Поделиться
Согласие с альтернативой: как крупный бизнес обрабатывает персональные данные и что облегчит эту работу
Обсуждение возможности отказа от согласий на обработку персональных данных продолжается уже более года. Осенью 2025 года Роскомнадзор выступил с инициативой внедрить отраслевые стандарты обработки персональных данных, которые могли бы заменить ситуации, когда каждый гражданин вынужден давать отдельное разрешение на каждое действие каждой компании. В теории это означает, что бизнес при соответствующих изменениях мог бы собирать и использовать определенные наборы персональных данных для конкретных целей — их состав зависит от сферы деятельности организации. Такой подход унифицировал бы процедуры и значительно снизил бы юридическую нагрузку на компании, связанную со сбором и обработкой данных. Однако на практике унификация возможна далеко не для всех процессов, и предложенные меры помогут решить лишь некоторые стандартные задачи бизнеса, но не устранят все вопросы, касающиеся получения согласий от субъектов персональных данных. Анастасия Петрова, советник практики Защиты данных и кибербезопасности юридической фирмы АЛРУД, анализирует, возможен ли полный отказ от согласий на обработку персональных данных и существуют ли уже сейчас альтернативы, способные облегчить эту работу для компаний.
Зачем искать панацею от всех согласий
За последние годы система защиты персональных данных претерпевает изменения — и не всегда в интересах бизнеса. В 2025 году штрафы за стандартные нарушения в обработке персональных данных выросли более чем втрое: для физических лиц — с 2-6 тыс. рублей до 10-15 тыс. рублей, для организаций — с 60-100 тыс. рублей до 300-700 тыс. рублей за однократное нарушение. В некоторых случаях штраф рассчитывается как процент от оборота компании. Кроме того, с 2024 года введена уголовная ответственность за незаконное использование, передачу, сбор и хранение персональных данных, полученных путем неправомерного доступа к средствам их обработки или хранения.
Организации сталкиваются с проблемами при обработке и удалении информации: одним не хватает необходимой инфраструктуры для автоматизации процессов, другим — синхронизированных баз данных. Исследование Ассоциации по защите информации (BISA) показывает, что лишь четверть компаний сообщают в надзорные органы об утечках данных.
Дополнительные трудности возникают в сфере обработки персональных данных сотрудников. К примеру, в 2024 году за одно некорректно оформленное согласие на обработку данных работника предприятия выплачивают до 700 000 рублей. При этом количество согласий, которые подписываются при трудоустройстве, в отдельных компаниях может достигать двадцати и более. Часть таких документов касается процессов, которые оператор не может остановить, даже если сотрудник откажется от подписания или отзовет свое согласие. Например, это относится к видеонаблюдению на производственной территории или привлечению сторонней организации для расчета заработной платы. Субъекты персональных данных нередко подписывают согласия, не вдумываясь в их содержание, воспринимая их как простую формальность, необходимую для трудовых отношений или доступа к сервису. В итоге сбор согласий зачастую не соответствует истинному требованию закона о том, что такое согласие должно быть осознанным, а также не отражает реальных условий обработки данных.
Реформа согласия
Институт согласий действительно нуждается в реформировании. Однако полный отказ от согласий невозможен из-за действующего законодательства о персональных данных и правовых принципов, закрепленных в Конституции Российской Федерации, в частности приоритета прав и свобод человека, которые признаются высшей ценностью, а их соблюдение и защита являются обязанностью государства.
Закон о персональных данных уже сегодня определяет ряд случаев, где только согласие может служить основанием для обработки персональных данных. К ним относятся направление рекламы или другой маркетинговой информации, обработка биометрических данных, а также специальных категорий персональных данных, таких как сведения о здоровье, политических взглядах и религиозных убеждениях.
Кроме того, регулируется принятие решений, которые влекут юридические последствия для человека. Такие решения не должны основываться исключительно на автоматизированной обработке «стандартного набора» персональных данных. Например, искусственный интеллект не может самостоятельно и без ограничений принимать решения, касающиеся людей, — для этого требуется индивидуальное согласие человека.
