В 2026 году работа с персональными данными перестала быть технической формальностью и превратилась в зону повышенного правового риска.
Роскомнадзор ужесточает проверки, а штрафы по статье 13.11 КоАП РФ достигают значительных сумм: для индивидуальных предпринимателей они варьируются от 100 до 300 тысяч рублей, для юридических лиц – от 300 до 700 тысяч. При повторных нарушениях суммы растут. В этих условиях единственным надёжным основанием для легальной работы с информацией клиентов, партнёров или сотрудников остаётся грамотно оформленное согласие на обработку персональных данных. Разберёмся, как подготовить документ, который выдержит проверку регулятора и защитит ваш бизнес.
Когда согласие действительно необходимо
Федеральный закон 152-ФЗ "О персональных данных" рассматривает согласие субъекта как базовое правовое основание для обработки его данных, однако это не означает, что оно требуется постоянно. Вы вправе работать без такого документа, если исполняете договор, где гражданин является стороной (выгодоприобретателем), ведёте кадровый учёт в рамках Трудового договора, передаёте сведения по требованию государственных органов, защищаете его жизнь или здоровье, а также используете данные в личных, семейных или обезличенных статистических целях.
Всё меняется, когда обработка выходит за эти рамки. Сбор информации «на будущее», использование адресов электронной почты для рассылок, передача сведений контрагентам или публикация фотографий сотрудников на корпоративном сайте требуют прямого, добровольного согласия. Причём для любого распространения данных в открытом доступе закон обязывает оформлять отдельное согласие по правилам статьи 10.1 152-ФЗ. Например, если у вас в организации есть телефонные справочники, доски объявлений, то наличие данных сотрудников в них, требует отдельного письменного согласия.
Составляющие юридически значимого документа
Чтобы согласие имело юридическую силу, оно должно соответствовать требованиям части 4 статьи 9 152-ФЗ. Отсутствие даже одного из десяти обязательных элементов делает документ ничтожным.
В первую очередь необходимо однозначно идентифицировать субъекта: указать полное ФИО, адрес регистрации или проживания, а также реквизиты документа, которым удостоверяется его личность. Следом идут сведения об операторе: полное наименование организации, ОГРН или ОГРНИП, ИНН и юридический адрес. Центральная часть документа посвящена цели и объёму обработки. Формулировки вроде «для улучшения сервиса» уже не подходят. Регулятор ждёт конкретики: «для доставки заказа клиенту» или «для отправки информационных писем на контактный адрес электронной почты». Параллельно необходимо перечислить все категории собираемых данных и исчерпывающий список действий с ними: сбор, запись, хранение, уточнение, передача, блокирование, удаление или уничтожение.
Важно зафиксировать способ обработки (автоматизированный или нет), срок действия документа и процедуру отзыва. Закон не допускает бессрочных согласий: период должен быть привязан к дате или конкретному событию. Наконец, документ должен содержать порядок отзыва согласия, гарантию прекращения обработки в срок не более 30 дней, а также собственноручную подпись. Если согласие подписывается электронной подписью, то нужно иметь ввиду, что если у вас простая подпись, то перед этим нужно в письменной форме оформить соглашение с клиентом или сотрудником, а уже после подписывать документ. Исключение - если используется усиленная квалифицированная электронная подпись выданная через МФЦ или аккредитованный удостоверяющий центр.
Контекст имеет значение
Универсального бланка не существует, и форма согласия напрямую зависит от того, как и у кого вы собираете данные.
На сайтах и в мобильных приложениях бумажные подписи заменяются цифровым акцептом. С 1 сентября 2025 года предустановленные галочки запрещены, поэтому пользователь должен самостоятельно отметить пустой чек-бокс рядом с формулировкой: «Нажимая кнопку, я даю согласие на обработку персональных данных». Рядом обязательно размещается прямая ссылка на полный текст документа. Технически момент принятия следует фиксировать: логировать IP-адрес, точное время, состояние поля чек-бокса, чтобы при необходимости доказать добровольность выбора и представить доказательства по базе данных сайта.
