Перейти к содержанию
инструкция 29 января 2027 По состоянию на 29 января 2027

Опекунство и попечительство: согласие на ПДн

Опекун или попечитель — это законный представитель подопечного по ст. 15 ГК РФ. Он подписывает согласие на обработку персональных данных вместо лица, которое не может действовать самостоятельно.
С 01.09.2025 по ФЗ-156 от 24.06.2025 согласие — отдельный документ с обязательными реквизитами ст. 9 ФЗ-152. Ошибка в оформлении даёт основание для штрафа до 700 000 ₽ по ч. 2 ст. 13.11 КоАП.
Если вы юрист и настраиваете ОРД для оператора, работающего с подопечными, — ниже пошаговая инструкция от формы согласия до уведомления РКН.

Операторы, обрабатывающие персональные данные несовершеннолетних или лиц под опекой, сталкиваются с двойным регуляторным риском: нарушение порядка согласия плюс неполный пакет ОРД. Роскомнадзор при плановой проверке проверяет оба блока одновременно. Инструкция структурирована в шесть шагов — от анализа правовых оснований до подачи уведомления через pd.rkn.gov.ru.

Шаг 1. Определите, кто является субъектом и кто вправе дать согласие

Согласие на обработку персональных данных подопечного даёт его законный представитель. Для несовершеннолетних до 14 лет — опекун или родитель (ст. 9 ФЗ-152, ст. 15 ГК РФ). Для лиц, признанных судом недееспособными, — опекун. Для лиц с ограниченной дееспособностью — попечитель, если обработка выходит за рамки мелких бытовых сделок.

Практический вопрос для юриста: всегда проверяйте документ-основание полномочий. Опекун действует на основании акта органа опеки и попечительства (ст. 35 ГК РФ). Без этого акта согласие ничтожно. Попечитель несовершеннолетнего от 14 до 18 лет не заменяет его волю — несовершеннолетний подписывает согласие самостоятельно, попечитель даёт письменное согласие на это действие.

«Ст. 9 ФЗ-152 (в редакции ФЗ-156 от 24.06.2025, с 01.09.2025) — согласие оформляется отдельным документом, не включается в договор, политику или оферту. Обязательные реквизиты: ФИО субъекта или его представителя, контактные данные, наименование оператора, цель, перечень персональных данных, перечень действий, срок, способ отзыва.»

Зафиксируйте в ОРД: кто является субъектом, кто — законным представителем, какой документ подтверждает полномочия. Это снимает вопрос на проверке РКН.

Шаг 2. Составьте форму согласия с учётом реквизитов ст. 9 ФЗ-152

После 01.09.2025 форма согласия — самостоятельный документ. Нельзя встраивать согласие в трудовой договор, заявление на услугу или пользовательское соглашение. Это требование ФЗ-156 от 24.06.2025, которое напрямую затрагивает операторов, работающих с данными подопечных в образовательных, медицинских, социальных организациях.

Минимальные реквизиты формы согласия представителя подопечного:

  • ФИО субъекта персональных данных (подопечного) и дата рождения;
  • ФИО законного представителя (опекуна или попечителя), реквизиты документа, подтверждающего полномочия;
  • наименование и адрес оператора персональных данных;
  • конкретная цель обработки — не «оказание услуг», а «предоставление социальных услуг в соответствии с договором №...»;
  • перечень персональных данных: ФИО подопечного, дата рождения, адрес, СНИЛС — только то, что фактически обрабатывается;
  • перечень действий с персональными данными (сбор, хранение, передача третьим лицам с указанием наименования);
  • срок действия согласия или указание на бессрочность;
  • способ отзыва согласия: форма, адрес, срок реакции оператора.

Если оператор передаёт данные подопечного третьим лицам (например, подрядчику по ст. 6 ч. 3 ФЗ-152 или государственному органу), это отражается в перечне действий. Умалчивание — основание для штрафа по ч. 1 ст. 13.11 (150 000–300 000 ₽ для юрлица).

Форма согласия разработана, но соответствует ли она новым требованиям?

