Согласие на обработку персональных данных в 2025 году: когда можно не получать, зачем получать несколько и что будет за обработку персданных без согласия

Согласие на обработку персональных данных в 2025 году

Одним из возможных условий обработки персональных данных (ПДн) является получение оператором персональных данных согласия на это субъекта персональных данных  (п.1 ч.1 ст.6 Федерального закона от 27.07.2006 №152-ФЗ). Существуют и другие, более распространенные правовые основания: договор, требование закона и иное, согласно ч.1 ст.6 Закона №152-ФЗ. Обработка ПДн допустима при наличии хотя бы одного из предусмотренных законом условий.

Но иногда без согласия все же не обойтись. Например, при рассылке рекламы, при распространении ПДн по инициативе оператора, при передаче данных в Единую биометрическую систему и в других ситуациях, когда подобрать и обеспечить иное правовое основание по ч.1 ст.6 Закона №152-ФЗ не представляется возможным. И в зависимости от конкретной ситуации обработки ПДн, требующей согласия, будут меняться формы согласий и их содержание. 

Несколько согласий на обработку персональных данных 

На практике не всегда можно все вопросы обработки ПДн отразить в одном документе, в котором будут указаны все цели обработки ПДн, разрешены распространение данных, направление рассылки, передача данных третьей стороне. Это будет противоречить требованиям закона. Поэтому приходится получать от субъекта не одно согласие, а два и больше. Почему так происходит?

Во-первых, положения ч.4 ст.9 Закона №152-ФЗ при оформлении письменного согласия в установленных случаях (например, обработка биометрии, специальных категорий ПДн, передача ПДн работников третьей стороне и пр.) не позволяют указывать в нем несколько целей обработки ПДн, поэтому для каждой цели приходится делать отдельное согласие. В данной ситуации наиболее правильным подходом для уменьшения количества оформляемых документов будет применение других правовых оснований для обработки ПДн (см. далее раздел «Когда согласие на обработку персональных данных не требуется»).

Во-вторых, в Законе №152-ФЗ содержится такое понятие, как персональные данные, разрешенные для распространения. Речь идет о случаях, когда персональные данные распространяются оператором среди неограниченного круга лиц, например, при их размещении на сайте, в СМИ, на других общедоступных ресурсах. Если оператор намерен распространять персональные данные (например, размещать их на сайте компании), то ему придется получить согласие на распространение персональных данных (ст.10.1 Закона №152-ФЗ). Оформить такое согласие нужно также отдельно (ч.1 ст.10.1 Закона №152-ФЗ).

В-третьих, если планируется направлять субъекту ПДн рекламную рассылку, то в связи со сложившейся практикой такое согласие также нужно отделить от других согласий (чтобы у субъекта было право отказаться от рекламы и компанию не обвинили в навязывании рассылки).

Таким образом, получается, что от одного субъекта можно получить одновременно несколько согласий, например:

• при взаимодействии с сотрудниками: согласие на передачу ПДн для оформления визиток, в страховую компанию для оформления полиса ДМС, согласие на обработку персональных данных, разрешенных для распространения - если планируется распространять данные среди неограниченного круга лиц);
• при взаимодействии с посетителями сайта: предварительное согласие на осуществление рекламной/информационной рассылки; согласие на обработку персональных данных для оказания консультации по предоставляемым услугам.

Количество согласий может расти в связи с появлением новых процессов обработки ПДн, новых ситуаций, связанных с обработкой ПДн. Например, компания решила подключиться к программе лояльности и оформить сотрудникам карты, предоставляющие скидки на услуги, товары, работы своих партнеров. Это новый процесс, передачу ПДн работников третьим лицам (партнерам, входящим в программу лояльности) уже не включить в ранее оформленное согласие, поэтому придется подписывать новое. Таким образом, согласия могут быть получены в один момент, а могут добавляться в процессе деятельности.

Форма согласия на обработку персональных данных

Согласие на обработку персональных данных должно быть конкретным, предметным, информированным, сознательным и однозначным (ч.1 ст.9 Закона №152-ФЗ). При этом согласие предоставляется в любой форме, которая позволяет подтвердить факт его получения (если иное не установлено федеральным законом). Например, в определенных законом случаях необходимо письменное согласие субъекта на обработку его персональных данных.

