях, когда получение такого согласия не требуется федеральным законом.

Таким образом, избыточное использование согласий становится не только формальным нарушением, но и фактором, повышающим риск включения оператора в группу повышенного контроля, что ведёт к увеличению частоты плановых проверок и профилактических визитов.

Роскомнадзор в этой связи прямо рекомендует организациям пересмотреть свою практику документооборота и исключить ненужные формы согласий.

9. Меры по приведению согласий в соответствие с требованиями законодательства

Для устранения выявленных нарушений и минимизации рисков привлечения к административной ответственности (по ст. 13.11 КоАП РФ) операторам персональных данных следует принять комплекс организационно-правовых и технических мер.

9.1. Проведение правового аудита согласий

Первостепенным шагом является проведение внутреннего аудита действующих форм согласий. Аудит должен включать:

• анализ используемых шаблонов и положений локальных актов, регулирующих обработку ПДн;

• проверку наличия обязательных реквизитов для письменных согласий, установленных ч. 4 ст. 9 152-ФЗ;

• выявление избыточных или противоречивых положений.

Результатом аудита должно стать формирование реестра согласий с указанием правовых оснований обработки, сроков их действия и целей.

9.2. Актуализация форм согласий

По итогам аудита рекомендуется переработать формы согласий с учётом следующих принципов:

• ясность и однозначность формулировок (без открытых конструкций «и иные»);

• точное указание цели обработки и перечня персональных данных;

• описание способов обработки (автоматизированная, неавтоматизированная, смешанная);

• указание срока действия и порядка отзыва согласия;

• указание на третьих лиц, если предполагается передача им данных или поручение обработки.

В случае обработки данных работников следует исключить положения, дублирующие нормы трудового законодательства, и ограничиться получением согласия только в ситуациях, не охватываемых законом.

9.3. Разграничение правовых оснований обработки

Операторам рекомендуется систематизировать правовые основания обработки персональных данных:

• для кадровой, бухгалтерской и налоговой информации использование оснований, предусмотренных федеральным законодательством (ст. 6 152-ФЗ);

• для маркетинговых и коммуникационных целей получение отдельных согласий субъектов;

• для взаимодействия с партнёрами и подрядчиками закрепление правовых оснований в договорах.

Такое разграничение позволит исключить избыточное применение согласий и повысит прозрачность обработки.

9.4. Внедрение процедур учёта и отзыва согласий

Для обеспечения документального подтверждения правомерности обработки следует:

• обеспечить возможность оперативного отзыва согласия субъектом — через электронную форму, письменное заявление на электронную почту и прочее;

• назначить ответственного за обработку персональных данных (ст. 22.1 152-ФЗ), в обязанности которого войдёт контроль за актуальностью согласий.

Заключение

Анализ показывает, что большинство распространённых недостатков согласий на обработку персональных данных носят системный характер и связаны не столько с формальными ошибками, сколько с отсутствием понимания их правовой природы.

Согласие субъекта персональных данных — не универсальный документ, а точечный инструмент легитимации конкретного вида обработки.

Его правомерность определяется полнотой информирования субъекта, точностью указания цели, перечня данных и способов обработки, а также возможностью свободного отзыва.

Приведение согласий в соответствие с требованиями 152-ФЗ не только минимизирует риски привлечения к ответственности, но и способствует укреплению доверия со стороны субъектов данных, контрагентов и надзорных органов.