В декабре мы провели вебинар на тему согласий — одну из самых обсуждаемых среди специалистов по работе с персональными данными. Собрали ответы на вопросы наших гостей.
А о главных изменениях в 2025-м и трендах на 2026-й читайте в статье.
Существует разделение согласий на обработку договора и на рекламу. Какие риски в этом вопросе нас ждут?
Для исполнения договора по общему правилу согласие не требуется: п. 5 ч. 1 ст. 6 152-ФЗ. Для рекламы по каналам связи отдельное предварительное согласие нужно: ст. 18 38-ФЗ «О рекламе».
Но если «согласие на рекламу» спрятано внутри договора или общего согласия, РКН и ФАС могут признать такое согласие ненадлежащим из-за отсутствия законного основания для рекламы (КоАП РФ по 13.11 и 14.3).
Вывод простой: держим договорные основания и рекламные согласия строго разнесенными и не привязываем рекламное согласие к возможности получить услугу или информацию.
Правомерно ли приравнивание к рекламе коммуникации о пролонгации договора? И есть ли шаблоны «избегания»?
По закону реклама — это любая информация, направленная на привлечение внимания к объекту и формирование или поддержание к нему интереса (ст. 3 38-ФЗ).
Сообщения, которые исключительно информируют о сроках, суммах, порядке оплаты по действующему договору (без навязывания новых услуг), чаще квалифицируются как служебные уведомления, а не как реклама.
Как только в тексте появляется предложение «подключите еще», «выберите расширенный пакет» и т. п., это уже реклама, даже если есть действующий договор. Практика ФАС по СМС-рассылкам подтверждает, что отсутствие согласия здесь ведет к ответственности.
Безопаснее развести коммуникации о текущем договоре (сервис) и любые upsell-сообщения (маркетинг) и получать отдельное согласие на второе.
«Шаблон избегания» фактически один:
либо убрать из уведомлений любой рекламный элемент и оставить только обязательную фактуру по договору;
либо честно признавать это рекламой и опираться на маркетинговое согласие.
Планируются ли изменения в так называемой цифровой амнезии?
В законе есть «право на забвение» (149-ФЗ, ст. 10.3: удаление ссылок на устаревшую или недостоверную информацию в поисковиках) и требования об уничтожении ПД после достижения целей обработки или по отзыву согласия (ст. 5 и 21 152-ФЗ).
Отдельных законопроектов, вводящих правовой институт «цифровой амнезии» в дополнение к уже существующему праву на забвение и обязанностям по уничтожению ПД, не опубликовано.
Пока речь идет о развитии практики применения уже действующих норм, а не о новой «цифровой амнезии» как отдельной конструкции.
Как доказать РКН что человек поставил отметку о согласии?
Закон (ч. 1 ст. 9 152-ФЗ) указывает: согласие может быть получено в любой форме, позволяющей подтвердить факт его получения. На практике при проверках РКН обычно запрашивает:
Описание бизнес-процесса — как именно пользователь попадает на форму, что там видит, что должен нажать.
Макет или скриншоты формы с текстом согласия и чекбоксом.
Технические доказательства в информационной системе:
лог событий — дата/время, IP, user-agent, идентификатор пользователя, признак указанного согласия;
запись в БД о том, что в такой-то момент было получено согласие с указанием версии текста;
для авторизованных пользователей — связь согласия с их учетной записью.
Для голосовых каналов — записи разговоров с проговариванием текста согласия.
Если этого нет, РКН трактует ситуацию как отсутствие подтверждаемого согласия, даже если чекбокс формально был.
Есть ли единая принятая форма от регулятора в отчетности по согласиям?
Если коротко, то нет. 152-ФЗ не устанавливает унифицированной формы отчетности по согласиям. От оператора требуют доказать наличие законных оснований и сам факт получения согласий при проверке, но формат этих доказательств закон не стандартизирует.
На практике отчетность по согласиям — это:
Наличие реестра согласий в ИС (уникальный идентификатор, субъект, цели, дата/время, каналы, версия текста).
Возможность по запросу РКН оперативно выгрузить все доказательства по конкретному субъекту или кампании.
