инструкция 25 января 2027 По состоянию на 25 января 2027

Конклюдентные действия как согласие: больше не работает

С 01.09.2025 согласие на обработку персональных данных — это отдельный документ с обязательными реквизитами по ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025. Конклюдентные действия (галочки в форме, продолжение пользования сайтом, подпись договора) как основание обработки ПДн утратили силу.

Штраф за обработку без надлежащего согласия — до 700 000 ₽ по ч. 2 ст. 13.11 КоАП; повторное нарушение — до 1 500 000 ₽ по ч. 2.1. Если компания собирала согласия через конклюдентные действия и не переоформила их до 01.09.2025 — каждый такой субъект создаёт самостоятельное основание для протокола.

→ Если вы юрист и проверяете комплаенс компании: ниже — пошаговый порядок перехода от конклюдентных форм к действительным согласиям и полный чек-лист ОРД.

ФЗ-156 от 24.06.2025 закрыл дискуссию, которая длилась несколько лет: можно ли считать согласием клика по кнопке «Продолжить», принятия оферты или проставления галочки «Я согласен». Нельзя. С 01.09.2025 согласие оформляется отдельным документом, не объединяется с договором, офертой или политикой конфиденциальности. Ниже — инструкция из шести шагов: что именно менять, в каком порядке и какие документы нужны на каждом этапе.

Шаг 1. Инвентаризируйте все точки сбора ПДн и основания обработки

Прежде чем переоформлять согласия, нужно понять, где именно компания опирается на конклюдентные действия. Типовые точки: форма регистрации на сайте, форма обратного звонка, программа лояльности, анкета соискателя, форма заявки на кредит или страховку, форма подписки на рассылку, чат-бот с первым сообщением.

Для каждой точки зафиксируйте: какие категории ПДн собираются, какова цель обработки, на каком правовом основании по ст. 6 ФЗ-152 ведётся обработка. Если основание — согласие (п. 1 ч. 1 ст. 6), проверьте форму: встроено ли согласие в договор или оферту, является ли галочка отдельным документом, содержит ли документ все реквизиты ст. 9.

«Ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025 — согласие субъекта персональных данных оформляется отдельным документом; объединение с иными документами не допускается.»

Результат шага: реестр точек сбора с указанием категорий ПДн, правового основания и статуса текущего согласия (действительное / конклюдентное / отсутствует).

Шаг 2. Проверьте реквизиты существующих согласий на соответствие ст. 9 ФЗ-152

Действующая редакция ст. 9 ФЗ-152 устанавливает обязательные реквизиты согласия. Документ должен содержать: фамилию, имя, отчество и контактные данные субъекта; наименование и адрес оператора; цель обработки; перечень персональных данных; перечень действий с ними; срок действия согласия и способ его отзыва. Отсутствие хотя бы одного реквизита делает согласие дефектным — оно не защищает оператора от штрафа по ч. 2 ст. 13.11 КоАП.

Особое внимание — согласиям на распространение ПДн. По ст. 10.1 ФЗ-152 для распространения требуется отдельное согласие. Если компания использовала единый документ, объединявший обработку и распространение, — оба основания недействительны.

«Ч. 2 ст. 13.11 КоАП — обработка ПДн без письменного согласия субъекта, если оно обязательно, или с нарушением требований к составу согласия: штраф для юрлица от 300 000 до 700 000 ₽.»

Результат шага: перечень согласий с оценкой: действительное / требует переоформления / отсутствует.

Нашли конклюдентные согласия в документах компании?

