инструкция 25 января 2027 По состоянию на 25 января 2027

Оцифровка бумажных согласий: правовые требования

Оцифровка бумажных согласий на обработку персональных данных — это не просто сканирование документов: с 01.09.2025 каждое согласие обязано оформляться отдельным документом с полным набором обязательных реквизитов по ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025.

Несоответствие форм согласия новым требованиям — основание для штрафа по ч. 2 ст. 13.11 КоАП до 700 000 ₽ за один состав, и это один из первых вопросов инспектора при проверке РКН.

→ Если вы юрист и сейчас сверяете пакет ОРД компании — эта инструкция даёт порядок действий по переходу от бумажных форм к электронным с учётом норм 2025–2026 годов.

С 01.09.2025 оператор не вправе включать согласие на обработку персональных данных в текст трудового договора, кадрового приказа, оферты или любого иного документа. Согласие — отдельный самостоятельный документ. Это требование ФЗ-156 от 24.06.2025, изменившего ч. 1 ст. 9 ФЗ-152. Вместе с тем большинство компаний накопили тысячи бумажных форм, которые теперь нужно либо переоформить, либо подтвердить их соответствие действующим требованиям. Ниже — пошаговый порядок оцифровки и приведения в соответствие с нормами ФЗ-152, Приказа РКН №180 и ст. 13.11 КоАП в редакции ФЗ-420 от 30.11.2024.

Шаг 1. Проведите инвентаризацию бумажных согласий

Прежде чем переводить согласия в электронный вид, необходимо понять, какие формы существуют в компании и какому правовому режиму подчиняются. Типичные категории: согласия работников на обработку ПДн при трудоустройстве и в кадровом учёте, согласия клиентов на маркетинговые рассылки, согласия на распространение ПДн по ст. 10.1 ФЗ-152, согласия на обработку специальных категорий ПДн по ст. 10, письменные согласия на обработку биометрических ПДн по ст. 11.

«Ст. 9 ФЗ-152 — согласие субъекта должно быть конкретным, информированным и сознательным. С 01.09.2025 оно оформляется отдельным документом, не совмещается с иными документами (ФЗ-156 от 24.06.2025). Перечень обязательных реквизитов: ФИО субъекта, контактные данные, наименование и адрес оператора, цели обработки, перечень ПДн, перечень действий, срок, способ отзыва.»

На этапе инвентаризации фиксируйте: дату получения каждой формы, способ подписания, наличие или отсутствие каждого из обязательных реквизитов, цели обработки, указанные в форме, и соответствие указанных целей фактической обработке. Результат — реестр согласий с оценкой статуса: «соответствует», «требует переоформления», «недействительно».

Шаг 2. Проверьте, какие согласия подлежат переоформлению

ФЗ-156 не имеет обратной силы: согласия, полученные до 01.09.2025 в составе иного документа, юридически не аннулируются автоматически. Однако они создают правовой риск при проверке РКН, если инспектор квалифицирует их как несоответствующие требованиям ч. 1 ст. 9 ФЗ-152 в действующей редакции.

Переоформлению подлежат обязательно: согласия, в которых отсутствует хотя бы один реквизит из перечня ст. 9; формы, объединённые с трудовым договором, офертой или иным документом; согласия на распространение ПДн без соблюдения требований ст. 10.1 (отдельный документ с запретами/разрешениями по каждому способу распространения); формы без указания способа отзыва согласия.

«Ст. 10.1 ФЗ-152 — распространение ПДн допускается только при наличии отдельного согласия. Молчание субъекта означает запрет на распространение. Согласие на распространение не может быть частью общего согласия.»

Как сканировать бумажные согласия без потери юридической силы?

Оцифровка бумажного согласия — это создание электронной копии документа, которая должна обеспечивать идентификацию подписанта и неизменность содержания. Требования к электронной копии в ФЗ-152 прямо не установлены, поэтому применяется общий подход: скан-копия должна быть читаема, содержать все реквизиты оригинала и храниться в защищённой системе с контролем доступа.

Практический порядок сканирования: разрешение не менее 300 dpi, формат PDF/A (ISO 19005 — долгосрочное хранение), имя файла по шаблону «согласие_ФИО_дата_тип», хранение в структурированном архиве с логом доступа. Оригинал на бумаге уничтожать нельзя до истечения срока, необходимого для подтверждения обработки: как правило, это срок действия согласия плюс срок исковой давности.

