Для организаций и ИП изменили правила получения согласия на обработку персональных данных физических лиц. Оформить это согласие в прежнем порядке, включив его в текст основного договора, больше не получится. В противном случае компании рискуют получить от Роскомнадзора значительный штраф, размер которого может доходить до 1,5 млн рублей.
Рассказываем, что поменялось в порядке получения согласий на обработку персональных данных и как их оформлять с учетом новых правил с 1 сентября 2025 года.
Изменения в порядке получения согласий на обработку персональных данных с 1 сентября 2025 года
Федеральный закон от 24.06.2025 №156-ФЗ ужесточил правила оформления согласий на обработку персональных данных физических лиц. Обновленные правила вступят в силу с 1 сентября 2025 года и обязательны к применению всеми организациями и ИП, которые получают и обрабатывают персональные данные граждан.
В отличие от уже действующих, новые правила позволят гражданам выражать свое согласие на обработку их персональных сведений осознанно и в максимально доступной форме. Сейчас правила оформления согласий установлены в соответствии с ч.1 ст.9 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных». Согласно данной норме, согласие на обработку персональных данных может быть получено в любой позволяющей подтвердить факт его получения форме. Таким образом, никаких конкретных требований ни к форме, ни к порядку дачи согласия законодательство не устанавливает.
Это позволяет компаниям не оформлять согласие в качестве отдельного документа, а включать его в виде составной части в договоры и иные документы. Среди общего массива информации, представленной в тексте таких документов, согласие на обработку персональных данных попросту теряется, и зачастую граждане, подписывая объемные документы, фактически с ним даже не знакомятся. При этом согласия нередко позволяют компаниям не только получать личные сведения от обратившихся к ним клиентов, но и без их на то воли передавать эти сведения третьим лицам.
Также сейчас распространена практика, когда компании включают согласие на обработку персональных данных в пользовательские соглашения, представленные на их сайтах, которые граждане нередко вообще не читают, автоматически проставляя «галочки» под такими соглашениями. В отдельных случаях компании не предоставляют посетителям своих сайтов даже возможности отказаться от дачи согласия на обработку персональных данных. Проставление «галочки» под пользовательским соглашением со встроенным в него согласием на обработку здесь выступает обязательным условием для входа на сайт. В результате говорить об осознанном и добровольном согласии не приходится, поскольку компании-операторы обуславливают пользование сайтом обязательной дачей согласия на обработку персональных данных пользователей.
Более того, некоторые компании сейчас прописывают в своих документах условия, в соответствии с которыми посещение их сайта (конклюдентное действие) автоматически приравнивается к даче согласия на обработку и передачу персональных данных третьим лицам.
Чтобы пресечь подобную практику, принятый закон дополняет ч.1 ст.9 Федерального закона от 27.07.2006 №152-ФЗ новым требованием, по которому согласие на обработку персональных данных во всех случаях в обязательном порядке должно быть оформлено отдельно от любых иных документов, которые подписывает физлицо.
Соответственно, включить согласие на обработку персональных данных нельзя будет ни в текст договора на продажу товара (выполнения работ, оказания услуг), ни в текст пользовательского соглашения, ни в любой другой документ. Равным образом, дачей согласия не будет считаться и пользование сайтом, принадлежащим организации или ИП.
Новые требования коснутся только согласий на обработку персональных данных, оформляемых начиная с 1 сентября 2025 года. Все ранее оформленные до указанного моменты согласия сохранят свою силу и не потребуют переоформления.
Как оформить согласие на обработку персональных данных с 1 сентября 2025 года
С 1 сентября 2025 года согласие на обработку персональных данных компании могут получать только в виде отдельного письменного документа (в форме электронного документа), сформированного и подписанного независимо от договоров и иных соглашений, заключаемых с гражданами.
Никакой отдельной обязательной формы для такого согласия законодательством не предусмотрено. Компании вправе разработать форму такого согласия самостоятельно, но в документе нужно прописать все сведения, прямо указанные в ч. 4 ст.9 Федерального закона от 27.07.2006 №152-ФЗ.
Обязательные реквизиты согласия на обработку персональных данных (ч. 4 ст.9 Федерального закона от 27.07.2006 №152-ФЗ):
- ФИО физлица и его паспортные данные;
- наименование компании (ФИО ИП или самозанятого), получающего согласие на обработку персональных данных;
- цель обработки персональных данных;
- перечень сведений, на обработку которых дается согласие;
- перечень действий с персональными данными, на совершение которых дается согласие, а также общее описание используемых способов обработки персональных данных;
- срок, в течение которого действует согласие, а также способ его отзыва;
- подпись физлица.
Если компания планирует передавать персональные данные граждан третьим лицам, она наряду с общим согласием должна получить еще и согласие на распространение полученных персональных данных. Такое согласие также необходимо формировать в виде отдельного документа. Причем согласие на передачу персональных данных третьим лицам нельзя включить в текст основного согласия на обработку. Таким образом, перед распространением персональных данных компания должна получить от физлица сразу два отдельных документа: согласие на обработку персональных данных и согласие на передачу персональных данных (ч.1 ст.10.1 Федерального закона от 27.07.2006 №152-ФЗ).
В согласии на передачу персональных данных третьим лицам необходимо прописать, где будут размещены персональные данные физлица, и действия, которые планируется совершать с персональными данными физлица в рамках их передачи третьим лицам. Также в согласии по требованию физлица необходимо перечислить обязательные условия предоставления данных третьим лицам и ограничения, при несоблюдении которых передача не допускается (приказ Роскомнадзора от 24.02.2021 №18).
Штрафы за нарушение новых правил
Если начиная с 1 сентября 2025 года организации и ИП проигнорируют новые правила, включая согласие на обработку персональных данных в тексты договоров и иных документов, подобное согласие не будет считаться полученным. Обработка персональных данных станет квалифицироваться как несогласованная, а компании-нарушители понесут административную ответственность по ч.2 ст.13.11 КоАП РФ (обработка персональных данных без согласия в письменной форме).
Данная норма предусматривает наложение штрафов в размере:
- от 10 000 до 15 000 рублей – для самозанятых;
- от 100 000 до 300 000 рублей – для индивидуальных предпринимателей;
- от 100 000 до 300 000 рублей – для должностных лиц организаций;
- от 300 000 до 700 000 рублей – для организаций.
Повторное нарушение увеличит штрафы до следующих размеров (ч.2.1 ст.13.11 КоАП РФ):
- от 15 000 до 30 000 рублей – для самозанятых;
- от 500 000 до 1 млн рублей – для индивидуальных предпринимателей;
- от 300 000 до 500 000 рублей – для должностных лиц организаций;
- от 1 млн до 1,5 млн рублей – для организаций.
