Общие требования к оформлению согласия указаны в ч. 4 ст. 9 Федерального закона № 152-ФЗ от 27 июля 2006 г. Его можно оформить электронным документом, подписанным электронной подписью.
Отдельно оформляют согласие на обработку персональных данных, разрешённых для распространения. Оно нужно, если данные передаются для раскрытия неограниченному кругу лиц. При оформлении нужно соблюдать требования из ст. 10.1 Федерального закона № 152-ФЗ от 27 июля 2006 г. и Требования, утв. Приказом Роскомнадзора № 18 от 24 февраля 2021 г.
Новое требование с 1 сентября 2025 года, теперь согласие на обработку персональных данных должно оформляться как отдельный документ. Его нельзя включать в текст договора, пользовательское соглашение или любой другой документ. Пользование сайтом организации (ИП) больше не считается «автоматически» данным согласием.
С 1 сентября 2025 года, вступили в силу новые требования и методы обезличивания по Приказу Роскомнадзора № 140 от 19.06.2025. По сравнению с предыдущими правилами появились новые условия:
• Запрещено хранить вместе исходные и обезличенные данные. Локальные акты об обезличивании должны храниться отдельно от обезличенных данных.
• Необходимо вести учёт всех действий по обезличиванию и операций с обезличенными данными (в форме, позволяющей подтвердить эти действия).
• Нужно исключить доступ третьих лиц к локальным актам об обезличивании и информации о методах обезличивания.
• Для каждого метода обезличивания требуются отдельные локальные акты.
Нарушение установленных требований теперь влечет административную ответственность, включая штрафы в размере от 300 тыс. до 700 тыс. руб. для организаций и индивидуальных предпринимателей, а также до 300 тыс. руб. для должностных лиц.
1. Что изменилось в правилах получения согласия на обработку персональных ?
Законодательство требует, чтобы согласие на обработку персональных данных было конкретным, информированным и однозначным. На практике, однако, встречались следующие нарушения:
• включение согласия мелким шрифтом в конце договора;
• невозможность использования сайта без проставления "галочки" о согласии;
• объединение различных видов согласий в одном документе (например, на обработку данных, на рекламу, на передачу третьим лицам).
С 1 сентября 2025 года такие действия будут расцениваться как нарушение требований законодательства, поскольку не обеспечивают достаточной прозрачности и свободы волеизъявления.
2. Что должно содержать новое согласие на обработку персональных данных?
Согласие на обработку персональных данных должно содержать следующие обязательные сведения:
- Персональные данные субъекта (Ф. И. О., адрес, реквизиты документа, удостоверяющего личность).
- Персональные данные представителя субъекта (при наличии).
- Наименование оператора, его юридический адрес.
- Цель обработки персональных данных.
- Перечень персональных данных, подлежащих обработке.
- Сведения о третьих лицах, которым данные будут переданы.
- Описание действий с персональными данными (сбор, хранение, обработка, передача и др.).
- Способы обработки персональных данных.
- Срок действия согласия и порядок его отзыва.
- Подпись субъекта персональных данных.
Для специальных категорий персональных данных (например, сведения о здоровье, биометрические данные, религиозные взгляды, судимости) согласие должно быть оформлено в письменной форме.
ВАЖНО! Отдельное согласие на передачу персональных данных третьим лицам.
В случае передачи персональных данных третьим лицам (например, курьерским службам, колл-центрам, аналитическим платформам), оператор обязан получить отдельное согласие от субъекта. В таком документе должны быть указаны:
• наименование третьих лиц;
• цель передачи данных;
• действия, разрешенные с данными;
• условия и ограничения передачи.
3. Административная ответственность за нарушение требований
Согласно ст. 13.11 КоАП РФ, за нарушение порядка получения согласия на обработку персональных данных предусмотрены следующие штрафы:
• Физическое лицо – 10-15 тыс. руб.
• Должностное лицо – 100-300 тыс. руб.
• Юрлицо / ИП 300-700 тыс. руб.
Кроме того, Роскомнадзор вправе выдать Предписание об устранении выявленных нарушений, что может повлечь дополнительные санкции, если не исполнить его требования в срок, установленный в Предписании (Представлении).
4. Дополнительные изменения с 1 сентября 2025 года
Помимо изменений в порядке получения согласия, с 1 сентября 2025 года вступают в силу и другие нормы:
- Обязательная передача обезличенных данных в ГИС. Операторы, включенные в реестр операторов персональных данных, обязаны предоставлять обезличенную информацию в государственную информационную систему (ГИС).
- Ужесточение требований к защите персональных данных. Организации должны обеспечить выполнение всех мер безопасности, предусмотренных законом.
- Расширение полномочий Минцифры России. Орган вправе требовать предоставления обезличенных данных для загрузки в федеральные информационные системы.
Для соблюдения новых требований законодательства о ПДн рекомендуется:
Провести внутренний аудит процессов обработки персональных данных. Проверить договоры, пользовательские соглашения, анкеты и другие документы на наличие "скрытых" согласий.Разработать отдельные формы согласия для каждого вида обработки. Подать Уведомление в Роскомнадзор, если это еще не сделано. Перед подачей уведомления в Роскомнадзор необходимо сформировать Политику обработки персональных данных, а также пакет внутренних обязательных документов, необходимых для работы с персональными данными.
6. Проверить функционал обезличивания данных, если передача информации в ГИС обязательна.
Обучить сотрудников новым требованиям и порядку получения согласий.