инструкция 22 октября 2026 По состоянию на 22 октября 2026

9 обязательных реквизитов согласия по ст. 9 в новой редакции

Согласие на обработку персональных данных с 01.09.2025 — это отдельный документ с девятью обязательными реквизитами по ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025.

Отсутствие любого реквизита или объединение согласия с договором, политикой или офертой — основание для штрафа по ч. 2 ст. 13.11 КоАП до 700 000 ₽ за каждый случай.

Если вы юрист и готовите или проверяете пакет ОРД — эта инструкция даёт полный перечень реквизитов, обязательные формулировки и типовые ошибки по каждому из девяти пунктов.

С 01.09.2025 каждое согласие работника, клиента или пользователя на обработку персональных данных должно быть самостоятельным документом. Требование введено ФЗ-156 от 24.06.2025, который изменил ч. 1 ст. 9 ФЗ-152. Согласие, встроенное в трудовой договор, публичную оферту или политику конфиденциальности, перестало соответствовать закону. Эта инструкция разбирает каждый из девяти реквизитов, объясняет требования к их содержанию и описывает риски при неполном или неверном оформлении.

Что изменилось в ст. 9 ФЗ-152 с 01.09.2025?

До ФЗ-156 согласие могло быть частью другого документа: работник подписывал согласие в составе трудового договора, пользователь — в тексте оферты, клиент — на последней странице анкеты. Закон требовал лишь письменной формы и перечня реквизитов, но не запрещал объединение.

ФЗ-156 от 24.06.2025 ввёл правило: согласие оформляется отдельным документом, не объединяется с другими гражданско-правовыми или трудовыми документами. Перечень обязательных реквизитов при этом не изменился — девять пунктов действовали и до поправок. Изменилось требование к форме: документ самостоятельный, подпись субъекта только на нём.

«Ст. 9 ФЗ-152 (в ред. ФЗ-156 от 24.06.2025): согласие субъекта персональных данных оформляется отдельным документом, не объединяется с иными документами. Согласия, полученные до 01.09.2025 в составе других документов, обратной силы изменения не имеют и переоформления не требуют — если реквизиты были соблюдены.»

Важное уточнение: согласия, полученные до 01.09.2025 в правильной форме (отдельный документ или документ с полным перечнем реквизитов), — действительны. Переоформлению подлежат только те, в которых нарушена форма или отсутствует хотя бы один реквизит из девяти.

Нужно проверить пакет согласий после 01.09.2025?

Если вы юрист и проверяете документацию оператора ПДн — перечень типовых нарушений в согласиях шире, чем кажется. Отсутствие одного реквизита или неверная формулировка цели создаёт основание для штрафа по ч. 2 ст. 13.11 КоАП. Юристы DATUM проверят действующие согласия по чек-листу из 9 реквизитов и выявят документы, требующие переоформления.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Шаг 1. Фамилия, имя, отчество субъекта персональных данных

Первый реквизит — полное имя субъекта, чьи данные обрабатываются. Указывается в форме, которая однозначно идентифицирует физическое лицо. Сокращения и инициалы без расшифровки недопустимы.

Типовая ошибка: в шаблоне поле оставляют пустым («___________») и не заполняют при подписании. Это делает согласие недействительным — документ не содержит сведений о субъекте.

Шаг 2. Контактные данные субъекта

Адрес, номер телефона или адрес электронной почты. Достаточно одного из контактов — закон не требует всех трёх. Контакт должен быть актуальным: через него оператор направляет уведомления об изменении условий обработки или уничтожении данных.

Практический момент: при онлайн-согласии (форма на сайте) контактные данные обычно совпадают с данными, введёнными при регистрации. Юрист должен убедиться, что система фиксирует именно те контакты, которые субъект ввёл на момент подписания, а не изменённые позднее.

Шаг 3. Наименование и адрес оператора

Полное наименование юридического лица или ФИО индивидуального предпринимателя, юридический адрес. Указывать так же, как в ЕГРЮЛ/ЕГРИП. Сокращённое наименование допустимо только если оно зарегистрировано официально.

