Договор как правовое основание: как использовать по GDPR?
- 7 июля, 2026
- Data Privacy
CIPP/E, консультант и тренер корпоративных программ Data Privacy Office.
Для тех, кто спешит
Краткая выжимка статьи:
Правовое основание «Договор» (ст. 6(1)(b) GDPR) законно только тогда, когда обработка объективно необходима для исполнения конкретного договора с субъектом данных или для преддоговорных шагов, предпринятых по его запросу. Само по себе упоминание обработки в оферте или пользовательском соглашении её не оправдывает.
- «Необходимость» толкуется узко: если договор реально исполнить без обработки данных, нужно другое правовое основание.
- Оценивайте необходимость по фактически заключённому договору, а не по потенциальному пакету услуг.
- Дополнительные условия в оферте (обязательная рассылка, cookie по умолчанию, профилирование) нельзя «прикрывать» «Договором».
- Обработка после исполнения договора возможна, но не «по умолчанию»: учитывайте контекст и разумные ожидания субъекта.
- На преддоговорном этапе основание работает, только если шаги инициированы самим субъектом (скоринг заявителя банком — не подходит).
Что дальше: разберите два случая применения «Договора» — исполнение и преддоговорные шаги — и сверьтесь с рекомендациями EDPB в блоке в конце статьи.
Правовое основание для обработки персональных данных — это то, что делает ее законной. Одно из правовых оснований, именуемое специалистами для краткости «Договор», относится к случаям, когда обработка необходима для исполнения договора с субъектом данных или подготовки к его заключению (ст. 6(1)(b) GDPR). То есть, ваша обработка будет законной, если вы обрабатываете данные человека, чтобы исполнить заключенный с ним договор (или выполнить какие-то шаги на преддоговорном этапе). Есть ли какие-то ограничения по использованию этого правового основания? Разбираемся в этой статье.
Содержание
Анализ правового основания по GDPR: два случая, когда можно использовать «Договор»
Чтобы понять, когда можно использовать правовое основание «Договор», стоит разобрать его формулировку из ст. 6(1)(b) GDPR. Итак, обработка является законной, если она:
- 1) Необходима для исполнения договора, в котором субъект данных является стороной, или
- 2) необходима для реализации шагов, предшествующих заключению договора, если эти шаги были предприняты по поручению субъекта данных.
Первый случай: обработка необходима для исполнения договора
Исходя из позиции EDPB (European Data Protection Board — Европейский совет по защите данных, надзорный орган Евросоюза в области защиты прав субъектов персональных данных), «необходимость» для исполнения договора или принятия преддоговорных мер следует толковать очень узко. Обработка будет считаться «необходимой», если без такой обработки исполнить договор или принять преддоговорные меры невозможно. Если это возможно (хоть и неудобно для контролера либо не соответствует его интересам), следует подобрать другое правовое основание, поскольку обработка не является объективно «необходимой».
При определении «необходимости» обработки для исполнения договора важно учитывать конкретный договор с клиентом, а не «сферический договор в вакууме». Так, контролер может предоставлять разные типы услуг, которые требуют обработки разного набора персональных данных. Если клиент приобрел услуги А и Б, обработка персональных данных должна ограничиться категориями данных, необходимых именно для этого набора услуг. Обрабатывать дополнительные данные, необходимые для услуг В и Г, нельзя.
На это следует обратить особое внимание компаниям, которые включают в текст договора с клиентом (или в пакеты услуг) много дополнительных опций — и потом обрабатывают избыточные персональные данные, поскольку это «предусмотрено договором».
Вот два примера, которые иллюстрируют эту ошибку:
С точки зрения EDPB договор — это не текст пользовательского соглашения или оферты, а согласованные интересы сторон. Если интерес покупателя относится лишь к конкретной услуге или части услуг из сформированного контролером пакета, контролеру следует ограничиться обработкой лишь тех данных, которые касаются выбранной услуги.
Значит ли это, что формировать пакеты услуг нельзя? Нет, по-прежнему можно. Однако важно минимизировать обработку данных, например:
- — предлагать услуги как в составе пакета, так и по отдельности. То есть, у покупателя должна быть возможность купить каждую услугу отдельно;
- — настроить личный кабинет пользователя так, чтобы он сам мог активировать отдельные услуги из пакета и указывать лишь те данные, которые необходимы для активированных услуг;
- — при подборе услуг для включения в пакет руководствоваться интересами клиента. Насколько вероятно то, что клиент, купивший услугу А, будет заинтересован и в услуге Б?
Подход EDPB также означает, что в текст договора (как правило, это происходит с пользовательскими соглашениями или публичной офертой) нет смысла включать дополнительные условия, не относящиеся к договору. Например, о том, что договор предусматривает обязательную рекламную рассылку. Или согласие на установку рекламных и аналитических cookie по умолчанию. Или возможность профилирования для маркетинговых целей. Даже если контролер включает в договор такие условия, правовое основание «Договор» для такой обработки использовать нельзя. Иными словами, описание какой-либо обработки в тексте договора не означает, что эта обработка будет непременно проводиться на основании «Договора». И наоборот, отсутствие соответствующего упоминания в договоре не означает, что такая обработка не может быть основана на ст. 6(1)(b) GDPR.
