Как оформить согласие на обработку персональных данных с 1 сентября 2025: пошаговая инструкция для бизнеса

Согласие на обработку персональных данных — это добровольное разрешение физлица на действия с его данными (сбор, хранение, систематизация, передача, уничтожение и т. д.). Основные требования к Согласию сформулированы в ст. 9 закона от 27.07.2006 № 152-ФЗ.

С 1 сентября 2025 года изменились правила его оформления: это должен быть отдельный документ. Например, нельзя включать Согласие в текст трудового договора, политики конфиденциальности, пользовательского соглашения, политики обработки cookie и других соглашений. 

Цель изменений: сделать документ «видимым» для субъектов ПДн: посетителей сайтов, сотрудников, клиентов и др. Нововведение исключает ситуации, когда физлицо подписывает один документ или ставит одну «галочку» на сайте, а по факту соглашается с двумя документами. 

Специальный шаблон документа закон не устанавливает. Исходить следует из специфики деятельности оператора. Разберем основные этапы.

Изменения относятся к Согласиям, полученным с 1 сентября 2025 года. Если до этой даты согласия получены по всем правилам, то переделывать их не нужно.

Кроме того, с начала осени все виды согласий должны быть оформлены как самостоятельные документы:

1. Согласие на обработку персональных данных.

2. Согласие на распространение персональных данных. Подготовить этот вид документа можно в сервисе Роскомнадзора, потребуется подтвержденная учетная запись на «Госуслугах».  

3. Согласие на получение рекламно-информационных рассылок.

Например, нельзя включать Согласие на распространение в текст Согласия на обработку персональных данных.

Согласие на обработку ПДн может быть оформлено в письменной или электронной форме. Но в любом случае оно должно выражать свободное волеизъявление физлица на совершение действий с его данными.

От выбранной формы зависит способ подписания Согласия:

• Письменное (бумажное) согласие физлицо подписывает собственноручно.

• Электронное согласие может быть подписано по-разному: с помощью электронной подписи (ЭП), путем проставления «галочки» или нажатием кнопки «Соглашаюсь» на сайте. 

Закон определяет случаи, когда согласие обязательно нужно получать в письменной форме:

1. Размещение персональных данных в общедоступных источниках (ст. 8 закона № 152-ФЗ). 

Пример: компания включает ФИО, возраст, адрес, образование и другие сведения о работнике в общедоступный корпоративный справочник.

2. Обработка специальных категорий ПДн (п. 1 ч. 2 ст. 10 закона № 152-ФЗ).

Пример: оператор получает данные о национальности, вероисповедании, политических убеждениях, состоянии здоровья физлица.

3. Обработка биометрических ПДн (ч. 1 ст. 11 закона № 152-ФЗ).

Пример: организация использует для установления личности физлица его фото, видеоизображение или отпечатки пальцев. К биометрическим данным также относятся: ДНК, радужная оболочка глаз, образец голоса и другие уникальные физиологические особенности человека, которые используются для установления личности их владельца.

4. Передача ПДн работника третьим лицам (ст. 88 ТК).

Пример: организация передает персональные данные работника страховой компании для заключения договора ДМС.

В законодательстве нет конкретного шаблона для оформления документа, но есть перечень обязательных пунктов, которые следует указать в Согласии (ч. 4 ст. 9 закона № 152-ФЗ):

1. Персональные данные физлица или его представителя — ФИО, адрес, паспортные данные. Если действует представитель, то нужно подтвердить его полномочия — например, указать номер доверенности.

2. Сведения об операторе — наименование организации или ФИО ИП, адрес. Пример формулировки: «ООО БухКонсалт, адрес: г. Москва, Ленинградский проспект, д. 101, ОГРН [...], ИНН [...]».

3. Цель обработки — открытие в банке зарплатной карты, передача данных в страховую компанию для заключения договора ДМС и т. д.

4. Перечень персональных данных, которые разрешено обрабатывать с согласия их владельца — ФИО, дата рождения, пол, возраст, гражданство, семейное положение, состояние здоровья, ИНН, СНИЛС и др.

5. Сведения об уполномоченном лице, которое вправе обрабатывать ПДн по поручению оператора — ФИО, наименование, адрес.

