Перейти к содержанию
инструкция 22 января 2027 По состоянию на 22 января 2027

Согласие через Госуслуги (ЕСИА)

Согласие на обработку персональных данных через ЕСИА — это форма получения волеизъявления субъекта, при которой оператор использует учётную запись Госуслуг для идентификации лица и фиксации факта согласия в электронном виде.
С 01.09.2025 по ФЗ-156 от 24.06.2025 согласие оформляется отдельным документом с обязательными реквизитами по ст. 9 ФЗ-152. Использование ЕСИА не отменяет эти требования — оно лишь обеспечивает идентификацию и электронную подпись субъекта.
Если вы юрист и выстраиваете ОРД для оператора, работающего с ЕСИА, — ниже пошаговый порядок подключения, требования к составу согласия и типичные нарушения, которые фиксирует РКН.

Порядок получения согласия через ЕСИА регулируется ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025, а также нормами об электронном документообороте. Для юриста, который готовит ОРД оператора или сопровождает проверку РКН, принципиально разграничить: ЕСИА — это инструмент идентификации и квалифицированной электронной подписи, но содержательные требования к согласию — реквизиты, цели, перечень данных, срок — задаёт ст. 9 ФЗ-152, и никакой сервис их не отменяет. В инструкции рассмотрен полный цикл: от регистрации оператора в ЕСИА до хранения электронного согласия и ответа на запрос субъекта.

Шаг 1. Проверьте, нужно ли вашему оператору ЕСИА для согласия

Использование ЕСИА при получении согласия — право оператора, а не обязанность. Закон не предписывает конкретный способ идентификации субъекта. Однако ЕСИА даёт оператору ряд практических преимуществ: подтверждённую личность субъекта, уникальный идентификатор, временну́ю метку и электронную подпись. Это снижает риск оспаривания факта согласия.

ЕСИА целесообразно использовать, если оператор:

  • работает через портал Госуслуг или интегрирован с ним по соглашению с Минцифры;
  • собирает согласия дистанционно и нуждается в подтверждённой идентификации;
  • обрабатывает специальные категории ПДн (ст. 10 ФЗ-152) или биометрические данные (ст. 11 ФЗ-152) и хочет зафиксировать письменную форму в электронном виде;
  • является государственным или муниципальным органом, обязанным использовать ЕСИА для взаимодействия с гражданами.

Если оператор — коммерческая организация без доступа к ЕСИА, согласие по ст. 9 ФЗ-152 может быть получено иными способами: бумажный документ, усиленная квалифицированная электронная подпись (УКЭП), простая ЭП через личный кабинет с идентификацией по паролю — при условии, что в ОРД закреплён порядок её применения.

«Ст. 9 ФЗ-152 (в ред. ФЗ-156 от 24.06.2025) — согласие субъекта оформляется отдельным документом, не объединяется с договором, офертой или политикой обработки ПДн. Обязательные реквизиты: ФИО субъекта, контактные данные, наименование и адрес оператора, цель обработки, перечень ПДн, перечень действий, срок или условие прекращения, способ отзыва.»

Шаг 2. Зарегистрируйте оператора в ЕСИА и получите доступ к сервису

Доступ к API ЕСИА для получения согласий предоставляется через систему межведомственного электронного взаимодействия (СМЭВ) или по отдельному соглашению с Минцифры. Коммерческие организации могут подключиться через технологических партнёров, аккредитованных Минцифры, либо напрямую при соответствии требованиям.

Порядок подключения включает четыре этапа:

  • Регистрация организации на Госуслугах — руководитель или уполномоченное лицо создаёт учётную запись организации через личный кабинет физлица с подтверждённой учётной записью.
  • Подача заявки на подключение к ЕСИА — через технологический портал ЕСИА (esia.gosuslugi.ru) с приложением технического описания системы и сертификата УКЭП организации.
  • Прохождение тестирования — интеграция сначала в тестовой среде ЕСИА, проверка сценариев получения согласия, логирование.
  • Включение в продуктивную среду — после успешного тестирования Минцифры открывает доступ к продуктивному API.

Для использования ЕСИА в целях получения согласия оператор должен иметь УКЭП и зарегистрированную информационную систему. Все действия с персональными данными, передаваемыми через ЕСИА, должны быть отражены в уведомлении РКН по ст. 22 ФЗ-152 и Приказу РКН №180 от 28.10.2022.

Выстраиваете ОРД для оператора с ЕСИА или готовитесь к проверке РКН?

Состав ОРД зависит от категории данных, способа обработки и технической архитектуры. Если оператор использует ЕСИА, в пакет входят отдельные согласия по ст. 9 ФЗ-152 (ред. ФЗ-156), приказ об ответственном по ст. 22.1, политика конфиденциальности по ст. 18.1 и уведомление по ст. 22. Ошибка в любом из этих документов — основание для протокола по ст. 13.11 КоАП.

