Штрафы за неправильное согласие на обработку ПДн — не пустой звук. Если вы собираете хоть один email, номер телефона или ФИО — клиентов, сотрудников, даже гостей в кофейне — эта статья для вас. Пропустишь детали — заплатишь от 100 тысяч рублей. Не хочется? Читай дальше.
Когда согласие обязательно — и когда можно обойтись без него
По закону (ФЗ-152) обрабатывать персональные данные можно только с согласия. Но есть 7 исключений — и они важны.
Не нужно согласие, если:
- Вы просто выполняете договор (например, доставляете заказ в интернет-магазине).
- Вы обязаны по закону — например, ведёте кадровый учёт.
- Данные нужны для суда или следствия.
А вот если вы:
- Запускаете программу лояльности с накоплением баллов по телефону — нужно согласие.
- Собираете данные не для доставки, а для анализа поведения, рассылок, таргета — опять нужно.
Дети и согласие: что изменилось?
- До 14 лет — согласие даёт родитель/опекун.
- С 14 лет — ребёнок может сам дать согласие, но только на мелкие бытовые действия (например, регистрация в соцсети).
- Если речь о маркетинге, базе данных или рекламе — даже 15-летний должен получить одобрение от взрослого.
Подготовка документов для работы с персональными данными 2026 для организаций.
С 1 сентября 2025: согласие больше не «внутри договора»
Раньше можно было просто поставить галочку в 20-страничном соглашении. Теперь — нет.
- Согласие должно быть отдельным документом.
- Человек должен чётко понимать, на что именно он соглашается.
- Нельзя копировать шаблоны из интернета. Универсального не существует — ваше согласие должно отражать вашу практику.
Что обязательно должно быть в согласии (по закону)
Обязательные пункты — не рекомендации, а требования:
1. ФИО, адрес, паспортные данные субъекта.
2. Данные представителя (если согласие даёт родитель).
3. Название вашей компании и её адрес.
4. Конкретная цель — не «для обслуживания», а «для отправки уведомлений о заказе».
5. Перечень обрабатываемых данных (имя, телефон, email, фото и т.д.).
6. Кто ещё будет работать с данными (аутсорсер, хостинг, CRM).
7. Какие действия будут совершаться: хранение, передача, систематизация.
8. Срок действия и способ отзыва — это критично.
9. Подпись субъекта (электронная или рукописная).
Важно: Субъект может отозвать согласие в любой момент. Вы обязаны прекратить обработку и удалить данные — в течение 30 дней. Исключение — если закон требует хранить (например, бухгалтерские документы).
А что с согласиями, которые уже есть?
Не трогайте.
Если человек дал согласие до 1 сентября 2025 — даже если оно было в договоре — оно остаётся в силе. Переоформлять не нужно. Но если вы сейчас вводите новую процедуру — уже по новым правилам.
Подготовка документов для работы с персональными данными 2026 для организаций.
Сайт и онлайн-согласие: как не нарушить
На сайте нельзя просто «нажми кнопку и всё». Нужно:
- Чёткая фраза: «Нажимая кнопку, я даю согласие на обработку персональных данных».
- Активный чекбокс — предустановленная галочка = нарушение.
- Ссылка на отдельную страницу с полным текстом согласия.
- В тексте: цели, данные, срок, способ отзыва, адреса сайтов.
Согласие на публикацию — отдельная история
Если вы публикуете данные — например, фото кандидата в каталоге на сайте — это ст.10.1 ФЗ-152.
Тут нужно:
- Указать конкретные ресурсы, где данные будут размещены.
- Разрешить субъекту устанавливать ограничения (например: «не публиковать мой номер»).
- Предупредить о рисках — кто увидит, как данные могут использоваться.
Пример: рекрутинговое агентство. Обычное согласие — для подбора. А если кандидат хочет, чтобы его резюме было в открытом доступе — требуется отдельное, расширенное согласие.
Что будет, если не взять согласие?
- ИП — от 100 000 до 300 000 ₽.
- Компания — от 300 000 до 700 000 ₽.
- При повторном нарушении — до 1,5 млн для юрлиц, до 1 млн для ИП.
Штрафы — не миф. Роскомнадзор проверяет. И проверяет часто.
Вывод:
Не копируйте шаблоны. Не прячьте согласие в договор. Не забывайте про детей и публикации.
Сделайте чёткий, отдельный, понятный документ.
Подготовка документов для работы с персональными данными 2026 для организаций.