Строго отдельно: что изменилось в оформлении согласий на обработку ПДн с 1 сентября 2025

Для организаций и ИП изменились правила получения согласия на обработку персональных данных (ПДн) физлиц. Включать согласие в текст основного договора больше нельзя. Нужен отдельный документ. В противном случае можно получить штраф от Роскомнадзора.

Рассказываем, что поменялось в порядке получения согласий на обработку ПДн и как их оформлять с учётом новых правил с 1 сентября 2025 года.

Осознанное согласие вместо автоматических «галочек»

С 1 сентября 2025 года вступили в силу отложенные положения Федерального закона от 24 июня 2025 № 156-ФЗ «О создании многофункционального сервиса обмена информацией и о внесении изменений в отдельные законодательные акты РФ», а именно статья 5 нормативного акта, предусматривающая дополнение части 1 статьи 9 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных» положением о том, что согласие на обработку персональных данных должно быть оформлено отдельно от иных информации и (или) документов, которые подтверждает и (или) подписывает субъект ПДн.

Поправка направлена на обеспечение прозрачности и осознанности при получении согласия на обработку персональных данных. Компании обязаны оформлять его в виде отдельного документа. Запрещено включать согласие в состав договоров, пользовательских соглашений или любых других бумаг, которые подписывает клиент.

Ранее широко применялась практика, при которой согласие на обработку ПДн было «спрятано» в тексте длинных пользовательских соглашений. Многие граждане, не читая их полностью, автоматически ставили галочки, чтобы получить доступ к услуге или сайту. Фактически у человека часто не было выбора: отказ от проставления галочки означал невозможность воспользоваться ресурсом. Кроме того, некоторые компании приравнивали сам факт посещения их сайта к согласию на обработку и даже передачу данных третьим лицам.

Поправка в законе пресекает такие злоупотребления.

Как оформить согласие на обработку ПДн с 1 сентября 2025 года 

Согласие на обработку ПДн должно быть оформлено исключительно как самостоятельный письменный (или электронный) документ.

Согласие на интернет-ресурсе должно быть «видимым» для посетителей и иметь техническую возможность для подтверждения. Это может быть отдельный чекбокс, где можно проставить отдельную галочку, кнопка, ссылка на отдельную страницу с текстом согласия.

Новые правила действуют только для согласий, оформленных начиная с 1 сентября 2025 года. Все ранее полученные согласия остаются в силе и не требуют переоформления.

Что нужно включить в согласии на обработку ПДн

Унифицированной формы закон не предусматривает — организация вправе разработать свой шаблон. В обязательном порядке в документ нужно включить сведения, указанные в ч. 4 ст.9 Федеральном законе №152-ФЗ:

1.     Полные данные субъекта:

• ФИО;

• паспортные данные;

2.     Сведения об операторе:

• полное наименование организации (или ФИО ИП/самозанятого);

3.     Цель обработки персональных данных;

4.     Перечень данных, на обработку которых субъект ПДн даёт согласие;

5.     Перечень действий с ПДн, на совершение которых даётся согласие, общее описание используемых оператором способов обработки персональных данных;

6.     Срок действия согласия и способ его отзыва;

7.     Подпись субъекта ПДн.

Если планируется передача ПДн партнёрам или контрагентам, общего согласия недостаточно. На каждую операцию нужно получать отдельное целевое согласие.

Оно также оформляется в виде самостоятельного документа, в котором нужно чётко указать:

• кому передаются персональные данные субъекта;
• под какую конкретную цель осуществляется их передача;
• действия, которые планируется совершать с ПДн физлица в рамках их передачи третьим лицам.

Если компания проигнорирует правила и включит согласие на обработку ПДн в текст других документов, согласие не будет считаться полученным, обработка ПДн будет квалифицироваться как несогласованная, а нарушителю будет грозить административная ответственность.

Здесь рассказали о штрафах 2025 года за нарушения в области персональных данных.

Также с 1 сентября 2025 года в Законе о персональных данных появилась новая статья 13.1, предусматривающая предоставление операторами персональных данных обезличенных персональных данных в «Единую информационную платформу национальной системы управления данными». В материале рассказали, что предполагает процедура обезличивания ПДн, кто может получить доступ к данным.