Перейти к содержанию
инструкция 21 января 2027 По состоянию на 21 января 2027

Согласие через Госключ

Согласие субъекта ПДн, подписанное усиленной неквалифицированной электронной подписью через приложение Госключ, признаётся письменной формой по ст. 9 ФЗ-152 — при соблюдении обязательных реквизитов в редакции ФЗ-156 от 24.06.2025, действующей с 01.09.2025.
С 01.09.2025 согласие на обработку ПДн оформляется отдельным документом — не в составе трудового договора, оферты или политики конфиденциальности. Отсутствие отдельного документа при подписании через Госключ не устраняет риск по ч. 2 ст. 13.11 КоАП: штраф для юрлица — 300 000–700 000 ₽.
→ Если вы юрист и настраиваете процесс сбора согласий через Госключ — инструкция ниже охватывает требования к документу, технический порядок подписания, привязку к ОРД и риски проверки РКН.

Госключ — мобильное приложение Минцифры России для создания электронной подписи на основе сертификата, выданного через Госуслуги. Оператор ПДн вправе использовать его для получения согласий субъектов в электронном виде, если структура документа соответствует требованиям ст. 9 ФЗ-152 в редакции ФЗ-156. В этой инструкции — шесть шагов от проверки правовых оснований до хранения подписанного документа в ИСПДн, а также сценарии ошибок, которые юрист должен предупредить до внедрения.

Шаг 1. Проверьте правовое основание и категорию ПДн

Прежде чем выбирать инструмент подписания, убедитесь, что согласие вообще является надлежащим правовым основанием. Ст. 6 ФЗ-152 допускает обработку без согласия — при исполнении договора с субъектом, при исполнении обязанностей оператора по закону, в ряде других случаев. Сбор избыточных согласий там, где есть иное основание, не снижает риск, а создаёт дополнительные обязательства.

Определите категорию ПДн по ст. 10 и ст. 11 ФЗ-152. Если обрабатываются специальные категории (здоровье, вероисповедание, судимость) или биометрия — требования к согласию жёстче: только письменная форма, перечень действий должен быть исчерпывающим. Госключ обеспечивает УНЭП-уровень подписи; для части операторов с обработкой биометрии в ЕБС может потребоваться квалифицированная ЭП — уточните у регулятора.

Результат шага: зафиксирован перечень целей обработки, категории ПДн, правовые основания. Этот перечень ляжет в реквизиты согласия и в политику обработки по ст. 18.1 ФЗ-152.

Нужен аудит ОРД перед внедрением Госключа?

Если юрист внедряет электронные согласия без актуального пакета ОРД — риск вырастает кратно. РКН при проверке проверяет не только форму согласия, но и наличие политики по ст. 18.1, приказа об ответственном по ст. 22.1, актуального уведомления в реестре по ст. 22. Любой пробел — основание для протокола. До внедрения стоит сверить весь пакет.

Заказать аудит 152-ФЗ

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Шаг 2. Составьте документ согласия с реквизитами по ст. 9 ФЗ-152

С 01.09.2025 согласие оформляется отдельным документом — это требование ФЗ-156 от 24.06.2025. Включить согласие как пункт трудового договора, приложения к оферте или раздела политики конфиденциальности больше нельзя. Ранее полученные согласия, оформленные по старым правилам, обратной силы не теряют — переоформлять их не требуется.

Обязательные реквизиты документа по ст. 9 ФЗ-152:

  • фамилия, имя, отчество субъекта и его контактные данные;
  • наименование и адрес оператора;
  • цель обработки ПДн — конкретная, не «законные интересы оператора»;
  • перечень ПДн, на обработку которых даётся согласие;
  • перечень действий с ПДн и описание применяемых методов обработки;
  • срок действия согласия или условие прекращения;
  • порядок отзыва согласия.

Если согласие даётся на распространение ПДн (публикацию на сайте, передачу третьим лицам для рекламы), оформляйте его отдельно от основного согласия на обработку — ст. 10.1 ФЗ-152 требует отдельного документа с явным указанием на передачу неограниченному кругу лиц.

«Ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025 (действует с 01.09.2025) — согласие на обработку ПДн оформляется как самостоятельный документ, не объединяется с иными документами. Отсутствие любого из обязательных реквизитов влечёт признание согласия недействительным и применение ч. 2 ст. 13.11 КоАП: штраф для юрлица 300 000–700 000 ₽.»

Шаг 3. Подготовьте техническую интеграцию с Госключом

Госключ работает через API Минцифры. Для интеграции оператор подключается к платформе через ЕСИА или использует готовые SDK. Документ формируется на стороне оператора в формате PDF или структурированного XML, передаётся субъекту для ознакомления и подписания в приложении. После подписания оператор получает файл с прикреплённой УНЭП-подписью и метаданными: идентификатор транзакции, время подписания, СНИЛС подписанта.

