Перейти к содержанию
инструкция 29 января 2027 По состоянию на 29 января 2027

Реестр согласий: что хранить и как долго

Реестр согласий — это учётный документ оператора ПДн, фиксирующий факт получения, содержание и статус каждого согласия субъекта на обработку его персональных данных.
С 01.09.2025 согласие оформляется отдельным документом по ФЗ-156 от 24.06.2025: ни трудовой договор, ни оферта, ни политика конфиденциальности его не заменяют. Отсутствие реестра при проверке Роскомнадзора — основание для протокола по ч. 2 ст. 13.11 КоАП со штрафом до 700 000 ₽ за юрлицо.
Если вы юрист и выстраиваете документооборот ОРД для оператора — ниже пошаговый порядок: что включить в реестр, сколько хранить и как защититься от штрафа.

Роскомнадзор при плановой и внеплановой проверке запрашивает реестр согласий одним из первых. Инспектор сверяет перечень субъектов, дату получения согласия, цели и действия с ПДн, а также факт возможного отзыва. Если реестра нет или в нём неполные данные — доказать законность обработки практически невозможно. Эта инструкция описывает шесть шагов: от определения состава реестра до организации хранения и уничтожения согласий.

Шаг 1. Определите, для каких категорий субъектов нужен реестр

Согласие по ст. 9 ФЗ-152 требуется не для всех случаев обработки. Однако реестр нужен для каждой категории субъектов, в отношении которых основанием обработки является именно согласие. Типовой состав для большинства операторов:

  • Работники — согласие на обработку ПДн сверх трудовых обязанностей (передача в зарплатный банк, публикация на корпоративном сайте, СКУД с биометрией).
  • Соискатели — согласие на хранение резюме и обработку данных до трудоустройства.
  • Клиенты физические лица — согласие на маркетинговые коммуникации, программы лояльности, передачу третьим лицам.
  • Посетители сайта — согласие на cookies, если оператор квалифицирует их как ПДн в соответствии с позицией РКН.
  • Пациенты или обучающиеся — при обработке специальных категорий ПДн по ст. 10 ФЗ-152.

Если оператор обрабатывает ПДн на ином законном основании — например, в целях исполнения договора по п. 5 ч. 1 ст. 6 ФЗ-152 — согласие не требуется и в реестр эта категория не включается. Смешивать основания нельзя: это нарушение принципа законности по ст. 5 ФЗ-152.

«Ст. 6 ФЗ-152 устанавливает 11 оснований обработки ПДн. Согласие субъекта — одно из них (п. 1 ч. 1). Если обработка ведётся без согласия на ином законном основании, реестр согласий для этой операции не ведётся.»

Ваш реестр согласий формируется с нуля или требует аудита?

Если юрист только выстраивает ОРД или проверяет существующий пакет документов — критично понять, какие согласия действительны после 01.09.2025 (ФЗ-156), а какие требуют переоформления. Ошибка в одном документе тиражируется на всех субъектов одной категории. Штраф по ч. 2 ст. 13.11 — до 700 000 ₽ за юрлицо.

Собрать ОРД под ключ

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Шаг 2. Установите обязательные реквизиты каждой записи реестра

Реестр согласий — не произвольный журнал. Каждая запись должна позволить оператору в любой момент подтвердить законность обработки конкретного субъекта. Минимально необходимые реквизиты записи:

  • ФИО субъекта и его идентификатор в системах оператора.
  • Дата получения согласия.
  • Форма согласия: письменная (собственноручная подпись), электронная (УКЭП, простая ЭП с верификацией), веб-форма с фиксацией IP и timestamp.
  • Цель обработки — дословно из текста согласия.
  • Перечень обрабатываемых ПДн — категории, указанные в согласии.
  • Перечень разрешённых действий.
  • Третьи лица, которым разрешена передача, — если указаны.
  • Срок действия согласия или указание на бессрочность.
  • Статус: действует / отозвано / истекло.
  • Дата отзыва и основание — если согласие отозвано.
  • Ссылка на хранилище оригинала (путь в архиве, номер дела, ID в СЭД).

Реквизиты согласия как документа закреплены в ч. 4 ст. 9 ФЗ-152. С 01.09.2025 согласие не может быть частью другого документа — это требование ФЗ-156 от 24.06.2025. Реестр фиксирует каждый оригинал как самостоятельный документ.

