Важные изменения для бизнеса: согласие на обработку ПДн должно быть выделено в самостоятельный документ
С 1 сентября 2025 года будет запрещено получать согласие на обработку персональных данных в любых иных документах (информационных сообщениях). Нарушение грозит ничтожностью согласия и крупными штрафами
1
Законодательство
24 июня 2025 г. подписан Федеральный закон от 24.06.2025 № 156-ФЗ, вносящий системные изменения в Федеральный закон «О персональных данных» от 27.07.2006 № 152-ФЗ (далее - ФЗ №152):
«Согласие на обработку персональных данных должно быть оформлено отдельно от иных информации и (или) документов, которые подтверждает и (или) подписывает субъект персональных данных» (дополнения в ч. 1 ст. 9 ФЗ № 152).
2
Ключевые изменения
1) Запрет на совмещение
Запрещено включать согласие на обработку ПД в текст договора оказания услуг, трудового договора, заявления или иного документа, подписываемого субъектом ПД, даже в виде отдельного пункта или приложения внутри этого документа. Требуется оформлять отдельный документ «Согласие на обработку персональных данных».
Такая практика не поощрялась и ранее. Новый закон направлен на то, чтобы привести правоприменительную практику к единообразию.
Помимо требования об отдельности, критически важно, чтобы само согласие соответствовало всем требованиям ст. 9 152-ФЗ и Приказа Роскомнадзора от 24.02.2021 № 18, включая:
Запрещено включать согласие на обработку ПД в текст договора оказания услуг, трудового договора, заявления или иного документа, подписываемого субъектом ПД, даже в виде отдельного пункта или приложения внутри этого документа. Требуется оформлять отдельный документ «Согласие на обработку персональных данных».
Такая практика не поощрялась и ранее. Новый закон направлен на то, чтобы привести правоприменительную практику к единообразию.
Помимо требования об отдельности, критически важно, чтобы само согласие соответствовало всем требованиям ст. 9 152-ФЗ и Приказа Роскомнадзора от 24.02.2021 № 18, включая:
- конкретность, предметность, информированность, сознательность и однозначность;
- чёткое указание цели обработки;
- категории и перечень персональных данных;
- перечень конкретных действий с данными;
- срок действия (условие окончания) и способ отзыва.
2) Получение согласия на обработку ПД и усиление информированности
Практика получения согласия через одну галочку, подтверждающую одновременно принятие оферты или пользовательского соглашения, согласия на обработку ПД и согласия на рекламу теперь однозначно не соответствует требованиям новой нормы.
Формулировки «продолжая использовать сайт, вы соглашаетесь...» и т.д. более не являются приемлемыми с точки зрения принятых нововведений. Согласие требует активного и осознанного действия субъекта ПД.
Практика получения согласия через одну галочку, подтверждающую одновременно принятие оферты или пользовательского соглашения, согласия на обработку ПД и согласия на рекламу теперь однозначно не соответствует требованиям новой нормы.
Формулировки «продолжая использовать сайт, вы соглашаетесь...» и т.д. более не являются приемлемыми с точки зрения принятых нововведений. Согласие требует активного и осознанного действия субъекта ПД.
3
Что нужно проверить?
1. Пересмотрите все согласия на обработку ПД, получаемые в рамках договоров и соглашений (клиентских, трудовых, партнерских, пользовательских). Они должны быть вынесены в самостоятельный документ. Даже отдельный подписываемый блок внутри договора теперь несет существенные риски. Это касается и согласий на маркетинг, аналитику, биометрию и т.д.
2. Онлайн-интерфейсы (сайты, мобильные приложения)
3. Прочие формы взаимодействия
Заявления клиентов/сотрудников, анкеты, регистрационные формы и любые документы, где ранее могло содержаться согласие на обработку ПД, - тоже требуют пересмотра.
2. Онлайн-интерфейсы (сайты, мобильные приложения)
- Обязательно предусмотреть отдельный элемент интерфейса (чек-бокс, кнопка подтверждения) для согласия на обработку ПД, не связанный с принятием оферты или политики конфиденциальности.
- Текст согласия должен быть непосредственно виден субъекту ПД до подтверждения (например, во всплывающем окне, в развернутом блоке), либо представлен в виде отдельного, явно обозначенного документа (ссылкой с четким названием). Ссылка с текстом "согласен с политикой обработки ПД" недостаточна – согласие должно быть явным и отдельным.