6. Срок действия Согласия на обработку ПДн — не может быть неограниченным.

7. Способ отзыва.

8. Подпись физлица.

В Согласии нельзя использовать размытые формулировки. В таблице — несколько примеров:

Топ ошибок в работе с персональными данными, которые могут привести к многомиллионным штрафам

Проверьте, правильно ли ваша компания обрабатывает персональные данные

Заполните форму ниже, вышлем мануал вам на e-mail:

Имя^*

E-mail^*

Телефон^*

Отправить

Принимаю оферту и даю согласие на сбор персональных данных и их распространение

Если у вас нет сайта — пропустите этот шаг. 

Согласие на обработку ПДн должно быть выделено на сайте и иметь техническую возможность для его принятия как самостоятельного документа (а не в составе оферты, пользовательского соглашения и т. д.).

С 1 сентября 2025 года запрещены формулировки по типу: «Нажимая кнопку, вы принимаете условия Политики конфиденциальности». Обязательно должна быть ссылка на страницу с текстом согласия.

Как реализовать. Настройте отдельный чекбокс или кнопку с текстом согласия, чтобы пользователь мог поставить «галочку» или нажать «Согласен». Также необходимо создать отдельную страницу с Согласием на обработку ПДн и переводить пользователей на нее по ссылке. 

Условно документ можно разделить на несколько смысловых блоков:

1. «Шапка» — заполняются строки «От кого» и «Кому» дается согласие. 

2. Сведения о субъекте ПДн и операторе.

3. Перечень персональных данных и цели обработки.

4. Срок действия документа.

5. Дата и подпись физлица.

Пустой бланк Согласия работника на обработку ПДн.

Образец заполненного Согласия на обработку ПДн.

Образец Согласия на обработку ПДн для сайтов.

Обработка персональных данных без согласия физлица в письменной форме, в случаях предусмотренных законодательством (обработка биометрии, спецкатегорий и т.п.), влечет штрафы по ч. 2 и 2.1 ст. 13.11 КоАП:

В иных случаях обработки персональных данных без согласия, когда его получение необходимо по закону в простой (не в письменной) форме, нарушение квалифицируется по ч. 1 и 1.1 ст. 13.11 КоАП:

С 1 сентября 2025 года требования к Согласию на обработку персональных данных стали более строгими. За использование данных физлица без его согласия организацию могут наказать штрафом до 1,5 млн рублей.

Что нужно запомнить: 

1. Оформляйте документ отдельно от договоров оферт, пользовательских соглашений, политики конфиденциальности, других видов согласий (на распространение, рекламно-информационные рассылки).

2. В Согласии на обработку указывайте обязательные разделы в соответствии с ч. 4 ст. 9 закона № 152-ФЗ: данные субъекта ПДн и оператора, цели обработки, перечень данных, срок действия согласия.

3. Запрашивайте только те данные, которые нужны для обработки. Например, для доставки заказа нужны ФИО и адрес, а вот получать в этом случае серию и номер паспорта будет избыточно.

4. Получить согласие можно в письменной или простой форме. В отдельных случаях закон обязывает получать согласие только на бумаге: обработка специальных и биометрических ПДн, размещение данных в общедоступных источниках (ст. 8, 10 и 11 закона № 152-ФЗ) или передача персональных данных работников третьим лицам (ст. 88 ТК). 

5. Четко выделите на сайте форму Согласия: это может быть чек-бокс, отдельная кнопка обязательно со ссылкой на страницу с текстом документа.

Многие операторы персональных данных думают, что работают правильно, пока не получают первое предписание от Роскомнадзора. Специалисты «Центра безопасности данных» помогают бизнесу соблюдать закон № 152-ФЗ и законно избегать штрафов. Вы можете заказать как отдельную услугу — например, подготовку полного пакета документов — так и полный комплекс услуг по защите ПДн «под ключ».

Услуги по приведению в соответствие обработки персональных данных

Подробнее

Реклама: ООО ЦЕНТР БЕЗОПАСНОСТИ ДАННЫХ «АЙДЕКО», ИНН 6324020784, erid: 2W5zFJodKQc