Рассказываем, что поменялось в порядке получения согласий на обработку персональных данных и как их оформлять с учетом новых правил с 1 сентября 2025 года.
Изменения в порядке получения согласий на обработку персональных данных с 1 сентября 2025 года
Федеральный закон от 24.06.2025 №156-ФЗ ужесточил правила оформления согласий на обработку персональных данных физических лиц. Обновленные правила вступят в силу с 1 сентября 2025 года и обязательны к применению всеми организациями и ИП, которые получают и обрабатывают персональные данные граждан.
В отличие от уже действующих, новые правила позволят гражданам выражать свое согласие на обработку их персональных сведений осознанно и в максимально доступной форме. Сейчас правила оформления согласий установлены в соответствии с ч.1 ст.9 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных». Согласно данной норме, согласие на обработку персональных данных может быть получено в любой позволяющей подтвердить факт его получения форме. Таким образом, никаких конкретных требований ни к форме, ни к порядку дачи согласия законодательство не устанавливает.
Это позволяет компаниям не оформлять согласие в качестве отдельного документа, а включать его в виде составной части в договоры и иные документы. Среди общего массива информации, представленной в тексте таких документов, согласие на обработку персональных данных попросту теряется, и зачастую граждане, подписывая объемные документы, фактически с ним даже не знакомятся. При этом согласия нередко позволяют компаниям не только получать личные сведения от обратившихся к ним клиентов, но и без их на то воли передавать эти сведения третьим лицам.
Также сейчас распространена практика, когда компании включают согласие на обработку персональных данных в пользовательские соглашения, представленные на их сайтах, которые граждане нередко вообще не читают, автоматически проставляя «галочки» под такими соглашениями. В отдельных случаях компании не предоставляют посетителям своих сайтов даже возможности отказаться от дачи согласия на обработку персональных данных. Проставление «галочки» под пользовательским соглашением со встроенным в него согласием на обработку здесь выступает обязательным условием для входа на сайт. В результате говорить об осознанном и добровольном согласии не приходится, поскольку компании-операторы обуславливают пользование сайтом обязательной дачей согласия на обработку персональных данных пользователей.
Более того, некоторые компании сейчас прописывают в своих документах условия, в соответствии с которыми посещение их сайта (конклюдентное действие) автоматически приравнивается к даче согласия на обработку и передачу персональных данных третьим лицам.
Чтобы пресечь подобную практику, принятый закон дополняет ч.1 ст.9 Федерального закона от 27.07.2006 №152-ФЗ новым требованием, по которому согласие на обработку персональных данных во всех случаях в обязательном порядке должно быть оформлено отдельно от любых иных документов, которые подписывает физлицо.
Соответственно, включить согласие на обработку персональных данных нельзя будет ни в текст договора на продажу товара (выполнения работ, оказания услуг), ни в текст пользовательского соглашения, ни в любой другой документ. Равным образом, дачей согласия не будет считаться и пользование сайтом, принадлежащим организации или ИП.
Новые требования коснутся только согласий на обработку персональных данных, оформляемых начиная с 1 сентября 2025 года. Все ранее оформленные до указанного моменты согласия сохранят свою силу и не потребуют переоформления.
Как оформить согласие на обработку персональных данных с 1 сентября 2025 года
С 1 сентября 2025 года согласие на обработку персональных данных компании могут получать только в виде отдельного письменного документа (в форме электронного документа), сформированного и подписанного независимо от договоров и иных соглашений, заключаемых с гражданами.
Никакой отдельной обязательной формы для такого согласия законодательством не предусмотрено. Компании вправе разработать форму такого согласия самостоятельно, но в документе нужно прописать все сведения, прямо указанные в ч. 4 ст.9 Федерального закона от 27.07.2006 №152-ФЗ.
Обязательные реквизиты согласия на обработку персональных данных (ч. 4 ст.9 Федерального закона от 27.07.2006 №152-ФЗ):
- ФИО физлица и его паспортные данные;
- наименование компании (ФИО ИП или самозанятого), получающего согласие на обработку персональных данных;
- цель обработки персональных данных;
- перечень сведений, на обработку которых дается согласие;
- перечень действий с персональными данными, на совершение которых дается согласие, а также общее описание используемых способов обработки персональных данных;
- срок, в течение которого действует согласие, а также способ его отзыва;
- подпись физлица.
Если компания планирует передавать персональные данные граждан третьим лицам, она наряду с общим согласием должна получить еще и согласие на передачу персональных данных конкретному третьему лицу под конкретную цель. Такое согласие также необходимо формировать в виде отдельного документа. Причем согласие на передачу персональных данных третьим лицам нельзя включить в текст основного согласия на обработку. Таким образом, перед распространением персональных данных компания должна получить от физлица сразу два отдельных документа: согласие на обработку персональных данных и согласие на передачу персональных данных (ч.1 ст.10.1 Федерального закона от 27.07.2006 №152-ФЗ).
В согласии на передачу персональных данных третьим лицам необходимо прописать, кому будут передаваться персональные данные физлица, цель, с которой данные будут передаваться, и действия, которые планируется совершать с персональными данными физлица в рамках их передачи третьим лицам. Также в согласии по требованию физлица необходимо перечислить обязательные условия предоставления данных третьим лицам и ограничения, при несоблюдении которых передача не допускается (приказ Роскомнадзора от 24.02.2021 №18).