С 01.09.2025 согласие на обработку персональных данных необходимо оформлять отдельно от другой информации, других документов, которые подтверждает и (или) подписывает субъект персональных данных (Федеральный закон от 24.06.2025 №156-ФЗ). Эти изменения направлены на то, чтобы субъекты ПДн могли осознанно выразить согласие на обработку своих персональных данных.

В программах 1С соответствующие изменения поддержаны. Так, в «1С:Бухгалтерии 8» начиная с версии 3.0.182 актуализированы формы «Заявления на выдачу квалифицированного сертификата в Удостоверяющем центре» и «Согласия на обработку персональных данных». При подписании электронной подписью Заявления теперь создается архив, в котором Заявление и Согласие сохранены в отдельных файлах.

Изменения, которые внесены в ч.1 ст.9 Закона №152-ФЗ, не позволят операторам включать условия о согласии на обработку персональных данных в пользовательские соглашения, которые размещаются на информационных ресурсах (сайтах) или предоставляются офлайн. В таких соглашениях, как правило, среди прочих условий предусматривались условия о предоставлении согласия на обработку персональных данных, в т.ч. в целях их передачи неопределенному кругу лиц. При этом пользовательские соглашения часто считались заключенными, если гражданин использует сайт, просматривая размещенную информацию, или ставит галочку в специальной графе.

Когда согласие на обработку персональных данных не требуется

Оператор персональных данных может осуществлять обработку персональных данных без согласия на их обработку для осуществления оператором обязанностей, возложенных на него законом (п.2 ч.1 ст.6 Закона №152-ФЗ). Речь идет об обязанности предоставлять персональные данные:

• во внебюджетные фонды (абз.15 ч.2 ст.22 ТК РФ, абз.3 п.4 Разъяснений Роскомнадзора «Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве»);
• в трудовую инспекцию (абз. 3 ч.1 ст.357 ТК РФ, абз.7 п.4 Разъяснений);
• в профсоюзы (ст.370 ТК РФ, абз.5 п.4 Разъяснений);
• в прокуратуру и правоохранительные органы (абз.7 п.4 Разъяснений);
• в налоговые органы и военные комиссариаты (подп.1, 2, 4 п.3 ст.24 НК РФ, абз.5 п.4 Разъяснений);
• в Роскомнадзор и его территориальные органы (ч. 4 ст.20 Закона №152-ФЗ).

Кроме того, без согласия субъекта оператор персональных данных может осуществлять обработку персональных данных: 

• при реализации международных соглашений (п.2 ч.1 ст.6 Закона №152-ФЗ);
• при осуществлении правосудия, исполнения судебного акта и иных актов, предусмотренных законодательством об исполнительном производстве (п.3 ч.1 ст.6 Закона №152-ФЗ);
• для предоставления государственной или муниципальной услуги в соответствии с Федеральным законом от 27.07.2010 №210-ФЗ (п.4 ч.1 ст.6 Закона №152-ФЗ);
• для исполнения договора, стороной, выгодоприобретателем или поручителем по которому является субъект персональных данных (п.5 ч. 1 ст.6 Закона №152-ФЗ) - это положение позволяет работодателю не получать согласие работника, с которым заключен трудовой договор, если эти данные не передаются третьим лицам (ст.88 ТК РФ), за исключением случаев, когда такая передача обусловлена требованием закона;
• для защиты жизни, здоровья и иных интересов работника (п.6 ч.1 ст.6 Закона №152-ФЗ);
• для реализации прав и законных интересов оператора и третьих лиц или для достижения общественно значимых целей, если при этом не нарушаются права и свободы субъекта персональных данных (п.7 ч.1 ст.6 Закона №152-ФЗ);
• для осуществления профессиональной деятельности журналиста и (или) законной деятельности СМИ либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных (п.8 ч.1 ст.6 Закона №152-ФЗ);
• в статистических или иных исследовательских целях при условии обезличивания персональных данных (п.9 ч.1 ст.6 Закона №152-ФЗ).

