Кому можно предоставлять персональные данные без согласия?

В бизнес-практике согласие часто воспринимают как универсальный пропуск для любых операций с персональными данными. На деле закон выстроен иначе: сначала рассматриваются законные основания, закрепленные прямо в 152‑ФЗ и профильных актах.

Согласие подключается по остаточному принципу: когда другого легального основания нет. Такой подход снижает бумажную нагрузку, убирает лишние документы и, что важнее, уменьшает риск претензий при проверке.

1. Базовая логика закона: согласие — не главный инструмент

Статья 6 152‑ФЗ перечисляет закрытый перечень случаев, когда обработка и предоставление данных допустимы без согласия. Перечень закрытый — новых «оснований по аналогии» не бывает. Согласие нужно только, если ни одно из законных оснований не подходит (ч. 1 ст. 6; ст. 9 152‑ФЗ). Для оператора практическая задача звучит просто: на каждую операцию с данными должен быть выбран и зафиксирован конкретный пункт закона. Если такого пункта нет, берите согласие и оформляйте его корректно.

Чтобы избежать путаницы, удобно держать в регламенте «матрицу оснований»: операция → цель → получатель → правовое основание → ограничения. Этот инструмент помогает как в ежедневной работе, так и при диалоге с проверяющими.

2. Кому и на каком основании можно передавать ПДн без согласия

Ниже — ключевые категории получателей и ситуации из ч. 1 ст. 6 152‑ФЗ. Для каждой — краткая логика, примеры и ограничения.

2.1. Органы госвласти и иные публично‑правовые образования

Правовое основание: исполнение функций, полномочий и обязанностей оператора, возложенных федеральным законом или международным договором (п. 2 ч. 1 ст. 6 152‑ФЗ).

Типичные получатели: ФНС, МВД, СФР, Росстат, Банк России.

Практический пример: направление сведений в ФНС в составе отчетности; ответы на запросы следователя.

Ограничения: передача «про запас» недопустима. Запрос должен корреспондировать полномочиям органа, а состав данных — цели запроса.

2.2. Суды и участники судопроизводства

Правовое основание: участие лица в конституционном, гражданском, административном, уголовном или арбитражном процессе (п. 3 ч. 1 ст. 6).

Пример: направление в суд копий кадровых документов по спору о зарплате; передача контрагенту копии договора и первички как доказательств.

Ограничения: раскрывается только то, что необходимо для процессуальных целей. Внутренние лишние сведения закрывайте, используйте маркировку «конфиденциально».

2.3. Предоставление государственных и муниципальных услуг

Правовое основание: исполнение полномочий органов власти и организаций, участвующих в предоставлении госуслуг (п. 4 ч. 1 ст. 6).

Пример: работа с профилем пользователя на ЕПГУ, подтверждение личности через ЕСИА, предоставление сведений из реестров.

Ограничения: проверяйте регламенты конкретной услуги, там обычно описаны состав данных и оператор.

2.4. Договорные отношения

Правовое основание: обработка необходима для заключения или исполнения договора, стороной, выгодоприобретателем или поручителем по которому является субъект (п. 5 ч. 1 ст. 6).

Примеры:

• интернет‑магазин принимает заказ и передает ФИО, телефон и адрес в курьерскую службу;
• банк обменивается данными с платежным агрегатором для исполнения платежа;
• сервис доставляет электронный чек на email из реквизитов заказа.

Граница применения: цель должна быть прямо связана с договором. Маркетинг «по следам сделки» сюда не относится. Для трудовых отношений действует глава 14 ТК РФ, а не «договорное» основание.

2.5. Защита жизни и здоровья

Правовое основание: при невозможности получить согласие, если обработка необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта (п. 6 ч. 1 ст. 6).

Пример: врач сообщает сведения скорой помощи при экстренной госпитализации; администратор спортклуба передает данные спасателям при травме на тренировке.

Ограничение: как только появляется возможность получить согласие, переходите на обычный режим.

2.6. Реализация прав и законных интересов оператора или третьих лиц

Правовое основание: необходимая обработка в целях законных интересов, при условии, что не нарушаются права и свободы субъекта (п. 7 ч. 1 ст. 6).

Практика: видеонаблюдение и контроль доступа в офисе, антифрод в интернет‑сервисе, взыскание задолженности.

Как документировать баланс интересов:

• зафиксируйте легитимную цель (безопасность, предотвращение злоупотреблений);
• опишите ожидаемую пользу и риски для субъектов.

Что точно не проходит как «законный интерес»: обработка чувствительных данных для маркетинга; непрозрачный профайлинг без альтернативы для субъекта.

2.7. Журналистика, наука и творчество

Правовое основание: профессиональная деятельность журналиста, законная деятельность СМИ, научная, литературная или иная творческая деятельность при ненарушении прав и законных интересов субъекта (п. 8 ч. 1 ст. 6).

Пример: редакция публикует материал об общественно значимом событии с указанием ФИО спикеров; исследовательский институт обрабатывает архивные массивы в научных целях.

Граница: «блогерский» статус сам по себе не дает иммунитета. Нужна связь с профессиональной деятельностью и соразмерность раскрытия.

2.8. Статистические и иные исследовательские цели

Правовое основание: статистика и исследования при обязательном обезличивании (п. 9 ч. 1 ст. 6).

Что считать корректным обезличиванием: методы и требования закреплены приказом РКН от 19.06.2025 № 140, вступившим в силу 01.09.2025 (установлены базовые техники: идентификаторы, изменение состава и семантики, перемешивание, декомпозиция и др.; также определены требования к процессу).

Пример: ретроспективный анализ покупок в аптечной сети с заменой идентификаторов клиентов.