С 01.09.2025 каждый реквизит ст. 9 ФЗ-152 проверяется при инспекции. Если в форме согласия нет хотя бы одного обязательного элемента — РКН квалифицирует это как нарушение ч. 2 ст. 13.11 КоАП (штраф до 700 000 ₽). Юристы DATUM проверят форму и соберут полный пакет ОРД под ключ — политику, приказы, согласия, регламент.

Собрать ОРД под ключ

Ответим в течение 2 часов · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Шаг 3. Разработайте политику обработки персональных данных по ст. 18.1 ФЗ-152

Политика конфиденциальности — публичный документ. Оператор обязан обеспечить к ней неограниченный доступ (ст. 18.1 ч. 2 ФЗ-152): разместить на сайте или у входа в организацию. Отсутствие публичной политики — штраф по ч. 3 ст. 13.11 (30 000–60 000 ₽). Несоответствие содержания требованиям закона при наличии политики не освобождает от ответственности.

Обязательные разделы политики для оператора, работающего с данными подопечных:

  • наименование и контактные данные оператора;
  • цели обработки персональных данных с указанием правового основания по ст. 6 ФЗ-152;
  • категории субъектов персональных данных — в том числе «несовершеннолетние», «лица под опекой», «законные представители»;
  • перечень обрабатываемых данных по каждой категории субъектов;
  • порядок и условия передачи данных третьим лицам;
  • срок хранения и порядок уничтожения персональных данных;
  • права субъекта (законного представителя) и порядок их реализации;
  • сведения об ответственном за обработку персональных данных (ст. 22.1 ФЗ-152).

Отдельный раздел политики посвятите трансграничной передаче, если используете иностранные сервисы — CRM, облачное хранилище, email-платформу. Это обязательно по ст. 12 ФЗ-152.

Как назначить ответственного за обработку персональных данных по ст. 22.1 ФЗ-152?

Каждый оператор-юрлицо обязан назначить лицо, ответственное за организацию обработки персональных данных (ст. 22.1 ФЗ-152). Это не обязательно штатный юрист — ответственным может быть любой сотрудник, у которого есть профессиональные знания в области защиты персональных данных.

«Ст. 22.1 ФЗ-152 — оператор обязан назначить лицо, ответственное за организацию обработки персональных данных. Лицо не вправе действовать в ущерб интересам субъектов. Контактные данные ответственного публикуются оператором и направляются в РКН.»

Порядок назначения фиксируется приказом руководителя. В приказе указывают: ФИО ответственного, дату назначения, перечень его обязанностей — приём обращений субъектов, ведение журнала, контроль за исполнением политики. Контактные данные ответственного (электронная почта или телефон) размещаются на сайте и передаются в РКН при подаче уведомления по Приказу РКН №180.

Что подготовить для назначения ответственного

  • Приказ о назначении ответственного за организацию обработки персональных данных с перечнем обязанностей.
  • Должностная инструкция или дополнительное соглашение к трудовому договору с описанием функций по ст. 22.1.
  • Журнал обращений субъектов персональных данных — форма учёта входящих запросов с датой, сутью, сроком ответа.
  • Опубликованные контактные данные ответственного на сайте оператора.
  • Сведения об ответственном в уведомлении РКН (форма по Приказу РКН №180 от 28.10.2022).

Шаг 5. Подайте уведомление в Роскомнадзор по ст. 22 ФЗ-152

Оператор обязан уведомить РКН о намерении обрабатывать персональные данные до начала обработки (ст. 22 ФЗ-152). Форма уведомления — Приказ РКН №180 от 28.10.2022. Подача — через портал pd.rkn.gov.ru с использованием ЕСИА или УКЭП. Срок включения в реестр после подачи — 30 дней.

Типичные ошибки при заполнении уведомления для оператора, работающего с данными подопечных:

  • В поле «категории субъектов» не указаны несовершеннолетние и лица под опекой — РКН при проверке фиксирует расхождение с реальной обработкой.
  • Цели обработки сформулированы слишком широко: «для хозяйственной деятельности» вместо конкретного основания по ст. 6 ФЗ-152.
  • Не указаны третьи лица, которым передаются данные, — орган опеки, медицинские организации, подрядчики.
  • Отсутствуют сведения об ответственном по ст. 22.1 — это поле обязательно с момента введения нормы.

