Согласие на обработку персональных данных
Согласие на обработку персональных данных с 01.09.2025

Роскомнадзор уделяет особое внимание согласию на обработку персональных данных при проверках не только документов, но и сайтов.. Рассказываем, как правильно оформить согласие и не налететь на штрафы.

1. Правовое основание на обработку персональных данных

Общее правило: все действия с персональными данными (ПДн) физлиц разрешается выполнять только с их добровольного согласия (п. 1 ч. 1 ст. 6 закона от 27.07.2006 № 152-ФЗ).

В процедуре получения согласия участвуют две стороны: оператор и субъект персональных данных:

  1. Оператор ПДн — это ИП, организации, физлица, самозанятые, которые для достижения целей обработки данных собирают информацию о гражданах (для доставки товара, выполнения заказа, передачи данных третьим лицам).

  2. Субъект ПДн — физлицо, владелец данных, по которым можно установить его личность (клиенты, посетители сайтов, пациенты, сотрудники).

Согласие на обработку персональных данных (ст. 9 закона № 152-ФЗ) — это свободное волеизъявление физлица на использование сведений о нем (сбор, хранение, обработка, передача, уничтожение). Согласие — это правовое основание на использование персональных данных физлиц.

2. Что изменилось с 1 сентября 2025 

С начала осени 2025 года вступили в силу изменения в ст. 9 закона № 152-ФЗ. С 1 сентября согласие нужно оформлять только в виде самостоятельного документа. Его нельзя включать в другие документы:

  • трудовые договоры, ГПД;

  • пользовательские соглашения, политики обработки cookies, политики конфиденциальности, заявления, оферты;

  • иные договоры и соглашения.

Кроме того, запрещено «смешивать» в одном документе несколько видов согласий. Например, в основное согласие нельзя добавить согласие на распространение ПДн или получение рекламно-информационных рассылок (ст. 10.1 закона № 152-ФЗ).

Например, раньше операторы могли «прятать» согласие в пользовательское соглашение. Посетитель заходил на сайт и видел примерно такой текст: «Нажимая кнопку, вы принимаете условия настоящего соглашения и даете согласие на обработку персональных данных». Фактически человек кликал по кнопке и одним действием подтверждал два документа. 

С 1 сентября 2025 года такие ситуации недопустимы. Согласие должно быть выделено в обособленный документ и подписано владельцем данных отдельно от других документов.   

3. Как оформить согласие на обработку персональных данных

Законодательные изменения внесли корректировки в процедуру подготовки согласия. Специального шаблона документа в НПА нет, но следует придерживаться обязательных правил.

Шаг 1. Укажите обязательные разделы

  1. Данные оператора ПДн — наименование организации, ИНН, ОГРН, ФИО ИП, адрес.

  2. Данные субъекта ПДн — ФИО, адрес, электронная почта, номер телефона.

  3. Цель и правовые основания обработки персональных данных.

  4. Перечень данных, которые физлицо передает оператору.

  5. Действия с данными.

  6. Сроки действия согласия.

  7. Порядок отзыва.  

  8. Подпись физлица.

Шаг 2. Выберите форму согласия

Получить согласие можно на бумаге или в электронной форме. Независимо от выбранной формы владелец данных должен подтвердить свое добровольное согласие на предоставление оператору данных о себе:

  • Поставить «живую» подпись на бумажной версии документа.

  • Подписать УКЭП электронную форму. Согласно ч. 1 ст. 6 закона от 06.04.2011 электронная подпись имеет юридическую силу, равно как и собственноручная подпись.

  • Выполнить действие на сайте — нажать кнопку или поставить «галочку» в чекбоксе. 

В некоторых случаях оператор не может выбирать форму согласия. Например, согласие на обработку специальных или биометрических персональных данных нужно получать только в письменном виде. Согласие также оформляется на бумаге, если оператор размещает данные в общедоступных источниках — допустим, ФИО, возраст, стаж, образование работника в корпоративном справочнике.

Основание — ст. 8, п. 1 ч. 2 ст. 10, ч. 1 ст. 11 закона № 152-ФЗ.

Шаг 3. Выделите согласие на сайте

Яндекс. Метрика, виджеты мессенджеров, формы заказов, формы обратного звонка — эти и некоторые другие элементы на сайтах собирают данные о посетителях (IP, геолокацию, email, имя и т.д.). 

При входе на сайт пользователь должен дать согласие на обработку своих данных (или отказаться). Поэтому нельзя «прятать» согласие на странице, использовать мелкий шрифт, включать согласие в текст пользовательского соглашения, политики конфиденциальности или политики обработки cookie.

Есть несколько способов выделить согласие на сайте:

  1. Использовать отдельный чекбокс, чтобы у пользователя была возможность проставить «галочку».

  2. Добавить на сайт кнопку «Соглашаюсь» с текстом согласия: «Я даю согласие на обработку персональных данных в соответствии с Политикой конфиденциальности».   

  3. Сразу при входе на сайт дать посетителю ссылку на отдельную страницу с текстом согласия. Предварительно нужно создать страницу и загрузить на нее документ.   

