Согласие на обработку персональных данных по 152-ФЗ: 5 ошибок, которые превращают документ в мусор
Согласие на обработку персональных данных — документ, который есть у каждой компании. Проблема в том, что большинство этих документов не выдержат проверки Роскомнадзора: они скопированы с чужих сайтов, не привязаны к реальным бизнес-процессам и содержат формулировки, которые суд признаёт недействительными…
Ошибка 1: цель обработки сформулирована слишком широко
Самая распространённая формулировка в согласиях — «обработка персональных данных в целях деятельности компании» или «для оказания услуг». Статья 9 152-ФЗ требует конкретности: субъект данных должен понимать, зачем именно и как будут использованы его данные. Расплывчатая цель не соответствует принципу ограничения цели, закреплённому в статье 5.
Правильный подход — перечислять цели раздельно и привязывать к ним конкретный перечень данных. Например: «Цель: направление коммерческих предложений по электронной почте. Данные: имя, адрес электронной почты. Срок хранения: 2 года с момента подписания согласия». Если у вас три разных процесса — три отдельных блока, а не одна общая фраза. Это защищает и пользователя, и вас: при оспаривании согласия суд оценивает, мог ли человек реально понять, на что соглашается.
Ошибка 2: перечень обрабатываемых данных не совпадает с тем, что реально собирается
Типичная картина: в согласии написано «ФИО, номер телефона, email», а в CRM оседают ещё IP-адрес, геолокация, история переходов по сайту и поведенческие паттерны, которые система аналитики автоматически привязывает к профилю клиента. Это прямое нарушение принципа соответствия объёма данных заявленной цели.
Перед финализацией согласия проведите аудит потоков данных: какие данные собирает сайт, CRM, мобильное приложение, колл-центр, служба поддержки. Включите в согласие всё, что реально обрабатывается. Если используете сторонние сервисы аналитики или рекламные пиксели — это тоже обработка, и её нужно раскрыть, указав третьих лиц-получателей данных. Несоответствие между текстом согласия и реальной практикой — один из главных поводов для предписания по итогам проверки.
Ошибка 3: согласие встроено в оферту или пользовательское соглашение без возможности отказаться отдельно
Нередко компании размещают согласие на обработку данных внутри многостраничного договора оферты: «Акцептуя настоящий договор, вы также соглашаетесь на обработку ваших персональных данных». Роскомнадзор и суды трактуют такую конструкцию как недействительную, если согласие на обработку данных является условием получения услуги, а не добровольным волеизъявлением.
152-ФЗ закрепляет принцип добровольности: субъект должен иметь реальную возможность отказаться от согласия без потери доступа к основному продукту или услуге — кроме случаев, когда обработка необходима для исполнения договора. Разделите документы: договор отдельно, согласие отдельно. Там, где обработка нужна для исполнения договора (доставка, выставление счёта), согласие вообще не требуется — достаточно ссылки на пункт 5 части 1 статьи 6. А там, где обработка добровольная (рассылки, персонализация рекламы), получайте отдельный явный акцепт.
Ошибка 4: не указан срок действия согласия и порядок его отзыва
Часть 4 статьи 9 152-ФЗ обязывает оператора прекратить обработку данных после отзыва согласия — в разумный срок, который принято трактовать как 30 дней. Но если в тексте согласия не прописан ни срок его действия, ни механизм отзыва, компания оказывается в правовой ловушке: формально субъект может потребовать прекращения обработки в любой момент, а вы не сможете доказать, что выполнили это требование своевременно.
Укажите в согласии: срок действия (например, «до достижения цели обработки» или конкретную дату), способ отзыва (электронное письмо на указанный адрес, форма на сайте, письменное заявление) и срок, в течение которого компания обязуется прекратить обработку после получения заявления об отзыве. Параллельно выстройте внутренний процесс: кто получает заявление, кто вносит изменения в CRM, кто контролирует исполнение. Документируйте каждый отзыв — это ваша защита при возможных претензиях.
Ошибка 5: согласие получено один раз и никогда не обновляется при изменении процессов
Бизнес меняется: компания подключает новый рекламный канал, внедряет AI-систему персонализации, передаёт данные новому подрядчику. Согласие, подписанное клиентом три года назад, не распространяется автоматически на новые цели и новых получателей данных. Многие операторы об этом забывают и продолжают обрабатывать данные на основании устаревшего согласия.
Выстройте процедуру ревизии согласий при каждом существенном изменении в обработке данных. Если цель, состав данных или третьи лица-получатели изменились — получайте новое согласие или уведомляйте субъектов и предоставляйте возможность отказаться. Особую актуальность это приобретает при внедрении AI-инструментов: автоматизированные решения на основе профилирования попадают под специальные требования статьи 16 152-ФЗ и могут потребовать дополнительного явного согласия.
Ещё один практический совет: ведите реестр согласий с указанием версии документа, даты получения и идентификатора субъекта. При проверке Роскомнадзора инспектор вправе запросить подтверждение факта получения согласия по конкретному субъекту — реестр позволяет ответить на этот запрос в течение нескольких минут, а не искать записи по всем системам.
Как выстроить работу с согласиями системно, а не латать дыры
Отдельные правки в шаблон согласия — это тактика. Системная защита требует трёх вещей: карты потоков персональных данных (data flow map), матрицы правовых оснований для каждого процесса обработки и регламента реагирования на запросы субъектов. Эти документы взаимосвязаны: карта показывает, что реально происходит, матрица объясняет, на каком основании это законно, регламент описывает, что делать, когда субъект предъявляет требования.
Если ваша компания внедряет или уже использует AI-продукты — особенно в части автоматизированного принятия решений, рекомендательных систем или анализа поведения пользователей — вопрос правовых оснований для обработки становится критичным. Именно здесь чаще всего возникает разрыв между тем, что написано в согласии, и тем, что делает система.
