Важные изменения для бизнеса: согласие на обработку ПДн должно быть выделено в самостоятельный документ

24 июня 2025 г. подписан Федеральный закон от 24.06.2025 № 156-ФЗ, вносящий системные изменения в Федеральный закон «О персональных данных» от 27.07.2006 № 152-ФЗ (далее - ФЗ №152):

1) Запрет на совмещение

Запрещено включать согласие на обработку ПД в текст договора оказания услуг, трудового договора, заявления или иного документа, подписываемого субъектом ПД, даже в виде отдельного пункта или приложения внутри этого документа. Требуется оформлять отдельный документ «Согласие на обработку персональных данных».

Такая практика не поощрялась и ранее. Новый закон направлен на то, чтобы привести правоприменительную практику к единообразию.

Помимо требования об отдельности, критически важно, чтобы само согласие соответствовало всем требованиям ст. 9 152-ФЗ и Приказа Роскомнадзора от 24.02.2021 № 18, включая:

• конкретность, предметность, информированность, сознательность и однозначность;
• чёткое указание цели обработки;
• категории и перечень персональных данных;
• перечень конкретных действий с данными;
• срок действия (условие окончания) и способ отзыва.

1. Пересмотрите все согласия на обработку ПД, получаемые в рамках договоров и соглашений (клиентских, трудовых, партнерских, пользовательских). Они должны быть вынесены в самостоятельный документ. Даже отдельный подписываемый блок внутри договора теперь несет существенные риски. Это касается и согласий на маркетинг, аналитику, биометрию и т.д.

2. Онлайн-интерфейсы (сайты, мобильные приложения)

• Обязательно предусмотреть отдельный элемент интерфейса (чек-бокс, кнопка подтверждения) для согласия на обработку ПД, не связанный с принятием оферты или политики конфиденциальности.
• Текст согласия должен быть непосредственно виден субъекту ПД до подтверждения (например, во всплывающем окне, в развернутом блоке), либо представлен в виде отдельного, явно обозначенного документа (ссылкой с четким названием). Ссылка с текстом "согласен с политикой обработки ПД" недостаточна – согласие должно быть явным и отдельным.
• Cookie-баннеры: Согласие на использование cookies (признаваемых ПД) также должно быть оформлено отдельно от других условий. Объединение в одном баннере согласия на cookies и принятия пользовательского соглашения нарушает закон.

3. Прочие формы взаимодействия
Заявления клиентов/сотрудников, анкеты, регистрационные формы и любые документы, где ранее могло содержаться согласие на обработку ПД, - тоже требуют пересмотра.

Игнорирование требований об отдельном оформлении согласия на обработку ПД с 1 сентября 2025 года создает существенные юридические, финансовые и репутационные риски. Ключевые последствия:

1) Отсутствие согласия
Согласие, оформленное с нарушением требования об отдельности, может квалифицироваться в соответствии с ч.1 или ч. 2 ст. 13.11 КоАП РФ и повлечь штрафы для юридических лиц в размере от 150 до 300 тыс. руб. или от 300 до 700 тыс. руб.

Напоминаем, с 30 мая 2025 штрафы по ст. 13.11 КоАП РФ существенно увеличены. Повторные нарушения, связанные с некорректным получением согласия, могут привести к штрафам для юрлиц до 1,5 млн руб.

2) Иски субъектов ПД

Субъекты ПД (клиенты, сотрудники, партнеры, пользователи) вправе требовать:

• прекращения незаконной обработки их данных;
• уничтожения незаконно полученных или обрабатываемых ПД;
• возмещения убытков (если доказан прямой причиненный ущерб);
• компенсации морального вреда (размер определяется судом, практика показывает суммы от десятков тысяч до 500 000+ рублей в резонансных случаях).

Возможны коллективные иски, особенно со стороны потребителей или сотрудников.

3) Претензии и санкции от регулирующих органов: Роскомнадзор, ФАС России, Роспотребнадзор, Центральный Банк РФ, Государственная инспекция труда.

4) Репутационные риски
Инциденты с незаконной обработкой ПД, штрафы и судебные разбирательства серьезно подрывают доверие клиентов, партнеров и инвесторов. Бизнес рискует столкнуться с негативным освещением события в СМИ и потерей деловой репутации.

• пересмотреть документооборот;
• разработать отдельные бланки согласий для всех бизнес-процессов (клиенты, сотрудники, партнеры);
• обновить политику обработки ПД;
• прописать конкретные цели обработки для каждой категории данных;
• обучить сотрудников.

Требование об отдельном согласии – не формальность, а условие легальности ваших операций с ПД. Юристы ЦПО групп проведут аудит вашего документооборота и digital-процессов, разработают защищенные от претензий регуляторов шаблоны и внедрят решения, исключающие риски