Новые требования к согласию на обработку персональных данных
Главное новшество — изменился порядок получения согласия от субъектов персональных данных. Раньше компании часто «прятали» согласие в текст договоров, анкет или пользовательских соглашений. Теперь такой подход запрещен. Согласие на обработку персональных данных должно оформляться отдельным документом, а не частью других документов или действий.
Начиная с 1 сентября недопустимо:
❌ Включать согласие «мелким шрифтом» в конец договора, оферты или иной формы. Субъект ПД должен ясно видеть, что именно он подписывает.
❌ Требовать согласие по умолчанию для доступа к сервису. Нельзя лишать клиента услуг или функционала сайта, если он не поставил галочку о согласии. Консенсус должен быть действительно добровольным.
❌ Объединять разные согласия в одном тексте. Например, нельзя одним махом получить согласие на обработку данных, на рассылку рекламы и на передачу данных партнерам — каждое должно оформляться отдельно.
Такие практики признаны нарушением, потому что не обеспечивают достаточной информированности и свободы волеизъявления субъекта данных. Цель новых требований — сделать получение согласия прозрачным: человек должен осознанно, отдельно от других условий, разрешать обработку своих данных.
Что должно содержаться в новом согласии
Если раньше форма согласия была произвольной, то теперь закон четко определяет обязательные элементы этого документа. В согласии на обработку ПД необходимо указать:
Данные субъекта: ФИО, адрес, а также реквизиты документа, удостоверяющего личность.
Данные представителя (если действует представитель субъекта).
Информацию об операторе: наименование компании (или ФИО ИП) и ее юридический адрес.
Цель обработки персональных данных — зачем вы собираете эти данные.
Перечень данных, которые будете собирать и использовать.
Действия с данными: что будете делать с ПД (сбор, хранение, передача и т.д.).
Способы обработки: каким образом данные обрабатываются (автоматизированно или нет, и пр.).
Срок действия согласия и порядок его отзыва.
Третьи лица, которым будут передаваться данные (если планируется передача).
Подпись субъекта персональных данных (в электронной форме — электронная отметка, аналог подписи).
Обратите внимание: для специальных категорий ПД (здоровье, биометрия, судимости, религия и т.п.) согласие теперь обязательно требуется в письменной форме на бумаге с подписью. А если вы передаете данные третьим сторонам (например, курьерским службам, колл-центрам), нужно получать отдельное согласие на передачу данных каждому указанному получателю.
Штрафы Роскомнадзора: за что накажут и сколько придется заплатить
За несоблюдение новых правил предусмотрена строгая административная ответственность. Например, если компания продолжит использовать старые формы согласия или нарушит порядок их получения, ей грозит штраф до 700 тыс. руб. (по ст. 13.11 КоАП). Должностные лица (руководители) за то же нарушение могут заплатить до 300 тыс. руб. При повторном нарушении штрафы вырастут вплоть до 1,5 млн руб. для организации.
Но «согласием» изменения не ограничиваются — с мая 2025 усилены санкции и по другим аспектам защиты данных. Так, сейчас обязательно подавать уведомление в Роскомнадзор о начале обработки персональных данных заранее, до того как вы начали собирать данные, и уведомлять о случаях утечки. За отсутствие такой регистрации теперь штрафуют на 100–300 тыс. руб., а за сокрытие факта утечки данных — на 1–3 млн руб.
Максимальные санкции возросли многократно. За крупные утечки данных закон предусматривает оборотные штрафы в процентах от выручки — суммы могут исчисляться десятками и даже сотнями миллионов рублей. В особо тяжелых случаях (например, умышленная продажа персональных данных) возможна и уголовная ответственность — вплоть до лишения свободы на 8 лет.
Проще говоря, требования Роскомнадзора теперь нельзя игнорировать. Цена ошибки сильно возросла. Неправильно оформленное согласие «на автомате» сулит штраф в сотни тысяч, а комплексные нарушения безопасности данных — миллионы рублей штрафов или даже приостановку бизнеса.
Что делать бизнесу: подготовка документов и другие меры
Как же предпринимателю исполнить новые требования и избежать наказаний? Вот чек-лист ключевых шагов для защиты своего бизнеса:
✅ Аудит персональных данных. Проведите внутреннюю проверку: какие персональные данные вы собираете, как они хранятся и обрабатываются. Выявите слабые места. Это своего рода юридический и технический аудит сайта и бизнес-процессов на соответствие закону №152-ФЗ.
✅ Обновление документов по 152-ФЗ. Приведите всю документацию в порядок. Необходимо подготовить полный пакет документов по требованиям закона о персональных данных: политика обработки ПД, положения о защите данных, актуальные формы согласий, договоры с сотрудниками и контрагентами о неразглашении, приказы о назначении ответственных и т.д. В среднем требуется более 50–60 документов, поэтому подготовка документов по ФЗ-152 — задачка не из простых.
✅ Отдельные согласия. Разработайте новые бланки согласия на обработку данных под каждую цель. Например, отдельно — на обработку данных клиентов сайта, отдельно — на рассылку рекламы, отдельно — на передачу данных партнерам. Распечатайте бланки или настройте электронные формы на сайте в соответствии с новыми требованиями.
✅ Регистрация в Роскомнадзоре. Если вы еще не отправили уведомление об обработке персональных данных — сделайте это немедленно. Процедура уведомления теперь обязательна для всех, кто работает с данными, и за неподачу грозит штраф. Лучше выполнить требования заранее, чем потом платить сотни тысяч рублей штрафа.
✅ Обезличивание данных. Проверьте, сможете ли вы при необходимости быстро обезличить персональные данные пользователей. Новые правила требуют в ряде случаев передавать обезличенные данные в государственную информационную систему (ГИС). Убедитесь, что у вас настроены инструменты обезличивания (например, маскировка или шифрование данных), чтобы при запросе регулятора вы смогли выгрузить информацию без идентификации конкретных лиц.
✅ Обучение сотрудников. Проведите инструктаж или обучение для персонала, который работает с данными. Все ответственные лица должны знать новые правила: как правильно получать согласие, что можно и нельзя делать с персональными данными, как реагировать на запросы клиентов по удалению данных и т.д. Человеческий фактор часто становится причиной утечек, поэтому обучение — важная мера профилактики.
Если же Роскомнадзор уже направил вам предписание об устранении нарушений, действовать надо без промедления. Обычно дается короткий срок (30–90 дней) на исправление. Необходимо ответить на предписания Роскомнадзора вовремя: устранить указанные нарушения и отправить отчет об исполнении. Игнорировать предписание нельзя — за невыполнение требований в срок компании грозит отдельный штраф или даже приостановка деятельности.
Что делать, если не хватает времени или экспертизы? Можно обратиться к профессионалам по защите данных.

В итоге, новые правила обработки персональных данных уже вступили в силу, и каждому предпринимателю важно убедиться, что его бизнес им соответствует. Потратьте время на приведение процессов в порядок сейчас — это гораздо дешевле и спокойнее, чем разбираться с последствиями проверок Роскомнадзора и многотысячными штрафами.
В итоге, новые правила обработки персональных данных уже вступили в силу, и каждому предпринимателю важно убедиться, что его бизнес им соответствует. Потратьте время на приведение процессов в порядок сейчас — это гораздо дешевле и спокойнее, чем разбираться с последствиями проверок Роскомнадзора и многотысячными штрафами.
