Кибероснова | 152-ФЗ — документы по защите персональных данных

Обработка ПДн без согласия субъекта: основания по закону

16 февраля 2026 г.8 мин чтения

Перечень оснований для обработки ПДн без согласия (ст. 6 152-ФЗ)

Статья 6 Федерального закона от 27 июля 2006 г. №152-ФЗ «О персональных данных» устанавливает исчерпывающий перечень случаев, когда обработка персональных данных допускается без получения согласия субъекта. Это не исключения из правил — это полноценные самостоятельные правовые основания, равные по юридической силе согласию.

Рассмотрим каждое основание из части 1 статьи 6:

  1. Обработка осуществляется с согласия субъекта (п. 1 ч. 1 ст. 6) — базовое основание, но далеко не единственное.

  2. Обработка необходима для достижения целей международных договоров и законов РФ (п. 2 ч. 1 ст. 6) — когда обязанность обработки прямо установлена нормативным правовым актом. Примеры: налоговая отчётность, воинский учёт, обязательное медицинское страхование.

  3. Обработка необходима для осуществления правосудия, исполнения судебного акта (п. 3 ч. 1 ст. 6) — в рамках судебных разбирательств и исполнительного производства.

  4. Обработка необходима для исполнения полномочий государственных органов (п. 4 ч. 1 ст. 6) — при предоставлении государственных и муниципальных услуг, а также для исполнения функций органов власти.

  5. Обработка необходима для исполнения договора, стороной которого является субъект ПДн (п. 5 ч. 1 ст. 6) — одно из самых практически значимых оснований для бизнеса. Также распространяется на договор, заключаемый по инициативе субъекта, и договор, по которому субъект является выгодоприобретателем или поручителем.

  6. Обработка необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта (п. 6 ч. 1 ст. 6) — когда получение согласия физически невозможно (например, пациент без сознания).

  7. Обработка необходима для осуществления прав и законных интересов оператора или третьих лиц (п. 7 ч. 1 ст. 6) — при условии, что не нарушаются права субъекта ПДн. Это основание часто используется, но его применение ограничено: интересы оператора не должны ущемлять права и свободы субъекта.

  8. Обработка необходима для профессиональной деятельности журналиста, СМИ, научной или литературной деятельности (п. 8 ч. 1 ст. 6) — при условии ненарушения прав субъекта.

  9. Обработка осуществляется в статистических или иных исследовательских целях (п. 9 ч. 1 ст. 6) — при условии обязательного обезличивания данных. Без обезличивания данное основание не применимо.

  10. Обработка ПДн, сделанных общедоступными субъектом (п. 10 ч. 1 ст. 6) — данные, которые субъект самостоятельно сделал доступными неограниченному кругу лиц. Важно: с 1 марта 2021 г. действуют специальные правила для общедоступных данных (ст. 10.1 152-ФЗ), значительно сужающие это основание.

  11. Обработка ПДн, подлежащих опубликованию или обязательному раскрытию (п. 11 ч. 1 ст. 6) — данные, которые подлежат раскрытию в соответствии с федеральным законом. Пример: данные о руководителях юридических лиц в ЕГРЮЛ.

Каждое из этих оснований является самодостаточным: если ваша обработка подпадает хотя бы под одно из них, получение согласия не требуется. Однако при проверке Роскомнадзором вы обязаны документально подтвердить наличие соответствующего основания.

Таблица: когда согласие нужно, а когда нет

Ниже приведена практическая таблица наиболее распространённых ситуаций. Для каждой указано, требуется ли согласие субъекта и какое основание позволяет обрабатывать данные без него.

