ТОП-100 случаев, когда требуется согласие на обработку персональных данных

Мы собрали 100 реальных кейсов, сгруппированных по ключевым бизнес-процессам, где наличие корректно оформленного согласия является обязательным условием для соблюдения законодательства и минимизации рисков. Список ориентировочный и не является исчерпывающим

I. Трудовые отношения и кадровое делопроизводство

Обработка данных работника, выходящая за рамки, строго определенные ТК РФ.

1. Публикация фото сотрудника на корпоративном сайте (раздел «Наша команда»).
   Фотография является персональными данными, а ее размещение в открытом доступе является распространением, что требует отдельного согласия по специальной форме в соответствии со ст. 10.1 ФЗ-152.
2. Размещение ФИО и фото сотрудника на доске почета (онлайн или офлайн).
   Как и в случае с сайтом, это распространение персональных данных неограниченному кругу лиц, требующее отдельного согласия.
3. Оформление полиса ДМС для родственников сотрудника.
   Родственники не являются стороной трудового договора, поэтому передача их данных в страховую компанию требует их письменного согласия (или согласия законного представителя).
4. Передача данных зарплатному проекту (если банк выбирает работодатель, а не сотрудник).
   Поскольку выбор банка не был инициативой работника, передача его данных кредитной организации считается передачей третьему лицу и требует согласия.
5. Бронирование гостиниц и билетов через агентство.
   Передача паспортных данных работника тревел-агентству или агрегатору выходит за рамки прямого взаимодействия «работник-работодатель» и требует разрешения на передачу третьим лицам.
6. Оформление виз для командировок через визовый центр.
   Аналогично бронированию, привлечение посредника (визового центра) означает передачу данных третьему лицу, на что нужно согласие.
7. Участие сотрудника в корпоративных мероприятиях с видеосъемкой и последующей публикацией.
   Использование изображения гражданина в публичном поле возможно только с его согласия, если такое использование не подпадает под исключения ст. 152.1 ГК РФ.
8. Рассылка поздравлений с днем рождения по всей компании.
   Раскрытие точной даты рождения всем коллегам является действием, на которое нужно получить разрешение.
9. Включение сотрудника в кадровый резерв (внешний или после увольнения).
   Обработка данных кандидата, с которым не заключен или уже расторгнут договор, требует отдельного основания в виде согласия на определенный срок.
10. Получение отзыва (характеристики) на соискателя или сотрудника с его предыдущего места работы.
    Запрос информации у третьих лиц о конкретном человеке является сбором его персональных данных, требующим предварительного согласия самого субъекта.
11. Обработка данных для оформления корпоративной сим-карты (передача оператору связи).
    Передача сведений о пользователе корпоративной мобильной связи оператору для внесения на Госуслуги является обязанностью, но требует корректного оформления передачи данных третьему лицу.
12. Выпуск именных корпоративных карт доступа (пропусков) с фотографией сторонней организацией (БЦ).
    Передача фото и ФИО сотрудника администрации бизнес-центра или охранной организации для изготовления пропуска требует согласия на передачу данных.
13. Оформление доверенности на сотрудника с последующей передачей ее работодателем (не самим работником) контрагентам.
    В этом случае работодатель раскрывает персональные данные (включая паспортные) своего сотрудника третьей стороне, что требует основания.
14. Участие в тендерах, где требуется предоставить резюме специалистов заказчику.