Пакет ОРД не обновлён после 01.09.2025?

Если юрист обнаружил, что часть согласий в компании объединена с трудовыми договорами или офертами — это нарушение ч. 1 ст. 9 ФЗ-152 в редакции ФЗ-156. Каждая такая форма может стать основанием для штрафа по ч. 2 ст. 13.11 КоАП до 700 000 ₽. Юристы DATUM соберут пакет ОРД с актуальными формами согласий и проведут аудит текущего состояния документооборота.

Собрать ОРД под ключ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Шаг 3. Разработайте новые электронные формы согласий

Электронное согласие действительно при соблюдении тех же реквизитов, что и бумажное. Дополнительно для электронной формы необходимо обеспечить: подтверждение личности субъекта (логин/пароль в личном кабинете, УКЭП, СМС-подтверждение с привязкой к номеру), фиксацию факта и момента акцепта (timestamp сервера в UTC+3), невозможность изменения содержания после подписания, техническую возможность отзыва согласия через тот же канал.

Для каждой категории субъектов — своя форма. Согласие работника на обработку ПДн в целях кадрового учёта не подходит для целей передачи данных в зарплатный банк. Согласие клиента на обработку контактных данных не охватывает маркетинговые рассылки по ст. 10.1. Смешение целей в одной форме — типовое нарушение ч. 2 ст. 13.11 КоАП.

«Ст. 9 ФЗ-152, ч. 4 — в случае получения согласия в электронной форме оператор обязан обеспечить его соответствие всем требованиям к содержанию, установленным ч. 4 ст. 9. Электронная форма не освобождает от обязанности включить каждый из 9 обязательных реквизитов.»

Шаг 4. Обновите политику обработки персональных данных

Политика обработки ПДн по ст. 18.1 ФЗ-152 должна отражать актуальный порядок, включая способы получения согласий и их хранения. Если компания переходит на электронные формы — политика фиксирует этот переход: описывает технические способы получения согласия, порядок хранения электронных копий, права субъекта на отзыв и механизм реализации этих прав.

Обязательные разделы политики по ч. 2 ст. 18.1: цели обработки, правовые основания, перечень обрабатываемых ПДн, порядок передачи третьим лицам, права субъектов и порядок их реализации, срок обработки, меры защиты. При оцифровке добавляют раздел о порядке работы с электронными согласиями и их архивом.

«Ст. 18.1 ФЗ-152 — оператор обязан принять меры для обеспечения выполнения обязанностей, предусмотренных законом. К таким мерам относится в том числе разработка и публикация политики обработки ПДн, устанавливающей процедуры получения и хранения согласий.»

Шаг 5. Обновите уведомление в реестре операторов РКН

При изменении состава обрабатываемых ПДн, целей или способов обработки оператор обязан уведомить РКН об изменении сведений. Форма уведомления установлена Приказом РКН №180 от 28.10.2022, подача — через портал pd.rkn.gov.ru с использованием УКЭП или через ЕСИА. Переход на электронные согласия может повлечь расширение категорий обрабатываемых ПДн или появление нового способа обработки — это основание для подачи уведомления об изменении.

Если оператор вообще не включён в реестр — оцифровка согласий не снимает этой обязанности. Отсутствие уведомления при фактической обработке влечёт штраф по ч. 10 ст. 13.11 КоАП от 100 000 до 300 000 ₽ для юридического лица.

«Ст. 22 ФЗ-152 — оператор обязан уведомить уполномоченный орган о намерении осуществлять обработку ПДн до начала такой обработки. При изменении сведений, указанных в уведомлении, оператор обязан сообщить об этом в течение 10 рабочих дней. Форма уведомления — Приказ РКН №180.»

Если юрист выявил, что уведомление в реестре РКН не отражает актуальный состав обработки — это нарушение ст. 22 ФЗ-152. Срок на направление уведомления об изменениях — 10 рабочих дней с момента изменения. Юристы DATUM подготовят и подадут уведомление с учётом новых форм согласий.

Заказать аудит 152-ФЗ

Шаг 6. Назначьте ответственного и распределите функции

Ст. 22.1 ФЗ-152 обязывает оператора-юридическое лицо назначить лицо, ответственное за организацию обработки персональных данных. Оцифровка согласий — повод проверить, назначен ли ответственный, есть ли у него актуальные должностные инструкции и полномочия. Проверяющий инспектор РКН запрашивает приказ о назначении в числе первых документов.

