Важные изменения для бизнеса: согласие на обработку ПДн должно быть выделено в самостоятельный документ

С 1 сентября 2025 года будет запрещено получать согласие на обработку персональных данных в любых иных документах (информационных сообщениях). Нарушение грозит ничтожностью согласия и крупными штрафами
1
Законодательство
24 июня 2025 г. подписан Федеральный закон от 24.06.2025 № 156-ФЗ, вносящий системные изменения в Федеральный закон «О персональных данных» от 27.07.2006 № 152-ФЗ (далее - ФЗ №152):
«Согласие на обработку персональных данных должно быть оформлено отдельно от иных информации и (или) документов, которые подтверждает и (или) подписывает субъект персональных данных» (дополнения в ч. 1 ст. 9 ФЗ № 152).
2
Ключевые изменения
1) Запрет на совмещение

Запрещено включать согласие на обработку ПД в текст договора оказания услуг, трудового договора, заявления или иного документа, подписываемого субъектом ПД, даже в виде отдельного пункта или приложения внутри этого документа. Требуется оформлять отдельный документ «Согласие на обработку персональных данных».

Такая практика не поощрялась и ранее. Новый закон направлен на то, чтобы привести правоприменительную практику к единообразию.

Помимо требования об отдельности, критически важно, чтобы само согласие соответствовало всем требованиям ст. 9 152-ФЗ и Приказа Роскомнадзора от 24.02.2021 № 18, включая:
  • конкретность, предметность, информированность, сознательность и однозначность;
  • чёткое указание цели обработки;
  • категории и перечень персональных данных;
  • перечень конкретных действий с данными;
  • срок действия (условие окончания) и способ отзыва.
2) Получение согласия на обработку ПД и усиление информированности

Практика получения согласия через одну галочку, подтверждающую одновременно принятие оферты или пользовательского соглашения, согласия на обработку ПД и согласия на рекламу теперь однозначно не соответствует требованиям новой нормы.

Формулировки «продолжая использовать сайт, вы соглашаетесь...» и т.д. более не являются приемлемыми с точки зрения принятых нововведений. Согласие требует активного и осознанного действия субъекта ПД.
3
Что нужно проверить?
1. Пересмотрите все согласия на обработку ПД, получаемые в рамках договоров и соглашений (клиентских, трудовых, партнерских, пользовательских). Они должны быть вынесены в самостоятельный документ. Даже отдельный подписываемый блок внутри договора теперь несет существенные риски. Это касается и согласий на маркетинг, аналитику, биометрию и т.д.

2. Онлайн-интерфейсы (сайты, мобильные приложения)
  • Обязательно предусмотреть отдельный элемент интерфейса (чек-бокс, кнопка подтверждения) для согласия на обработку ПД, не связанный с принятием оферты или политики конфиденциальности.
  • Текст согласия должен быть непосредственно виден субъекту ПД до подтверждения (например, во всплывающем окне, в развернутом блоке), либо представлен в виде отдельного, явно обозначенного документа (ссылкой с четким названием). Ссылка с текстом "согласен с политикой обработки ПД" недостаточна – согласие должно быть явным и отдельным.
  • Cookie-баннеры: Согласие на использование cookies (признаваемых ПД) также должно быть оформлено отдельно от других условий. Объединение в одном баннере согласия на cookies и принятия пользовательского соглашения нарушает закон.

3. Прочие формы взаимодействия
Заявления клиентов/сотрудников, анкеты, регистрационные формы и любые документы, где ранее могло содержаться согласие на обработку ПД, - тоже требуют пересмотра.
4
Ответственность за несоблюдение
Игнорирование требований об отдельном оформлении согласия на обработку ПД с 1 сентября 2025 года создает существенные юридические, финансовые и репутационные риски. Ключевые последствия:

1) Отсутствие согласия
Согласие, оформленное с нарушением требования об отдельности, может квалифицироваться в соответствии с ч.1 или ч. 2 ст. 13.11 КоАП РФ и повлечь штрафы для юридических лиц в размере от 150 до 300 тыс. руб. или от 300 до 700 тыс. руб.

Напоминаем, с 30 мая 2025 штрафы по ст. 13.11 КоАП РФ существенно увеличены. Повторные нарушения, связанные с некорректным получением согласия, могут привести к штрафам для юрлиц до 1,5 млн руб.

2) Иски субъектов ПД

Субъекты ПД (клиенты, сотрудники, партнеры, пользователи) вправе требовать:
  • прекращения незаконной обработки их данных;
  • уничтожения незаконно полученных или обрабатываемых ПД;
  • возмещения убытков (если доказан прямой причиненный ущерб);
  • компенсации морального вреда (размер определяется судом, практика показывает суммы от десятков тысяч до 500 000+ рублей в резонансных случаях).

Возможны коллективные иски, особенно со стороны потребителей или сотрудников.

3) Претензии и санкции от регулирующих органов: Роскомнадзор, ФАС России, Роспотребнадзор, Центральный Банк РФ, Государственная инспекция труда.

4) Репутационные риски
Инциденты с незаконной обработкой ПД, штрафы и судебные разбирательства серьезно подрывают доверие клиентов, партнеров и инвесторов. Бизнес рискует столкнуться с негативным освещением события в СМИ и потерей деловой репутации.
5
Рекомендации: что нужно сделать компаниям до 1 сентября
  • пересмотреть документооборот;
  • разработать отдельные бланки согласий для всех бизнес-процессов (клиенты, сотрудники, партнеры);
  • обновить политику обработки ПД;
  • прописать конкретные цели обработки для каждой категории данных;
  • обучить сотрудников.
6
Заключение
Требование об отдельном согласии – не формальность, а условие легальности ваших операций с ПД. Юристы ЦПО групп проведут аудит вашего документооборота и digital-процессов, разработают защищенные от претензий регуляторов шаблоны и внедрят решения, исключающие риски

Петрова Дарья Владимировна

Руководитель практики «Информационные технологии и защита данных»

+7 (812) 603-45-25 (доб.334)
E-mail: cpo2@pravorf.ru
Персональные данные
Комплексные услуги для бизнеса от юристов по персональным данным (152-ФЗ и GDPR)
Готовые документы для бизнеса
Приобретите шаблоны документов, подготовленные опытными юристами и соответствующие действующему законодательству РФ
Читайте в разделе Персональные данные (152-ФЗ)