Мы выяснили, что «Договор» не оправдывает рекламные рассылки, cookie по умолчанию и профилирование. Но и «легитимный интерес» здесь уже не спасает: разбираем, почему по GDPR этот аргумент для маркетинга больше не проходит и что использовать вместо него.
Примеры обработок, объективно необходимых для исполнения договора:
- — обработка данных платежной карты для проведения платежа за приобретаемый продукт;
- — обработка параметров фигуры субъекта данных при индивидуальном пошиве одежды;
- — обработка сведений из рецепта на очки при индивидуальном изготовлении очков;
- — обработка данных о примененном промокоде для расчета цены товара с учетом скидки;
- — обработка данных об активации дополнительных услуг в личном аккаунте для собственно оказания этих услуг и включения их в счет.
Напоследок отметим: использовать правовое основание из ст. 6(1)(b) GDPR можно только тогда, когда договор заключен (или может быть заключен — при реализации преддоговорных шагов) между контролером и субъектом персональных данных (не между двумя контролерами или контролером и процессором) и действителен с точки зрения гражданского права соответствующего государства.
Что делать, если обработка связана с исполнением договора, но в ней нет необходимости для его исполнения?
В некоторых случаях обработка может не быть необходимой для исполнения договора. Например, она может возникнуть после того, как договор исполнен. При этом она объективно связана с ним. В таких случаях, как отмечает EDPB, обработка может быть основана на ст. 6(1)(b) GDPR. Однако это правовое основание не должно использоваться «по умолчанию» для любых дальнейших действий, которые запускаются неисполнением договора, или других ситуаций, которые могут возникнуть при его исполнении. В каждой конкретной ситуации важно учитывать контекст обработки и разумные ожидания субъекта персональных данных при заключении договора.
Примеры обработок, связанных с исполнением договора (можно использовать правовое основание «Договор»):
- — направление уведомлений о просрочке платежа;
- — исправление ошибок или задержек в исполнении договора, в том числе обработка обращений субъекта в службу поддержки контролера;
- — предоставление гарантии и обработка заявок на гарантийное обслуживание;
- — возвращение неиспользованных денег (неиспользованного материала) при прекращении (расторжении) договора до его полного исполнения.
При этом правовое основание «Договор» не может быть использовано, если:
- — контролер хранит сведения об исполнении договора для возможного использования этих сведений в суде (например, если субъект персональных данных подаст жалобу против контролера). Такая обработка персональных данных, хоть и связана по смыслу с договором, не является объективно необходимой для его исполнения (в том числе потому, что договор уже прекращен);
- — контролер хранит сведения об исполнении договора (в том числе персональные данные клиента) для исполнения обязанности, предусмотренной налоговым законодательством или законодательством о бухгалтерском учете и отчетности. Для этой обработки лучше подойдет правовое основание из ст. 6(1)(c) GDPR («Требование закона»).
Второй случай: обработка необходима для реализации шагов, которые предшествуют заключению договора
Правовое основание из ст. 6(1)(b) GDPR также можно использовать на преддоговорном этапе. При этом не важно, будет ли договор вообще заключен: даже если нет, законность обработки персональных данных на преддоговорном этапе не пострадает.
Критерий необходимости следует применять так же строго, как и в случае необходимости обработки для исполнения уже заключенного договора. То есть, если преддоговорные шаги можно реализовать без обработки персональных данных, для такой обработки правовое основание «Договор» использоваться не может.
Примеры обработок, необходимых на преддоговорном этапе:
- — ответ на запрос потенциального клиента в службу поддержки о наличии товара определенной модели;
- — запись на прием к врачу (даже если клиент отменит запись или просто не придет);
- — оставление заявки на сайте строительной компании с указанием адреса клиента и удобного времени для визита специалиста.
Обратим внимание на важный нюанс: правовое основание «Договор» может использоваться лишь тогда, когда такие преддоговорные меры принимаются контролером (или процессором — по поручению контролера) по запросу (инициативе) субъекта данных. В противном случае компании могли бы использовать это правовое основание, например, для профилирования потенциальных клиентов или для рекламных рассылок, рассматривая рекламу как шаги, предшествующие заключению договора. Пример с оценкой кредитополучателя банком очень нагляден: такая обработка не может быть основана на ст. 6(1)(c) GDPR не только потому, что она не является объективно необходимой для заключения договора, но и потому, что она инициируется банком, а не потенциальным заемщиком. Субъект данных направил заявку на выдачу кредита, но вовсе не на проведение его оценки (скоринга). Следовательно, критерий «по запросу субъекта» также не соблюдается.
Вывод
Обращаясь к «Договору» как правовому основанию, не забывайте: соответствующая обработка должна быть действительно необходимой для исполнения конкретного договора с субъектом данных, а не «обслуживать» интересы бизнеса. Если есть реалистичные альтернативы, которые используют меньше персональных данных или не требуют таких данных вовсе, обработка не является «необходимой».
При решении вопросов, связанных с обработкой персональных данных при исполнении договора, рекомендуем обратиться к документам EDPB: