С 1 сентября 2025 года в Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — Закон) был внесен ряд изменений, которые кардинально меняют привычные для большинства компаний процедуры обработки персональных данных. В частности, правила оформления согласия, которое является одним из ВАЖНЕЙШИХ условий обработки персональных данных (ст. 6 Закона) наряду с законом и договором.

В соответствии со ст. 9 Закона субъект принимает решение о предоставлении персональных данных и дает согласие на их обработку по своей волей и в своем интересе. Оно должно быть конкретным, предметным, информационно достаточным, сознательным и однозначным. Согласие может быть дано в любой форме, позволяющей подтвердить факт его получения, за исключением случаев обязательного оформления письменного согласия на обработку специальных категорий персональных данных, на передачу или распространение персональных данных.

Что изменилось?

Еще вчера Закон не требовал оформления отдельного согласия на обработку персональных данных. Его можно было просто включить в договор, оферту, пользовательское соглашение, которое подписывал субъект персональных данных, тем самым подтверждая свое согласие. Но с 1 сентября 2025 года так сделать уже не получится. В статью 9 Закона внесено следующее условие: «Согласие на обработку персональных данных должно быть оформлено ОТДЕЛЬНО от иной информации и (или) документов, которые подтверждает и (или) подписывает субъект персональных данных».

Теперь в текст договора, пользовательского соглашения, оферты нельзя просто вставить фразу «Сторона дает согласие на обработку персональных данных». Необходимо сделать отдельный документ, который будет подписываться стороной, с указанием категорий персональных данных, подлежащих обработке, действий, цели (п. 4 ст. 9 Закона).

Такие же условия и для интернет-ресурсов. Ранее на сайте, страничке какого-то специалиста при подписании пользовательского соглашения, направлении запроса мы видели единый чекбокс (галочку): «Нажимая кнопку, я соглашаюсь с договором и даю согласие на обработку моих персональных данных», «Я ознакомился с политикой об обработке персональных данных и согласен на обработку моих персональных данных».

Теперь это должны быть два разных чекбокса:

  • «Я соглашаюсь с условиями договора» (обязательная кликабельная ссылка на текст договора/соглашения).
  • «Я даю согласие на обработку персональных данных» (обязательная кликабельная ссылка на текст согласия).

Таким образом, сама возможность дачи согласия через конклюдентные действия сохраняется, но теперь она должна быть технически и визуально отделена от принятия других документов. Два разных чекбокса — это и есть соблюдение требования Закона об отдельном оформлении, выраженное в цифровой форме. Это решение снимает потенциальную коллизию между общей нормой о форме согласия и новым требованием о его отделенности от других документов.

Какая цель у этих изменений?

Цель законодателя вполне ясна: отменить практику «скрытых согласий», которая получила распространение именно благодаря единой формулировке «Я ознакомился и соглашаюсь». Практически никто из нас не читает пользовательское соглашение на сайте, в котором прописано условие об обработке наших данных. Будем ли мы читать отдельное согласие? Вряд ли, хотя мы очень рекомендуем это делать. Но, возможно, подписание отдельного документа сможет обеспечить более осознанное и добровольное волеизъявление граждан, особенно в силу важности защиты персональных данных.

Законодатель адресует новое требование в первую очередь лицам, которые их собирают и обрабатывают. И обосновывает это необходимостью «…устранить правовую неопределенность, позволяющую недобросовестным операторам персональных данных «дезориентировать» граждан в вопросах предоставления согласия на обработку их персональных данных, определения условий и целей обработки таких данных».

Подкрепляется это обязательство операторов персональных данных введением достаточно серьезной административной ответственности за несоблюдение новых требований. В соответствии с ч. 2 ст. 13.11 КоАП обработка персональных данных без согласия субъекта обернется для нарушителя штрафом в размере от 300 000 до 700 000 рублей.

Что необходимо сейчас сделать оператору?

  • Провести внутренний аудит процессов обработки персональных данных. Важно тщательно проверить соответствие целей обработки конкретным категориям персональных данных, наличие оснований для их обработки. Необходимо понять, в каких случаях согласие — основное условие обработки персональных данных, когда его необходимо оформлять.
  • Обновить локальные нормативные акты. Разработать новые формы согласий в зависимости от ваших целей и утвердить их приказом либо указать в качестве приложений к Положению об обработке персональных данных.
  • Подать уведомление в Роскомнадзор о начале обработки персональных данных, если вы еще не успели этого сделать.
  • Переработать все онлайн-формы. Проанализируйте каждый случай, где вы сейчас получаете согласие: регистрация на сайте, подписка на рассылку, оформление заказа, анкетирование. Для каждого сценария нужно отдельным документом создать согласие на обработку персональных данных и внедрить механизм его отдельного подтверждения.
  • Обучить сотрудников. Особенно это касается HR-отдела, отдела продаж и маркетинга, которые работают с клиентами и партнерами. Они должны понимать новые правила и уметь их разъяснять.

Изменения требуют от операторов заблаговременной и внимательной подготовки. Если у вас возникают сомнения в том, насколько полно ваши бизнес-процессы соответствуют новым требованиям, эксперты Группы «ДЕЛОВОЙ ПРОФИЛЬ» готовы провести аудит, разработать необходимые документы и помочь избежать рисков.

Бесплатная экспертная диагностика управленческого потенциала
Оставьте заявку и наш специалист свяжется с Вами!
Подпишитесь
на новости
Получайте самые актуальные публикации из новостной ленты