Если обработку ведут несколько операторов совместно — в согласии указываются все. Если оператор передаёт обработку по поручению третьему лицу (п. 3 ст. 6 ФЗ-152), сведения об обработчике отдельного реквизита не образуют, но цель их обработки должна быть отражена в реквизите 5.

«Ст. 6 п. 3 ФЗ-152: оператор вправе поручить обработку ПДн другому лицу на основании договора. Ответственность перед субъектом за действия обработчика несёт оператор.»

Шаг 4. Цель обработки персональных данных

Наиболее уязвимый реквизит на практике. Цель должна быть конкретной и достижимой. «Улучшение сервиса», «маркетинговые цели», «в соответствии с законодательством» — формулировки, которые РКН признаёт несоответствующими требованиям ст. 5 ФЗ-152 о принципе конкретности.

Примеры корректных формулировок: «направление информации о скидках и акциях на товары оператора», «исполнение трудового договора и расчёт заработной платы», «проверка платёжеспособности при оформлении займа». Каждая цель — отдельный пункт согласия.

Если целей несколько и они несовместимы между собой — например, выполнение договора и маркетинговая рассылка — ст. 5 ФЗ-152 запрещает объединять соответствующие базы. На практике это означает: одно согласие на одну группу совместимых целей, либо отдельные согласия на каждую несовместимую цель.

Шаг 5. Перечень персональных данных, на обработку которых даётся согласие

Исчерпывающий перечень категорий данных: фамилия, имя, отчество, дата рождения, адрес, контактные данные, сведения о доходах — и т. д. по конкретной ситуации. Формулировки «любые персональные данные» или «данные, необходимые для достижения целей» — не соответствуют требованию конкретности.

Специальные категории по ст. 10 ФЗ-152 (состояние здоровья, национальная принадлежность, политические взгляды и другие) требуют в согласии явного перечисления — общая формулировка для них недопустима. Биометрические данные по ст. 11 ФЗ-152 — аналогично.

«Ст. 10 ФЗ-152: обработка специальных категорий ПДн по общему правилу запрещена. Основание — явное согласие субъекта с указанием конкретной категории данных и цели.»

Шаг 6. Перечень действий с персональными данными

Закон устанавливает исчерпывающий перечень действий, составляющих «обработку»: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение. В согласии указываются только те действия, которые оператор фактически совершает.

Включать все 13 действий подряд без привязки к цели — неверно. Если оператор только хранит и использует данные для рассылки, в согласии должны быть указаны «сбор, хранение, использование, передача (при необходимости)» — не более. РКН при проверке сопоставляет заявленные действия с фактическими техническими процессами.

Шаг 7. Общее описание применяемых оператором способов обработки

Реквизит, который часто пропускают в шаблонах, принятых до 2022 года. Требуется указать: автоматизированная обработка, неавтоматизированная или смешанная. Если используется облачный сервис — это передача данных с использованием информационно-телекоммуникационных сетей; если данные обрабатываются только на бумаге — неавтоматизированная.

Указание «любыми способами» является ненадлежащим. Способ обработки связан с уровнем защищённости по ПП РФ №1119: автоматизированная обработка → обязательное определение уровня защищённости ИСПДн (УЗ-1...4) → технические меры по Приказу ФСТЭК №21.

Если юрист выявил неполные согласия — переоформление до проверки РКН важнее, чем кажется. С 30.05.2025 штраф по ч. 2 ст. 13.11 КоАП за обработку без надлежащего согласия составляет 300 000–700 000 ₽. Юристы DATUM соберут пакет согласий по всем девяти реквизитам под конкретного оператора.

Собрать ОРД под ключ

Шаг 8. Срок действия согласия и способ отзыва

Срок может быть определён датой («до 31.12.2027»), событием («до момента расторжения договора») или указанием на бессрочность. Бессрочное согласие законом допускается, но субъект вправе отозвать его в любой момент — это право неотчуждаемо (ч. 2 ст. 9 ФЗ-152).

Способ отзыва должен быть реально работающим: «направить письменное заявление по адресу оператора», «отправить запрос на электронную почту», «воспользоваться функцией в личном кабинете». Указывать способ отзыва формально, без реального механизма его исполнения — ошибка, которая выявляется при проверке РКН.