«Ч. 4 ст. 9 ФЗ-152 перечисляет обязательные реквизиты согласия: наименование оператора, цель, перечень ПДн, перечень действий, срок, способ отзыва. Реестр воспроизводит эти реквизиты в учётной форме для каждого субъекта.»

Шаг 3. Установите сроки хранения согласий

Срок хранения согласия зависит от категории субъекта и цели обработки. Единого срока в ФЗ-152 нет: закон требует хранить ПДн не дольше, чем необходимо для достижения целей (ст. 5 ФЗ-152), и уничтожать по истечении этого срока или при отзыве согласия. На практике применяются следующие правила:

  • Работники. Согласия, связанные с трудовыми отношениями, — как правило, в составе личного дела. Типовой срок хранения личного дела — 75 лет (для большинства должностей). Согласия на передачу ПДн в зарплатный банк — до прекращения договора с банком плюс срок исковой давности (3 года).
  • Соискатели. При отказе в найме — рекомендованный срок хранения резюме и согласия 1–3 года, если субъект дал согласие именно на этот срок. При отсутствии явного срока — до достижения цели (трудоустройство не состоялось) плюс срок исковой давности.
  • Клиенты. Согласие на маркетинговые рассылки — до отзыва или прекращения правоотношений; оригинал — не менее 3 лет после истечения срока (на случай жалобы в РКН или иска).
  • Специальные категории ПДн (ст. 10 ФЗ-152). Хранить согласие не короче срока хранения медицинской документации или иного профильного регулирования (например, 25 лет для медкарты по приказу Минздрава).

Ключевое правило: согласие должно храниться не менее срока, в течение которого оператор может быть привлечён к ответственности за связанную обработку. Срок давности по ст. 13.11 КоАП — 1 год с момента совершения (ст. 4.5 КоАП); для длящихся нарушений — с момента их обнаружения. Хранить согласие менее 3 лет после прекращения обработки — риск.

«Ст. 5 ч. 1 п. 7 ФЗ-152: персональные данные подлежат уничтожению или обезличиванию по достижении целей обработки или при утрате необходимости в её достижении.»

Что подготовить для реестра согласий

  • Форма реестра согласий с реквизитами из ч. 4 ст. 9 ФЗ-152 и полем статуса (действует/отозвано/истекло).
  • Отдельные документы согласий по каждой категории субъектов — в соответствии с требованиями ФЗ-156 от 24.06.2025 (с 01.09.2025 не в составе договора или политики).
  • Номенклатура дел или регламент хранения с указанием сроков по каждой категории.
  • Приказ о назначении ответственного за организацию обработки ПДн по ст. 22.1 ФЗ-152.
  • Регламент уничтожения ПДн и актирования факта уничтожения (акт об уничтожении носителей).

Шаг 4. Организуйте хранение оригиналов и фиксацию в реестре

Реестр согласий — учётная форма. Оригиналы согласий хранятся отдельно. Оператор обязан обеспечить возможность предъявить оригинал при обращении субъекта или в ходе проверки РКН. Форматы хранения оригиналов:

  • Бумажные согласия. Подшиваются в дела по категориям субъектов, нумеруются, хранятся в закрытых шкафах с ограниченным доступом. Реестр содержит ссылку на дело и лист.
  • Электронные согласия (веб-форма, КЭДО). Хранятся в базе данных или СЭД с логированием. Реестр содержит ID записи и timestamp. Обязательно: резервное копирование, защита от несанкционированного изменения.
  • Согласия через КЭДО. При использовании корпоративного КЭДО согласие работника является самостоятельным документом с УКЭП или УНЭП — требование ФЗ-156. В реестре фиксируется идентификатор документа в системе КЭДО и дата подписания.

Ответственный за организацию обработки ПДн по ст. 22.1 ФЗ-152 несёт персональную ответственность за ведение реестра. Это должностное лицо — как правило, юрист, HR-директор или специально назначенный сотрудник. Требования к его квалификации установлены ч. 4 ст. 22.1 ФЗ-152.

«Ст. 22.1 ФЗ-152: оператор-юрлицо обязан назначить лицо, ответственное за организацию обработки ПДн. Это лицо получает, рассматривает обращения субъектов и взаимодействует с РКН.»