    Передача анкет и резюме сотрудников потенциальному заказчику (третьему лицу) для подтверждения квалификации команды требует их согласия.
15. Передача данных профсоюзу (если сотрудник не член профсоюза, но получает льготы).
    Если работник не состоит в профсоюзе, у работодателя нет законных оснований передавать его данные профсоюзной организации без его воли.
16. Использование биометрии для учета рабочего времени (распознавание лиц «FaceID» на проходной).
    Биометрическая идентификация для доступа на рабочее место возможна исключительно с письменного согласия работника (ст. 11 152-ФЗ).
17. Тестирование на полиграфе (детекторе лжи).
    Данная процедура может затрагивать специальные категории персональных данных и личную жизнь, поэтому проводится только добровольно и с письменного согласия.
18. Публикация интервью с сотрудником в отраслевом СМИ по инициативе работодателя.
    Передача сведений о сотруднике в СМИ (ФИО, должность, мнение, фото) требует соответствующего согласия.
19. Хранение копий паспорта, СНИЛС, военного билета в личном деле (сверх срока оформления).
    Роскомнадзор считает хранение копий документов избыточной обработкой, если это не требуется для текущих задач, поэтому рекомендуется отказаться от такого хранения, в крайнем случае для минимизации рисков нужно соответствующее согласие работника.
20. Обработка данных членов семьи сотрудника для получения новогодних подарков детям.
    Сбор сведений о детях (ФИО, возраст) для выдачи подарков не предусмотрен ТК РФ и требует согласия родителя.
21. Указание личного мобильного телефона сотрудника в визитках.
    Личный номер телефона не относится к сведениям о работнике, поэтому его печать на визитке требует добровольного волеизъявления.
22. Организация оформления сотрудникам банковских карт (зарплатных, кредитных) в рамках партнерской программы.
    Работодатель выступает посредником в передаче данных в банк для цели, не связанной с трудовым договором, что требует отдельного согласия.
23. Обучение сотрудника в стороннем учебном центре.
    Передача ФИО и должности сотрудника учебному центру для зачисления на курс является передачей данных третьему лицу.
24. Страхование ответственности директоров (D&O).
    Передача данных руководителей страховой компании для заключения договора страхования требует их согласия, как субъектов данных.
25. Организация корпоративного такси.
    Передача номера телефона сотрудника агрегатору такси для заказа поездок является передачей данных третьему лицу.
26. Внедрение систем DLP (контроль утечек) с анализом личной переписки.
    Мониторинг содержимого коммуникаций затрагивает конституционное право на тайну переписки, что требует письменного согласия работника.
27. Раскрытие зарплаты сотрудника банкам для подтверждения дохода.
    Передача справки о доходах или сведений о зарплате банку по запросу (без участия сотрудника) требует соответствующего согласия на такое раскрытие.
28. Использование геолокации на личном устройстве сотрудника.
    Отслеживание местоположения работника через его личный смартфон является вмешательством в частную жизнь и требует согласия.
29. Сохранение резюме соискателя в базе данных после отказа в приеме на работу.
    Цель обработки (трудоустройство) достигнута (отказом), поэтому дальнейшее хранение в кадровом резерве требует отдельного согласия.
30. Проверка соискателя через службу безопасности до оформления.
    Сбор сведений о кандидате из различных источников до заключения договора требует его предварительного согласия на обработку.