Как человек может узнать обо всех согласиях, которые он дал?
Единого реестра всех согласий гражданина сегодня не существует.
Единственный юридический путь — точечно обращаться к отдельным операторам (банки, страховые, телеком, маркетплейсы и пр.) с запросами по ст. 14 152-ФЗ. Этот закон дает субъекту право связываться с каждым оператором ПД и получать список обрабатываемых данных, цели, основания, в том числе сведения о согласиях.
Концепция реестра согласий на Госуслугах и «платформы согласий» для Цифрового профиля действительно обсуждается. Но нормативно это пока проект, а не действующий инструмент.
Правомерно ли собирать согласия перед подключением бота к услуге? Без этого, например, невозможно подключить сервис Robokassa.
Здесь важно разделить роли:
Если бот или платежный сервис только обрабатывает данные по вашему поручению, то вы остаетесь оператором ПД, а он — обрабатывающим по поручению (ст. 6 ч. 3 и ст. 18.1 152-ФЗ). Нужен договор о поручении обработки.
Если сервис собирает ПД еще и для своих целей (идентификация, антифрод, собственный маркетинг), он становится самостоятельным оператором со своим набором оснований и согласий.
С точки зрения согласий на вашей стороне:
Сбор ПД через бота правомерен, если в ваших документах и UI прозрачно отражено, что:
данные нужны для исполнения договора или оказания услуг;
при необходимости есть отдельные согласия на вторичные цели (маркетинг, профилирование и т. п.);
есть указание на передачу третьим лицам (таким сервисам) и их роль.
То есть проблема тут не в самом боте, а в том, отражены ли эти потоки в контурах согласий и документации.
Информирование в звонках о том, что ведется запись разговора, — это тоже согласие на обработку ПД?
Запись разговора — это обработка ПД (голос, содержание, метаданные) по 152-ФЗ и работа с тайной связи по 126-ФЗ.
Но есть юридические нюансы:
Основание обработки — чаще всего не согласие, а исполнение договора или преддоговорные отношениязаконный интерес оператора (доказательство взаимодействий, качество сервиса и т. п.), при условии соблюдения ст. 5 152-ФЗ.
Фраза «ведется запись разговора» в таком случае — информирование субъекта об обработке (исполнение обязанностей по ст. 18 и 22 152-ФЗ), а не сбор согласия.
С точки зрения практики по согласиям лучше не подменять этим информированием полноценные согласия там, где они действительно нужны (например, для маркетинговых обзвонов).
Ожидаются ли изменения в правилах обработки телефонных данных клиента?
Здесь вопрос уходит в область тайны связи и 126-ФЗ «О связи», это несколько другой режим, чем классические маркетинговые согласия.
Персональные данные регулирует 152-ФЗ.
Тайна связи (сведения о соединениях, трафике, платежах) защищена ст. 53 126-ФЗ, их предоставление третьим лицам требует согласия абонента, если иное не установлено законом.
На стыке с согласиями:
Для операторов связи работа с данными соединений и трафика базируется прежде всего на 126-ФЗ и специальных актах. Согласие по 152-ФЗ нужно, когда эти данные начинают использоваться в «непрофильных» целях (маркетинг, профилирование и т. п.).
Для «обычных» компаний (не операторов связи) работа с телефонным номером и фактами коммуникаций идет уже по 152-ФЗ.
На конец 2025 года в публичных источниках нет отдельных новых требований именно к «согласию на данные трафика» сверх уже действующих норм 126-ФЗ и 152-ФЗ. Фокус законопроектов был на цифровом профиле, реестре согласий и ограничениях профилирования, а не на изменении режима тайны связи.
Как провести обзвон клиентской базы компании и предложить другие виды услуг?
Это уже почти целиком зона рекламы.
Звонки с предложением других услуг — это реклама по телефону. Для нее нужно предварительное согласие по ст. 18 38-ФЗ (запрет рекламных звонков без предварительного согласия адресата).
Наличие действующего договора само по себе не отменяет обязанности иметь рекламное согласие, если речь о новых или иных услугах, а не об исполнении уже существующего договора.