Штрафы за нарушение новых правил
Если начиная с 1 сентября 2025 года организации и ИП проигнорируют новые правила, включая согласие на обработку персональных данных в тексты договоров и иных документов, подобное согласие не будет считаться полученным. Обработка персональных данных станет квалифицироваться как несогласованная, а компании-нарушители понесут административную ответственность по ч.2 ст.13.11 КоАП РФ (обработка персональных данных без согласия в письменной форме).
Данная норма предусматривает наложение штрафов в размере:
- от 10 000 до 15 000 рублей – для самозанятых;
- от 100 000 до 300 000 рублей – для индивидуальных предпринимателей;
- от 100 000 до 300 000 рублей – для должностных лиц организаций;
- от 300 000 до 700 000 рублей – для организаций.
Повторное нарушение увеличит штрафы до следующих размеров (ч.2.1 ст.13.11 КоАП РФ):
- от 15 000 до 30 000 рублей – для самозанятых;
- от 500 000 до 1 млн рублей – для индивидуальных предпринимателей;
- от 300 000 до 500 000 рублей – для должностных лиц организаций;
- от 1 млн до 1,5 млн рублей – для организаций.
- Как работать с персональными данными в 2025 году, чтобы не получить штраф Роскомнадзора
- Как компании разработать политику обработки персональных данных в 2025 году
- Подача уведомлений в Роскомнадзор: как заполнить, должны ли подавать самозанятые и будут ли штрафовать за нарушение сроков сдачи
- Подача уведомлений в Роскомнадзор и работа с персональными данными на сайтах компаний
В материале использованы фото: tadamichi, Miha Creative / Shutterstock / Fotodom.
А как оформлять согласие на передачу ПД? Тоже отдельным документом-согласием? Получается целая папка документов должна быть при заключении сделки?
Зарплатная терапия, Согласие на передачу персональных данных всегда оформляется в форме отдельного документа. Этим оно и отличается от общего согласия на обработку, которое по действующим правилам можно включать в текст договоров и пользовательских соглашения. Поэтому законодательные изменения на указанный вид согласий не повлияют. Они и до внесения поправок в закон должны были оформляться отдельным документом. Поэтому если планируется передача персональных данных, то требуется оформлять сразу два согласия. Первое - на обработку. Второе - на передачу.
А если я не дам согласие работодателю или при покупке товара, то меня не примут в штат и мне не продадут товар?
Ольга_, Отказать вам в трудоустройстве или продаже товара по причине непредставления письменного согласия на обработку персональных данных конечно же не смогут. Заключение трудового договора и продажа товаров и услуг не обусловлены обязательным оформлением такого документа, как согласие на представление персональных данных. Но если вы откажетесь предоставлять паспорт при трудоустройстве (а в нем содержатся персональные данные), трудовую книжку, СНИЛС и иные документы, обязательные при трудоустройстве, то в заключении трудового договора откажут. Причем на законных основаниях.
Ольга_, Если вы откажетесь давать письменное согласие на обработку персональных данных, то товар или услугу вам все равно продадут. Обязаны продать по закону. Просто в таком случае обработка персональных данных, которые вы так или иначе предоставите при оформлении договорных отношений (например, укажете свой телефон или адрес доставки) будет производиться не на основании вашего согласия, а на основании заключенного договора. Оператор в этом случае также будет обрабатывать ваши персональные данные. Изменится только основание такой обработки. То же самое касается и оформления трудовых отношений.
Ольга_, Продавцам запрещается отказывать в реализации товаров и услуг по причине непредоставления покупателем своего согласия на обработку его персональных данных. Продажа товаров и услуг не может быть обусловлена обязательным оформлением такого согласия либо каких бы то ни было еще дополнительных документов. Если покупатель захотел приобрести товар, то при наличии товара у продавца, его необходимо передать данному покупателю при внесении покупной стоимости. Никаких согласий на обработку персональных данных для этого не требуется. И продавец не вправе отказать в реализации.
Есть утвержденная форма согласия? Или можно в свободной форме подавать?
Надменный главбух, Утвержденной и обязательной к применению формы согласия на обработку персональных данных нет и в ближайшее время не предвидится. Компании вправе использовать свои собственные формы согласия, которые самостоятельно разработают с учетом особенностей своей деятельности. По закону согласие на обработку персональных данных может быть выражено в любой форме, позволяющей подтвердить факт его получения. Согласие должно быть конкретным, предметным, информированным, сознательным и однозначным. То есть, в согласии обязательно нужно прописать, какие именно данные вы собираетесь обрабатывать.
Cогласие на передачу персональных данных третьим лицам. Кого указывать, кому передаем - ФНС, СФР? И какие обязательные условия?
Добрый инспектор, В согласии на передачу персональных данных нужно указать всех третьих лиц, которым будут предоставляться (направляться) сведения. Указать их можно сразу целым перечнем. Например, если персональные данные передаются в ФНС и СФР, то в согласии так и пишут - ФНС, СФР. Также нужно указать, какие именно персональные данные будут передаваться (ФИО, ИНН, паспортные данные и т.д.). Также следует указать, каким образом будет осуществляться обработка передаваемых данных. Для большинства случаев нужно указать смешанную обработку (в ручную и автоматически).