Собрать ОРД под ключ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Шаг 3. Составьте форму согласия с обязательными реквизитами по ст. 9 ФЗ-152

Это центральный шаг. ЕСИА подтверждает личность субъекта и фиксирует электронную подпись, но содержание согласия — зона ответственности оператора. Отсутствие любого из обязательных реквизитов означает нарушение ч. 2 ст. 13.11 КоАП — штраф от 300 000 до 700 000 ₽ для юридического лица.

Форма согласия через ЕСИА должна содержать:

  • ФИО субъекта — заполняется автоматически из данных ЕСИА, но должно быть видно субъекту при подписании;
  • контактные данные субъекта (email, телефон — те, что переданы через ЕСИА или введены вручную);
  • наименование и адрес оператора — полные реквизиты юридического лица;
  • цель или цели обработки — конкретные, не общие формулировки («исполнение договора», «маркетинговые рассылки» — разные согласия по ст. 5 ФЗ-152);
  • перечень персональных данных — исчерпывающий список категорий (ФИО, дата рождения, СНИЛС, ИНН и т.д.);
  • перечень действий с ПДн (сбор, запись, хранение, передача третьим лицам — с указанием конкретных получателей или категорий);
  • срок действия согласия или условие его прекращения;
  • способ отзыва — адрес, форма заявления или электронный канал.
«Ст. 9 ч. 4 ФЗ-152 — в случае получения согласия в электронной форме операторам необходимо обеспечить возможность установить, что согласие дано конкретным субъектом. ЕСИА решает эту задачу через идентификатор GUID учётной записи и квалифицированную ЭП.»

Если оператор обрабатывает данные для распространения (ст. 10.1 ФЗ-152), согласие на распространение оформляется отдельным документом — его нельзя объединять с основным согласием. Это правило действовало и до ФЗ-156, но с 01.09.2025 требование отдельного документа распространилось на все согласия.

Шаг 4. Настройте хранение и журналирование электронного согласия

Факт согласия, полученного через ЕСИА, должен быть воспроизводим в любой момент — при запросе субъекта, проверке РКН или в арбитражном споре. Оператор обязан хранить не только текст подписанного документа, но и технические метаданные: идентификатор транзакции ЕСИА, временну́ю метку, GUID учётной записи субъекта, версию формы согласия.

Минимальный состав записи в журнале согласий:

  • дата и время получения согласия (с точностью до секунды);
  • идентификатор субъекта в ЕСИА (GUID);
  • версия (номер редакции) формы согласия на момент подписания;
  • цели обработки, указанные в данной версии;
  • канал получения (ЕСИА, идентификатор сессии);
  • статус (активно / отозвано / истекло).

При отзыве согласия субъектом запись не удаляется — вносится статус «отозвано» с датой и каналом отзыва. Это важно для ответа на запрос РКН: оператор должен показать, что обработка прекращена в срок, предусмотренный ст. 21 ФЗ-152.

Срок хранения согласия — не менее срока обработки ПДн плюс период исковой давности (три года по общему правилу). Для согласий работников с учётом ст. 86 ТК РФ и требований архивного хранения — практика складывается в пользу 75-летнего срока хранения личного дела, но согласие как отдельный документ следует хранить до момента уничтожения всех связанных ПДн.

Что подготовить оператору при работе с согласиями через ЕСИА

  • Форма согласия с полным составом реквизитов по ст. 9 ФЗ-152 (ред. ФЗ-156 от 24.06.2025) — отдельный документ, не объединённый с договором или политикой.
  • Уведомление в РКН по ст. 22 ФЗ-152 (форма — Приказ РКН №180) с отражением способа получения согласия через ЕСИА и категорий обрабатываемых ПДн.
  • Политика обработки персональных данных по ст. 18.1 ФЗ-152 с обязательными разделами, размещённая в открытом доступе.
  • Приказ о назначении ответственного за организацию обработки ПДн по ст. 22.1 ФЗ-152 с описанием полномочий.
  • Журнал учёта согласий с техническими метаданными ЕСИА и статусами (активно / отозвано).

Шаг 5. Внесите сведения об обработке в уведомление РКН по ст. 22 ФЗ-152

Оператор обязан уведомить Роскомнадзор о намерении обрабатывать персональные данные до начала обработки (ст. 22 ФЗ-152). Уведомление подаётся через портал pd.rkn.gov.ru с использованием УКЭП или через ЕСИА — что симметрично теме данной инструкции. Форма уведомления установлена Приказом РКН №180 от 28.10.2022.

