Электронный документооборот
Учет и отчетность
Участие в закупках
Торговля и ритейл
Автоматизация бизнеса
Управление HR‑процессами
Проверка контрагентов
Обучение
Коммуникации
Сделки с недвижимостью
Банковские услуги
Продажи и маркетинг
Информационная безопасность
Правила оформления согласий на обработку персональных данных вновь ужесточаются: теперь гражданам предоставят право ясно и сознательно выражать согласие на использование их персональной информации. Что это означает для организаций и ИП, которые получают и обрабатывают персональные данные граждан?
В этой статье:
Как оформить согласие на обработку персональных данных
Осенью вступит в силу Федеральный закон от 24.06.2025 № 156-ФЗ, в котором уточняется, что «согласие на обработку персональных данных должно быть оформлено отдельно от иных информации и (или) документов, которые подтверждает и (или) подписывает субъект персональных данных». Это уточняет форму предоставления согласия, которая ранее не была обозначена.
Согласно ч. 1 ст. 9 Федерального закона от 27.07.2006 № 152-ФЗ, письменное согласие на обработку данных должно быть конкретным, предметным, информированным, сознательным и однозначным.
В ряде случаев допускается обработка персональных данных без получения согласия — например, если это необходимо для выполнения обязанностей оператора, предусмотренных законом (пп. 2–9 ч. 1 ст. 6 Федерального закона от 27.07.2006 № 152-ФЗ).
Поправки в закон позволят устранить правовую неопределенность, которую используют некоторые предприниматели, являющиеся операторами персональных данных, по сути вводя граждан в заблуждение относительно сути и объема предоставляемого согласия, а также целей и условий обработки их данных.
На практике согласие на обработку персональных данных часто включается в пользовательские соглашения. В них, как правило, уже есть условия, по которым пользователь, помимо всего прочего, подтверждает согласие на передачу своих данных третьим лицам, в том числе неограниченному числу получателей.
Обычно пользовательское соглашение считается принятым, если гражданин продолжает использовать сайт, просматривает его страницы или ставит галочку в специальном поле. В результате при формальном принятии условий пользовательского соглашения оператор получает доступ к персональным данным пользователя, с возможностью дальнейшей их передачи неограниченному числу лиц.
Какими бывают согласия на обработку персональных данных
Следует отличать Согласие на обработку персональных данных без их распространения и Согласие на обработку персональных данных, разрешенных для распространения. Чаще всего предприниматели оформляют первый вид документа.
Согласие на обработку персональных данных без их распространения
Это стандартное согласие, которое оформляется в большинстве случаев. Оно дает право собирать, хранить, использовать, передавать персональные данные, но только ограниченному числу лиц, предусмотренному законодательством (ст. 6 Федерального закона от 27.07.2006 № 152-ФЗ).
При этом нельзя передавать эти данные третьим лицам без конкретного разрешения, особенно в публичный доступ.
Например, если вы планируете передавать данные сотрудников своему бухгалтеру или кадровому агентству на аутсорсе, то допустимо оформление согласия без распространения.
Согласие на обработку персональных данных, разрешенных для распространения
Это более широкий вид согласия. Оно позволяет обрабатывать данные, распространять их, то есть делать доступными неограниченному кругу лиц, включая публикацию в интернете.
Такое согласие обязательно должно быть оформлено отдельно от других документов в письменной форме, с уточнением, какие данные можно распространять, а также с возможностью выбора — что разрешить, а что нет.
Например, вы хотите разместить фото сотрудника и его ФИО на сайте компании или в рекламных материалах. Для этого нужно согласие с разрешением на распространение.
В большинстве случаев бизнесу достаточно согласия без распространения. Оно покрывает большинство задач внутри бизнеса: кадровый учет, взаимодействие с банком, налоговой, подрядчиками и т. д.
Согласие с разрешением на распространение нужно только в тех случаях, когда вы публикуете персональные данные в открытом доступе (сайт, соцсети, реклама), передаете данные в рассылочные базы, доступные широкому кругу пользователей, используете персональные данные в презентациях, интервью, публичных документах.
Требования к сведениям в согласии с разрешением на распространение
В п. 9 ст. 9 Федерального закона от 27.07.2006 № 152-ФЗ уточняется, что требования к содержанию согласия на обработку персональных данных, разрешенных для распространения, устанавливаются Роскомнадзором. Эти требования ведомство прописало в Приказе от 24.02.2021 № 18.
В Приказе приводится перечень обязательных сведений субъекта персональных данных, которые должны содержаться в согласии на обработку:
- ФИО;
- контактная информация (номер телефона, адрес электронной почты или почтовый адрес);
- сведения об операторе-организации;
- сведения об операторе-физическом лице;
- сведения об операторе-гражданине, являющимся ИП;
- сведения об информационных ресурсах оператора, через которые неограниченному кругу лиц предоставляется доступ к данным и производятся иные действия с персональными данными;
- цель обработки персональных данных;
- категории и перечень персональных данных, на обработку которых дается согласие субъекта: персональные данные (ФИО, год, месяц, дата рождения, место рождения, адрес, семейное положение и др.), специальные категории персональных данных и биометрические данные;
- срок действия согласия.
По желанию субъекта персональных данных заполняется следующая информация:
- категории и перечень данных, для обработки которых субъект устанавливает условия и запреты, а также перечень устанавливаемых условий и запретов;
- условия, при которых полученные данные могут передаваться оператором только по его внутренней сети, обеспечивающей доступ к информации лишь для строго определенных сотрудников, либо с использованием информационно-телекоммуникационных сетей, либо без передачи полученных персональных данных.
Шаблон согласия с разрешением на распространение данных
Роскомнадзор решил помочь бизнесу и разработал специальный конструктор для формирования шаблона согласия. Рекомендуемый документ соответствует всем необходимым требованиям и учитывает особенности деятельности конкретного оператора.
Конструктор создавался с учетом правоприменительной практики и обращений операторов по оформлению согласия на обработку персональных данных, разрешенных для распространения.
Сервис Роскомнадзора предлагает заполнить поля, после этого шаблон рассматривается экспертами ведомства. При необходимости оператору даются рекомендации по доработке документа. Результаты проверки отправляются на электронный адрес, указанный в форме.
В дальнейшем оператор может использовать проверенную форму согласия в своей работе.
В шаблон согласия на обработку персональных данных от Роскомнадзора учитываются все сведения, указанные как обязательные в Приказе от 24.02.2021 № 18:
- сведения об операторе;
- сведения об информационных ресурсах оператора;
- цель обработки персональных данных;
- категории и перечень персональных данных, на обработку которых дается согласие субъекта персональных данных, в том числе биометрические данные и специальные категории персональных данных;
- специальные категории персональных данных;
- биометрические персональные данные;
- срок действия согласия;
- другая информация.
Требования к сведениям в согласии без распространения
Согласно ч. 4 ст. 9 Федерального закона от 27.07.2006 № 152-ФЗ согласие на обработку персональных данных без их распространения должно содержать следующие сведения о субъекте персональных данных:
- ФИО, адрес;
- номер основного документа, удостоверяющего личность;
- наименование или ФИО и адрес оператора;
- цель обработки персональных данных;
- перечень персональных данных, на обработку которых дается согласие;
- наименование или ФИО и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;
- перечень действий с персональными данными, на совершение которых дается согласие;
- срок, в течение которого действует согласие, способ его отзыва;
- подпись.
Напомним, что в марте 2025 года заметно выросли штрафы за нарушения в работе с персональными данными (Федеральный закон от 30.11.2024 № 420-ФЗ).
1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;.....