- Cookie-баннеры: Согласие на использование cookies (признаваемых ПД) также должно быть оформлено отдельно от других условий. Объединение в одном баннере согласия на cookies и принятия пользовательского соглашения нарушает закон.
3. Прочие формы взаимодействия
Заявления клиентов/сотрудников, анкеты, регистрационные формы и любые документы, где ранее могло содержаться согласие на обработку ПД, - тоже требуют пересмотра.
4
Ответственность за несоблюдение
Игнорирование требований об отдельном оформлении согласия на обработку ПД с 1 сентября 2025 года создает существенные юридические, финансовые и репутационные риски. Ключевые последствия:
1) Отсутствие согласия
Согласие, оформленное с нарушением требования об отдельности, может квалифицироваться в соответствии с ч.1 или ч. 2 ст. 13.11 КоАП РФ и повлечь штрафы для юридических лиц в размере от 150 до 300 тыс. руб. или от 300 до 700 тыс. руб.
Напоминаем, с 30 мая 2025 штрафы по ст. 13.11 КоАП РФ существенно увеличены. Повторные нарушения, связанные с некорректным получением согласия, могут привести к штрафам для юрлиц до 1,5 млн руб.
2) Иски субъектов ПД
Субъекты ПД (клиенты, сотрудники, партнеры, пользователи) вправе требовать:
Возможны коллективные иски, особенно со стороны потребителей или сотрудников.
3) Претензии и санкции от регулирующих органов: Роскомнадзор, ФАС России, Роспотребнадзор, Центральный Банк РФ, Государственная инспекция труда.
4) Репутационные риски
Инциденты с незаконной обработкой ПД, штрафы и судебные разбирательства серьезно подрывают доверие клиентов, партнеров и инвесторов. Бизнес рискует столкнуться с негативным освещением события в СМИ и потерей деловой репутации.
1) Отсутствие согласия
Согласие, оформленное с нарушением требования об отдельности, может квалифицироваться в соответствии с ч.1 или ч. 2 ст. 13.11 КоАП РФ и повлечь штрафы для юридических лиц в размере от 150 до 300 тыс. руб. или от 300 до 700 тыс. руб.
Напоминаем, с 30 мая 2025 штрафы по ст. 13.11 КоАП РФ существенно увеличены. Повторные нарушения, связанные с некорректным получением согласия, могут привести к штрафам для юрлиц до 1,5 млн руб.
2) Иски субъектов ПД
Субъекты ПД (клиенты, сотрудники, партнеры, пользователи) вправе требовать:
- прекращения незаконной обработки их данных;
- уничтожения незаконно полученных или обрабатываемых ПД;
- возмещения убытков (если доказан прямой причиненный ущерб);
- компенсации морального вреда (размер определяется судом, практика показывает суммы от десятков тысяч до 500 000+ рублей в резонансных случаях).
Возможны коллективные иски, особенно со стороны потребителей или сотрудников.
3) Претензии и санкции от регулирующих органов: Роскомнадзор, ФАС России, Роспотребнадзор, Центральный Банк РФ, Государственная инспекция труда.
4) Репутационные риски
Инциденты с незаконной обработкой ПД, штрафы и судебные разбирательства серьезно подрывают доверие клиентов, партнеров и инвесторов. Бизнес рискует столкнуться с негативным освещением события в СМИ и потерей деловой репутации.
5
Рекомендации: что нужно сделать компаниям до 1 сентября
- пересмотреть документооборот;
- разработать отдельные бланки согласий для всех бизнес-процессов (клиенты, сотрудники, партнеры);
- обновить политику обработки ПД;
- прописать конкретные цели обработки для каждой категории данных;
- обучить сотрудников.
6
Заключение
Требование об отдельном согласии – не формальность, а условие легальности ваших операций с ПД. Юристы ЦПО групп проведут аудит вашего документооборота и digital-процессов, разработают защищенные от претензий регуляторов шаблоны и внедрят решения, исключающие риски
Петрова Дарья Владимировна
Руководитель практики «Информационные технологии и защита данных»
+7 (812) 603-45-25 (доб.334)
E-mail: cpo2@pravorf.ru
+7 (812) 603-45-25 (доб.334)
E-mail: cpo2@pravorf.ru
Читайте в разделе Персональные данные (152-ФЗ)
Получить консультацию
Спасибо! Ваше сообщение получено