Перейти к содержанию
инструкция 14 марта 2027 По состоянию на 14 марта 2027

Электронная подпись согласия: УКЭП vs УНЭП vs ПЭП

Вид электронной подписи на согласии субъекта определяет, будет ли документ признан действительным при проверке РКН или в суде.
С 01.09.2025 согласие — отдельный документ по ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025. Ошибка в выборе ПЭП вместо УКЭП для специальных категорий ПДн грозит штрафом по ч. 2 ст. 13.11 КоАП — от 300 000 до 700 000 ₽ за каждый факт.
→ Если вы юрист и готовите ОРД для оператора ПДн, эта инструкция покажет, какой вид подписи допустим в каждом случае.

После 01.09.2025 согласие на обработку персональных данных нельзя включать в трудовой договор, оферту или политику конфиденциальности — только отдельный документ. Это обострило вопрос: в каком виде его подписывать, если общение с субъектом ведётся онлайн? Ниже — пошаговый разбор трёх видов электронной подписи применительно к согласиям на обработку ПДн, с конкретными нормами и практическими выводами.

Шаг 1. Разберитесь, чем отличаются УКЭП, УНЭП и ПЭП по 63-ФЗ

Три вида электронной подписи установлены ст. 5 Федерального закона № 63-ФЗ «Об электронной подписи». Их отличия — в уровне идентификации подписанта и юридической силе документа.

ПЭП — простая электронная подпись
Код в SMS, логин и пароль, галочка «Согласен» в интерфейсе. Подтверждает факт действия пользователя, но не его личность. Для придания юридической силы требуется соглашение между сторонами о признании ПЭП равнозначной собственноручной (ч. 2 ст. 6 63-ФЗ).
УНЭП — усиленная неквалифицированная электронная подпись
Создаётся с помощью криптографических алгоритмов, но на основе сертификата неаккредитованного удостоверяющего центра. Позволяет выявить изменения в документе после подписания. Юридически равнозначна собственноручной при наличии соглашения сторон или специальной нормы закона.
УКЭП — усиленная квалифицированная электронная подпись
Создаётся средствами, сертифицированными ФСБ, на основе квалифицированного сертификата аккредитованного удостоверяющего центра. По умолчанию равнозначна собственноручной подписи во всех правоотношениях (ч. 1 ст. 6 63-ФЗ), если закон не предусматривает иное.
«Ст. 9 ФЗ-152 требует письменного согласия для обработки специальных категорий ПДн (ст. 10), биометрических ПДн (ст. 11) и для распространения ПДн (ст. 10.1). Письменная форма в электронном виде обеспечивается УКЭП — если иной вид подписи не установлен специальным нормативным актом для конкретного случая.»

Ключевая практическая развилка: ПЭП и УНЭП допустимы только там, где закон не требует письменной формы согласия. Для специальных категорий ПДн и биометрии — только УКЭП или бумажное согласие с собственноручной подписью.

Шаг 2. Определите, какую категорию ПДн вы обрабатываете

От категории ПДн зависит требование к форме согласия и, следовательно, к виду подписи. В ФЗ-152 три уровня строгости.

  • Общие ПДн (имя, контакты, данные о работе) — согласие не обязано быть письменным, если оператор может доказать его наличие иным способом (ч. 1 ст. 9 ФЗ-152). Допустим ПЭП при наличии соглашения о его признании.
  • Специальные категории по ст. 10 ФЗ-152 (здоровье, судимость, национальность, вероисповедание и др.) — обработка по общему правилу запрещена; исключение — прямо выраженное письменное согласие субъекта. Форма: бумага или УКЭП.
  • Биометрические ПДн по ст. 11 ФЗ-152 (изображение лица, голос, отпечатки, радужка) — только письменное согласие. Форма: бумага или УКЭП.
  • Согласие на распространение по ст. 10.1 ФЗ-152 — отдельный документ с явным выражением воли. Форма письменности требованиям ст. 10.1 прямо не установлена, но РКН рекомендует письменное оформление для снижения риска оспаривания.