Технические требования, которые юрист должен согласовать с CTO до запуска:

  • документ передаётся субъекту в читаемом виде до подписания — не после;
  • текст документа после формирования не изменяется (хэш файла фиксируется);
  • логи транзакций хранятся у оператора — не только у провайдера Госключа;
  • отзыв согласия через личный кабинет субъекта должен быть технически реализован и протестирован до запуска.

Проверьте, что версия Госключа, используемая субъектом, обеспечивает именно УНЭП, а не простую ЭП. Простая ЭП (смс-код) не признаётся письменной формой по ст. 9 ФЗ-152 для согласий, требующих письменного оформления.

Шаг 4. Привяжите согласие к политике обработки и ОРД

Согласие через Госключ не работает изолированно. РКН при проверке проверяет всю систему документов. Минимальный пакет ОРД, без которого согласие бессмысленно в контексте проверки:

  • Политика обработки ПДн — ст. 18.1 ФЗ-152, публикуется на сайте оператора в открытом доступе; описывает категории ПДн, цели, сроки, меры защиты.
  • Уведомление в реестре операторов ПДн — ст. 22 ФЗ-152, подаётся через pd.rkn.gov.ru по форме Приказа РКН № 180 от 28.10.2022; сведения о целях обработки должны совпадать с реквизитами согласия.
  • Приказ о назначении ответственного за организацию обработки ПДн — ст. 22.1 ФЗ-152; без этого приказа РКН вправе выдать предписание.
  • Регламент реагирования на обращения субъектов — срок ответа 10 рабочих дней по ст. 20 ФЗ-152 (с возможностью продления ещё на 5 рабочих дней при уведомлении субъекта).
  • Инструкция по отзыву согласия — технический порядок, сроки прекращения обработки после отзыва.

Цели обработки в политике, в уведомлении РКН и в тексте согласия должны совпадать. Расхождение даёт основание для протокола по ч. 1 ст. 13.11 КоАП: обработка ПДн в целях, не совместимых с заявленными, — штраф 150 000–300 000 ₽.

«Ст. 18.1 ФЗ-152 — оператор обязан опубликовать политику обработки ПДн в открытом доступе. Отсутствие политики или её несоответствие требованиям к содержанию — ч. 3 ст. 13.11 КоАП, штраф для юрлица 30 000–60 000 ₽. Ст. 22.1 ФЗ-152 — назначение ответственного за организацию обработки ПДн обязательно для юридических лиц.»

Если юрист обнаружил, что цели обработки в реестре РКН расходятся с текстом согласия — это требует немедленного обновления уведомления по ст. 22 ФЗ-152 и пересмотра политики. Промедление при плановой проверке — протокол по ч. 1 ст. 13.11 КоАП (150 000–300 000 ₽) и дополнительно по ч. 3 (30 000–60 000 ₽).

Собрать ОРД под ключ

Шаг 5. Настройте хранение и журналирование подписанных согласий

Подписанный через Госключ документ хранится в ИСПДн оператора. Хранение должно обеспечивать:

  • доступ к файлу согласия с прикреплённой УНЭП в течение всего срока обработки ПДн и не менее 3 лет после прекращения — для предъявления РКН и суду;
  • неизменность документа после подписания (контроль целостности — хэш SHA-256 или аналог);
  • привязку файла согласия к записи субъекта в базе ПДн — чтобы при запросе субъекта или регулятора выдать документ в течение 10 рабочих дней по ст. 20 ФЗ-152;
  • журнал операций с согласием: дата получения, дата отзыва (если был), дата уничтожения ПДн после отзыва.

Если обрабатываете ПДн граждан РФ — база, в которой хранятся согласия и связанные записи, обязана физически находиться в России по ч. 5 ст. 18 ФЗ-152. Хранение подписанных согласий в облаке иностранного провайдера (AWS EU, Google Cloud EU и аналогах) нарушает требование локализации. Штраф по ч. 8 ст. 13.11 КоАП — 1 000 000–6 000 000 ₽.

Шаг 6. Протестируйте процесс отзыва согласия и реагирования

Ст. 9 ФЗ-152 закрепляет право субъекта отозвать согласие в любой момент. Оператор обязан прекратить обработку ПДн после отзыва — в сроки, установленные регламентом, но не позже разумного срока. Нереализованный или неработающий механизм отзыва — самостоятельное нарушение: ч. 5 ст. 13.11 КоАП, штраф 50 000–90 000 ₽.

Проверьте перед запуском:

  • субъект может отозвать согласие через личный кабинет или письменное заявление — оба канала технически работают;
  • при отзыве ПДн блокируются автоматически в течение установленного регламентом срока;
  • уничтожение ПДн после отзыва фиксируется в журнале с датой и ответственным;
  • если ПДн переданы третьим лицам — оператор уведомляет их об отзыве согласия субъектом.