Ответственный за обработку ПДн — это не обязательно юрист или CISO. Это может быть любой сотрудник, которому делегированы функции по ст. 22.1: организация работы с ПДн, контроль соответствия требованиям закона, взаимодействие с субъектами и РКН. На практике эту роль совмещают с должностью юриста, HR-директора или руководителя IT-службы — в зависимости от структуры компании.

Что подготовить при оцифровке согласий

Реестр бумажных согласий с оценкой соответствия реквизитам ст. 9 ФЗ-152 (в редакции ФЗ-156 от 24.06.2025)
Новые электронные формы согласий — отдельный документ для каждой цели обработки с 9 обязательными реквизитами
Актуальная политика обработки ПДн с разделом об электронных согласиях и порядке их хранения (ст. 18.1 ФЗ-152)
Уведомление об изменении сведений в реестре операторов РКН по Приказу №180 (если изменились цели, состав ПДн или способы обработки)
Приказ о назначении ответственного за организацию обработки ПДн по ст. 22.1 ФЗ-152

Типовые ситуации при оцифровке согласий

Ситуация 1. Согласие работника включено в трудовой договор. Юрист производственной компании (Уральский ФО, начало 2026) обнаружил при аудите, что форма согласия работника на обработку ПДн в кадровых целях включена в текст трудового договора как отдельный пункт. После 01.09.2025 такая форма не соответствует ч. 1 ст. 9 ФЗ-152 в редакции ФЗ-156. Компания разработала самостоятельный документ согласия с полным набором реквизитов, провела повторное подписание с работниками при очередном кадровом мероприятии и внесла изменения в типовые кадровые формы. РКН при последующей плановой проверке замечаний по этому вопросу не предъявил. Стратегия: не ждать проверки, переоформить в рамках планового HR-мероприятия.

Ситуация 2. Согласие на рассылку объединено с политикой конфиденциальности сайта. Юрист торговой компании (Центральный ФО, осень 2025) при проверке сайта выявил, что галочка «Согласен с политикой конфиденциальности» применяется одновременно как согласие на маркетинговые рассылки. Это нарушение одновременно ч. 1 ст. 9 (согласие не отдельный документ) и ст. 10.1 (согласие на распространение не выделено). При жалобе одного из подписчиков в РКН это стало бы основанием для протокола по ч. 2 ст. 13.11 КоАП — штраф до 700 000 ₽. Компания внедрила отдельную форму согласия на рассылку с возможностью отзыва в личном кабинете. Стратегия: разделить согласие на использование сайта, согласие на обработку ПДн и согласие на рассылку — три разных документа.

Ситуация 3. Оператор не в реестре РКН, но фактически обрабатывает ПДн через CRM. Юрист сервисной компании (Сибирский ФО, 2025) при подготовке к аудиту обнаружил, что компания с 2019 года ведёт базу клиентов в CRM и не подавала уведомление в РКН, полагая, что это требование не распространяется на малый бизнес. Такое основание для освобождения в ст. 22 ФЗ-152 отсутствует — освобождения действуют по перечню ч. 2 ст. 22 и не содержат критерия размера компании. Штраф по ч. 10 ст. 13.11 КоАП — от 100 000 до 300 000 ₽. После уведомления о включении в реестр при взаимодействии с РКН факт добровольного устранения нарушения учитывается как смягчающее обстоятельство. Стратегия: уведомить РКН до проверки.

Услуги DATUM по теме

Комплект ОРД под ключ — полный пакет из актуальных форм согласий, политики и приказов
Аудит соответствия 152-ФЗ — проверка всех форм согласий и ОРД по чек-листу из 38 пунктов
DPO-аутсорсинг — ведение функции ответственного по ст. 22.1 на абонентском обслуживании

Частые вопросы

1. Какие документы должны быть у оператора ПДн?

Минимальный пакет ОРД включает: политику обработки ПДн по ст. 18.1 ФЗ-152, приказ о назначении ответственного по ст. 22.1, формы согласий субъектов по ст. 9 (отдельный документ с 01.09.2025), регламент реагирования на запросы субъектов по ст. 20, регламент действий при утечке по ст. 21 ч. 3.1, журнал учёта обращений субъектов, договоры-поручения с обработчиками по ч. 3 ст. 6. Отсутствие любого из этих документов — основание для штрафа по соответствующей части ст. 13.11 КоАП.