II. Клиентский сервис, маркетинг и реклама

Любая активность, направленная на продвижение и анализ аудитории.

31. Отправка рекламных SMS-сообщений.
    Прямая рассылка рекламы по сетям электросвязи допускается только при условии предварительного согласия абонента (ч. 1 ст. 18 Закона о рекламе).
32. Рекламные рассылки по электронной почте (Email-маркетинг).
    Аналогично SMS, email-рассылка требует явного согласия получателя на получение рекламных материалов.
33. Маркетинговые звонки действующим клиентам с предложением новых услуг или продукции.
    Даже наличие договора не дает права на звонки с рекламой новых услуг без отдельного согласия клиента на маркетинговые коммуникации.
34. Рассылка сообщений в мессенджеры (WhatsApp, Telegram).
    Использование мессенджеров для рекламы также подпадает под требование ст. 15 152-ФЗ и ст. 18 Закона о рекламе о необходимости согласия.
35. Push-уведомления рекламного характера в мобильном приложении.
    Отправка пушей с рекламой требует согласия пользователя, которое обычно запрашивается при установке приложения или в настройках.
36. Передача базы клиентов партнерам для кросс-маркетинга.
    Передача контактов клиентов сторонней организации для их рекламных целей является передачей данных третьему лицу и требует согласия.
37. Публикация отзыва клиента с указанием его ФИО и фото на сайте.
    Размещение персональных данных клиента в открытом доступе для неограниченного круга лиц требует согласия на распространение, если отзыв публикуется площадкой, а не самим человеком.
38. Участие в программе лояльности (начисление бонусов, баллов).
    Обработка данных для целей программы лояльности часто выходит за рамки договора купли-продажи и требует принятия правил программы или отдельного согласия.
39. Анкетирование для маркетинговых исследований (профилирование).
    Сбор дополнительных сведений о предпочтениях клиента для анализа рынка требует его согласия на такую обработку.
40. Запись телефонных разговоров с клиентами (с привязкой к профилю).
    Запись разговора и сохранение его содержания в карточке клиента требуют уведомления и согласия (обычно конклюдентного: «Сообщая свои персональные данные, вы даете согласие на их обработку...»).
41. Оформление рассрочки через банк-партнер прямо в магазине.
    Магазин передает паспортные данные покупателя банку для принятия решения, что требует согласия на передачу данных третьему лицу.
42. Регистрация в розыгрышах призов и лотереях.
    Участие в промо-акциях предполагает сбор данных для определения победителя, что требует согласия с правилами акции.
43. Поздравление клиентов с личными праздниками.
    Использование даты рождения для рассылки поздравлений является обработкой данных в маркетинговых целях, требующей согласия.
44. Таргетирование рекламы на основе истории покупок.
    Создание профиля пользователя и показ персонализированной рекламы требуют согласия на профилирование.
45. Использование технологии Look-alike (загрузка данных в рекламные кабинеты).
    Передача хешированных данных (email, телефон) рекламным площадкам для поиска похожей аудитории требует согласия на передачу данных.
46. Публикация кейсов с упоминанием конкретного клиента-физлица.
    Описание истории сотрудничества с указанием ФИО клиента в публичном поле требует его согласия на распространение.
47. Сбор данных через форму «Заказать обратный звонок».
    Если это действие не ведет напрямую к заключению договора (оферты), а является лидогенерацией, нужно согласие на обработку контактов.
48. Предоставление Wi-Fi в общественном месте с SMS-авторизацией.
    Идентификация пользователя по номеру телефона и хранение логов доступа требуют согласия с правилами пользования сетью.
49. Оформление подписки на новости (контент-маркетинг).
    Сбор email для рассылки информационных материалов (не рекламы, но контента) требует согласия на обработку адреса почты.
50. Передача данных курьерской службе (если доставка не учтена в договоре).
    Если доставка заказывается отдельно и не является частью основного договора с клиентом, передача адреса курьеру требует согласия.
51. Передача базы данных при продаже бизнеса (Due Diligence).
    Передача клиентской базы потенциальному покупателю бизнеса для аудита является передачей данных третьим лицам и требует согласия.

III. Цифровая среда и веб-сайты

Специфические случаи сбора цифровых следов и онлайн-взаимодействия.

52. Использование на сайте cookie-файлов и метрик (Яндекс.Метрика, Google Analytics).
    Сбор цифровых следов и сведений о поведении пользователей требует согласия, которое обычно получают через всплывающий cookie-баннер.
53. Обработка User-Agent и IP-адресов для аналитики посещаемости.
    Сбор технических данных устройства, которые могут идентифицировать пользователя, требует уведомления и согласия.
54. Регистрация на вебинар через стороннюю платформу (Timepad и др.).
    Организатор передает данные участников (или собирает их) через внешний сервис, что требует согласия на обработку данных этим сервисом (поручени).
55. Проведение опросов на сайте с привязкой ответов к профилю.
    Если результаты опроса не анонимны и привязываются к конкретному пользователю, это считается сбором ПДн, требующим согласия.
56. Авторизация на сайте через соцсети (OAuth).
    Получение данных профиля из социальной сети (ФИО, фото, email) требует согласия пользователя на передачу этих данных сайту.
57. Сбор данных через чат-боты до момента заключения договора.
    Ввод данных в диалоговое окно бота для консультации требует согласия на обработку введенной информации.
58. Публикация пользовательского контента (UGC) с личными данными.
    Размещение отзывов, комментариев или фото пользователей на сайте требует их согласия на публикацию таких данных.
59. Создание общедоступного профиля пользователя на форуме.
    Если профиль с личными данными становится доступен всем посетителям сайта.
60. Формирование истории заказов для персонализированных рекомендаций.
    Анализ покупок для создания персональных предложений является маркетинговым профилированием, требующим согласия.
61. Использование ретаргетинговых пикселей на сайте.
    Установка пикселей соцсетей для отслеживания посетителей и показа им рекламы на других площадках требует согласия на передачу данных.