Неуведомление или несвоевременное уведомление РКН о намерении обрабатывать персональные данные — штраф по ч. 10 ст. 13.11 КоАП (100 000–300 000 ₽ для юрлица). Повторное нарушение увеличивает санкцию.

Если вы юрист и уведомление в РКН ещё не подано или сведения в реестре устарели — риск штрафа по ч. 10 ст. 13.11 КоАП активен прямо сейчас. До подачи уведомления оператор формально нарушает закон с первого дня обработки. DATUM подготовит уведомление, проверит полноту сведений и сопроводит включение в реестр.

Подготовить уведомление РКН

Шаг 6. Выстройте процедуры реагирования на запросы субъектов и инциденты

Законный представитель подопечного вправе обратиться к оператору с запросом об обработке данных, потребовать уточнения, блокирования или уничтожения персональных данных. Срок ответа по ст. 20 ФЗ-152 — 10 рабочих дней с возможностью продления ещё на 5 рабочих дней при уведомлении заявителя. Нарушение срока или уклонение от ответа — основание для штрафа по ч. 4 или ч. 5 ст. 13.11 КоАП.

Если в системе оператора произошёл инцидент с данными подопечных — утечка, несанкционированный доступ — срабатывают требования ч. 3.1 ст. 21 ФЗ-152: первичное уведомление РКН в течение 24 часов, отчёт о результатах внутреннего расследования через 72 часа по Приказу РКН №187 от 14.11.2022. Данные несовершеннолетних и лиц под опекой относятся к уязвимым категориям, поэтому РКН уделяет таким инцидентам повышенное внимание.

Минимальный регламент реагирования на запросы субъектов должен быть закреплён в ОРД: форма входящего запроса, ответственный за обработку, срок регистрации, срок ответа, порядок исполнения решения об уточнении или уничтожении данных.

Как применяется это на практике: два кейса

Кейс 1. Социальная организация Сибирского федерального округа (осень 2025) получила протокол РКН по результатам плановой проверки. Основания: согласия на обработку данных подопечных включены в договоры на социальные услуги — нарушение ст. 9 ФЗ-152 в редакции с 01.09.2025. Штраф по ч. 2 ст. 13.11 составил несколько сотен тысяч рублей. Новая форма согласия как отдельного документа, разработанная уже в ходе проверки, использовалась как аргумент смягчения, однако не устранила основания для привлечения.

Кейс 2. Образовательная организация Центрального федерального округа (начало 2026) прошла внеплановую проверку РКН после жалобы законного представителя подопечного. Оператор не смог представить приказ о назначении ответственного по ст. 22.1 и журнал обращений субъектов. Политика конфиденциальности была размещена на сайте, но не содержала раздела о категориях субъектов с особым статусом. По совокупности нарушений составлены протоколы по ч. 3 и ч. 4 ст. 13.11 КоАП. Итоговые штрафы — в диапазоне нескольких десятков тысяч рублей по каждому составу.

Услуги DATUM по теме

  • Комплект ОРД под ключ — 38 документов: политика, согласия, приказы, регламенты для операторов любого профиля.
  • Аудит соответствия 152-ФЗ — проверка текущего состояния ОРД и обработки данных с приоритизированным планом устранения нарушений.
  • DPO-аутсорсинг — ответственный по ст. 22.1 на абонентском обслуживании, включая ответы на запросы субъектов.

Частые вопросы

1. Какие документы должны быть у оператора ПДн, работающего с данными подопечных?

Минимальный пакет ОРД включает: уведомление в РКН и выписку из реестра, политику обработки персональных данных по ст. 18.1 ФЗ-152, отдельные формы согласий по ст. 9 ФЗ-152 для каждой цели обработки, приказ о назначении ответственного по ст. 22.1 ФЗ-152, регламент реагирования на обращения субъектов, журнал учёта обращений, регламент реагирования на инциденты с порядком уведомления РКН за 24 часа по Приказу РКН №187. Для операторов, передающих данные по поручению, обязателен договор-поручение по ч. 3 ст. 6 ФЗ-152.

2. Как составить политику обработки персональных данных, чтобы она соответствовала ст. 18.1 ФЗ-152?