Рекомендуется провести тестовый цикл: от подписания согласия через Госключ до фиксации отзыва и уничтожения тестовой записи — до запуска в продуктив. Результат теста фиксируется актом приёмки процесса.

Что подготовить юристу перед запуском согласий через Госключ

  • Шаблон согласия со всеми реквизитами ст. 9 ФЗ-152 в редакции ФЗ-156, оформленный как отдельный документ (не пункт договора или политики).
  • Актуальная политика обработки ПДн по ст. 18.1 ФЗ-152 с открытой публикацией на сайте; цели обработки совпадают с текстом согласия.
  • Уведомление в реестре операторов РКН по ст. 22 ФЗ-152 — актуальное, с теми же целями; форма по Приказу РКН № 180.
  • Приказ о назначении ответственного за организацию обработки ПДн по ст. 22.1 ФЗ-152.
  • Регламент реагирования на обращения субъектов с техническим описанием канала отзыва согласия и сроками прекращения обработки.

Типовые ошибки при внедрении: три сценария

Сценарий 1. Согласие оформлено как пункт договора (до или после 01.09.2025). Ситуация: оператор передал субъекту через Госключ файл трудового договора, в котором один из пунктов содержит текст согласия на обработку ПДн. Субъект подписал весь документ единой УНЭП. Доказательства: протокол РКН фиксирует отсутствие отдельного документа согласия по ФЗ-156. Вероятный исход: протокол по ч. 2 ст. 13.11 КоАП, штраф 300 000–700 000 ₽ на юрлицо. Стратегия: переоформить все согласия, подписанные после 01.09.2025, как отдельные документы; для ранее полученных — проверить соответствие старым требованиям.

Сценарий 2. Цели обработки в согласии и уведомлении РКН расходятся. Ситуация: оператор расширил перечень целей (добавил аналитику поведения пользователей), обновил согласие через Госключ, но не обновил уведомление в реестре РКН. При плановой проверке инспектор видит расхождение. Доказательства: выписка из реестра операторов ПДн и текст согласия — разные перечни целей. Вероятный исход: протокол по ч. 1 ст. 13.11 КоАП (обработка, не совместимая с заявленными целями) — штраф 150 000–300 000 ₽. Стратегия: любое изменение в согласии требует синхронного обновления уведомления РКН по ст. 22 ФЗ-152 через форму изменения сведений.

Сценарий 3. Механизм отзыва согласия не работает технически. Ситуация: субъект направляет заявление об отзыве согласия через личный кабинет; технически кнопка есть, но заявления не обрабатываются — задача не попадает к ответственному, ПДн не блокируются. РКН получает жалобу субъекта и проводит внеплановую проверку. Доказательства: переписка субъекта с оператором, лог обращений без ответа. Вероятный исход: протокол по ч. 5 ст. 13.11 КоАП — штраф 50 000–90 000 ₽; при повторности — ч. 5.1, штраф 300 000–500 000 ₽. Стратегия: перед запуском — тестовый цикл отзыва с фиксацией результата; назначить ответственного по ст. 22.1 с явной обязанностью обрабатывать заявления субъектов.

Как это применяется на практике

Кейс 1. Юридическая служба ритейлера (Центральный ФО, осень 2025) выявила при внутреннем аудите, что согласия на обработку ПДн работников подписаны через Госключ как вложение к трудовому договору — единым файлом. После 01.09.2025 такая форма нарушает требования ФЗ-156. Юрист инициировал переоформление: 847 работников получили отдельный документ согласия в приложении Госключ. Параллельно обновлено уведомление в реестре РКН. При плановой проверке три месяца спустя нарушений по ч. 2 ст. 13.11 не выявлено.

Кейс 2. Финтех-компания (Северо-Западный ФО, начало 2026) внедрила получение согласий через Госключ для клиентов при открытии личного кабинета. Технический отдел не реализовал журналирование транзакций на стороне оператора — только на стороне провайдера Госключа. При внеплановой проверке РКН по жалобе субъекта оператор не смог предъявить подписанный файл согласия в течение 10 рабочих дней. Вынесен протокол по ч. 4 ст. 13.11 КоАП (непредоставление информации субъекту) — штраф в диапазоне 40 000–80 000 ₽.

Услуги DATUM по теме

  • Комплект ОРД под ключ — полный пакет документов по ст. 18.1, ст. 22, ст. 22.1 ФЗ-152, включая шаблон согласия под формат Госключа.
  • Аудит соответствия 152-ФЗ — проверка актуальности ОРД, уведомления РКН, форм согласий по чек-листу из 38 пунктов.
  • DPO-аутсорсинг — абонентское сопровождение функции ответственного по ст. 22.1, включая обработку заявлений субъектов.

