В 2026 году обработка персональных данных без согласия — это не страшный сон юриста, а рабочий инструмент, если вы опираетесь на закон, а не на «так у всех». Я покажу, как это выглядит в живых процессах, где рядом идут автоматизация, YandexGPT и проверки Роскомнадзора.
Время чтения: 12-14 минут
В начале 2026 я снова села разбирать «страшное» письмо: компания получила запрос от Роскомнадзора, а параллельно — 20 писем от пользователей с требованием остановить обработку данных. При этом половина процессов у них шла по законам, а согласия собирались просто «для спокойствия».
Кофе к этому моменту уже остыл, но пазл сложился: бизнесу не хватает не очередного шаблона согласия, а понимания, где обработка персональных данных вообще не требует «галочки». И где без правовых оснований вы играете в лотерею со штрафами.
Что такое обработка ПДн?
3 из 5 запросов в PROMAREN в 2026 начинаются с одной ошибки: обработка персональных данных путается с «галочкой в форме», а не с действиями над информацией. Это и рождает лишние согласия и лишние риски.
Обработка персональных данных — это любые операции с пользовательской информацией: сбор, запись, систематизация, хранение, уточнение, использование, передача, обезличивание или уничтожение. Если упрощать: как только данные попали в форму, таблицу, CRM или в сценарий n8n — обработка уже началась, даже если вы ещё «ничего с ними не делали».
Какие данные вообще считаются персональными
В 152-ФЗ персональные данные описаны сухо, но по сути это любая информация, по которой можно прямо или косвенно идентифицировать человека, а не только паспорт и СНИЛС. ФИО с телефоном в CRM, email для регистрации, IP-адрес в логах, идентификатор в системе аналитики — всё это обработка данных, если вы можете связать её с конкретным пользователем. В автоматизации через n8n или Make.com часто забывают, что прокидывание телефона в цепочку интеграций — та же самая обработка, только быстрее. И здесь критично зафиксировать: как только появился человек в системе, появляются и обязанности по защите данных, даже если договор ещё «на подходе».
Чем живая практика отличается от учебников
В теории всё красиво: есть политика, есть согласие, есть обработка данных по правилам. В реальных компаниях РФ я вижу другой сценарий: маркетинг собирает больше информации «про запас», продажи выгружают базы в Excel, а ИИ-модель на YandexGPT начинает обучаться на этих данных без отдельного обсуждения с юристами. Здесь срабатывает простое правило: если вы не понимаете, зачем вам конкретное поле, его лучше не собирать. По данным Роскомнадзора, значительная часть утечек связана именно с избыточными данными, которые никто не использовал, но кто-то утащил.
Где граница между обезличиванием и самоуспокоением
Обезличивание любят как волшебное слово, хотя по факту это довольно строгий режим, описанный в законе и подзаконных актах. Если можно восстановить связь «ID — конкретный человек» без несоразмерных усилий, это ещё не обезличенные данные, а обычная обработка персональных данных. Пример из практики PROMAREN: компания отправляла в внешнюю систему «обезличенные» данные, где оставались e-mail в виде name@company.ru и внутренние ID, легко связанные с CRM. При проверке пришлось признать, что обезличивания там нет, а есть передача пользовательской информации третьей стороне. И вот здесь нам потом пришлось заново строить архитектуру — уже с реальным обезличиванием и разными ключами доступа.
Когда базовое понимание сложилось, дальше логично перейти к самой болезненной теме — можно ли и как обрабатывать данные без согласия, не доводя дело до самоцензуры и не собирая лишнюю бумагу.
Как обрабатывать данные без согласия?
По состоянию на февраль 2026 примерно половину типовых операций с клиентами в онлайне можно вести без согласия, просто опираясь на ст. 6 152-ФЗ. Это означает, что бизнес часто сам усложняет жизнь, не пользуясь уже готовыми правовыми основаниями.
Логика у закона довольно человеческая: если вы заключаете или исполняете договор, соблюдаете закон или защищаете чьи-то права — обработка персональных данных допустима и без отдельной галочки. Пример из практики: интернет-магазин, который отправляет смс о статусе заказа, не обязан собирать отдельное «согласие на уведомления», если это часть договора купли-продажи. Здесь главное не перепутать сервисные сообщения и маркетинг, потому что там уже другие основания.
Какие операции точно проходят без согласия
Здесь работает короткий, но полезный чек-лист, который мы часто внедряем в проектах PROMAREN. Если цель — регистрация пользователей, исполнение договора, доставка товара, гарантийное обслуживание или ведение бухгалтерского учета, согласие в большинстве случаев не нужно. Для HR-процессов с сотрудниками достаточно трудового договора и Трудового кодекса, а для выполнения требований законодательства — самого соответствующего закона. По данным разъяснений Роскомнадзора (официальный раздел) такие сценарии прямо описаны как допустимые основания обработки данных без согласия.
