Переподписание согласий после 01.09.2025: алгоритм
Поправки ФЗ-156 от 24.06.2025 не требуют переоформления ранее полученных согласий: закон обратной силы не имеет. Однако любое согласие, полученное после 01.09.2025 в составе иного документа, дефектно. Это означает, что все новые работники, клиенты и контрагенты должны подписывать отдельный документ. А там, где согласие истекает или отзывается после 01.09.2025, требуется повторное оформление по новым правилам. Ниже — пошаговый порядок для юриста, ответственного за организацию обработки персональных данных в компании.
Шаг 1. Инвентаризация существующих согласий
Прежде чем переходить к переподписанию, необходимо понять, что именно есть в компании. Составьте реестр: какие категории субъектов охватываются (работники, соискатели, клиенты, пользователи сайта), на каком основании получено согласие и в какой форме оно зафиксировано.
Для каждой записи реестра определите три параметра. Первый — форма: отдельный документ или часть иного. Второй — дата получения: до или после 01.09.2025. Третий — статус: действует, истекло, отозвано.
Согласия, полученные до 01.09.2025 в составе трудового договора или оферты, остаются действительными — переоформлять их немедленно не нужно. Но как только субъект их отзывает и вы запрашиваете повторное согласие, форма должна соответствовать новым требованиям.
Шаг 2. Определение обязательных реквизитов согласия
Каждое согласие, оформленное после 01.09.2025, должно содержать следующие сведения: фамилия, имя, отчество субъекта; контактные данные субъекта или его представителя; наименование и адрес оператора; цель обработки; перечень персональных данных, на обработку которых даётся согласие; перечень действий с персональными данными; срок действия согласия или условие прекращения; способ отзыва согласия.
Отсутствие хотя бы одного реквизита означает, что согласие не соответствует ст. 9 ФЗ-152. При проверке РКН такое согласие будет квалифицировано как его отсутствие, что влечёт ответственность по ч. 2 ст. 13.11 КоАП.
Отдельно: если обрабатываются специальные категории персональных данных по ст. 10 ФЗ-152 (состояние здоровья, судимость и пр.) или биометрические данные по ст. 11 ФЗ-152, для каждой категории требуется самостоятельное согласие с указанием специальной цели.
Проверяете, соответствуют ли ваши формы согласий новым требованиям?
Если юрист компании анализирует пакет документов после 01.09.2025 — каждая дефектная форма согласия создаёт основание для штрафа 300 000–700 000 ₽ по ч. 2 ст. 13.11 КоАП. При повторном нарушении — до 1 500 000 ₽. Срок для устранения нарушений после предписания РКН не восстанавливается.
Заказать аудит 152-ФЗОтветим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru
Шаг 3. Определение приоритетных групп субъектов для переподписания
Не все согласия требуют немедленного переподписания. Приоритизируйте группы по двум критериям: вероятность отзыва существующего согласия и категория обрабатываемых данных.
Первая группа — новые субъекты после 01.09.2025. Для них отдельная форма обязательна с первого дня. Вторая группа — субъекты, у которых срок согласия истекает в ближайшие шесть месяцев. При перезаключении применяется новая форма. Третья группа — субъекты, чьи данные относятся к специальным категориям или биометрии: риск штрафа при нарушении здесь максимальный.
Работников, принятых до 01.09.2025, переводите на новые формы при ближайшем удобном взаимодействии: приёме нового заявления, изменении должности, подписании дополнительного соглашения к трудовому договору.
Шаг 4. Разработка форм согласий под каждую категорию субъектов
Универсальная форма согласия не существует. Для каждой категории субъектов и цели обработки нужен отдельный шаблон. Минимальный перечень форм для компании среднего размера включает: согласие работника на обработку ПДн (общее), согласие работника на обработку специальных категорий (при наличии), согласие соискателя, согласие клиента (потребителя), согласие на получение рекламных сообщений, согласие на передачу третьим лицам (при необходимости).
Каждая форма должна описывать конкретные действия с данными: сбор, запись, хранение, передача конкретным получателям. Размытые формулировки («использование в деятельности компании») при проверке квалифицируются как нарушение принципа конкретности целей по ст. 5 ФЗ-152.
Шаг 5. Согласование форм с ответственным за обработку по ст. 22.1 ФЗ-152
Ст. 22.1 ФЗ-152 обязывает оператора-юридическое лицо назначить лицо, ответственное за организацию обработки персональных данных. Разработанные формы согласий должны быть проверены и одобрены этим лицом до запуска в использование.