С точки зрения согласий:
В базе должны быть маркетинговые согласия с явной отметкой на звонки.
Необходим учет отказов от рекламы (стоп-лист).
Скрипты должны соответствовать заявленным целям согласий.
А если у нашей компании нет прайс-листов? У нас сложные продукты, стоимость которых зависит от содержания и объемов услуг
Здесь стоит обратить внимание на закон о защите прав потребителей и новых ограничениях «гейтинга» через ПД:
Ст. 8 и 10 закона 2300-1
Продавец обязан предоставить покупателю необходимую и достоверную информацию о товаре или услуге, включая цену или порядок ее определения. Для сложных услуг это может быть диапазон, формула, минимальная цена и т. п.Ст. 16 ч.4 закона 2300-1
Продавец (исполнитель, владелец агрегатора) не вправе отказывать потребителю в заключении, исполнении, изменении или расторжении договора с потребителем в связи с отказом потребителя предоставить персональные данные.
Даже если у вас нет прайса, минимальный уровень открытой информации (примерные диапазоны, принципы расчета) все равно должен быть доступен без вынужденного согласия и без заполнения формы с персональными данными.
Формы для сбора ПД и согласий следует применять только на этапе индивидуального расчета и индивидуальной коммуникации, а не как условие для получения примерной стоимости услуг.
Возможно, стоит просто закладывать штрафы в стоимость услуг?
Штрафы за нарушения в области ПД и рекламы растут: КоАП ст. 13.11 (ПД) и ст. 14.3 (реклама) предусматривают для юрлиц санкции до сотен тысяч рублей за одно нарушение.
Да, многие бизнесы «психологически» закладывают штрафы в пул рисков, но по мере ужесточения штрафов и автоматизации контроля затраты на несоответствие обгоняют затраты на приведение процессов в порядок.
Планируется ли реализовать в «Центре управления согласиями» интеграцию с «Госуслугами», если будут приняты законы о необходимости передачи данных о согласиях и возможности отзыва согласий из госсервиса?
На конец 2025 года нет закона, обязывающего все компании передавать в единую госсистему данные о согласиях и отзывax. Идет работа над концепцией реестра согласий, но формат интеграций и обязательность пока не закреплены.
Мы изучили опыт Цифрового профиля и его открытую часть документации. Наша система умеет обрабатывать согласия и отзывы в соответствии с этими форматами. Однако сам по себе «Центр управления согласиями» (ЦУС) не может обеспечить полную интеграцию.
Прежде всего бизнес (оператор ПД) должен зарегистрироваться в Цифровом профиле и получить уникальный интеграционный ключ. Только после этого его можно будет связать с ЦУС.
Берете ли вы на себя риски и гарантии, что согласия с вашей помощью будут собираться корректно и в случае проверки РКН они точно пройдут? А если нет — несете ли вы ответственность?
Согласно 152-ФЗ, полную ответственность за обработку персональных данных всегда несет оператор. Эту ответственность невозможно переложить на подрядчика или поставщика IT-решения договорными условиями.
Наша система предоставляет юридически корректные инструменты и методики для сбора и документирования согласий. В договоре можно зафиксировать экспертную ответственность, например, за соответствие наших типовых шаблонов требованиям закона.
Мы не можем дать 100% гарантию прохождения любой проверки Роскомнадзора. Регулятор оценивает не только работу системы, но и реальные бизнес-процессы. Ключевые решения — какие данные, для каких целей и на каких условиях собираются — остаются за оператором.
РКН положительно оценивает внедрение систем, обеспечивающих соблюдение закона. Наша платформа предлагает отработанный набор правил, который при корректном исполнении позволяет документально подтвердить правомерность сбора согласий. Если эти правила соблюдаются, мы с высокой долей уверенности (условно, на 99%) прогнозируем успешное прохождение проверки.
Покупка любой системы — это только первый шаг. Для реального снижения рисков необходимы внутренние усилия бизнеса: перестроить процессы, создать каталоги, разобраться с точками доступа. Наше решение — инструмент, который позволяет это сделать.
Если хотите узнать больше о работе ЦУС или договориться о демо, пишите на почту timursaf@hflabs.ru.