IV. Безопасность и пропускной режим

Обработка данных посетителей и контроль доступа.

62. Оформление разового пропуска посетителю с записью в базу.
    Внесение паспортных данных посетителя в информационную систему организации требует его согласия на обработку. Согласие не нужно, если регистрация однократного пропуска осуществляется в журнале в письменном виде.
63. Сканирование паспорта посетителя (создание цифровой копии).
    Снятие копии документа является избыточным действием для пропускного режима и требует отдельного согласия.
64. Ведение журнала посещений в бумажном виде с избыточными сведениями.
    Если в журнале фиксируются паспортные данные, а не только ФИО, это требует согласия на сбор таких сведений.
65. Фотографирование посетителя для выдачи пропуска.
    Фотография для пропуска является персональными данными, обработка которых требует согласия. А если эта фотография используется для установления личности субъекта, то она становится биометрическими ПДн, что требует письменной формы согласия (ст. 11 ФЗ-152).
66. Ведение базы постоянных посетителей БЦ с выдачей пропусков.
    Создание долговременной записи о посетителе для упрощения доступа выходит за рамки разового пропуска и требует согласия.
67. Передача данных посетителей в охранное предприятие (ЧОП).
    Передача списка гостей сторонней охранной организации является передачей данных третьему лицу.
68. Использование аудиозаписи на линиях технической поддержки.
    Запись голоса и содержания разговора требует предупреждения, которое (вместе с продолжением разговора) считается конклюдентным согласием.
69. Снятие отпечатков пальцев для доступа в помещения.
    Использование дактилоскопии для СКУД — это обработка биометрии, возможная только с письменного согласия.
70. Запись голоса для голосовой идентификации.
    Биометрическая идентификация по голосу требует обязательного письменного согласия субъекта и взаимодействия с ЕБС.
71. Передача данных о посетителе по неофициальному запросу госорганов.
    Добровольное раскрытие данных органам власти без официального мотивированного запросу требует согласия субъекта.

V. Медицина, здоровье и специальные категории

Обработка чувствительных данных, требующая письменной формы.

72. Обработка сведений о здоровье фитнес-клубом.
    Сбор данных о противопоказаниях для тренировок относится к специальной категории ПДн и требует согласия в письменной форме в соответствии с ч.4 ст.9 ФЗ-152.
73. Сбор данных об аллергиях в ресторане.
    Информация об аллергиях касается состояния здоровья, поэтому ее фиксация в базе клиентов требует письменного согласия.
74. Передача медицинских данных пациента в страховую (вне ОМС).
    Передача сведений о лечении в рамках ДМС или страховки от несчастных случаев требует письменного согласия пациента.
75. Телемедицинские консультации.
    Оказание медицинских услуг дистанционно предполагает передачу данных о здоровье по сетям связи, что требует письменного согласия.
76. Сообщение диагноза родственникам пациента.
    Врачебная тайна может быть раскрыта родственникам только с письменного согласия пациента (указанного в информированном согласии).
77. Публикация фото «До и После» пластической хирургии.
    Использование медицинских изображений пациента в рекламных целях требует его письменного согласия на распространение.
78. Распространение сведений об участии в общественном объединении.
    Информация о членстве в общественных организациях относится к персданным.
79. Сбор данных о религиозных убеждениях (для халяльного питания).
    Фиксация вероисповедания клиента для предоставления специфических услуг требует письменного согласия на обработку спецкатегорий.
80. Сбор данных о здоровье для бытовых услуг (массаж, спа).
    Сведения о противопоказаниях к процедурам в спа-салоне являются данными о здоровье, требующими письменного согласия.
81. Использование данных о расовой принадлежности.
    Обработка сведений о расе или национальности относится к специальным категориям и допускается только с письменного согласия.