Ответственный по ст. 22.1 также обеспечивает ознакомление работников, непосредственно осуществляющих обработку, с новыми формами и порядком их применения. Это требование ст. 18.1 ФЗ-152: оператор обязан организовать ознакомление работников с законодательством о персональных данных и локальными актами компании.
Если ответственный по ст. 22.1 в компании не назначен — это самостоятельное нарушение, которое будет зафиксировано при проверке. Приказ о назначении — один из первых документов пакета ОРД.
Если ответственный по ст. 22.1 не назначен или формы согласий не прошли внутреннее согласование — при первой же проверке РКН это станет основанием для предписания. Подготовьте пакет ОРД до проверки, а не после неё.
Собрать ОРД под ключШаг 6. Обновление политики обработки персональных данных
Новые формы согласий должны соответствовать опубликованной политике обработки персональных данных по ст. 18.1 ФЗ-152. Если в политике указаны цели, категории данных и получатели — согласие не должно с ней расходиться. Несоответствие создаёт противоречие, которое инспектор РКН зафиксирует как нарушение принципа прозрачности.
Политику необходимо разместить в открытом доступе: на сайте оператора (ч. 2 ст. 18.1 ФЗ-152) и передать субъекту при получении согласия. Непубликация политики — отдельный состав по ч. 3 ст. 13.11 КоАП, штраф для юридического лица 30 000–60 000 ₽.
Проверьте, чтобы политика отражала актуальные цели обработки, категории субъектов и передачи третьим лицам. Устаревшая политика при актуальных согласиях — типовое нарушение при плановой проверке.
Шаг 7. Актуализация уведомления в реестре РКН
Если в связи с переподписанием согласий изменяются цели обработки, категории данных, способы обработки или получатели — оператор обязан уведомить РКН об изменении сведений (ст. 22 ФЗ-152, Приказ РКН №180 от 28.10.2022). Уведомление подаётся через портал pd.rkn.gov.ru с использованием УКЭП или через ЕСИА.
Если компания вообще не подавала уведомление о намерении обрабатывать персональные данные — переподписание согласий не устраняет это нарушение. Отсутствие в реестре — штраф 100 000–300 000 ₽ по ч. 10 ст. 13.11 КоАП.
Шаг 8. Организация хранения и учёта полученных согласий
Согласие должно храниться в форме, позволяющей подтвердить факт его получения. Это требование ч. 3 ст. 9 ФЗ-152: обязанность доказать правомерность обработки лежит на операторе. При проверке или по запросу субъекта оператор обязан представить согласие в течение 10 рабочих дней по ст. 20 ФЗ-152.
Введите журнал учёта согласий: дата получения, субъект, форма согласия, срок действия, отметка об отзыве. Для электронных согласий — логирование даты и IP-адреса. Журнал — доказательная база при оспаривании штрафа в арбитраже.
Срок хранения согласия — не менее срока обработки данных плюс срок исковой давности (три года по общему правилу). Для согласий работников ориентируйтесь на 75 лет как типовой срок хранения кадровых документов.
Что подготовить юристу по итогам алгоритма
- Реестр согласий с разбивкой по категориям субъектов, форме и статусу (действует / истекло / отозвано)
- Отдельные формы согласий под каждую категорию субъектов и цель — с полным набором реквизитов по ст. 9 ФЗ-152 в редакции ФЗ-156
- Приказ о назначении ответственного за обработку по ст. 22.1 ФЗ-152 и актуальная политика обработки по ст. 18.1 ФЗ-152
- Актуальное уведомление в реестре РКН по ст. 22 ФЗ-152 (Приказ №180 РКН)
- Журнал учёта согласий с доказательствами получения (подпись, лог, дата)
Как это выглядит в практике: два сценария
Сценарий 1. Компания обнаружила, что согласия включены в трудовой договор. Ситуация: юрист торговой компании (Сибирский ФО, осень 2025) при подготовке к плановой проверке РКН выявил, что согласие работников на обработку персональных данных включено в раздел 8 типового трудового договора — без отдельного документа. Часть договоров подписана до 01.09.2025, часть — после. Доказательства: договоры с датой подписания после 01.09.2025 прямо нарушают ч. 1 ст. 9 ФЗ-152 в редакции ФЗ-156. Для договоров, подписанных до 01.09.2025, нарушения нет — обратной силы закон не имеет. Вероятный исход без действий: штраф по ч. 2 ст. 13.11 КоАП 300 000–700 000 ₽ за каждый факт нарушения по договорам после 01.09.2025. Стратегия: немедленная разработка отдельной формы согласия работника, переподписание всех договоров, заключённых после 01.09.2025, и ведение журнала учёта.