Шаг 5. Выстройте процедуру обработки отзыва согласия

Субъект вправе отозвать согласие в любой момент (ч. 2 ст. 9 ФЗ-152). Отзыв не влечёт автоматического прекращения обработки, если она ведётся на ином законном основании, — но в отношении операций, основанных исключительно на согласии, оператор обязан прекратить обработку. Порядок в реестре:

  • Зафиксировать дату и способ получения отзыва (письменное заявление, электронное обращение, форма на сайте).
  • Присвоить записи статус «отозвано».
  • Проставить дату планируемого уничтожения ПДн — закон не устанавливает точный срок, но практика РКН: уничтожение должно быть завершено в разумный срок (обычно не более 30 дней).
  • После уничтожения — зафиксировать дату и реквизиты акта об уничтожении.
  • Оригинал отзыва — хранить вместе с оригиналом согласия или отдельно в деле отзывов.

Важно: уничтожить само согласие нельзя до истечения срока хранения документа. Уничтожаются ПДн субъекта — не документ, подтверждающий их законную обработку. Реестр сохраняет запись с пометкой «отозвано» и датой уничтожения данных.

Если у оператора нет регламента обработки отзыва — при жалобе субъекта в РКН это станет самостоятельным нарушением по ч. 5 ст. 13.11 КоАП (штраф 50 000–90 000 ₽). Юристы DATUM формируют процедуру отзыва в составе ОРД-пакета за фиксированную цену.

Собрать ОРД под ключ

Шаг 6. Синхронизируйте реестр с уведомлением в РКН и политикой конфиденциальности

Реестр согласий — часть системы ОРД оператора. Он должен быть согласован с тремя документами:

  • Уведомление в реестре РКН (ст. 22 ФЗ-152, Приказ РКН №180). Цели и категории ПДн, указанные в уведомлении, должны охватывать все случаи, для которых оператор собирает согласия. Несовпадение — нарушение ч. 1 ст. 13.11 КоАП (150 000–300 000 ₽).
  • Политика конфиденциальности (ст. 18.1 ФЗ-152). Обязательный публичный документ. Перечень целей, оснований и категорий ПДн в политике должен соответствовать реальным операциям, зафиксированным в реестре согласий. Несоответствие — нарушение ч. 3 ст. 13.11 КоАП (30 000–60 000 ₽).
  • Согласие на распространение (ст. 10.1 ФЗ-152). Если оператор публикует ПДн субъекта (фото на сайте, имя в рейтинге) — требуется отдельное согласие на распространение. Оно хранится в реестре как самостоятельный тип записи.

При обновлении политики конфиденциальности или формы согласия — реестр актуализируется: новая версия документа фиксируется с датой введения, старая версия остаётся в архиве. Субъекты, давшие согласие по старой форме, переоформляются, если новая форма расширяет цели или перечень действий.

«Ст. 18.1 ФЗ-152: оператор обязан опубликовать политику обработки ПДн или обеспечить иным способом неограниченный доступ к ней. Содержание политики определено ч. 2 ст. 18.1.»

Как применяется на практике: два сценария

Сценарий 1. Плановая проверка РКН — реестр отсутствует. Производственная компания (Уральский ФО, начало 2026) не вела реестр согласий работников. При проверке инспектор запросил подтверждение законности передачи ПДн в страховую компанию и банк-эквайер. Компания предъявила форму согласия, включённую в трудовой договор до 01.09.2025. Инспектор квалифицировал это как нарушение ч. 2 ст. 13.11 КоАП — согласие не отвечало требованиям ФЗ-156 как отдельный документ. Дополнительно выявлено отсутствие реестра — нарушение ст. 18.1 ФЗ-152. Суммарный штраф составил несколько сотен тысяч рублей. Стратегия защиты: немедленное переоформление согласий и представление доказательств оперативного устранения нарушения снизили итоговую сумму при рассмотрении дела.

Сценарий 2 (case_generic_zamena). Небольшое агентство занятости (Сибирский ФО, весна 2026) хранило согласия соискателей в файлах Excel без учётной формы. После жалобы субъекта на нежелательные рассылки РКН возбудил дело по ч. 1 ст. 13.11 и ч. 5 ст. 13.11 КоАП. Юрист представил доказательства: компания — микропредприятие, нарушение первичное, вред субъекту минимален. Арбитражный суд региона заменил штраф предупреждением по ст. 4.1.1 КоАП. После дела агентство внедрило реестр согласий с регламентом хранения и уничтожения. ⚠️ Конкретный номер дела и точная дата — менеджер уточняет при публикации.