2. Как составить политику обработки персональных данных?

Политика должна соответствовать требованиям ч. 2 ст. 18.1 ФЗ-152: содержать цели обработки, правовые основания для каждой цели, перечень категорий субъектов и ПДн, порядок и условия обработки, срок обработки, сведения о передаче третьим лицам, права субъектов и порядок их реализации, меры защиты. Политика публикуется в открытом доступе (на сайте или информационном стенде) и не должна содержать сведений, которые не соответствуют фактической обработке — это создаёт риски при проверке РКН по ч. 3 ст. 13.11 КоАП (штраф до 60 000 ₽).

3. Кого назначить ответственным по ст. 22.1 ФЗ-152?

Закон не устанавливает требований к должности или квалификации ответственного за организацию обработки ПДн. Ответственным может быть штатный сотрудник любой должности или внешний исполнитель по договору DPO-аутсорсинга. Ключевое требование — оформление приказом с описанием полномочий: ответы на запросы субъектов в течение 10 рабочих дней (ст. 20 ФЗ-152), контроль соответствия обработки требованиям закона, взаимодействие с РКН. Приказ о назначении — первый документ, который запрашивает инспектор при проверке.

4. Можно ли использовать шаблон политики из интернета?

Публичные шаблоны не учитывают специфику конкретной компании: набор целей обработки, категории субъектов, перечень подрядчиков, которым передаются ПДн, и используемые системы. Политика, скопированная без адаптации, как правило, содержит цели и категории ПДн, которые не соответствуют фактической обработке. РКН при проверке сопоставляет содержание политики с реальной практикой компании. Расхождение — основание для предписания и штрафа по ч. 1 ст. 13.11 КоАП.

5. Какие согласия нужны после 01.09.2025?

После вступления в силу ФЗ-156 от 24.06.2025 любое согласие на обработку ПДн должно быть оформлено как отдельный самостоятельный документ — не встроенный в договор, оферту, трудовое соглашение или политику конфиденциальности. Набор обязательных реквизитов по ч. 4 ст. 9 ФЗ-152 не изменился, но требование «отдельного документа» стало императивным. Согласия, полученные до 01.09.2025 в составе иных документов, обратной силы ФЗ-156 не имеют, однако их наличие создаёт риск при новой проверке РКН, поскольку инспектор оценивает актуальность форм на дату проверки.

6. Как организовать отзыв согласия в электронном виде?

Ст. 9 ФЗ-152 требует указывать в согласии способ отзыва. Для электронных форм это может быть: кнопка «Отозвать согласие» в личном кабинете, направление заявления на электронную почту оператора, форма обратной связи на сайте. Оператор обязан прекратить обработку в течение 30 дней с момента отзыва (ч. 5 ст. 21 ФЗ-152), а при невозможности — уничтожить ПДн. Фиксируйте дату и способ отзыва в реестре согласий — это доказательство соблюдения требований при возможном споре с субъектом.

Итог

Оцифровка бумажных согласий — технический процесс, обусловленный правовой рамкой. С 01.09.2025 согласие на обработку ПДн обязано быть отдельным документом с полным набором реквизитов по ст. 9 ФЗ-152 в редакции ФЗ-156; формы, встроенные в трудовые договоры или оферты, создают риск штрафа по ч. 2 ст. 13.11 КоАП до 700 000 ₽ за каждый состав. Одновременно оцифровка требует актуализации политики обработки ПДн, уведомления РКН по Приказу №180 и назначения ответственного по ст. 22.1 ФЗ-152.

Юристы DATUM сопровождают переход на электронные согласия в рамках услуги «Комплект ОРД под ключ» и «Аудит соответствия 152-ФЗ» — от инвентаризации бумажного архива до подачи актуализированного уведомления в реестр операторов РКН.

АС

Анна Соколова

Партнёр · ПДн в HR

Партнёр практики DATUM. Специализация — согласия работников по ст. 9 152-ФЗ в редакции ФЗ-156, обработка через КЭДО, биометрия в СКУД, сопровождение проверок РКН в HR-департаментах.

25 января 2027 года