Сценарий 2. Согласие клиента включено в оферту интернет-магазина. Ситуация: юрист e-commerce компании (Центральный ФО, зима 2025–2026) проверяет сайт перед расширением ассортимента. В тексте публичной оферты обнаружен пункт: «Акцептируя оферту, покупатель даёт согласие на обработку персональных данных». Доказательства: конструкция нарушает ст. 9 ФЗ-152 — акцепт оферты и согласие на обработку ПДн не могут быть одним действием. РКН при плановой проверке сайтов это отслеживает как индикатор риска. Вероятный исход: предписание об устранении и штраф до 700 000 ₽. При повторном нарушении — до 1 500 000 ₽ по ч. 2.1 ст. 13.11 КоАП. Стратегия: размещение отдельного виджета согласия при регистрации (до акцепта оферты), обновление политики конфиденциальности, уведомление РКН об изменении сведений.
Услуги DATUM по теме
- Комплект ОРД под ключ — 38 документов, включая все формы согласий по требованиям ФЗ-156
- Аудит соответствия 152-ФЗ — проверка существующих согласий и пакета ОРД по чек-листу
- DPO-аутсорсинг — ведение функции ответственного по ст. 22.1 на абонентском обслуживании
Частые вопросы
1. Какие документы должны быть у оператора ПДн?
Минимальный пакет включает: политику обработки персональных данных (ст. 18.1 ФЗ-152), отдельные формы согласий по ст. 9 ФЗ-152 в редакции ФЗ-156, приказ о назначении ответственного по ст. 22.1, уведомление в реестре РКН по ст. 22, регламент реагирования на обращения субъектов, журнал учёта согласий. Полный пакет ОРД — 38 документов. Отсутствие любого из базовых документов фиксируется при проверке РКН.
2. Как составить политику обработки ПДн?
Политика должна раскрывать: цели и правовые основания обработки, категории субъектов и перечень обрабатываемых данных, сроки хранения, порядок передачи третьим лицам, меры защиты, порядок реализации прав субъектов. Ч. 2 ст. 18.1 ФЗ-152 определяет обязательное содержание. Политику публикуют на сайте оператора в открытом доступе — отсутствие публикации образует состав по ч. 3 ст. 13.11 КоАП.
3. Кого назначить ответственным по ст. 22.1 ФЗ-152?
Закон не ограничивает выбор конкретной должностью — это может быть юрист, HR-директор, специалист по ИБ или любой сотрудник с достаточной квалификацией. Ч. 4 ст. 22.1 ФЗ-152 устанавливает требования: знание законодательства о персональных данных и практики его применения. Назначение оформляется приказом руководителя. Отсутствие назначенного ответственного при наличии обработки ПДн — нарушение, фиксируемое при проверке.
4. Нужно ли переоформлять согласия, полученные до 01.09.2025?
Нет. ФЗ-156 от 24.06.2025 не имеет обратной силы: согласия, оформленные до 01.09.2025 в составе договора или иного документа, остаются действительными. Однако любое новое согласие после 01.09.2025 — при приёме нового работника, регистрации нового клиента или повторном запросе после отзыва — должно быть отдельным документом с полными реквизитами по ст. 9 ФЗ-152.
5. Какие согласия нужны после 01.09.2025?
После 01.09.2025 каждое согласие — отдельный документ с реквизитами по ст. 9 ФЗ-152: ФИО субъекта, контакты, наименование оператора, цель, перечень данных, перечень действий, срок, способ отзыва. Для специальных категорий по ст. 10 ФЗ-152 и биометрии по ст. 11 ФЗ-152 — отдельные согласия с указанием специальной цели. Согласие на распространение данных по ст. 10.1 ФЗ-152 также оформляется отдельно.
6. Можно ли использовать шаблон политики из интернета?
Шаблон из открытого источника не учитывает специфику компании: фактические цели обработки, конкретных получателей данных, применяемые инструменты (CRM, облачные сервисы, аналитика), отраслевые требования. Политика, скопированная без адаптации, при проверке РКН квалифицируется как формальное исполнение без содержательного соответствия. Штраф за публикацию политики с явными несоответствиями — тот же, что и за её отсутствие.
Итог
С 01.09.2025 согласие на обработку персональных данных — самостоятельный документ. Встроить его в договор, оферту или политику конфиденциальности больше нельзя. Восемь шагов алгоритма позволяют системно привести пакет согласий в соответствие: от инвентаризации до организации хранения и журнала учёта.
Юристы DATUM сопровождают операторов при разработке форм согласий, формировании полного пакета ОРД из 38 документов и подготовке к проверке РКН — с учётом отраслевой специфики клиента и актуальной практики по ст. 13.11 КоАП.
29 января 2027 года