Определите категорию до выбора инструмента подписи. Ошибочный выбор ПЭП для медицинских данных — это нарушение ч. 2 ст. 9 ФЗ-152, влекущее штраф по ч. 2 ст. 13.11 КоАП в диапазоне 300 000–700 000 ₽ для юридического лица.

Обрабатываете специальные категории ПДн или биометрию?

Если в вашем ОРД согласия на обработку медицинских данных, биометрии или ПДн для распространения — они должны быть в письменной форме с УКЭП или на бумаге. Ошибка в форме подписи ведёт к штрафу по ч. 2 ст. 13.11 КоАП — до 700 000 ₽. Срок на устранение нарушения по предписанию РКН — 30 дней, после чего возможен повторный штраф по ч. 2.1 (до 1 500 000 ₽).

Собрать ОРД под ключ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Шаг 3. Проверьте, можно ли использовать ПЭП для ваших согласий

ПЭП — самый распространённый инструмент в цифровых продуктах: галочка на сайте, SMS-подтверждение, логин в личном кабинете. Для общих ПДн он допустим, но только при соблюдении трёх условий.

  • Условие 1: соглашение о признании. Оператор и субъект должны заключить соглашение о том, что ПЭП приравнивается к собственноручной подписи (ч. 2 ст. 6 63-ФЗ). Типичное решение — публичная оферта или политика использования электронной подписи, с которой субъект знакомится до подписания согласия.
  • Условие 2: идентификация субъекта. Оператор обязан обеспечить связь подписи с конкретным лицом. SMS-код на номер, привязанный к аккаунту с подтверждёнными данными, — достаточно. Анонимная галочка без идентификации — нет.
  • Условие 3: сохранность лога. Оператор должен хранить доказательство согласия — дату, время, IP, идентификатор сессии, факт отправки SMS и ввода кода. Это требование вытекает из ч. 3 ст. 9 ФЗ-152: бремя доказывания правомерности обработки лежит на операторе.
«Ч. 3 ст. 9 ФЗ-152: обязанность доказать получение согласия лежит на операторе. При использовании ПЭП — журнал событий, подтверждающий волеизъявление субъекта, становится основным доказательством в споре с РКН или в суде.»

Если хотя бы одно из трёх условий не выполнено — ПЭП-согласие не защитит оператора от штрафа.

Что изменилось в требованиях к согласию после 01.09.2025?

ФЗ-156 от 24.06.2025 изменил ч. 1 ст. 9 ФЗ-152: с 01.09.2025 согласие на обработку ПДн оформляется исключительно как отдельный документ. Его нельзя включать в текст договора, трудового контракта, публичной оферты или политики конфиденциальности.

Это требование не имеет обратной силы: переоформлять согласия, полученные до 01.09.2025, закон не обязывает. Но любое новое согласие, полученное после этой даты и включённое в состав другого документа, — нарушение ч. 1 ст. 9 ФЗ-152. Санкция — ч. 2 ст. 13.11 КоАП: штраф 300 000–700 000 ₽.

Для электронных форм это означает: отдельная экранная форма с отдельным действием подписания (галочка, SMS-код, УКЭП). Чекбокс «Соглашаюсь с политикой конфиденциальности и даю согласие на обработку ПДн» в одной строке — больше не соответствует требованиям.

Шаг 4. Настройте процесс получения и хранения согласий

Правильный выбор вида подписи — только первый шаг. Процесс должен обеспечивать воспроизводимость доказательной базы на случай проверки или судебного спора.