- регистрация и авторизация в сервисе для оказания услуг;
- доставка товаров и обработка рекламаций по договору;
- ведение кадровых документов и выплат зарплаты;
- исполнение требований законодательства (налоги, отчётность);
- защита прав оператора или третьих лиц в суде.
Когда команда перестаёт тащить во все формы универсальное согласие «на всё и сразу», резко упрощается и архитектура автоматизации: сценарии в n8n и Make.com начинают строиться вокруг целей, а не вокруг страха.
Как вписать YandexGPT и автоматизацию в закон
В 2026 многие компании в РФ подключают YandexGPT или аналогичные модели для обработки пользовательских запросов, поддержки клиентов или аналитики. Здесь ключевой вопрос: попадают ли в модель идентифицирующие данные, и можно ли обосновать такую обработку через договор или закон. Если вы строите чат с поддержкой, где модель видит только текст обращения без ФИО и телефонов, риски намного ниже. Но как только в промпт уходит e-mail или телефон, вы обязаны описать это в политике обработки и схеме комплаенса, а лучше ещё и ограничить хранение. На кейсы автоматизации я отдельно собираю такие архитектуры — с белой зоной данных и понятной логикой доступа.
Где проходят границы здравого смысла и закона
Бывает и обратная крайность: «раз можно без согласия, значит можно вообще всё». Так бизнес заходит в серую зону, подменяя договорные цели маркетинговыми, не разносит базы по целям и не ограничивает доступ сотрудников. Я видела компанию, которая под предлогом «исполнения договора» рассылала холодные предложения старым клиентам спустя три года после сделки. Формально это уже не исполнение договора, а новая обработка данных, требующая либо согласия, либо другого основания. Хороший тест — задать себе вопрос: вы честно можете объяснить эту цель человеку в одном предложении? Если начинаются хитрые конструкции, где-то рядом уже риски.
Как только вы освоили «нормальные» сценарии без согласия, следующий слой — понять общий ландшафт законов о данных в 2026: где ужесточения, а где наоборот, пространство для гибкости.
Какие законы о ПДн 2026?
В 2025-2026 регулирование персональных данных в РФ стало заметно жёстче по штрафам и формальным требованиям, но сами основания обработки данных почти не изменились. Это значит: меняться нужно процессам и документам, а не паниковать по поводу «нового закона».
Базовый документ — Федеральный закон №152-ФЗ «О персональных данных» с последними поправками, плюс КоАП РФ с обновлённой статьёй 13.11 о штрафах. На уровне практики картину дополняют разъяснения Роскомнадзора и Минцифры, а также тренд на использование ИИ и больших массивов пользовательской информации. В 2026 я всё чаще вижу, как компании сверяют свои политики обработки с европейским GDPR, хотя формально он не действует в РФ.
Что именно поменялось к 2026 году
С 1 сентября 2025 согласие субъекта ПДн должно оформляться как отдельный, понятный документ, а не как сноска в пользовательском соглашении мелким шрифтом. Параллельно выросли штрафы: за обработку персональных данных без законного основания юрлицу может прилететь до 700 тыс. руб., а за повторное нарушение — до 1,5 млн. По данным Роскомнадзора, за 2025 год количество плановых и внеплановых проверок увеличилось примерно на 40 %, а доля компаний с нарушениями остаётся высокой. На портале РКН по ПДн регулярно публикуются новые разъяснения — их полезно читать хотя бы раз в квартал, если вы отвечаете за комплаенс.
Как это соотносится с GDPR и мировыми практиками
GDPR часто всплывает в разговорах как «тот самый строгий европейский стандарт», но по сути многие принципы уже зашиты и в наш 152-ФЗ. Там есть lawfulness, fairness, transparency и legitimate interest, у нас — законность обработки, цели, согласие и иные основания в ст. 6. По опыту проектов PROMAREN, компании, которые однажды выровняли процессы под GDPR, потом гораздо легче проходят проверки в РФ: структура реестра операций, карты потоков данных, DPIA — всё это ложится и в отечественный контур. Если вы смотрите в сторону международного рынка, проще сразу строить архитектуру «чуть строже», чем требуются локальные правила.
Как встроить законы в живую автоматизацию
На сухой теории легко остановиться, а потом удивляться, почему сценарии в n8n конфликтуют с политикой обработки данных. Здесь я часто использую простой приём: каждая ветка сценария помечается тегом цели и основания, например «исполнение договора», «закон 402-ФЗ», «статистика с обезличиванием». Тогда при ревью архитектуры сразу видно, где вы случайно уехали в маркетинг без согласия или в передачу третьим лицам. На сайте PROMAREN я постепенно собираю такие схемы — как выглядят честные маршруты данных под 152-ФЗ, а не просто красивые диаграммы для презентаций.