В уведомлении необходимо корректно отразить:

  • правовое основание обработки — ст. 6 ФЗ-152, п. 1 (согласие субъекта) или иное;
  • цели обработки — те же, что указаны в форме согласия (несоответствие — типичное нарушение при проверке РКН);
  • категории субъектов и категории ПДн;
  • получателей ПДн (в том числе ЕСИА как техническая платформа);
  • трансграничную передачу — если данные субъектов передаются за рубеж через интеграции;
  • меры по обеспечению безопасности ПДн — уровень защищённости по ПП РФ №1119, меры по Приказу ФСТЭК №21.

После подачи оператор включается в реестр в течение 30 дней. Обработка ПДн до включения в реестр при отсутствии уведомления — нарушение ч. 10 ст. 13.11 КоАП, штраф 100 000–300 000 ₽ для юридического лица.

«Ст. 22 ФЗ-152 — оператор уведомляет уполномоченный орган до начала обработки ПДн. Нарушение срока или уклонение от уведомления — ч. 10 ст. 13.11 КоАП, для юрлица 100 000–300 000 ₽.»

Шаг 6. Назначьте ответственного за организацию обработки ПДн по ст. 22.1 ФЗ-152

Оператор-юридическое лицо обязан назначить лицо, ответственное за организацию обработки персональных данных (ст. 22.1 ФЗ-152). Отсутствие такого приказа — самостоятельное нарушение, которое фиксируется при плановой и внеплановой проверке РКН.

Ответственный по ст. 22.1 осуществляет:

  • внутренний контроль за соблюдением ФЗ-152 и локальных актов оператора;
  • ознакомление работников с требованиями к обработке ПДн;
  • взаимодействие с субъектами ПДн по их запросам (ст. 20 ФЗ-152) — ответ в течение 10 рабочих дней;
  • взаимодействие с РКН при проверках и при уведомлении об инцидентах.

Закон не требует специального образования для ответственного, но ч. 4 ст. 22.1 устанавливает требования к квалификации. На практике РКН при проверке запрашивает должностную инструкцию или положение, из которого следует, что ответственный реально осведомлён о своих обязанностях и обладает необходимыми знаниями.

Ответственным может быть штатный юрист, специалист по ИБ или внешний DPO-аутсорсер — последнее прямо допускается конструкцией ст. 22.1. Если функция передана на аутсорс, в приказе указывают лицо (сотрудника аутсорсера) и договор.

Типичные ситуации при использовании согласия через ЕСИА

Ситуация 1. Форма согласия объединена с пользовательским соглашением. Оператор реализовал получение согласия через ЕСИА, но в интерфейсе субъект нажимает «Принять» под единым документом, который включает и условия использования сервиса, и согласие на обработку ПДн. С 01.09.2025 это прямо нарушает ст. 9 ФЗ-152 в ред. ФЗ-156: согласие — отдельный документ. При проверке РКН протокол составляется по ч. 2 ст. 13.11 КоАП — штраф 300 000–700 000 ₽. Стратегия: разделить документы на уровне UX и бэкенда до подачи уведомления в РКН об изменении порядка обработки.

Ситуация 2. Оператор сменил цели обработки, согласие не переоформлено. Организация расширила использование ПДн — добавила передачу партнёрам для таргетированной рекламы. В журнале согласий — старые версии форм без этой цели. Несоответствие целей в уведомлении РКН и фактической обработки — нарушение ст. 5 и ст. 22 ФЗ-152. Исход при проверке: протокол по ч. 1 ст. 13.11 (150 000–300 000 ₽) плюс предписание об устранении. Стратегия: при изменении целей — получить новое согласие, обновить уведомление в РКН и версию формы в журнале.

Ситуация 3. Субъект отозвал согласие через ЕСИА, обработка продолжается. Оператор реализовал отзыв согласия через личный кабинет на Госуслугах, но уведомление о статусе не поступает в его CRM. Данные продолжают обрабатываться. При жалобе субъекта в РКН — нарушение ч. 5 ст. 13.11 КоАП (50 000–90 000 ₽) с возможным перерастанием в повторное нарушение по ч. 5.1 (300 000–500 000 ₽). Стратегия: настроить вебхук или периодическую синхронизацию статусов согласий из ЕСИА с внутренними системами оператора.

Если вы юрист и в ОРД оператора нет отдельных форм согласий под каждую цель обработки — с 01.09.2025 это основание для штрафа по ч. 2 ст. 13.11 КоАП. Юристы DATUM проверят комплект документов по чек-листу и приведут согласия в соответствие с ФЗ-156 от 24.06.2025.

Заказать аудит 152-ФЗ

Частые вопросы

1. Какие документы должны быть у оператора ПДн при работе с согласиями через ЕСИА?