СитуацияСогласие нужно?Основание
Оформление трудового договора с работникомНетп. 5 ч. 1 ст. 6 (договор) + ТК РФ
Начисление заработной платы и удержание НДФЛНетп. 2 ч. 1 ст. 6 (закон — НК РФ)
Подача сведений в ПФР/ФСС/ФОМСНетп. 2 ч. 1 ст. 6 (закон — обязательное страхование)
Ведение воинского учёта сотрудниковНетп. 2 ч. 1 ст. 6 (закон — ФЗ о воинской обязанности)
Передача данных работника в банк для зарплатного проектаДаВыходит за рамки трудового договора
Размещение фото сотрудника на сайте компанииДаНе предусмотрено ТК РФ и договором
Размещение фото сотрудника на пропуске (внутреннее использование)ДаНе предусмотрено ТК РФ напрямую
Оформление договора купли-продажи с клиентомНетп. 5 ч. 1 ст. 6 (договор)
Оформление договора оказания услугНетп. 5 ч. 1 ст. 6 (договор)
Рассылка рекламных материалов клиентамДаНе является исполнением договора
Передача данных клиента курьерской службе для доставкиНетп. 5 ч. 1 ст. 6 (исполнение договора)
Передача данных клиента маркетинговому партнёруДаНе связано с исполнением договора
Обработка данных пациента при оказании медицинской помощиНетп. 2 ч. 1 ст. 6 (ФЗ об охране здоровья)
Сбор данных посетителей сайта через формы обратной связиДаНет договорных отношений
Сбор cookies и данных аналитики на сайтеДаРекомендуется получать согласие
Обработка данных для бухгалтерского учётаНетп. 2 ч. 1 ст. 6 (ФЗ о бухучёте)
Публикация данных о руководителе в ЕГРЮЛНетп. 11 ч. 1 ст. 6 (обязательное раскрытие)
Видеонаблюдение на территории предприятияЗависит от ситуациип. 7 ч. 1 ст. 6 (законный интерес) — при наличии уведомления
Передача ПДн за границу (трансграничная передача)Да (в большинстве случаев)Требуется отдельное согласие по ст. 12
Обработка ПДн в целях предупреждения терроризмаНетп. 2 ч. 1 ст. 6 (закон)
Обработка ПДн для научного исследования с обезличиваниемНетп. 9 ч. 1 ст. 6 (при обезличивании)

Если вашей ситуации нет в таблице, задайте себе три вопроса:

  1. Есть ли закон, обязывающий вас обрабатывать эти данные?
  2. Необходима ли обработка для исполнения договора с субъектом?
  3. Защищает ли обработка жизненно важные интересы субъекта?

Если на все три вопроса ответ «нет» — вам, скорее всего, нужно согласие на обработку ПДн.

Обработка ПДн работников без согласия

Трудовые отношения — одна из самых распространённых ситуаций, где возникают вопросы о необходимости согласия. Разберём подробно.

Что покрывает Трудовой кодекс

Статья 86 Трудового кодекса РФ устанавливает, что работодатель вправе обрабатывать персональные данные работника исключительно в целях, связанных с трудовыми отношениями. Это означает, что без согласия работника можно обрабатывать данные для:

  • заключения и исполнения трудового договора;
  • ведения кадрового делопроизводства;
  • обеспечения безопасности на рабочем месте;
  • контроля количества и качества выполняемой работы;
  • обеспечения сохранности имущества работодателя;
  • начисления и выплаты заработной платы;
  • предоставления сведений в государственные органы (ПФР, ФНС, военкоматы).

Основанием в данном случае выступает трудовой договор (п. 5 ч. 1 ст. 6) и требования законодательства (п. 2 ч. 1 ст. 6).

Когда согласие работника всё-таки нужно

Несмотря на широкие возможности обработки в рамках трудовых отношений, существуют ситуации, требующие отдельного согласия работника:

  • передача ПДн третьим лицам, не предусмотренная законом (например, страховой компании для ДМС, банку для зарплатного проекта);
  • обработка биометрических данных (отпечатки пальцев для СКУД, фото для пропуска);
  • размещение информации о работнике на корпоративном сайте, в социальных сетях, рекламных материалах;
  • обработка специальных категорий ПДн (состояние здоровья — за исключением случаев, предусмотренных ТК);
  • обработка данных членов семьи работника (для социальных гарантий, не предусмотренных законом);
  • использование данных после увольнения для целей, не связанных с архивным хранением.

Важно помнить: даже если согласие не требуется, работник должен быть ознакомлен под подпись с политикой обработки персональных данных работодателя до начала обработки.

Обработка по договору

Договор с субъектом персональных данных — одно из наиболее удобных и часто используемых оснований для обработки без согласия.

Условия применения

Пункт 5 части 1 статьи 6 позволяет обрабатывать ПДн без согласия, если обработка необходима для:

  • исполнения договора, стороной которого является субъект ПДн;
  • заключения договора по инициативе субъекта (преддоговорные отношения);
  • исполнения договора, по которому субъект является выгодоприобретателем или поручителем.

Ограничения

Договор как основание имеет чёткие границы:

  1. Объём данных — можно обрабатывать только те данные, которые непосредственно необходимы для исполнения конкретного договора. Если для доставки товара нужен адрес — это обосновано. Если для доставки запрашивается дата рождения — это избыточно.