Понимание законов — это только половина истории. Вторая — зачем вообще так заморачиваться с основаниями и почему без них любая автоматизация превращается в минное поле.
Почему важны правовые основания для ПДн?
Основания обработки персональных данных — это не «юридическая формальность», а защита от ситуации, когда один инцидент стирает годы репутации. В 2026 на практике мы видим, что штрафы — лишь вершина айсберга, основное больно бьёт по доверию клиентов.
Когда данные обрабатываются «по привычке», без чёткой привязки к закону или договору, их становится слишком много, они лежат слишком долго, и в системах появляются странные сценарии. Типичный запрос в PROMAREN звучит так: «У нас всё работает, но юрист сказал, что так нельзя». И дальше мы начинаем раскручивать, где потерялась правовая основа и зачем вообще собирались конкретные поля.
Как правовые основания экономят деньги
Есть неприятная, но честная математика: одна серьёзная проверка или утечка стоит дороже, чем несколько недель работы над комплаенсом. По данным отраслевых обзоров вроде отчётов Gartner и локальных аналитиков (их часто цитируют консалтинговые компании), компании, которые системно управляют обработкой данных, сокращают риск крупных штрафов в разы. В одном из проектов PROMAREN мы пересобрали архитектуру CRM, удалив лишние поля и ограничив срок хранения истории заказов. Это заняло три недели и стоило дешевле, чем потенциальный штраф по верхней планке ст. 13.11 КоАП. Хорошая архитектура данных — это не только про закон, это про здравый смысл и деньги.
- меньше данных — меньше поверхность для утечек;
- понятные цели — проще отвечать пользователям и регулятору;
- ясные основания — меньше споров внутри команды;
- структура потоков — проще автоматизировать на n8n и Make.com;
- прозрачность — выше доверие клиентов и партнёров.
Стоп, вернусь назад: многие боятся, что «юридизация» процессов убьёт скорость. По опыту PROMAREN, всё наоборот — когда цели и основания прописаны, сценарии в n8n строятся быстрее, споров меньше, а IT и юристы наконец говорят на одном языке.
Как это связано с ИИ и white-data подходом
В 2025-2026 вокруг ИИ-агентов и автоматизации много хайпа, но реальная ценность начинается, когда вы строите их в white-data логике. Это когда данные не вытекают за нужный контур, а каждая интеграция понимает своё основание и свой набор полей. В PROMAREN я часто использую методику, где сначала рисуем маршрут данных под 152-ФЗ, а уже потом прикручиваем YandexGPT, n8n или Cursor. Раньше я думала, что достаточно «формально соблюсти закон», но после нескольких проектов с глубокой автоматизацией поняла: без честной архитектуры под 152-ФЗ вы просто ускоряете хаос. И тут бац — даже небольшой инцидент мгновенно вскрывает все слабые места, от избыточных полей до непонятных оснований.
Когда команда принимает, что основания — это фундамент, а не «галочку от юриста», вопрос «можно ли обрабатывать ПДн без согласия» звучит уже иначе: «на каком основании и в каком объёме мы это делаем». К этому вопросу и переходим.
Можно ли обрабатывать ПДн без согласия?
Короткий ответ на 2026 год: да, можно, и во многих процессах так даже правильнее, чем собирать бессмысленные согласия. Длинный ответ — только если вы честно опираетесь на перечень оснований из ст. 6 152-ФЗ и не маскируете маркетинг под «исполнение договора».
Я часто вижу два полюса: одни компании по любому поводу тянут согласие, даже там, где закон даёт им устойчивое основание без него, другие наоборот пытаются подогнать любые рассылки под договор, чтобы не связываться с формами. Оба подхода ведут к проблемам: первые перегружают UX и всё равно не защищены, вторые приезжают к штрафам и жалобам. Зрелая модель обработки данных выглядит как матрица: тип операции — цель — основание — срок хранения.
Какие данные обрабатываются без согласия на практике
В обычных бизнес-процессах без согласия спокойно обрабатываются ФИО, телефоны, e-mail, адрес доставки, реквизиты для оплаты — всё, что нужно для договора с пользователем. Специальные категории (здоровье, взгляды, интимная жизнь) — отдельная история, здесь почти всегда нужна письменная форма и узкие исключения закона. В проектах PROMAREN мы сначала делим данные по «слоям риска», а уже потом решаем, какие попадают в автоматизацию и под какие основания. Забавно, но часто самые опасные утечки происходят не в ИИ-сценариях, а в старых Excel-файлах с доступом «для всех».
