Рассказываем, что поменялось в порядке получения согласий на обработку персональных данных и как их оформлять с учетом новых правил с 1 сентября 2025 года.
Изменения в порядке получения согласий на обработку персональных данных с 1 сентября 2025 года
Федеральный закон от 24.06.2025 №156-ФЗ ужесточил правила оформления согласий на обработку персональных данных физических лиц. Обновленные правила вступят в силу с 1 сентября 2025 года и обязательны к применению всеми организациями и ИП, которые получают и обрабатывают персональные данные граждан.
В отличие от уже действующих, новые правила позволят гражданам выражать свое согласие на обработку их персональных сведений осознанно и в максимально доступной форме. Сейчас правила оформления согласий установлены в соответствии с ч.1 ст.9 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных». Согласно данной норме, согласие на обработку персональных данных может быть получено в любой позволяющей подтвердить факт его получения форме. Таким образом, никаких конкретных требований ни к форме, ни к порядку дачи согласия законодательство не устанавливает.
Это позволяет компаниям не оформлять согласие в качестве отдельного документа, а включать его в виде составной части в договоры и иные документы. Среди общего массива информации, представленной в тексте таких документов, согласие на обработку персональных данных попросту теряется, и зачастую граждане, подписывая объемные документы, фактически с ним даже не знакомятся. При этом согласия нередко позволяют компаниям не только получать личные сведения от обратившихся к ним клиентов, но и без их на то воли передавать эти сведения третьим лицам.
Также сейчас распространена практика, когда компании включают согласие на обработку персональных данных в пользовательские соглашения, представленные на их сайтах, которые граждане нередко вообще не читают, автоматически проставляя «галочки» под такими соглашениями. В отдельных случаях компании не предоставляют посетителям своих сайтов даже возможности отказаться от дачи согласия на обработку персональных данных. Проставление «галочки» под пользовательским соглашением со встроенным в него согласием на обработку здесь выступает обязательным условием для входа на сайт. В результате говорить об осознанном и добровольном согласии не приходится, поскольку компании-операторы обуславливают пользование сайтом обязательной дачей согласия на обработку персональных данных пользователей.
Более того, некоторые компании сейчас прописывают в своих документах условия, в соответствии с которыми посещение их сайта (конклюдентное действие) автоматически приравнивается к даче согласия на обработку и передачу персональных данных третьим лицам.
Чтобы пресечь подобную практику, принятый закон дополняет ч.1 ст.9 Федерального закона от 27.07.2006 №152-ФЗ новым требованием, по которому согласие на обработку персональных данных во всех случаях в обязательном порядке должно быть оформлено отдельно от любых иных документов, которые подписывает физлицо.
Соответственно, включить согласие на обработку персональных данных нельзя будет ни в текст договора на продажу товара (выполнения работ, оказания услуг), ни в текст пользовательского соглашения, ни в любой другой документ. Равным образом, дачей согласия не будет считаться и пользование сайтом, принадлежащим организации или ИП.
Новые требования коснутся только согласий на обработку персональных данных, оформляемых начиная с 1 сентября 2025 года. Все ранее оформленные до указанного моменты согласия сохранят свою силу и не потребуют переоформления.
Как оформить согласие на обработку персональных данных с 1 сентября 2025 года
С 1 сентября 2025 года согласие на обработку персональных данных компании могут получать только в виде отдельного письменного документа (в форме электронного документа), сформированного и подписанного независимо от договоров и иных соглашений, заключаемых с гражданами.
Никакой отдельной обязательной формы для такого согласия законодательством не предусмотрено. Компании вправе разработать форму такого согласия самостоятельно, но в документе нужно прописать все сведения, прямо указанные в ч. 4 ст.9 Федерального закона от 27.07.2006 №152-ФЗ.
Обязательные реквизиты согласия на обработку персональных данных (ч. 4 ст.9 Федерального закона от 27.07.2006 №152-ФЗ):
- ФИО физлица и его паспортные данные;
- наименование компании (ФИО ИП или самозанятого), получающего согласие на обработку персональных данных;
- цель обработки персональных данных;
- перечень сведений, на обработку которых дается согласие;
- перечень действий с персональными данными, на совершение которых дается согласие, а также общее описание используемых способов обработки персональных данных;
- срок, в течение которого действует согласие, а также способ его отзыва;
- подпись физлица.
Если компания планирует передавать персональные данные граждан третьим лицам, она наряду с общим согласием должна получить еще и согласие на передачу персональных данных конкретному третьему лицу под конкретную цель. Такое согласие также необходимо формировать в виде отдельного документа. Причем согласие на передачу персональных данных третьим лицам нельзя включить в текст основного согласия на обработку. Таким образом, перед распространением персональных данных компания должна получить от физлица сразу два отдельных документа: согласие на обработку персональных данных и согласие на передачу персональных данных (ч.1 ст.10.1 Федерального закона от 27.07.2006 №152-ФЗ).