Что подготовить оператору для защиты согласий

  • Отдельная форма согласия с обязательными реквизитами по ст. 9 ФЗ-152: ФИО субъекта, контакты, наименование оператора, цель, перечень ПДн, перечень действий, срок, способ отзыва.
  • Для общих ПДн с ПЭП: соглашение о признании ПЭП (оферта или отдельный документ) + журнал событий (дата, время, IP, идентификатор сессии, факт SMS-подтверждения).
  • Для специальных категорий и биометрии: письменная форма — бумага или УКЭП. Хранение УКЭП-согласия в формате, позволяющем проверить подпись (файл с присоединённой подписью + сертификат).
  • Приказ о назначении ответственного за организацию обработки ПДн по ст. 22.1 ФЗ-152 — с включением в его функции контроля за формой и хранением согласий.
  • Регламент отзыва согласия: субъект вправе отозвать в любой момент (ч. 2 ст. 9 ФЗ-152); срок прекращения обработки — до 30 дней; журнал отзывов хранить отдельно.

Ответственный по ст. 22.1 ФЗ-152 должен быть назначен приказом. Требования к нему: знание норм 152-ФЗ, достаточные полномочия для взаимодействия с РКН и субъектами. РКН вправе запросить копию приказа в ходе проверки.

Шаг 5. Проверьте ОРД на соответствие новым требованиям

Согласие — один из документов пакета ОРД. Его форма и содержание должны соответствовать актуальным требованиям ст. 9 ФЗ-152 и политике обработки ПДн по ст. 18.1 ФЗ-152. РКН при проверке запрашивает оба документа и сверяет их между собой.

Политика обработки ПДн должна содержать: цели обработки, правовые основания, перечень обрабатываемых ПДн, порядок и условия обработки, права субъектов. Если оператор использует ПЭП — в политике должен быть описан порядок признания ПЭП и механизм хранения доказательств согласия.

«Ст. 18.1 ФЗ-152: оператор обязан принять меры, необходимые для выполнения обязанностей по 152-ФЗ, в том числе опубликовать политику обработки ПДн. Непубликация или несоответствие политики фактической обработке — штраф по ч. 3 ст. 13.11 КоАП: 30 000–60 000 ₽ для юрлица.»

Уведомление о намерении обрабатывать ПДн подаётся в РКН по форме Приказа РКН №180 от 28.10.2022. Сведения в уведомлении должны соответствовать фактической обработке — в том числе способам получения согласий.

Если вы юрист и проверяете комплаенс ОРД — убедитесь, что формы согласий разделены по видам ПДн, оформлены отдельными документами по ст. 9 ФЗ-152 и обеспечены журналами доказательств. До проверки РКН остаётся только один аудит.

Заказать аудит 152-ФЗ

Типовые ситуации: какой вид подписи применить

Ситуация 1. Интернет-магазин собирает контакты для рассылки. Категория — общие ПДн. Согласие на рассылку — отдельная форма с чекбоксом и SMS-подтверждением (ПЭП). Оператор хранит: дату подписания, телефон, IP, идентификатор сессии. Соглашение о признании ПЭП — в публичной оферте. Риск: если журнал событий не сохранён или ПЭП не упомянут в политике — субъект вправе оспорить факт согласия, РКН составит протокол по ч. 2 ст. 13.11.

Ситуация 2. Медицинская клиника получает согласие пациента на обработку данных о здоровье. Категория — специальные ПДн по ст. 10 ФЗ-152. Требуется письменная форма. Электронный вариант — только УКЭП пациента или бумажное согласие. ПЭП и УНЭП — недопустимы. Нарушение: штраф по ч. 2 ст. 13.11 КоАП от 300 000 до 700 000 ₽. При повторном нарушении — по ч. 2.1: до 1 500 000 ₽.

Ситуация 3. HR-система получает согласие работника на обработку ПДн через КЭДО. Категория зависит от состава: если только общие ПДн — допустим УКЭП (стандарт КЭДО по 422-ФЗ). Если в личном деле есть медицинские данные или копии документов с биометрией — согласие на эту часть только письменное. Распространённая ошибка: единое согласие через КЭДО охватывает и специальные категории без разграничения — это нарушение ч. 2 ст. 9 ФЗ-152.

Частые вопросы

1. Какие документы должны быть у оператора ПДн по действующим требованиям?