  2. Цель обработки — данные могут использоваться только для целей исполнения договора. Использование данных клиента из договора купли-продажи для маркетинговых рассылок — это уже другая цель, требующая отдельного основания (как правило, согласия).

  3. Срок обработки — после исполнения договора данные подлежат уничтожению, если нет иных оснований для продолжения обработки (например, требования бухгалтерского или налогового законодательства по хранению документов).

  4. Передача третьим лицам — передача данных третьим лицам в рамках исполнения договора допустима (например, курьерской службе для доставки), но только в объёме, необходимом для исполнения. Передача маркетинговым партнёрам на основании договора — недопустима.

Практический пример

Интернет-магазин заключает договор купли-продажи с клиентом. Без согласия можно обрабатывать: ФИО, адрес доставки, контактный телефон, электронную почту (для уведомлений о заказе), платёжные реквизиты. Без согласия нельзя: добавлять клиента в рекламную рассылку, передавать данные партнёрам для перекрёстных продаж, использовать историю покупок для профилирования.

Обработка в силу закона

Федеральное законодательство прямо обязывает операторов обрабатывать определённые персональные данные без получения согласия. Это одно из наиболее «бесспорных» оснований.

Налоговое законодательство

Налоговый кодекс РФ обязывает работодателей и налоговых агентов обрабатывать ПДн работников и контрагентов для исчисления и уплаты налогов, подачи деклараций и расчётов. Это охватывает ИНН, паспортные данные, сведения о доходах и удержаниях.

Воинский учёт

Федеральный закон «О воинской обязанности и военной службе» обязывает работодателей вести воинский учёт работников, включая сбор и передачу данных в военные комиссариаты.

Медицинская деятельность

Федеральный закон «Об основах охраны здоровья граждан» предусматривает обработку ПДн пациентов без согласия при оказании медицинской помощи, ведении медицинской документации, проведении медицинских экспертиз.

Образовательная деятельность

Федеральный закон «Об образовании» обязывает образовательные организации обрабатывать данные обучающихся и их законных представителей для ведения учебного процесса, выдачи документов об образовании, статистической отчётности.

Обязательное страхование

Законодательство об обязательном пенсионном, социальном и медицинском страховании обязывает работодателей передавать ПДн работников в соответствующие фонды.

Противодействие терроризму и отмыванию доходов

Федеральные законы №115-ФЗ и №35-ФЗ обязывают определённые организации (банки, страховые компании, операторов связи) проводить идентификацию клиентов и обрабатывать их ПДн без согласия.

Во всех этих случаях согласие субъекта не требуется, а отказ субъекта от предоставления данных не освобождает оператора от обязанности их обработки.

Риски обработки без согласия

Обработка ПДн без согласия — законное право оператора, но оно сопряжено с рисками при неправильном применении.

Типичные ошибки

  1. Некорректный выбор основания. Оператор ссылается на «законный интерес» (п. 7 ч. 1 ст. 6), но не может доказать, что его интерес не нарушает права субъекта. Роскомнадзор при проверке потребует обоснование.

  2. Расширительное толкование договора. Оператор заключает договор оказания услуг, а затем использует данные клиента для рекламных рассылок, ссылаясь на «исполнение договора». Маркетинг — это отдельная цель, не связанная с исполнением основного договора.

  3. Обработка избыточных данных. Даже при наличии законного основания обрабатывать можно только те данные, которые соответствуют заявленной цели. Сбор паспортных данных для подписки на email-рассылку — явно избыточная обработка.

  4. Отсутствие документального подтверждения. Оператор фактически обрабатывает данные на законном основании, но не может это подтвердить документально. Нет ссылки на конкретный закон, нет копии договора, нет акта о необходимости обработки.

  5. Продолжение обработки после утраты основания. Договор расторгнут, работник уволен, но данные продолжают обрабатываться без нового основания (и без согласия).

Штрафы за нарушения

Штрафы за нарушение законодательства о персональных данных существенно выросли в последние годы:

НарушениеШтраф для юрлиц
Обработка ПДн без законного основания30 000 — 150 000 руб.
Повторное нарушениедо 500 000 руб.
Обработка без письменного согласия (когда оно требуется)150 000 — 500 000 руб.
Повторная обработка без согласиядо 1 000 000 руб.
Невыполнение требования об уничтожении ПДн30 000 — 90 000 руб.

С учётом ужесточения контроля со стороны Роскомнадзора, цена ошибки в выборе основания для обработки возрастает с каждым годом.