Частые вопросы

1. Какие документы должны быть у оператора ПДн?

Минимальный пакет ОРД включает: политику обработки ПДн (ст. 18.1 ФЗ-152) с открытой публикацией на сайте; уведомление в реестре РКН по ст. 22 ФЗ-152 (форма по Приказу РКН № 180 от 28.10.2022); приказ о назначении ответственного по ст. 22.1 ФЗ-152; шаблоны согласий субъектов по ст. 9 ФЗ-152 с реквизитами в редакции ФЗ-156; регламент реагирования на обращения субъектов; журнал учёта обращений. Отсутствие любого из документов — самостоятельный состав нарушения по соответствующей части ст. 13.11 КоАП.

2. Как составить политику обработки ПДн?

Политика обработки ПДн по ст. 18.1 ФЗ-152 должна содержать: категории обрабатываемых ПДн, цели обработки для каждой категории, правовые основания по ст. 6 ФЗ-152, перечень третьих лиц, которым передаются ПДн, порядок реализации прав субъектов, сроки хранения и порядок уничтожения, меры защиты. Цели обработки в политике обязаны дословно совпадать с уведомлением в реестре РКН и с текстом согласий. Использовать шаблон из интернета без адаптации к конкретным процессам оператора — риск: несоответствие будет выявлено при проверке.

3. Кого назначить ответственным по ст. 22.1?

Ответственный за организацию обработки ПДн по ст. 22.1 ФЗ-152 — это физическое лицо, назначаемое руководителем юридического лица приказом. Закон не устанавливает обязательной должности или квалификации, однако ч. 4 ст. 22.1 устанавливает требования к содержанию функции. Ответственным может быть штатный сотрудник (юрист, руководитель ИБ, HR) или внешний аутсорсер по договору. При аутсорсинге ответственность оператора перед РКН не снимается — снижается операционная нагрузка.

4. Можно ли использовать шаблон политики из интернета?

Использовать шаблон из открытых источников без адаптации нельзя: политика должна отражать реальные процессы конкретного оператора, его цели обработки, перечень ИСПДн и третьих лиц. РКН при проверке сверяет политику с уведомлением в реестре и с фактической обработкой. Несоответствие между опубликованной политикой и реальной практикой — ч. 3 ст. 13.11 КоАП (30 000–60 000 ₽) и дополнительно ч. 1 ст. 13.11 (150 000–300 000 ₽) при обработке данных в целях, не указанных в политике.

5. Какие согласия нужны после 01.09.2025?

С 01.09.2025 по ФЗ-156 от 24.06.2025 согласие субъекта на обработку ПДн оформляется как самостоятельный документ — отдельно от договора, оферты, политики конфиденциальности и любых иных документов. Реквизиты по ст. 9 ФЗ-152: ФИО, контактные данные субъекта, наименование оператора, цель, перечень ПДн, перечень действий, срок, порядок отзыва. Согласия, полученные до 01.09.2025, сохраняют силу — переоформлять их не требуется. Новые согласия после этой даты, оформленные по старой форме, недействительны.

6. Что проверяет РКН при плановой проверке оператора, использующего электронные согласия?

РКН при плановой проверке проверяет: наличие уведомления в реестре и его актуальность по ст. 22 ФЗ-152; опубликованную политику обработки по ст. 18.1; наличие приказа о назначении ответственного по ст. 22.1; образцы согласий с обязательными реквизитами по ст. 9; журнал обращений субъектов и соблюдение 10-рабочих-дневного срока ответа по ст. 20; при использовании Госключа — подписанные файлы согласий с УНЭП и логи транзакций; меры защиты ИСПДн по ст. 19 ФЗ-152 и ПП РФ № 1119. Нарушение по каждому пункту — отдельный состав ст. 13.11 КоАП.

Итог

Согласие через Госключ — технически допустимый и юридически корректный инструмент при условии: документ оформлен отдельно по ФЗ-156, содержит все реквизиты ст. 9 ФЗ-152, подписан УНЭП (не простой ЭП), хранится у оператора с журналом транзакций, привязан к актуальному пакету ОРД. Несоблюдение любого из условий создаёт самостоятельный состав нарушения по ст. 13.11 КоАП.

Практика DATUM охватывает внедрение электронных согласий в производственных, торговых, финансовых и медицинских организациях — включая привязку к уведомлению РКН, формированию ОРД и сопровождению проверок.

Смотрите также

АС
Анна Соколова
Партнёр · ПДн в HR
Партнёр практики DATUM. Специализация — согласия работников по ст. 9 ФЗ-152 в редакции ФЗ-156, КЭДО, биометрия в СКУД, сопровождение проверок РКН в HR.

21 января 2027 года