Если при инвентаризации выявлено, что согласия встроены в договор, политику или оферту — это нарушение ст. 9 ФЗ-152 в редакции с 01.09.2025. Штраф по ч. 2 ст. 13.11 КоАП — до 700 000 ₽ за каждый выявленный факт. Время на исправление ограничено: РКН фиксирует нарушения при плановых и внеплановых проверках. Юристы DATUM проведут аудит согласий и пакет ОРД под ключ.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Шаг 3. Разработайте новые формы согласий для каждой точки сбора

Согласие — отдельный документ, не подписываемый вместе с договором. На сайте это означает: отдельная страница или отдельное всплывающее окно с текстом согласия и кнопкой подтверждения; не достаточно просто предупреждения «Нажимая кнопку, вы соглашаетесь». Факт ознакомления и волеизъявления должен быть зафиксирован и доказуем.

Для бумажного документооборота (анкеты, заявления) согласие оформляется на отдельном листе с подписью субъекта. Включение согласия в тело анкеты или заявления — нарушение требования об отдельном документе. Для работников: согласие не включается в трудовой договор, даже если обработка обусловлена трудовыми отношениями.

Специальные категории ПДн по ст. 10 ФЗ-152 (здоровье, биометрия) требуют письменного согласия в обязательном порядке — цифровая форма допустима только при наличии усиленной электронной подписи или иного механизма, обеспечивающего идентификацию. Электронное согласие на бумажный документооборот не заменяет.

Шаг 4. Приведите политику обработки ПДн в соответствие со ст. 18.1 ФЗ-152

Политика конфиденциальности — обязательный публичный документ по ст. 18.1 ФЗ-152. Она не является согласием и не может его заменять. В политике должны быть раскрыты: категории обрабатываемых ПДн, цели, правовые основания (для каждой категории), перечень действий, сроки хранения, порядок уничтожения, сведения о трансграничной передаче (если есть), контакты ответственного лица по ст. 22.1.

Типичная ошибка: политика содержит фразу «использование сайта означает согласие с политикой». После 01.09.2025 эта формулировка создаёт видимость конклюдентного согласия и не заменяет отдельный документ. Формулировку необходимо удалить и заменить описанием правовых оснований обработки без ссылки на согласие через использование сайта.

«Ч. 2 ст. 18.1 ФЗ-152 — в политике обработки персональных данных должны быть указаны правовые основания, цели, способы и сроки обработки, а также сведения о лицах, которым ПДн могут быть переданы.»

Результат шага: актуализированная политика конфиденциальности, опубликованная в открытом доступе. Непубличная политика — нарушение ч. 3 ст. 13.11 КоАП, штраф 30 000–60 000 ₽.

Если вы юрист и обнаружили, что политика компании содержит ссылку на конклюдентное согласие — документ требует срочной переработки. Штраф по ч. 3 ст. 13.11 КоАП за отсутствие или несоответствие политики — 30 000–60 000 ₽; повторное нарушение по ч. 2 за дефектное согласие — до 1 500 000 ₽.

Собрать ОРД под ключ

Шаг 5. Обновите уведомление в реестре операторов РКН по ст. 22 ФЗ-152

После изменения состава обрабатываемых ПДн, целей или правовых оснований оператор обязан уведомить РКН об изменении сведений. Форма подачи — через портал pd.rkn.gov.ru с использованием ЕСИА или УКЭП. Порядок утверждён Приказом РКН №180 от 28.10.2022.

Если переход к раздельным согласиям сопровождается изменением перечня обрабатываемых категорий ПДн или целей — это самостоятельное основание для обновления реестровой записи. Срок включения в реестр после подачи уведомления — 30 дней. Неуведомление о намерении осуществлять обработку ПДн — штраф 100 000–300 000 ₽ по ч. 10 ст. 13.11 КоАП.

Параллельно проверьте, назначен ли ответственный за обработку ПДн по ст. 22.1 ФЗ-152. Требования к лицу: наличие специальных знаний в области защиты ПДн, подтверждённых документально. Сведения об ответственном должны быть актуальны в реестре и доступны субъектам.

