Можно ли использовать персональные данные субъекта для новых целей без его согласия?

Алексей Ветров

Эксперт по защите данных IC-TECH

Задать вопрос

Нет, использовать персональные данные для новых целей без согласия субъекта нельзя. По закону обработка ПДн должна быть ограничена заранее определёнными и законными целями. Если компания решила применить уже собранные данные для иных задач, это требует получения нового согласия. Исключения составляют только случаи, когда обработка прямо разрешена федеральным законом.

Примеры, когда согласие обязательно:

• данные клиента собраны для заключения договора, но компания хочет использовать их для маркетинговых рассылок;
• работодатель хранит данные сотрудника для кадрового учёта, но планирует разместить его фото на сайте или в рекламе;
• образовательное учреждение собирает данные школьников для учёбы, но решает публиковать их достижения в СМИ.

Примеры, когда согласие может не требоваться:

• обработка в целях исполнения договора, стороной которого является субъект;
• обработка в целях исполнения обязанностей по закону (например, передача данных в налоговую или ФСС);
• использование данных в статистических или исследовательских целях при условии обезличивания.

Обоснование по законодательству

• Ст. 5 ФЗ-152, ч. 2 — обработка должна быть ограничена достижением конкретных, заранее определённых и законных целей.
• Ст. 6 ФЗ-152 — допускается обработка ПДн без согласия только в случаях, прямо предусмотренных законом (договор, обязанность по закону и т. д.).
• Ст. 9 ФЗ-152 — согласие субъекта должно быть конкретным и информированным, с указанием целей.

Практика и позиция Роскомнадзора

Роскомнадзор при проверках строго относится к случаям расширения целей обработки.

Пример: интернет-магазин собирал телефоны клиентов для доставки, но затем использовал их для SMS-рассылки акций. Роскомнадзор признал это нарушением, так как согласие было дано только на доставку.

В другом случае образовательное учреждение заранее включило в согласие родителей использование данных учеников не только для учёбы, но и для публикации фотографий на сайте. РКН нарушений не нашёл, так как цели были прописаны в согласии изначально.

Важный момент для организаций

Если компания использует данные в новых целях без согласия, Роскомнадзор квалифицирует это как незаконную обработку. Даже если субъект «устно согласен», требуется письменное подтверждение.

Рекомендации и выводы

Нет, использовать ПДн в новых целях без согласия нельзя. Чтобы действовать законно:

1. Формулируйте цели обработки максимально чётко при получении согласия.
2. При расширении или изменении целей оформляйте новые согласия.
3. Храните доказательства согласия (бумажные документы, чекбоксы, электронные подписи).
4. Закрепите порядок работы с согласиями и целями обработки в комплекте документов по ФЗ-152.

Компания ICTech поможет вашей организации подготовить корректные формы согласий и локальные акты, чтобы все новые цели обработки были законными и не вызвали претензий Роскомнадзора.

Хотите защитить себя от проверок и штрафов?

Подготовим документы по 152-ФЗ

Разработаем полный пакет документации по обработке персональных данных для вашей организации.

Заказать

О услуге