Алексей Ветров
Эксперт по защите данных IC-TECH
Да, можно. Федеральный закон № 152-ФЗ разрешает обработку персональных данных без отдельного согласия субъекта, если это необходимо для заключения и исполнения договора, стороной или выгодоприобретателем которого является субъект персональных данных.
Простой пример — трудовой договор. Работодатель вправе собирать паспортные данные, ИНН, СНИЛС, сведения о семье и образовании сотрудника для оформления трудовых отношений и начисления зарплаты без его отдельного согласия. Аналогично, интернет-магазин может обработать ФИО, телефон и адрес клиента для доставки товара, поскольку эти действия направлены на исполнение договора купли-продажи.
Однако если компания хочет использовать данные сверх целей договора (например, для рекламной рассылки, публикации отзывов на сайте или передачи партнёрам), в этих случаях уже требуется отдельное согласие.
Простой пример — трудовой договор. Работодатель вправе собирать паспортные данные, ИНН, СНИЛС, сведения о семье и образовании сотрудника для оформления трудовых отношений и начисления зарплаты без его отдельного согласия. Аналогично, интернет-магазин может обработать ФИО, телефон и адрес клиента для доставки товара, поскольку эти действия направлены на исполнение договора купли-продажи.
Однако если компания хочет использовать данные сверх целей договора (например, для рекламной рассылки, публикации отзывов на сайте или передачи партнёрам), в этих случаях уже требуется отдельное согласие.
Обоснование по законодательству
- Ст. 6 ФЗ-152, ч. 1, п. 5 — обработка ПДн допускается без согласия субъекта, если она необходима для исполнения договора, стороной которого является субъект.
- Ст. 6 ФЗ-152, ч. 2 — закрепляет право оператора обрабатывать ПДн в случаях, прямо предусмотренных законом.
- Ст. 9 ФЗ-152 — согласие требуется, если обработка выходит за рамки договора и основана исключительно на воле субъекта.
- Ст. 10 и 11 ФЗ-152 — специальные и биометрические категории данных обрабатываются только при наличии письменного согласия, даже если они связаны с договором (например, фото сотрудника для бейджа или данные о здоровье для ДМС).
Практика Роскомнадзора
- При проверке строительной компании выяснилось, что копии паспортов клиентов хранились дольше срока действия договора и использовались в рекламных целях. Роскомнадзор указал, что для исполнения договора согласие не нужно, но для рассылок и иных целей оно обязательно.
- В интернет-магазине при заказе товаров у клиентов собирали e-mail, и эти адреса использовались для рекламной рассылки без отдельного согласия. Итог — штраф и предписание.
Важный нюанс: цель обработки
Если данные нужны для заключения и исполнения договора — согласие не требуется. Но использовать их для любых других целей без согласия нельзя. Это ключевая ошибка компаний: они считают, что раз данные были собраны при заключении договора, их можно применять как угодно.
Рекомендации и выводы
Работать без согласия субъекта можно только в рамках целей, связанных с договором. Для законного соблюдения требований ФЗ-152 необходимо:
- Чётко разграничивать цели обработки ПДн (договорные и «сверхдоговорные»).
- При работе с договором использовать данные без согласия, но строго в рамках его исполнения.
- Для любых дополнительных целей (реклама, публикация отзывов, фото сотрудников, обзвоны) получать отдельное согласие.
- Включить в пакет документов по 152-ФЗ типовые формы согласий и регламенты работы с договорами.
Компания ICTech подготовит для вашей организации полный комплект документов по защите персональных данных, включая правильные формы согласий и регламенты работы с договорными данными. Это позволит вам спокойно заключать договоры, избегая штрафов и претензий Роскомнадзора.
Хотите защитить себя от проверок и штрафов?
Разработаем полный пакет документации по обработке персональных данных для вашей организации.