Рекомендации: когда лучше получить согласие

Даже при наличии иного законного основания, в ряде ситуаций безопаснее получить согласие. Вот практические рекомендации.

Получайте согласие, если есть сомнения

Принцип прост: если вы не уверены, что ваше основание бесспорно — получите согласие. Согласие — это наиболее универсальное и легко доказуемое основание. Наличие согласия не повредит даже при наличии другого основания, но его отсутствие при спорном основании может привести к штрафу.

Когда согласие — лучший выбор

  • Рекламные рассылки и маркетинг — всегда получайте согласие. Никакое другое основание не покрывает маркетинговую обработку достаточно надёжно.
  • Передача данных третьим лицам — если передача не предусмотрена законом или не необходима для исполнения договора, нужно согласие.
  • Обработка специальных категорий ПДн — данные о здоровье, национальности, политических взглядах, судимости требуют особых оснований по ст. 10 152-ФЗ.
  • Обработка биометрических данных — по ст. 11 152-ФЗ биометрия, как правило, обрабатывается только с согласия.
  • Трансграничная передача — передача данных за рубеж требует дополнительных оснований по ст. 12 152-ФЗ.
  • Обработка данных несовершеннолетних — рекомендуется получать согласие законных представителей.

Оформляйте согласие правильно

Если вы решили получить согласие, убедитесь, что оно соответствует требованиям статьи 9 152-ФЗ:

  • конкретное — указаны цели обработки;
  • информированное — субъект понимает, что именно он разрешает;
  • сознательное — не «спрятано» в условиях договора мелким шрифтом;
  • свободное — субъект может отказать без негативных последствий для получения услуги (если согласие не связано с исполнением договора).

Документируйте основания

Независимо от выбранного основания, всегда документируйте его:

  • для обработки по закону — укажите конкретную норму в локальном акте;
  • для обработки по договору — пропишите перечень обрабатываемых данных и целей в договоре или политике конфиденциальности;
  • для обработки по согласию — храните подписанные формы согласий или электронные подтверждения.

Автоматизируйте создание документов по защите персональных данных — используйте конструктор документов по 152-ФЗ, чтобы быстро сформировать согласия, политику обработки ПДн, уведомления и другие обязательные документы с учётом актуальных требований законодательства.

Мишина Анна

Мишина Анна

Эксперт Киберосновы

Специалист по техническим мерам защиты персональных данных. Опыт внедрения средств защиты информации и подготовки документов для аттестации ИСПДн. Эксперт по требованиям ФСТЭК.

техническая защитаФСТЭКИСПДншифрование

Часто задаваемые вопросы

Да, статья 6 Федерального закона 152-ФЗ предусматривает 11 оснований для обработки персональных данных без согласия субъекта. К основным относятся: исполнение договора, выполнение обязанностей оператора по закону, защита жизни и здоровья, осуществление правосудия, журналистская деятельность и обработка общедоступных данных.
Для обработки ПДн работника в объёме, предусмотренном Трудовым кодексом РФ, согласие не требуется — основанием является трудовой договор и требования трудового законодательства. Однако для обработки данных, выходящих за рамки ТК (например, фото для пропуска, передача данных третьим лицам не по закону), согласие работника необходимо.
Да, если обработка ПДн необходима для исполнения договора, стороной которого является субъект персональных данных, или для заключения договора по инициативе субъекта. При этом обрабатывать можно только те данные, которые непосредственно необходимы для исполнения конкретного договора.
За обработку ПДн без законного основания или без согласия субъекта (когда оно требуется) предусмотрен штраф по статье 13.11 КоАП РФ: для юридических лиц — от 30 000 до 150 000 рублей за первое нарушение и до 500 000 рублей за повторное. С 2025 года размеры штрафов существенно увеличены.
Нет, размещение фотографии сотрудника на корпоративном сайте выходит за рамки трудовых отношений и не предусмотрено Трудовым кодексом. Для этого требуется отдельное письменное согласие работника с указанием цели — размещение на сайте компании.

Оформите документы по 152-ФЗ за 5 минут

Конструктор создаст полный пакет документов под вашу организацию. Соответствие закону, актуальные формы, понятные шаблоны.

Создать документВсе документы

Связанные материалы

Нужно ли согласие на обработку персональных данныхСогласие на обработку ПДн — шаблон документаШтрафы за персональные данные в 2026 годуКонструктор документов по 152-ФЗ