После получения отзыва оператор обязан прекратить обработку. Если для обработки есть иные законные основания (например, исполнение договора по ст. 6 п. 5 ФЗ-152) — обработка продолжается на их основании, но уже не опирается на согласие.

Шаг 9. Подпись субъекта персональных данных

Для бумажного согласия — собственноручная подпись. Для электронного — усиленная квалифицированная электронная подпись (УКЭП) или иной способ, позволяющий однозначно идентифицировать лицо и подтвердить его волеизъявление. РКН принимает галочку-чекбокс на сайте с фиксацией IP, timestamp и содержания согласия — при условии, что система ведёт неизменяемый журнал.

Критически важно: согласие должно содержать именно подпись субъекта, а не подпись представителя или сотрудника, заполнившего анкету. При обработке данных несовершеннолетних до 14 лет — подпись законного представителя с указанием его статуса (родитель, опекун, усыновитель).

«Ч. 6 ст. 9 ФЗ-152: в случае недееспособности субъекта согласие на обработку его персональных данных даёт законный представитель.»

Как применяются сценарии нарушений по ст. 9 ФЗ-152

Сценарий 1 — согласие в трудовом договоре. Компания использует шаблон трудового договора 2023 года, в котором согласие работника на обработку персональных данных включено отдельным разделом. После 01.09.2025 такой документ нарушает требование об отдельности согласия по ФЗ-156. При проверке РКН составит протокол по ч. 2 ст. 13.11 КоАП. Штраф для организации — 300 000–700 000 ₽ за каждого работника, чьё согласие оформлено ненадлежащим образом. Стратегия: до проверки переоформить согласия отдельными документами; сотрудникам, заключившим договоры до 01.09.2025, новые согласия предложить добровольно с объяснением причины.

Сценарий 2 — расплывчатая цель обработки. Интернет-магазин использует в форме регистрации формулировку «для обработки ПДн в маркетинговых и аналитических целях». РКН при анализе жалобы субъекта фиксирует нарушение принципа конкретности (ст. 5 ФЗ-152) и несоответствие реквизита 4. Протокол — ч. 1 ст. 13.11 КоАП (150 000–300 000 ₽). Стратегия: разбить цели по видам рассылок и аналитики, зафиксировать отдельные согласия с конкретными формулировками.

Сценарий 3 — нет способа отзыва. Медицинская клиника принимает бумажное согласие пациента без указания способа отзыва. Пациент направляет заявление об отзыве согласия, оператор продолжает обработку, ссылаясь на то, что не знал о порядке. РКН при проверке фиксирует два нарушения: нарушение реквизита 8 (отсутствие способа отзыва) и неправомерное продолжение обработки после отзыва (ч. 5 ст. 13.11 КоАП, 50 000–90 000 ₽). Стратегия: внести в шаблон конкретный механизм отзыва и назначить ответственного за его исполнение по ст. 22.1 ФЗ-152.

Что подготовить юристу оператора ПДн

Актуальный шаблон согласия с девятью реквизитами по ст. 9 ФЗ-152 в редакции ФЗ-156 — отдельный документ, не встроенный в договор или политику.
Реестр действующих согласий: источник подписи (бумага, УКЭП, чекбокс), дата, версия шаблона — для определения, какие необходимо переоформить.
Журнал отзывов согласий с датой, способом и подтверждением прекращения обработки (для ответа на запросы РКН по ст. 20 ФЗ-152 в течение 10 рабочих дней).
Политика обработки ПДн по ст. 18.1 ФЗ-152, опубликованная на сайте, — как отдельный документ, содержащий ссылку на порядок отзыва согласия.
Приказ об ответственном за организацию обработки ПДн по ст. 22.1 ФЗ-152 с указанием его обязанностей, включая работу с обращениями субъектов.

Частые вопросы

1. Какие документы должны быть у оператора ПДн?

Базовый пакет ОРД включает: уведомление в реестре РКН по ст. 22 ФЗ-152, политику обработки ПДн по ст. 18.1, приказ об ответственном по ст. 22.1, согласия субъектов по ст. 9, договоры с обработчиками по п. 3 ст. 6, локальные регламенты по категориям обработки и журнал учёта обращений субъектов. Полный перечень содержит от 30 до 38 документов в зависимости от видов обработки и категорий данных.