Как это применяется на практике

Кейс 1. Юрист розничной сети (Центральный ФО, осень 2025) при подготовке к плановой проверке РКН выявил, что форма регистрации в программе лояльности содержала чекбокс «Я согласен с условиями программы и политикой конфиденциальности» — единый документ. После 01.09.2025 такая конструкция нарушает требование об отдельном согласии по ст. 9 ФЗ-152. За три месяца до проверки компания перевела все точки сбора на раздельные согласия, обновила политику и уведомление в реестре. При проверке нарушений по ч. 2 ст. 13.11 КоАП выявлено не было.

Кейс 2. Онлайн-сервис (Северо-Западный ФО, начало 2026) получил жалобу субъекта на обработку его контактных данных без согласия. Основанием для обработки была фраза «продолжая использование сайта, вы соглашаетесь с нашей политикой» — классическое конклюдентное согласие. РКН возбудил дело по ч. 2 ст. 13.11 КоАП. На момент рассмотрения дела компания не имела ни отдельных форм согласий, ни обновлённого уведомления в реестре, ни назначенного ответственного по ст. 22.1 ФЗ-152. Штраф составил сотни тысяч рублей. Арбитражный суд региона оставил постановление в силе. ⚠️ Конкретный номер дела — менеджер уточняет при публикации.

Шаг 6. Соберите полный пакет ОРД и проведите финальный контроль

Переход от конклюдентных согласий к действительным — лишь часть комплаенса по ФЗ-152. Параллельно проверьте наличие всего пакета ОРД: приказ о назначении ответственного (ст. 22.1), положение об обработке ПДн, регламент работы с обращениями субъектов, журнал учёта запросов, договоры с обработчиками (поручение по ч. 3 ст. 6), регламент реагирования на инциденты (Приказ РКН №187).

Отдельно — согласия работников. По ст. 86–88 ТК РФ работодатель вправе обрабатывать ПДн работников для исполнения трудового договора без согласия, однако если обработка выходит за рамки трудовых отношений (например, передача третьим лицам, СКУД с биометрией), требуется отдельное согласие по ст. 9 ФЗ-152. После 01.09.2025 такое согласие не может быть включено в трудовой договор или другие кадровые документы.

Что подготовить для соответствия требованиям с 01.09.2025

Реестр точек сбора ПДн с указанием правового основания по ст. 6 ФЗ-152 для каждой категории
Отдельные формы согласий с полным набором реквизитов по ст. 9 ФЗ-152 — для каждой цели обработки
Обновлённая политика обработки ПДн по ч. 2 ст. 18.1 ФЗ-152 без ссылок на конклюдентное согласие
Актуальное уведомление в реестре операторов РКН (Приказ РКН №180) и приказ о назначении ответственного по ст. 22.1 ФЗ-152
Договоры с обработчиками (поручение обработки по ч. 3 ст. 6) и регламент реагирования на инциденты по Приказу РКН №187

Услуги DATUM по теме

Комплект ОРД под ключ — полный пакет документов: согласия, политика, приказы, регламенты
Аудит соответствия 152-ФЗ — проверка точек сбора, оснований обработки, текущих согласий
DPO-аутсорсинг — ведение функции ответственного по ст. 22.1 на абонентской основе

Частые вопросы

1. Какие документы должны быть у оператора ПДн?

Минимальный пакет ОРД включает: политику обработки ПДн (ст. 18.1 ФЗ-152), отдельные формы согласий субъектов по ст. 9 ФЗ-152, приказ о назначении ответственного за обработку (ст. 22.1 ФЗ-152), уведомление в реестре РКН (ст. 22 ФЗ-152), регламент работы с обращениями субъектов (ст. 20 ФЗ-152), договоры-поручения с обработчиками (ч. 3 ст. 6 ФЗ-152) и регламент реагирования на инциденты по Приказу РКН №187. Отсутствие любого из этих документов создаёт самостоятельное основание для штрафа по ст. 13.11 КоАП.

2. Как составить политику обработки ПДн?