Ограничение: любые попытки «легко обратимой анонимизации» — это риск.

2.9. Обязательное опубликование или раскрытие

Правовое основание: если обязанность опубликования или раскрытия установлена федеральным законом (п. 11 ч. 1 ст. 6).

Примеры: декларации о доходах отдельных категорий лиц; сведения в делах о банкротстве; обязательные публикации в медицине и образовании.

Граница: «мы так решили по внутреннему регламенту» — не основание. Нужна прямая норма закона.

3. Особые категории, судимость, биометрия — где без согласия можно, а где нет

3.1. Специальные категории

Сведения о здоровье, убеждениях, интимной жизни и другие чувствительные данные разрешены к обработке без согласия только в специально оговоренных случаях (пп. 2.1–10 ч. 2 и ч. 2.1 ст. 10 152‑ФЗ).

Примеры законных исключений: медицинская деятельность в целях охраны здоровья; социальные выплаты; правосудие.

Практический ориентир: если цель не подпадает под конкретный пункт ч. 2 ст. 10, готовьте письменное согласие или не обрабатывайте.

3.2. Сведения о судимости

Такие сведения могут обрабатываться без согласия исключительно госорганами и муниципалитетами в пределах их полномочий (ч. 3 ст. 10 152‑ФЗ). Частные компании запрашивают их только, если прямая норма закона это допускает (например, для отдельных должностей).

3.3. Биометрические данные

Общий режим: письменное согласие субъекта (ч. 1 ст. 11 152‑ФЗ). Без согласия — только в случаях, перечисленных в ч. 2 ст. 11 (например, обеспечение безопасности, государственные информационные системы при выполнении закона). Оператор не вправе отказывать в услуге из‑за отказа предоставить биометрию, если закон не требует согласия и биометрии (ч. 3 ст. 11 152‑ФЗ).

4. Обработка по поручению: когда отдельное согласие не нужно

Если оператор поручает обработку подрядчику, отдельное согласие не требуется (ч. 4 ст. 6 152‑ФЗ). Но с подрядчиком должно быть поручение с зафиксированными целями, действиями, составом и сроками, а также требованиями по безопасности и возврату/уничтожению. Ответственность перед субъектом несет оператор. В договорах избегайте расплывчатых формулировок «любой объем, любые цели», т.к. это повод для претензий.

5. Трансграничная передача: согласие не спасает от процедур

Даже если основание не требует согласия, при передаче за рубеж включаются требования ст. 12 152‑ФЗ: проверка «адекватности» страны по перечню РКН, оценка правового режима и рисков, уведомление/согласование в предусмотренных законом случаях.

Доступ иностранного подрядчика к данным в облаке — тоже трансграничная передача. Локализация первой записи в РФ по‑прежнему обязательна (ч. 5 ст. 18 152‑ФЗ): это отдельная обязанность, не зависящая от согласия.

6. Надзор: почему «согласие на всякий случай» стало риском

С 05.09.2025 действует обновленная редакция Положения о контроле за обработкой ПДн (ПП РФ № 1046, ред. от 27.08.2025). Пересмотрены группы тяжести и критерии риска. К высокой группе тяжести «А» отнесены: операторы, собирающие согласия там, где они не требуются.

Позиция регулятора при этом последовательна: избыточные согласия там, где есть прямое законное основание, — плохая практика. Она запутывает субъектов, мешает прозрачности и повышает регуляторный риск.

Группа вероятности нарушений учитывает факты прежних привлечений по ст. 13.11 КоАП РФ: недавно наказанные операторы попадают в более высокий риск, а значит, в более плотный график контрольных мероприятий.

7. Ответственность: что грозит за неверный выбор основания

Бремя доказывания законности обработки лежит на операторе (ч. 3 ст. 9 152‑ФЗ). Ошиблись с основанием — готовьтесь объяснять.

С 30.05.2025 усилены санкции по 13.11 КоАП РФ: выросли штрафы по «общему составу», введены высокие штрафы за неправомерную передачу (включая пороговые составы по количеству субъектов) и отдельные составы за несвоевременное уведомление об инциденте.

Для организаций размеры санкций доходят до миллионов рублей и до процентов от выручки по тяжелым составам. Это прямой экономический стимул перестроить процессы.

8. Что чаще всего идет не так: типовые сбои и как их чинить

• «Договорное» основание используется для маркетинга.

Исправление: выделите отдельное основание (согласие).

• В поручениях подрядчикам отсутствуют сроки и способы уничтожения.

Исправление: добавьте требования по подтверждению уничтожения (приказ РКН № 179) и запрет на использование данных вне целей поручения.

• Видеонаблюдение настроено на всякий случай.

Исправление: опишите цели, зоны, сроки хранения, порядок доступа; установите предупреждающие таблички, исключите избыточные углы обзора.

• «Обезличивание» сведено к удалению пары полей.

Исправление: примените методы из приказа РКН № 140 и зафиксируйте процесс — от выбора метода до контроля качества обезличивания.

• Раскрытие в суд и госорган «с запасом».

Исправление: готовьте пакеты под конкретный запрос, чувствительные части закрывайте.

Итоги

Закон предлагает достаточно оснований, где согласие используется только при отсутствии иной легальной опоры. Безошибочный выбор основания, аккуратное документирование и минимизация обработки снижают риски споров с субъектами, экономят бюджет на штрафах и снимают лишнюю бумагу.

Начните с инвентаризации операций и построения матрицы оснований, исправьте пограничные кейсы (маркетинг, видеонаблюдение, подрядчики). Этот набор шагов дает понятную траекторию к устойчивой модели работы с данными, без лишних согласий и с опорой на закон.