152-ФЗ – Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»
ПДн – персональные данные
С 01.09.2025 произошли изменения в работе с персональными данными. Федеральным законом от 24.06.2025 № 156-ФЗ внесены изменения в ч. 1 ст. 9 152-ФЗ. Закреплено положение о том, что согласие на обработку ПДн должно быть оформлено отдельно от иных информации и (или) документов, которые подтверждает и (или) подписывает субъект ПДн. Зачем введены новые требования, что они означают, и как правильно оформлять согласия с 01.09.2025, разберем в сегодняшней статье.
Зачем нужны изменения в работе с согласиями?
Прежде всего, изменения нужны для того, чтобы граждане могли более осознанно подойти к даче согласия на обработку персональных данных. При этом они могли сделать это в максимально доступной и очевидной форме.
На необходимость изменений повлияла такая негативная практика, как включение согласия в текст договора, пользовательского соглашения, регламента или иных документов, которые гражданин подписывает или принимает их одним нажатием кнопки, «онлайн». В результате среди большого объема иных сведений акцент с согласия на обработку ПДн смещается. Оно попросту «теряется», и условия обработки ПДн становятся неочевидными. При этом из-за большого объема сведений гражданину сложно ориентироваться в документах. В итоге согласие порой так и остается не прочитано или прочитано вскользь, без осознания его сути. Вместе с тем такое согласие, «вшитое» в договор, зачастую содержит согласие и на передачу ПДн третьим лицам, и на рекламную рассылку, и на множество других дополнительных услуг.
Неправильным использованием согласия является также ситуация, когда субъекту ПДн не предоставляется возможности отказаться от дачи согласия полностью или частично. Например, когда сам факт посещения сайта (конклюдентное действие) автоматически приравнивается к даче согласия. При этом согласие может включать и передачу ПДн третьим лицам. Кроме того, это происходит, когда без проставления «галочки» о согласии нельзя пользоваться функционалом сайта или отправить сообщение оператору. Причем даже в тех случаях, когда согласие не нужно в силу наличия других правовых оснований (договор, требование закона, законный интерес и тд).
Таким образом, данные ситуации подчеркивают, чего нельзя делать с 01.09.2025. И от какой практики получения согласия на обработку ПДн пора отказаться.
Разберем несколько примеров:
1. При подписании трудового договора с сотрудником, одним из его пунктов прописано, что работник согласен на обработку его ПДн работодателем, в том числе, разрешает использовать предоставленные им ПДн для распространения на сайте компании.
Как мы уже понимаем, включение согласия в текст договора нарушает права субъекта ПДн. Однако распространение на сайте ПДн работника никак не связано с трудоустройством и исполнением трудового договора. В результате это излишняя обработка и не дает права на распространение ПДн. Поэтому для распространения ПДн нужно получить от работника отдельное согласие по ст. 10.1 152-ФЗ и Приказу РКН № 18 (или обеспечить иное правовое основание). Если этого нет, а ПДн Вы распространили (например, опубликовали их на сайте) – это будет нарушением по ч. 1 ст. 13.11 КоАП РФ (штраф на ЮЛ до 300 тыс. руб.).
Теперь представим, что ситуация такая же, но при этом на Вас в силу закона лежит обязанность опубликовать ряд ПДн о сотрудниках на сайте (например, в отношении педагогических работников). Да, включать в трудовой договор согласие на распространение – все также неправильно, поскольку это ущемляет права работника как субъекта ПДн. И с 01.09.2025 нарушает положения ч. 1 ст. 9 152-ФЗ. Вместе с тем, правовые основания для распространения у Вас есть – это законодательство в сфере образования, которое предписывает Вам ПДн публиковать на сайте в определенном объеме. Поэтому за факт распространения ПДн, предусмотренных законом, Вас не накажут.
2. При заключении договора в него включено положение о том, что «подписывая настоящий Договор, я даю согласие на обработку ПДн в целях его исполнения».
Аналогично, как и первый пример, такая конструкция будет нарушением прав субъекта ПДн. Почему?
В силу п. 5 ч. 1 ст. 6 152-ФЗ «Заключаемый с субъектом персональных данных договор не может содержать положения, ограничивающие права и свободы субъекта персональных данных…»
Условия договора требуют согласования и признания их обеими (или более) сторонами. А согласие на обработку ПДн — волеизъявление одной стороны – субъекта ПДн. Он самостоятельно принимает решение о даче или отзыве согласия. Поэтому, включая согласие в договор, Вы лишаете субъекта права распоряжаться своим согласием и нарушаете условия обработки ПДн.
Кроме того, приведённое в примере согласие бесполезно, потому что, во-первых, оно не несет никакой конкретики, предметности и однозначности. Во-вторых, при этом такое согласие никак не поможет Вам в ситуации, если, например, Вы начнете обрабатывать ПДн этого клиента для осуществления информационной/рекламной рассылки или передадите ПДн третьему лицу в маркетинговых целях. При этом эти вопросы согласие не покрывает, так как они не относятся к цели исполнения договора.
В-третьих, в связи с этим возникает вопрос «А для чего оно изначально нужно?». Ведь для исполнения договора согласие не требуется (п. 5 ч. 1 ст. 6 152-ФЗ). Если субъект откажется от подписания согласия, то, тем не менее, оказать услугу, продать товар или выполнить работы по договору Вы все равно обязаны. Таким образом, в таком случае обработка персональных данных будет производиться не на основании согласия, а на основании заключенного договора.