Политика должна быть опубликована в открытом доступе и содержать обязательные разделы по ч. 2 ст. 18.1 ФЗ-152: наименование и контакты оператора, цели обработки, правовые основания для каждой цели, перечень категорий субъектов и ПДн, сроки хранения и порядок уничтожения, сведения о трансграничной передаче (если применимо), контакты ответственного лица. Политика не является согласием и не может содержать формулировок, подразумевающих согласие через использование сайта или иные конклюдентные действия.

3. Кого назначить ответственным по ст. 22.1 ФЗ-152?

Оператор-юрлицо обязан назначить лицо, ответственное за организацию обработки ПДн, приказом руководителя. Требования к квалификации установлены ч. 4 ст. 22.1 ФЗ-152: наличие специальных знаний в области защиты ПДн. На практике — наличие профильного образования или прохождение специализированного обучения. Сведения об ответственном публикуются в открытом доступе и передаются в РКН при уведомлении. Если собственного специалиста нет — функцию можно передать на аутсорсинг.

4. Можно ли использовать шаблон политики из интернета?

Шаблон может служить только отправной точкой. Политика должна отражать реальную деятельность конкретного оператора: фактические категории ПДн, конкретные цели и основания обработки, реальных получателей данных, актуальные сроки хранения. Типовой шаблон не учитывает специфику отрасли, наличие обработчиков, трансграничную передачу и требования к спецкатегориям ПДн по ст. 10 ФЗ-152. РКН при проверке оценивает соответствие политики фактической обработке: расхождение само по себе является нарушением.

5. Какие согласия нужны после 01.09.2025?

После вступления в силу ФЗ-156 от 24.06.2025 согласие на обработку ПДн оформляется отдельным документом. Нельзя включать его в договор, оферту, политику конфиденциальности или любой иной документ. Реквизиты согласия установлены ст. 9 ФЗ-152: ФИО и контактные данные субъекта, наименование оператора, цель, перечень ПДн, перечень действий, срок, способ отзыва. Ранее полученные согласия, которые соответствовали требованиям на момент получения, переоформлять не требуется: обратной силы ФЗ-156 не имеет. Однако если старое согласие было конклюдентным — оно не соответствовало требованиям и в старой редакции.

6. Что делать, если часть согласий уже встроена в договоры и трудно переделать систему?

Встроенность согласия в договор не освобождает от ответственности — это прямое нарушение ст. 9 ФЗ-152 в редакции с 01.09.2025. Технические сложности не являются обстоятельством, исключающим вину по ст. 13.11 КоАП. Рекомендуемый порядок: зафиксировать дату выявления нарушения, немедленно разработать переходные формы согласий, установить срок полного перехода, документировать план и его исполнение. Наличие задокументированного плана перехода учитывается как смягчающее обстоятельство при рассмотрении дела.

Итог

Конклюдентные действия как основание обработки ПДн прекратили своё существование 01.09.2025. С этой даты любая форма обработки, опирающаяся на «продолжение использования сайта», «принятие оферты» или «проставление галочки в договоре», является нарушением ст. 9 ФЗ-152 с риском штрафа от 300 000 до 1 500 000 ₽ по ч. 2 и ч. 2.1 ст. 13.11 КоАП. Шесть шагов, описанных выше, позволяют системно закрыть это нарушение и одновременно привести в порядок весь пакет ОРД.

Юристы DATUM сопровождают переход от конклюдентных форм к действительным согласиям в рамках услуги «Комплект ОРД под ключ»: разрабатываем формы согласий под каждую точку сбора, обновляем политику конфиденциальности, актуализируем уведомление в реестре РКН и организуем назначение ответственного по ст. 22.1 ФЗ-152.

АС

Анна Соколова

Партнёр · ПДн в HR

Партнёр практики DATUM. Согласия работников по ст. 9 ФЗ-152 в ред. ФЗ-156, КЭДО, биометрия в СКУД, сопровождение проверок РКН в HR-департаментах.

25 января 2027 года