Альтернативы
Действующий Федеральный закон о персональных данных предусматривает, что согласие является одним из возможных законных оснований для обработки персональных данных. Однако помимо согласия существуют и другие правовые основания: необходимость заключения и выполнения договора с гражданином, отправление правосудия, соблюдение законодательных требований, реализация законных прав и интересов как самого оператора, так и третьих лиц. Таким образом, согласие — это не единственный инструмент, доступный операторам для обеспечения законности обработки данных. В большинстве практических ситуаций альтернативными правовыми основаниями выступают заключение и исполнение договора с субъектом данных или договора, где субъект является выгодоприобретателем, а также законный интерес.
В случаях, когда основанием для обработки данных служит не только согласие, операторы уже сейчас могут применять другие правовые основания. Однако они по-прежнему действуют с большой осторожностью. Согласие остается одним из правовых оснований, наличие которого, на первый взгляд, проще всего подтвердить, а судебная практика по использованию других правовых оснований пока ограничена и несистемна, то есть в аналогичных ситуациях суды могут выносить различные решения. Например, суды по-разному оценивают доводы о незаконной передаче персональных данных юристам, адвокатам и представителям для оказания юридической помощи и представления интересов в суде без согласия субъектов. Так, Девятый кассационный суд общей юрисдикции в Постановлении от 17.02.2022 № 16-403/2022 подтвердил отсутствие нарушений прав субъектов данных при обработке их персональных данных в связи с получением этих данных поверенным на основании доверенности на право представлять интересы юридического лица без согласия субъектов. В другом деле Верховный суд РФ подтвердил, что передача данных пациента клиники юридической фирме без его согласия для целей досудебного урегулирования конфликта запрещена (Определение ВС РФ от 07.05.2024 № 310-ЭС24-6268).
Потенциальные изменения законодательства о персональных данных в части получения согласий не могут противоречить Конституции Российской Федерации, которая провозглашает права и свободы человека высшей ценностью. В связи с этим согласие субъекта персональных данных не может быть полностью отменено. Напротив, стремительное развитие технологий и одновременное повышение внимания операторов и субъектов персональных данных к вопросам обработки данных должны способствовать формированию более осознанного подхода к получению согласий на их обработку.
Осознанный подход к согласиям
Согласия не должны оставаться лишь формальностью — им необходимо функционировать как правовой инструмент, гарантирующий подлинную защиту прав субъектов персональных данных. Осмысленный подход к их получению подразумевает, что согласие является действительно обязательным условием для обработки данных, а это, в первую очередь, означает, что обработка без согласия влечет или может повлечь нарушение прав данного физического лица.
Вопрос оценки потенциальных нарушений прав в связи с обработкой персональных данных без согласия представляет собой сложную и многогранную задачу, требующую глубокого понимания законов Российской Федерации и практики их применения. Это обусловлено, прежде всего, тем, что права физического лица нельзя рассматривать исключительно в рамках законодательства о персональных данных. Для безопасного использования правовых оснований, отличных от согласия, необходимо быть уверенным, что такое использование не нарушает в целом права человека и гражданина, права работника, права потребителя, права предпринимателя, участника гражданских правоотношений и других категорий.
Наряду с осмысленным подходом к согласиям неизбежно развивается практика применения иных правовых оснований. Для бизнеса это особенно значимо, так как позволяет избежать излишней работы по сбору согласий, сопряженной с рисками нарушения прав субъектов персональных данных. При получении согласия важно осознавать, что оно не всегда отражает истинное волеизъявление человека и может не соответствовать требованиям закона, предъявляемым к такому согласию. Поэтому во многих случаях существует риск оспаривания согласий, не говоря уже о праве субъекта персональных данных отозвать его.
Грамотное применение таких правовых оснований, как законный интерес и заключение и исполнение договора, безусловно, потребует надлежащей предварительной юридической оценки. Такая оценка может включать комплекс мер по правовой экспертизе законности и необходимости обработки данных, а также отсутствия нарушений прав субъектов персональных данных. Подобная экспертиза также требует обширных знаний законодательства и значительных ресурсов со стороны юристов. Однако результат оправдывает эти усилия, поскольку позволит устранить указанные выше риски, связанные с применением согласий, усилить защиту прав субъектов данных, а также снизить нагрузку на бизнес по их получению.
Краткий URL