Услуги DATUM по теме

Частые вопросы

1. Какие документы должны быть у оператора ПДн?

Минимальный пакет ОРД включает: политику обработки ПДн (ст. 18.1 ФЗ-152), уведомление в реестре РКН (ст. 22 ФЗ-152), приказ о назначении ответственного (ст. 22.1 ФЗ-152), формы согласий по каждой категории субъектов (ст. 9 ФЗ-152), реестр согласий, регламент реагирования на запросы субъектов (ст. 20 ФЗ-152) и регламент уничтожения ПДн. Отсутствие любого из этих документов при проверке РКН образует самостоятельный состав по ст. 13.11 КоАП.

2. Как составить политику обработки ПДн?

Политика должна содержать разделы, предусмотренные ч. 2 ст. 18.1 ФЗ-152: наименование и контакты оператора, цели и правовые основания обработки, перечень обрабатываемых ПДн, порядок и условия обработки, права субъектов, сроки обработки и уничтожения. Политику нельзя заменить шаблоном из интернета без адаптации: каждый оператор обрабатывает разные категории ПДн на разных основаниях, и политика должна это отражать точно. Несоответствие политики реальным операциям — нарушение ч. 3 ст. 13.11 (30 000–60 000 ₽).

3. Кого назначить ответственным по ст. 22.1?

Ответственным за организацию обработки ПДн может быть любое должностное лицо оператора — юрист, кадровик, IT-директор или специально принятый сотрудник. Закон не требует специального образования в области защиты информации, но ч. 4 ст. 22.1 ФЗ-152 предписывает наличие знаний в сфере законодательства о ПДн. Назначение оформляется приказом руководителя с указанием функций. Альтернатива — DPO-аутсорсинг: внешний исполнитель принимает функцию ответственного по договору.

4. Можно ли использовать шаблон политики из интернета?

Шаблон можно использовать как основу, но не без адаптации. РКН при проверке сверяет политику с реальными операциями по уведомлению в реестре. Если политика не упоминает фактически применяемые цели или основания обработки — это нарушение ст. 18.1 ФЗ-152 независимо от источника документа. Шаблоны из открытых источников часто содержат устаревшие нормы или не учитывают изменения ФЗ-156 от 24.06.2025 и новую редакцию ст. 13.11 КоАП с 30.05.2025.

5. Какие согласия нужны после 01.09.2025?

С 01.09.2025 согласие на обработку ПДн оформляется исключительно отдельным документом — требование ФЗ-156 от 24.06.2025, внёсшего изменения в ч. 1 ст. 9 ФЗ-152. Согласие не может быть включено в трудовой договор, оферту, пользовательское соглашение или политику конфиденциальности. Согласия, полученные до 01.09.2025 в составе иных документов, обратной силы новый закон не имеет — переоформлять их не требуется обязательно, но при ближайшем взаимодействии с субъектом рекомендуется актуализировать форму. Новые согласия с этой даты — только отдельным документом.

6. Сколько хранить реестр согласий после прекращения обработки?

Реестр согласий как учётный документ хранится не менее 3 лет после прекращения обработки ПДн соответствующей категории субъектов — с учётом срока исковой давности по ГК РФ и срока давности по ст. 4.5 КоАП (1 год для длящихся нарушений). Для работников — как правило, в составе кадровой документации сроком 75 лет. Для специальных категорий ПДн срок определяется профильным законодательством (медицина, образование).

Итог

Реестр согласий — это не формальность, а инструмент доказывания законности обработки ПДн при проверке РКН и в судебном споре по ст. 13.11 КоАП. Шесть шагов — определение категорий субъектов, состав реквизитов, сроки хранения, организация хранения оригиналов, процедура отзыва и синхронизация с уведомлением РКН и политикой — составляют полный цикл работы с реестром.

Практика DATUM по сопровождению операторов ПДн включает формирование реестров согласий, полного пакета ОРД и подготовку к проверкам Роскомнадзора. Нарушения, выявленные при внутреннем аудите, устраняются до того, как их обнаружит инспектор.

Смотрите также

АС
Анна Соколова
Партнёр · ПДн в HR
Партнёр практики DATUM по защите персональных данных в HR. Специализация — согласия работников по ст. 9 152-ФЗ в редакции с 01.09.2025 (ФЗ-156), обработка через КЭДО, биометрия в СКУД, передача в зарплатных проектах.

29 января 2027 года