Минимальный пакет ОРД включает: уведомление в РКН по ст. 22 ФЗ-152 (форма — Приказ РКН №180), политику обработки ПДн по ст. 18.1 ФЗ-152 в открытом доступе, форму согласия субъекта по ст. 9 ФЗ-152 (ред. ФЗ-156 от 24.06.2025) как отдельный документ, приказ о назначении ответственного по ст. 22.1, журнал учёта согласий с техническими метаданными ЕСИА. Если обрабатываются специальные категории ПДн (ст. 10 ФЗ-152) или биометрия (ст. 11 ФЗ-152) — дополнительно письменное согласие в установленной форме.

2. Как составить политику обработки ПДн по ст. 18.1 ФЗ-152?

Политика обработки персональных данных по ст. 18.1 ФЗ-152 должна содержать: наименование и контакты оператора и ответственного, цели и правовые основания обработки, перечень категорий субъектов и ПДн, порядок и условия обработки (в том числе передача третьим лицам), сроки обработки и уничтожения, порядок реализации прав субъектов. Политика размещается в открытом доступе — на сайте оператора. Отсутствие публикации — нарушение ч. 3 ст. 13.11 КоАП (30 000–60 000 ₽).

3. Кого назначить ответственным за обработку ПДн по ст. 22.1 ФЗ-152?

Ответственным может быть штатный юрист, специалист по ИБ или внешний подрядчик (DPO-аутсорсинг). Закон не устанавливает обязательного профессионального образования, однако ч. 4 ст. 22.1 требует наличия квалификации, позволяющей выполнять возложенные обязанности. На практике РКН при проверке запрашивает должностную инструкцию ответственного и документы о его ознакомлении с требованиями ФЗ-152. Назначение оформляется приказом руководителя с описанием полномочий.

4. Можно ли использовать шаблон политики конфиденциальности из интернета?

Использование типового шаблона допустимо как отправная точка, но не как готовый документ. Политика должна отражать фактическую обработку конкретного оператора: реальные цели, категории ПДн, получателей, сроки, технические меры. Несоответствие политики и фактической обработки — одно из наиболее частых нарушений при проверке РКН и основание для протокола по ч. 1 ст. 13.11 КоАП (150 000–300 000 ₽). Шаблоны из открытых источников, как правило, не учитывают редакцию ФЗ-156 от 24.06.2025 и актуальную правоприменительную практику.

5. Какие согласия нужно переоформить после 01.09.2025 в связи с ФЗ-156?

Согласия, полученные до 01.09.2025 в составе договора, оферты или иного документа, не теряют автоматически юридическую силу — ФЗ-156 не имеет обратной силы. Однако если оператор получает новые согласия или обновляет существующие после 01.09.2025, они обязаны оформляться отдельным документом по ст. 9 ФЗ-152. На практике рекомендуется провести аудит всех действующих форм согласий и форм, используемых в ЕСИА, и привести их в соответствие с новыми требованиями — во избежание претензий РКН при плановой или внеплановой проверке.

6. Что делать, если субъект отзывает согласие через ЕСИА, но данные нужны для исполнения договора?

Отзыв согласия не означает автоматического прекращения всякой обработки. Если данные необходимы для исполнения договора с субъектом, обработка может продолжаться на основании п. 5 ч. 1 ст. 6 ФЗ-152 — как необходимая для исполнения договора. Оператор обязан уведомить субъекта о правовом основании продолжения обработки. При отсутствии договорного основания — обработка прекращается и данные уничтожаются в срок, предусмотренный ч. 3.1 ст. 21 ФЗ-152.

Итог

Согласие через ЕСИА — технически надёжный инструмент идентификации субъекта, но содержательные требования к форме согласия, составу ОРД и уведомлению РКН определяются исключительно ФЗ-152. С 01.09.2025 каждое согласие — отдельный документ с полным набором реквизитов по ст. 9 ФЗ-152 в редакции ФЗ-156. Нарушение этого правила при проверке РКН влечёт штраф по ч. 2 ст. 13.11 КоАП от 300 000 до 700 000 ₽, а при повторном нарушении — до 1 500 000 ₽.

Юристы DATUM сопровождают операторов на всех этапах: от формирования пакета ОРД и форм согласий под ЕСИА до взаимодействия с РКН при проверках и обжалования протоколов. Практика по ФЗ-152 с 2014 года.

Услуги DATUM по теме

Смотрите также

АС
Анна Соколова
Партнёр · ПДн в HR
Партнёр практики DATUM по защите персональных данных в HR. Специализация — согласия работников по ст. 9 152-ФЗ в редакции с 01.09.2025 (ФЗ-156), обработка через КЭДО, биометрия в СКУД, сопровождение проверок РКН в HR-департаментах.

22 января 2027 года