В согласии на передачу персональных данных третьим лицам необходимо прописать, кому будут передаваться персональные данные физлица, цель, с которой данные будут передаваться, и действия, которые планируется совершать с персональными данными физлица в рамках их передачи третьим лицам. Также в согласии по требованию физлица необходимо перечислить обязательные условия предоставления данных третьим лицам и ограничения, при несоблюдении которых передача не допускается (приказ Роскомнадзора от 24.02.2021 №18).
Штрафы за нарушение новых правил
Если начиная с 1 сентября 2025 года организации и ИП проигнорируют новые правила, включая согласие на обработку персональных данных в тексты договоров и иных документов, подобное согласие не будет считаться полученным. Обработка персональных данных станет квалифицироваться как несогласованная, а компании-нарушители понесут административную ответственность по ч.2 ст.13.11 КоАП РФ (обработка персональных данных без согласия в письменной форме).
Данная норма предусматривает наложение штрафов в размере:
- от 10 000 до 15 000 рублей – для самозанятых;
- от 100 000 до 300 000 рублей – для индивидуальных предпринимателей;
- от 100 000 до 300 000 рублей – для должностных лиц организаций;
- от 300 000 до 700 000 рублей – для организаций.
Повторное нарушение увеличит штрафы до следующих размеров (ч.2.1 ст.13.11 КоАП РФ):
- от 15 000 до 30 000 рублей – для самозанятых;
- от 500 000 до 1 млн рублей – для индивидуальных предпринимателей;
- от 300 000 до 500 000 рублей – для должностных лиц организаций;
- от 1 млн до 1,5 млн рублей – для организаций.
- Как работать с персональными данными в 2025 году, чтобы не получить штраф Роскомнадзора
- Как компании разработать политику обработки персональных данных в 2025 году
- Подача уведомлений в Роскомнадзор: как заполнить, должны ли подавать самозанятые и будут ли штрафовать за нарушение сроков сдачи
- Подача уведомлений в Роскомнадзор и работа с персональными данными на сайтах компаний
В материале использованы фото: tadamichi, Miha Creative / Shutterstock / Fotodom.
А как оформлять согласие на передачу ПД? Тоже отдельным документом-согласием? Получается целая папка документов должна быть при заключении сделки?
Зарплатная терапия, Согласие на передачу персональных данных всегда оформляется в форме отдельного документа. Этим оно и отличается от общего согласия на обработку, которое по действующим правилам можно включать в текст договоров и пользовательских соглашения. Поэтому законодательные изменения на указанный вид согласий не повлияют. Они и до внесения поправок в закон должны были оформляться отдельным документом. Поэтому если планируется передача персональных данных, то требуется оформлять сразу два согласия. Первое - на обработку. Второе - на передачу.
Есть утвержденная форма согласия? Или можно в свободной форме подавать?
Надменный главбух, Утвержденной и обязательной к применению формы согласия на обработку персональных данных нет и в ближайшее время не предвидится. Компании вправе использовать свои собственные формы согласия, которые самостоятельно разработают с учетом особенностей своей деятельности. По закону согласие на обработку персональных данных может быть выражено в любой форме, позволяющей подтвердить факт его получения. Согласие должно быть конкретным, предметным, информированным, сознательным и однозначным. То есть, в согласии обязательно нужно прописать, какие именно данные вы собираетесь обрабатывать.
А как быть в ситуации, когда ИФНС запрашивает документы по контрагенту? По идее, контрагент должен мне дать письменное согласие на передачу ПД третьим лицам. А если контрагент откажется? ИФНС выставит мне штраф за непредоставление документов?
Алексей, В подобной ситуации оператор безусловно обязан предоставить в налоговую инспекцию персональные данные физлица по требованию налоговиков. Отказать в предоставлении таких данных со ссылкой на отсутствие у него согласия физлица на передачу персональных данных не получится. Независимо от наличия или отсутствия согласия операторы обязаны исполнять законные распоряжения государственных органов, в том числе и налоговых инспекций. В данной ситуации передача данных будет осуществляться на основании закона, а не на основании согласия. Нарушением это не считается.
Скажите а письменное согласие которое оформили при заключении договора можно как-то отозвать?
Прогрессивный бухгалтер, Конечно можно. Если человек ранее давал письменное согласие на обработку его персональных данных, то это не значит, что компания может обрабатывать его данные бесконечно долго. Человек в любой момент может отозвать это согласие обратившись в компанию с соответствующим запросом. Обработку его персональных данных должны прекратить сразу же после подачи такого запроса. То же самое касается и согласий на передачу персональных данных третьим лицам. Такое согласие тоже можно отозвать и аннулировать в любое время.
Прогрессивный бухгалтер, Тут надо учитывать, что сам по себе отзыв согласия на обработку персональных данных и их передачу третьим лицам еще не влечет прекращение такой обработки. Если человек ранее заключил договор, в рамках исполнения которого требуется обработка и передача его персональных данных, то компания в любом случае сможет продолжить обработку и передачу этих данных даже несмотря на отзыв согласия. Обработка и передача сведений в таких случаях смогут осуществляться вплоть до окончательного исполнения заключенного договора. Нарушением это не считается.
Cогласие на передачу персональных данных третьим лицам. Кого указывать, кому передаем - ФНС, СФР? И какие обязательные условия?