Согласие на сайте должно быть «видимым» для посетителей и иметь техническую возможность для его подтверждения. Кроме того, оно не может быть скрыто в офертах, других договорах и соглашениях. 

Согласие на сайте должно быть «видимым» для посетителей и иметь техническую возможность для его подтверждения. Кроме того, оно не может быть скрыто в офертах, других договорах и соглашениях.   

4. Как заполнить согласие на обработку ПДн

Форма согласия на обработку персональных данных включает минимум обязательных разделов. Правила заполнения:

  1. ФИО физлица указываются полностью, без инициалов. Если действует представитель — вписываются его данные.   

  2. Цель обработки должна быть конкретной, например: «ведение кадрового учета».

  3. Если оператор передает данные сторонней организации (например, бухгалтерии на аутсорсе), нужно указать ее реквизиты. Если нет — ставится прочерк.

  4. Способы обработки — автоматизированные (через CRM, базы данных) или без использования автоматизации (бумажные носители).

  5. Срок действия согласия — например, «5 (пять) лет с даты подписания согласия» или «до дня отзыва в письменной форме».

Пример заполнения согласия сотрудником организации
Пример заполненного согласия посетителем сайта

5. Принципы составления согласия на обработку ПДн

Принципы согласия как правового основания для обработки ПДн определены в ч. 1 ст. 9 закона № 152-ФЗ:

Принцип согласия

Что это значит

Примеры формулировок

Конкретное

Под определенную задачу и цели

«Согласен на обработку моих данных в соответствии с целями оператора персональных данных»

«Согласен на обработку моих данных для заключения и исполнения договора аренды офиса»

Предметное

Четко указаны данные для обработки

«Разрешаю использовать мои данные»

«Разрешаю использовать фамилию, имя, отчество, номер телефона, адрес электронной почты»

Информирующее

Физлицо понимает, кто будет работать с его данными, где они будут храниться и зачем

«Я согласен с действиями в отношении обработки моих персональных данных» 

«Согласие предоставляется ООО «Альфа-Бизнес», адрес: Москва, ул. Примерная, д. 1, для хранения и использования контактных данных с целью информирования о статусе заказа»

Свободное

Добровольное, без принуждения

«Заключение договора возможно только при условии подписания согласия на обработку персональных данных без возможности отказа»

«Я добровольно предоставляю свои паспортные данные для оформления зарплатной карты»

Однозначное

Выражено ясно — без скрытых формулировок и двойного толкования

Используя сайт, вы автоматически даете согласие на обработку персональных данных»

«Согласен на обработку персональных данных для регистрации на сайте» + отдельный документ или «галочка» в форме 

Операторы должны получить согласие на обработку до начала сбора персональных данных. 

6. Штрафы за отсутствие согласия на обработку персданных

Штрафы по ст. 13.11 КоАП, в том числе за обработку персональных данных без согласия их владельца, выросли с 30 мая 2025 года. 

На граждан

На должностных лиц

На ИП

На организации

Первичное нарушение, руб. (ч. 2 ст. 13.11 КоАП)

10 000 — 15 000

100 000 — 300 000

300 000 — 700 000

300 000 — 700 000

Повторное нарушение, руб. (ч. 2.1 ст. 13.11 КоАП)

15 000 — 30 000

300 000 — 500 000

500 000 — 1 000 000

1 000 000 — 1 500 000

Как законно избежать штрафов?

Роскомнадзор проверяет операторов на наличие полного пакета документов. Поводом для проверок может стать жалоба клиента, публикация в СМИ, внеплановая проверка. 

Как выстроить процесс, чтобы ни у контролирующих органов, ни у клиентов, сотрудников не возникало вопросов:

  1. С 1 сентября 2025 года оформляйте согласия на обработку как отдельный документ — обособленно от договоров, соглашений, других видов согласий.

  2. Четко прописывайте цели и перечень персональных данных.

  3. Соблюдайте сроки действия согласия и порядок отзыва.

  4. Используйте правильные формы подтверждения на сайте: кнопка «Соглашаюсь», чекбокс, отдельная страница с согласием.

  5. Храните доказательства получения согласия: бумажные — в личных делах сотрудников, электронные — в журнале учета.

  6. Обучите ответственных сотрудников правилам получения согласий и работе с обращениями граждан.

  7. Проводите регулярный аудит документации. 

7. Нужно ли менять согласия, полученные до 1 сентября 2025 года? 

Если они составлены по всем правилам, то переоформлять согласия не придется. Проверьте договоры, соглашения и остальные документы на наличие «скрытых» согласий.

Работаете с персональными данными физлиц или только планируете? Подготовка полного комплекта документов — это только один шаг к соблюдению законодательных норм. Еще нужно подать уведомление в Роскомнадзор (если вы еще это не сделали), провести аудит деятельности организации на соответствие закону № 152-ФЗ, назначить ответственных, обучить сотрудников. 

«Роском Онлайн» помогает на всех этапах в области обработки персональных данных — малому бизнесу, юрлицам, владельцам сайтов, самозанятым. Вы можете заказать как отдельную услугу — например, разработать политику конфиденциальности, так и получить комплексную помощь «под ключ».     