Рекомендуем пересмотреть работу с согласиями и разобраться, какие согласия на обработку персональных данных вам действительно нужны. А поможет Вам в этом ряд наших статей о согласиях:
Согласия на обработку персональных данных – как правильно оформить и избежать типовых ошибок
Какие Согласия на обработку персональных данных вам действительно нужны. Практическое руководство
Тезисы семинара с представителем Роскомнадзора
3. При реализации на сайте форм обратной связи, иногда встречаем ситуации, что под такой формой размещается чек-бокс, проставление «галочки» в котором свидетельствует о согласии на обработку ПДн, согласии с условиями предоставления услуг и еще несколькими документами одновременно.
Также встречаются ситуации, когда факт регистрации на сайте оператор позиционирует, как дачу согласия. Например, такая формулировка «При входе или регистрации вы даете согласие на обработку ПДн и подтверждаете ознакомление и согласие с правилами предоставления услуг, пользовательский соглашением и политикой конфиденциальности» сомнительна. А с 01.09.2025 уже прямо запрещена законом.
Может ли неисполнение новых требований повлечь привлечение к административной ответственности в сфере ПДн?
Если согласие в конкретной ситуации было необходимо, но при этом оно будет оформлено неправильно, с нарушением положений 152-ФЗ, то это могут расценить как отсутствие надлежащего согласия. Соответственно, в таком случае это может подпадать под ч. 1 или ч. 2 ст. 13.11 КоАП РФ (в зависимости от того, какой формы согласия требовала ситуация).
ч. 1 ст. 13.11 КоАП РФ — влечет наложение административного штрафа на граждан в размере от десяти тысяч до пятнадцати тысяч рублей; на должностных лиц — от пятидесяти тысяч до ста тысяч рублей; на юридических лиц — от ста пятидесяти тысяч до трехсот тысяч рублей;
ч. 2 ст. 13.11 КоАП РФ — влечет наложение административного штрафа на граждан в размере от десяти тысяч до пятнадцати тысяч рублей; на должностных лиц — от ста тысяч до трехсот тысяч рублей; на юридических лиц — от трехсот тысяч до семисот тысяч рублей.
При этом за повторные нарушения – штрафы значительно выше.
Отдельно отметим, что практика выявления и признания нарушением факта включения согласия на обработку ПДн в договор далеко не новая. Она сложилась уже несколько лет назад в сфере защиты прав потребителей.
Приведем несколько примеров:
1. В 2020 году Арбитражный суд города Санкт-Петербурга и Ленинградской области установил, что, проставляя одну подпись в документе (договоре), лицо подтверждает факт согласия с условиями договора, что не может одновременно считаться предоставлением согласия на обработку персональных данных. Данные положения были признаны судом как нарушающие права потребителя (Решение Арбитражного суда города Санкт-Петербурга и Ленинградской области от 30.07.2020 по делу № А56-25130/2020; Постановление Тринадцатого арбитражного апелляционного суда от 25.11.2020 № 13АП-21818/2020, 13АП-22245/2020 по делу № А56-25130/2020).
2. В 2022 газоснабжающая организация привлечена к административной ответственности по ч. 2 ст. 14.8 КоАП РФ. Между организацией и гражданином посредством подписания акта сдачи-приемки выполненных работ был заключен договор о техническом обслуживании и ремонте внутридомового и (или) внутриквартирного газового оборудования.
Ущемляющим права потребителя Роспотребнадзор посчитал включение в акт сдачи-приемки выполненных работ положения об автоматическом согласии на обработку персональных данных заказчика. Это предусматривало также выражение его согласия на распространение о нем сведений конфиденциального характера. Такое согласие выражалось путем подписания договора.
Решением Арбитражного суда Свердловской области от 25.07.2022 по делу № А60-27757/2022, оставленным без изменения постановлением Арбитражного суда Уральского округа от 23.01.2023, постановление Роспотребнадзора о привлечении газоснабжающей организации к административной ответственности по ч. 2 ст. 14.8 КоАП РФ признано законным.
Итак, согласие всегда должно быть отдельным документом, оформленным на отдельном материальном носителе. И исходя из сложившейся практики мы уже давно этого подхода придерживаемся.
И в завершение — несколько заблуждений относительно новых требований:
1. С 01.09.2025 введена единая новая форма согласия на обработку ПДн.
При этом никакой единой, новой и обязательной формы для согласия законодательством не устанавливается. Изменения касаются только оформления согласий отдельно от других документов. Например, не включать согласие на рассылку в договор с клиентом. Или не включать в трудовой договор согласие на публикацию фото сотрудника на сайте.
Требования к формам согласия также не изменились: в зависимости от ситуации, для которой оформляется согласие, оно может быть в письменной форме (ч. 4 ст. 9 152-ФЗ), в форме, применяемой для распространения ПДн (ст. 10.1 152-ФЗ, Приказ РКН № 18), в свободной форме по общим правилам ч. 1 ст. 9 152-ФЗ (конкретное, информированное, предметное и т.д.).
Когда мы разрабатывали Конструктор согласия в сервисе 152DOC, мы придерживались именно такого подхода. Пользователю не предлагаются шаблоны и образцы каких-то общих, единых согласий. Ему дается возможность разработать согласие конкретно под его запрос, под ту ситуацию, на которую планируется получить согласие. Тем самым исключается некорректное и неправильное формирование документа. Он становится индивидуальным и наполнен спецификой обработки ПДн конкретным оператором.
2. С 01.09.2025 обязательно и всегда необходимо получать согласие на обработку ПДн, без него теперь не обойтись ни при каких условиях.
Относительно условий обработки ПДн принципиально ничего не изменилось. Если есть иные правовые основания для обработки данных – согласие не нужно.
Если согласие действительно необходимо (иных оснований для обработки нет), то оно должно быть оформлено отдельным документом.
3. Нужно срочно переделать все ранее полученные согласия на обработку ПДн.
Новые требования касаются только тех согласий, которые оформляются начиная с 01.09.2025. Согласия, полученные ранее сохранят свою силу и не требуют переоформления.