В отношениях с сотрудниками распространена ошибка – требовать согласие на всё подряд. На практике данные, необходимые для исполнения трудового договора (ФИО, СНИЛС, ИНН, адрес для корреспонденции, банковские реквизиты), обрабатываются без дополнительного разрешения. Отдельное согласие потребуется только в случаях, выходящих за рамки трудового законодательства: персональные данные родственников, оформление добровольного медицинского страхования на них и себя, проведение проверок службой безопасности, передача сведений в негосударственные пенсионные фонды, использование биометрии или публикация фотографий на ресурсах компании. Срок действия таких соглашений обычно привязывают к периоду действия трудового договора плюс пять лет, что соответствует срокам хранения кадровой документации.
Работа с несовершеннолетними требует особой аккуратности. За детей до 14 лет согласие дают родители или иные законные представители, прикладывая документ, подтверждающий полномочия. Подростки старше 14 лет могут соглашаться самостоятельно, но лишь в случаях, прямо предусмотренных законом. При обработке специальных категорий данных (сведения о здоровье, биометрия) даже после достижения 14 лет требуется подтверждение от родителей и отдельное письменное согласие.
Срок действия и право на отзыв
Закон не устанавливает жёстких временных рамок, но требует определённости. Варианты «до достижения целей обработки», «в течение трёх лет после расторжения договора» или «до момента отзыва субъектом» считаются незаконными. Если данные попадают в архив, срок устанавливается по перечням Росархива.
Право отозвать согласие является безусловным. С недавних пор граждане могут делать это напрямую через портал Госуслуг, поэтому операторы обязаны поддерживать интеграцию с данной системой. Получив запрос, вы обязаны прекратить обработку и уничтожить данные в течение 30 дней, если иное не предусмотрено законодательством (например, требованиями налогового или бухгалтерского учёта). Важно помнить: отзыв согласия не аннулирует обработку, которая уже была законно осуществлена, и не освобождает от обязанностей, возникающих из действующих договоров или нормативных актов. При этом уничтожить персональные данные после отзыва согласия оператор обязан полностью, как выполнит все обязательства по законодательству. Как правило - это год после отзыва согласия.
Типичные ошибки, которые приводят к штрафам
Практика показывает, что чаще всего бизнес попадает под санкции из-за размытых формулировок целей, попыток «спрятать» согласие внутри договоров или анкет (что запрещено с 01.09.2025) и избыточного сбора информации. Запрос паспортных данных при подписке на рассылку прямо нарушает принцип минимизации, закреплённый в статье 5 152-ФЗ.
Кроме того, одного согласия недостаточно. Регулятор проверяет наличие внутренней инфраструктуры: политики конфиденциальности, размещённой на сайте, перечней обрабатываемых данных и целей обработки, приказа о назначении ответственного лица и утверждённого регламента работы с персональными данными. Отдельное внимание уделяется трансграничной передаче и хранению: с 2025 года размещение баз данных российских граждан на зарубежных серверах запрещено без соблюдения строгих процедур локализации и одобрения Роскомнадзора.
Как выстроить процесс без ошибок
Подготовка согласия начинается с аудита: чётко определите, какие данные вам действительно нужны, и свяжите каждую категорию с конкретной, измеримой целью. Укажите полные и актуальные реквизиты компании, пропишите все планируемые действия с информацией и выберите реалистичный срок действия согласия. Если привлекаете подрядчиков и передаёте им персональные данные, перечислите их. Для цифровых каналов коммуникации замените пассивные элементы на активные, обеспечьте логирование акцепта и сделайте процедуру отзыва предельно прозрачной. Если данные планируется публиковать, выделите отдельный блок с указанием конкретных площадок распространения.
Заключение
Согласие на обработку персональных данных – это инструмент управления рисками и формирования доверия клиентов и сотрудников, вам как оператору. Жёсткие требования к прозрачности, локализации и контролю за жизненным циклом персональных данных делают невозможным использование устаревших шаблонов из открытых источников. Регулярное обновление документов, внедрение технических средств фиксации согласия и консультации с профильными специалистами помогут вашему бизнесу не только избежать штрафов, но и выстроить этичные, устойчивые отношения с клиентами и сотрудниками.
Платная поддержка осуществляется через платформу Спонсор.
Выпуск подкаста "ЦифраБез на линии )" (ссылка)