VI. Образование и дети

Особые требования к защите данных несовершеннолетних.

82. Публикация результатов олимпиад с ФИО детей.
    Размещение итогов конкурсов в открытом доступе является распространением, что требует отдельного согласия родителей.
83. Видеосъемка утренников в детском саду приглашенным оператором, организуемая администрацией.
    Съемка детей сторонним лицом требует согласия родителей на сбор и использование изображения их детей.
84. Передача данных учеников фотографу для альбома.
    Школа не имеет права передавать списки класса частному фотографу без согласия родителей на передачу данных третьему лицу.
85. Организация экскурсий (передача списков перевозчику).
    Передача ФИО и паспортных данных детей транспортной компании или музею требует согласия родителей.
86. Регистрация ребенка на сторонних образовательных порталах.
    Передача данных ученика на внешнюю онлайн-платформу для обучения требует согласия родителей на такую передачу.
87. Публикация творческих работ учеников с подписью.
    Размещение рисунков или сочинений с указанием авторства (полного ФИО и возраста) является распространением ПДн, требующим согласия.
88. Создание родительских чатов с централизованным сбором телефонов.
    Использование личных номеров родителей для создания групп в мессенджерах требует их согласия на такое использование.
89. Передача данных в лагеря отдыха.
    Школа не может автоматически передавать данные ученика в оздоровительный лагерь без согласия родителей.
90. Сбор сведений о социальном статусе семьи (не для льгот).
    Анкетирование родителей о жилищных условиях или доходах, если это не связано с предоставлением льгот, требует согласия.
91. Психологическое тестирование школьников.
    Любые психологические обследования детей проводятся исключительно с добровольного согласия родителей.

VII. Распространение (публикация) данных

Действия по ст. 10.1 152-ФЗ, требующие отдельного согласия.

92. Размещение списка участников конференции в открытом доступе.
    Публикация ФИО и должностей участников на сайте мероприятия является распространением, что требует отдельного согласия.
93. Публикация реестра сертифицированных специалистов (добровольная).
    Если закон не обязывает вести публичный реестр, публикация данных специалистов требует их согласия на распространение.
94. Раскрытие списка победителей розыгрыша (ФИО полностью).
    Публикация итогов конкурса с полными ФИО победителей в СМИ или интернете требует их согласия.
95. Создание публичного телефонного справочника сотрудников.
    Включение данных работника в общедоступный справочник (доступный не только внутри компании) требует согласия по отдельной форме.
96. Размещение фото и ФИО на доске почета.
    Публикация сведений о сотруднике на стенде или сайте как о «лучшем работнике» является распространением ПДн.
97. Размещение видеозаписи вебинара с лицами участников.
    Публикация записи, на которой видны лица слушателей, требует их согласия на использование изображения и распространение, если такое мероприятие не подпадает под случаи описанные в ст.152.1 ГК РФ.
98. Размещение ФИО должников на стенде ТСЖ/СНТ.
    Публичная «позорная доска» с фамилиями должников признается судами незаконным распространением персональных данных.
99. Размещение данных авторов статей/блога.
    Публикация биографии и фото автора материала на корпоративном сайте или в блоге (не являющимся СМИ) требует его согласия на распространение.
100. Обмен данными в рамках группы компаний.
     Даже если компании входят в один холдинг, юридически они разные лица, а соответственно разные операторы ПДн, поэтому передача данных между ними требует согласия.

Приведенный перечень демонстрирует, что потребность в получении согласия возникает во всех сферах деятельности — от кадрового учета до маркетинга и безопасности. Важно помнить, что каждое согласие должно быть конкретным, информированным и сознательным, а его отсутствие в указанных ситуациях может привести к штрафам со стороны регулятора и гражданским искам. Регулярный аудит бизнес-процессов на предмет необходимости получения согласий поможет компании поддерживать высокий уровень правовой защищенности.