Как документировать исключения и не утонуть в бумагах
Здесь работает принцип «меньше, но лучше»: одна живая политика обработки, несколько понятных локальных актов и короткая памятка для команды эффективнее, чем кипа документов ради вида. Внутри мы обычно фиксируем: когда опираемся на договор, когда — на закон, когда — на согласие, и как отключаем обработку после достижения цели. На лендингах на Cursor, которые мы делаем, это отражается прямо в формах: минимальные поля, понятные подписи, без лишних «опций по умолчанию». Хотела однажды сделать «идеальный набор документов» ха-ха в итоге сделала работающую связку, которую люди реально читают и внедряют 🙂
Когда всё-таки лучше спросить согласие
Есть зоны, где игра «только на договоре» слишком рискованна: расширенный маркетинг, профилирование пользователей, сквозная аналитика с несколькими партнёрами. Здесь честнее дать человеку выбор и явно описать, что вы будете делать с его информацией. Да, часть пользователей откажется, и… и это нормально, потому что остаются те, кто осознанно согласился. В канале PROMAREN я иногда показываю такие «до/после» формы: меньше полей, больше прозрачности, выше конверсия и меньше вопросов к комплаенсу. Это как с любым отношением — когда всё проговорено заранее, сюрпризов потом меньше.
Когда данные становятся опорой, а не риском
Для меня в этой теме есть три опорные точки. Первая — обработка персональных данных начинается не с согласия, а с цели и основания, и здесь закон даёт больше свободы, чем иногда кажется. Вторая — хорошая архитектура автоматизации под 152-ФЗ экономит деньги и нервы, потому что без понятных оснований любой сценарий легко превращается в правовой риск. Третья — чем прозрачнее вы обращаетесь с пользовательской информацией, тем легче встроить в процессы ИИ, n8n и Make.com так, чтобы комплаенс не тормозил, а помогал расти.
Обо мне. Марина Погодина, основательница PROMAREN и AI Governance & Automation Lead. С 2024 года помогаю в РФ выстраивать автоматизацию на n8n, Make.com, Cursor и AI-агентах под 152-ФЗ. Пишу в блоге и делюсь кейсами в канале.
Если хочется разобрать свою архитектуру обработки данных или ИИ-сценарии «на просвет» — заглядывайте в разборы и примеры автоматизации через n8n и Cursor в блоге PROMAREN. А тем, кто любит практику, проще всего начать с небольшой связки и протестировать её через демо-версию бота.
Что ещё важно знать про обработку данных
Можно ли полностью отказаться от согласий и работать только по закону?
Теоретически часть процессов можно строить только на договоре и законе, но на практике полностью отказаться от согласий нельзя. Согласие нужно там, где вы выходите за рамки базовых целей: расширенный маркетинг, профилирование, передачи партнёрам и сложная аналитика. Если попытаться всё подогнать под «исполнение договора», вы рискуете получить претензии от пользователей и Роскомнадзора. Лучше чётко разделить: где договор и закон, а где честное, осознанное согласие с понятным текстом.
Нужно ли обновлять согласия после изменений в 2025-2026 годах?
Да, если формат или содержание согласий не соответствует новым требованиям о ясности и отдельности документа, их стоит пересмотреть. Важно, чтобы согласие было отделено от пользовательского соглашения и не пряталось в общий текст без возможности отказа. Старые «универсальные» формулировки уже не защищают вас от претензий при проверке. Лучше один раз переписать тексты и формы, чем потом спорить в суде, было ли согласие осознанным и конкретным.
Что делать, если пользователь требует удалить все данные, а у вас есть договор?
Если есть действующий договор или обязательства по закону, полностью удалить данные сразу вы не можете, даже при требовании пользователя. Обработка персональных данных в таких случаях продолжается до окончания целей и сроков хранения, предусмотренных законом и бухгалтерскими нормами. Вы можете ограничить маркетинг и дополнительные сценарии, но базовые данные для учёта и отчётности останутся. Важно честно объяснить это человеку и зафиксировать ограничение в системе.
Можно ли обучать модели ИИ на данных пользователей без отдельного согласия?
Обучать ИИ на персональных данных без отдельного согласия рискованно, если данные не обезличены и выходят за рамки изначальных целей. Для технической оптимизации сервиса и обезличенной статистики иногда достаточно договора и политики обработки данных. Но если модель учится на содержимом обращений, профилирует клиентов или используется вне исходного сервиса, лучше предусмотреть отдельное согласие. Это снижает риски споров и лучше соответствует логике как 152-ФЗ, так и GDPR.
Что важнее в комплаенсе: документы или реальные процессы?
Реальные процессы всегда важнее красивых документов, но без документов доказать законность обработки сложно. Регулятор и суд оценивают и бумаги, и то, как фактически устроена обработка данных: маршруты в системах, уровни доступа, сроки хранения. Если политика и практика расходятся, документы превращаются в отягчающий фактор, а не в защиту. Оптимальный подход — сделать короткий, живой комплект документов и регулярно синхронизировать его с тем, как действительно работает бизнес и автоматизация.