Политика должна отражать реальную обработку, а не типовую. Обязательные разделы по ч. 2 ст. 18.1: цели обработки, правовые основания, категории субъектов и данных, перечень третьих лиц, срок хранения, права субъектов и порядок их реализации, контакты ответственного. Для оператора, работающего с данными несовершеннолетних или лиц под опекой, в политику включается отдельный раздел о категории «законные представители» и порядке получения согласия от них. Использование шаблона из интернета без адаптации создаёт риск: РКН сверяет текст политики с фактической обработкой и фиксирует расхождения.

3. Кого назначить ответственным за обработку персональных данных по ст. 22.1 ФЗ-152?

Закон не ограничивает выбор конкретной должностью — ответственным может быть юрист, HR-менеджер, руководитель отдела. Требование ч. 4 ст. 22.1: лицо должно обладать знаниями в области защиты персональных данных. На практике РКН не предъявляет требований к конкретным сертификатам, однако факт обучения или повышения квалификации фиксируется в деле при проверке. Контактные данные ответственного публикуются оператором и передаются в РКН при подаче уведомления по форме Приказа РКН №180 от 28.10.2022. Альтернатива — DPO-аутсорсинг: передача функции ответственного сторонней организации с формальным приказом о назначении.

4. Можно ли использовать шаблон политики конфиденциальности из интернета?

Шаблон можно использовать как структурную основу, но не как готовый документ. РКН при проверке сверяет содержание политики с фактической обработкой данных. Несоответствие — например, в политике указана одна цель, а в согласии другая — квалифицируется как нарушение принципа конкретности целей по ст. 5 ФЗ-152. Типовые шаблоны, как правило, не учитывают категорию субъектов с особым статусом (несовершеннолетние, подопечные), не содержат раздела о трансграничной передаче и устарели применительно к требованиям ФЗ-156 от 24.06.2025.

5. Какие согласия на обработку персональных данных нужно переоформить после 01.09.2025?

По ФЗ-156 от 24.06.2025 переоформлять ранее полученные согласия не требуется — закон не имеет обратной силы. Однако все новые согласия, получаемые с 01.09.2025, должны оформляться отдельным документом. Если ваша форма согласия встроена в договор, заявление или политику — она больше не соответствует ст. 9 ФЗ-152 для вновь собираемых данных. Для операторов, работающих с данными подопечных, это означает: при любом новом субъекте с 01.09.2025 обязательна отдельная форма с реквизитами законного представителя и документом, подтверждающим полномочия опекуна или попечителя.

6. Что будет, если оператор не подал уведомление в РКН, но уже обрабатывает данные подопечных?

Обработка персональных данных без уведомления РКН — нарушение ст. 22 ФЗ-152. Штраф по ч. 10 ст. 13.11 КоАП составляет 100 000–300 000 ₽ для юрлица (в редакции с 30.05.2025). Исключения из обязанности уведомлять перечислены в ч. 2 ст. 22 ФЗ-152: обработка в рамках трудовых отношений, в целях однократного пропуска, членами общественных объединений и ряд других. Оператор, работающий с данными подопечных в социальной, образовательной или медицинской сфере, как правило, под эти исключения не подпадает.

Итог

Обработка персональных данных подопечных требует от оператора точного соответствия сразу нескольким нормам: правильно оформленного согласия законного представителя по ст. 9 ФЗ-152 в редакции с 01.09.2025, полной политики по ст. 18.1, назначенного ответственного по ст. 22.1, поданного уведомления по ст. 22 и работающего регламента реагирования на запросы субъектов. Каждый пропущенный элемент — самостоятельный состав правонарушения по ст. 13.11 КоАП.

Практика DATUM включает разработку пакетов ОРД для операторов, работающих с данными несовершеннолетних и лиц под опекой, в социальном, образовательном и медицинском секторах. Юристы сопровождали проверки РКН в организациях этих профилей и знают, какие документы инспектор запрашивает в первую очередь.

Смотрите также

АС
Анна Соколова
Партнёр · ПДн в HR
Партнёр практики DATUM по защите персональных данных в HR. Специализация — согласия работников по ст. 9 152-ФЗ в редакции с 01.09.2025 (ФЗ-156), обработка через КЭДО, биометрия в СКУД, передача в зарплатных проектах. Сопровождение проверок РКН в HR-департаментах.

29 января 2027 года