Минимальный пакет ОРД включает: политику обработки ПДн (ст. 18.1 ФЗ-152), приказ о назначении ответственного (ст. 22.1 ФЗ-152), формы согласий для каждой цели и категории ПДн (ст. 9 ФЗ-152 в ред. ФЗ-156 от 24.06.2025), уведомление в реестре РКН (ст. 22 ФЗ-152), регламент реагирования на запросы субъектов и инциденты, журналы учёта обработки и обращений субъектов. Отсутствие любого из документов — основание для штрафа по соответствующей части ст. 13.11 КоАП.

2. Как составить политику обработки ПДн, чтобы она соответствовала ст. 18.1 ФЗ-152?

Политика должна содержать: наименование и контакты оператора, цели и правовые основания обработки, категории субъектов и перечни ПДн, способы и сроки обработки, порядок передачи третьим лицам и трансграничной передачи (если есть), права субъектов и порядок их реализации. Политика публикуется на официальном сайте (ч. 2 ст. 18.1 ФЗ-152). Шаблоны из интернета без адаптации — рискованны: они не учитывают фактическую обработку конкретного оператора.

3. Кого назначить ответственным за обработку ПДн по ст. 22.1 ФЗ-152?

Оператор-юрлицо обязан назначить ответственного приказом. Это может быть штатный сотрудник (юрист, специалист по безопасности) или внешний DPO-аутсорсер по договору. Требования: знание норм 152-ФЗ, полномочия взаимодействовать с РКН и субъектами. РКН вправе запросить копию приказа на проверке. Отсутствие назначения — нарушение ст. 22.1 ФЗ-152, фиксируемое при плановой и внеплановой проверке.

4. Можно ли использовать шаблон политики конфиденциальности из интернета?

Формально — да, закон не запрещает шаблоны. Практически — нет: РКН при проверке сопоставляет политику с уведомлением в реестре и фактической обработкой. Расхождения (иные цели, иные категории ПДн, неупомянутые обработчики) — основание для предписания и штрафа по ч. 3 ст. 13.11 КоАП. Типовой шаблон охватывает несуществующие у вас основания и не охватывает ваши реальные процессы. Минимальная адаптация — обязательна.

5. Какие согласия нужно переоформить после 01.09.2025?

Согласия, полученные до 01.09.2025 в составе другого документа (договор, оферта, трудовой контракт), переоформлять закон не требует — ФЗ-156 от 24.06.2025 обратной силы не имеет. Но с 01.09.2025 все новые согласия — только отдельный документ. Если оператор продолжает использовать старые формы с совмещёнными согласиями для новых субъектов — каждый такой факт образует состав по ч. 2 ст. 13.11 КоАП. Рекомендуется проверить и актуализировать все активные формы сбора ПДн.

6. Что делать, если субъект хочет отозвать ПЭП-согласие?

Порядок отзыва не зависит от вида подписи: субъект вправе отозвать согласие в любое время (ч. 2 ст. 9 ФЗ-152). Оператор обязан прекратить обработку в разумный срок — как правило, до 30 дней с момента отзыва, если иное не следует из закона или договора. Журнал отзывов ведётся отдельно. При отзыве оператор также обязан уничтожить ПДн, если нет иного правового основания для их хранения.

Итог

Выбор вида электронной подписи для согласия — юридически значимое решение. ПЭП допустим для общих ПДн при наличии соглашения о признании и журнала доказательств. УКЭП обязателен для специальных категорий и биометрии. С 01.09.2025 любое согласие — только отдельный документ, независимо от вида подписи.

Практика DATUM включает аудит ОРД с проверкой форм согласий по всем категориям ПДн, разработку шаблонов под конкретного оператора и сопровождение взаимодействия с РКН при проверках.

Услуги DATUM по теме

Смотрите также

АС
Анна Соколова
Партнёр · ПДн в HR
Партнёр практики DATUM. Специализация — согласия работников по ст. 9 152-ФЗ в ред. ФЗ-156 от 24.06.2025, обработка через КЭДО, биометрия в СКУД, сопровождение проверок РКН в HR-департаментах.

14 марта 2027 года