2. Как составить политику обработки ПДн?

Политика по ст. 18.1 ФЗ-152 публикуется на сайте оператора в открытом доступе. Обязательные разделы: цели и правовые основания обработки, перечень категорий субъектов и данных, порядок и сроки хранения, меры защиты, порядок обращения субъектов и сроки ответа. Использовать чужой шаблон без адаптации к реальной деятельности оператора — нарушение: содержание политики должно соответствовать фактическому уведомлению в реестре РКН.

3. Кого назначить ответственным по ст. 22.1 ФЗ-152?

Ст. 22.1 ФЗ-152 обязывает оператора-юридическое лицо назначить лицо, ответственное за организацию обработки ПДн. Требований к должности нет — это может быть юрист, специалист по кадрам, сотрудник ИТ-департамента или DPO на аутсорсинге. Ключевое требование — назначение приказом, наделение полномочиями и ознакомление сотрудников. При передаче функции на аутсорс документальное оформление аналогично: договор, приказ, уведомление РКН при необходимости.

4. Какие согласия нужны после 01.09.2025?

С 01.09.2025 все новые согласия оформляются отдельным документом — требование ФЗ-156 от 24.06.2025. Это касается согласий работников, клиентов, пользователей сайта. Согласия, полученные до 01.09.2025, переоформлению не подлежат, если содержат полный перечень реквизитов по ст. 9 ФЗ-152. Отдельное согласие на распространение ПДн по ст. 10.1 ФЗ-152 остаётся самостоятельным документом — оно не входит в базовое согласие по ст. 9.

5. Можно ли использовать шаблон политики из интернета?

Шаблон допустим как отправная точка, но публикация без адаптации создаёт правовой риск. Политика должна отражать фактическую обработку конкретного оператора: его виды деятельности, перечень систем, категории субъектов, сроки хранения. Политика, скопированная у другой компании, при проверке РКН не совпадёт с уведомлением в реестре — это основание для протокола по ч. 3 ст. 13.11 КоАП (30 000–60 000 ₽).

6. В чём разница между согласием по ст. 9 и согласием по ст. 10.1 ФЗ-152?

Согласие по ст. 9 — универсальное основание для обработки данных в ситуациях, когда другие основания (исполнение договора, требование закона) не применимы. Согласие по ст. 10.1 — специальное, только для распространения ПДн неограниченному кругу лиц (публикация в каталогах, открытые базы данных). Оба — отдельные документы, оба содержат реквизиты по ст. 9, но согласие по ст. 10.1 дополнительно указывает, какие данные разрешено распространять, а какие оператор обязан обрабатывать только сам.

Итог

Девять реквизитов согласия по ст. 9 ФЗ-152 — не формальность, а содержательные требования к документу. Нарушение любого из них при наличии факта обработки без надлежащего согласия образует состав ч. 2 ст. 13.11 КоАП с санкцией для организации 300 000–700 000 ₽. С 01.09.2025 к содержательным требованиям добавилось структурное: согласие — всегда отдельный документ.

DATUM сопровождает операторов ПДн при разработке и проверке пакетов ОРД, включая согласия по ст. 9, политику по ст. 18.1 и документацию по ст. 22 и 22.1 ФЗ-152. Практика по 152-ФЗ ведётся с 2014 года.

Услуги DATUM по теме

Комплект ОРД под ключ — разработка полного пакета документов, включая согласия по ст. 9 ФЗ-152
Аудит соответствия 152-ФЗ — проверка действующих согласий и всей документации по чек-листу
DPO-аутсорсинг — ответственный по ст. 22.1 ФЗ-152 на абонентском обслуживании

АС

Анна Соколова

Партнёр · ПДн в HR

Партнёр практики DATUM по защите персональных данных в HR. Специализация — согласия работников по ст. 9 152-ФЗ в редакции с 01.09.2025 (ФЗ-156), обработка через КЭДО, биометрия в СКУД, сопровождение проверок РКН в HR-департаментах.

22 октября 2026 года