Ответственность за обработку или распространение персданных без согласия 

Если не обеспечены правовые основания для обработки персональных данных, например, персданные распространены без согласия или неправомерно переданы третьей стороне, это может стать поводом для привлечения оператора к ответственности на основании ч.1 ст.13.11 КоАП РФ в виде штрафа:

• для граждан – в размере от 10 000 до 15 000 руб.;
• для должностных лиц и ИП – от 50 000 до 100 000 руб.;
• для организации – от 150 000 до 300 000 руб.

Если речь касается исключительно письменного согласия на обработку персональных данных (есть прямое указание в законе на получение согласия в письменной форме по ч.4 ст.9 Закона №152-ФЗ), но оно не было получено либо не были соблюдены требования к составу сведений, которые должны быть в таком согласии (ч.4 ст.9 Закона №152-ФЗ), то обработка персональных данных признается незаконной и может стать поводом для привлечения оператора к ответственности на основании ч.2 ст.13.11 КоАП РФ в виде штрафа:

• для граждан – в размере от 10 000 до 15 000 руб.;
• для должностных лиц и ИП – от 100 000 до 300 000 руб.;
• для организации – от 300 000 до 700 000 руб.

С 30 мая 2025 года действуют многочисленные поправки в КоАП РФ, которые существенно ужесточили ответственность в сфере персональных данных. В частности, в отдельные составы выделены нарушения, касающиеся массовой утечки персональных данных. За действия (бездействие) оператора, которые повлекли неправомерную передачу информации, включающей персональные данные от 1 000 до 10 000 субъектов и (или) от 10 000 до 100 000 идентификаторов, предусмотрен штраф по ч.12 ст.13.11 КоАП РФ (если эти действия (бездействие) не содержат признаков уголовно наказуемого деяния):

• для граждан – в размере от 100 000 до 200 000 руб.;
• для должностных лиц государственного или муниципального органа либо некоммерческой организацией (НКО) – от 200 000 до 400 000 руб.;
• для организаций, которые не являются государственным или муниципальным органом или НКО, и ИП – от 3 млн до 5 млн руб.

За невыполнение или несвоевременное выполнение оператором обязанности уведомлять Роскомнадзор о намерении осуществлять обработку персональных данных установлен штраф (ч.10 ст.13.11 КоАП РФ):

• для граждан – в размере от 5 000 до 10 000 руб.;
• для должностных лиц государственного или муниципального органа либо некоммерческой организации – от 30 000 до 50 000 руб.;
• для организаций, которые не являются государственным или муниципальным органом или НКО, и ИП – от 100 000 до 300 000 руб.

Отметим, что в соответствии с ч.1 ст.4.1.1 КоАП РФ штрафы за впервые совершенное административное правонарушение, в том числе в сфере персональных данных, могут подлежать замене на предупреждение. Таким образом, если компания не представит уведомление до начала обработки персональных данных, то, скорее всего, сразу штрафовать ее не будут, а вынесут в ее адрес предупреждение (если не истекли сроки давности). Если, получив предупреждение, компания все равно не направит в Роскомнадзор уведомление о начале обработки персональных данных, то есть вероятность, что ее оштрафуют по ч.10 ст.13.11 КоАП РФ на сумму от 100 000 до 300 000 руб.

Требования к обезличиванию персональных данных

При достижении целей обработки оператор обязан обезличить или уничтожить персональные данные субъекта (ч.7 ст.5 Закона №152-ФЗ). Под обезличиванием персональных данных понимаются действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных их субъекту (п.9 ст.3 Закона №152-ФЗ). Роскомнадзор приказом от 19.06.2025 №140 утвердил требования к обезличиванию персональных данных и методы обезличивания персональных данных, которые применяются с 1 сентября 2025 года.

Отметим, что в соответствии с законодательством РФ с 1 сентября 2025 года по требованию Минцифры оператор также должен обезличить и представить персональные данные (ч.2 ст.13.1 Закона №152-ФЗ, введенная Федеральным законом от 08.08.2024 №233-ФЗ). Минцифры вправе использовать обезличенные персданные для формирования крупных массивов данных для различных государственных и социальных целей.

Требования к обезличиванию ПДн для представления Минцифры утверждены постановлением Правительства РФ от 01.08.2025 №1154 и также действуют с 01.09.2025.

В материале использованы фото: BritCats Studio / Shutterstock / Fotodom.