Перейти к содержанию
аналитика 1 сентября 2026 По состоянию на 1 сентября 2026

Согласие до 01.09.2025 vs после: что переделать

С 01.09.2025 согласие на обработку персональных данных — отдельный документ, не объединяемый с договором, офертой или политикой конфиденциальности (ФЗ-156 от 24.06.2025, ст. 9 152-ФЗ).
Согласие в трудовом договоре, форме регистрации или на обороте заявки — недостаточное основание по новым требованиям. Штраф за обработку без надлежащего согласия — 300 000–700 000 ₽ по ч. 2 ст. 13.11 КоАП; при повторности — 1 000 000–1 500 000 ₽ по ч. 2.1.
→ Если вы юрист и сейчас проверяете комплаенс компании — ниже разбор того, что действительно надо переделать, а что ФЗ-156 не затронул.

Поправки ФЗ-156 от 24.06.2025 изменили ч. 1 ст. 9 ФЗ-152: с 01.09.2025 согласие субъекта персональных данных должно быть оформлено отдельным документом. Требование касается любых операторов — коммерческих организаций, ИП, государственных органов. Обратной силы у поправки нет: ранее полученные согласия, соответствовавшие требованиям на дату их получения, переоформлять не требуется. Но любое новое согласие, оформленное после 01.09.2025 не как отдельный документ, создаёт основание для штрафа. Ниже — системный анализ: что изменилось, что сохранилось, что нужно переделать и как оценивать риски в конкретных ситуациях.

Что такое согласие по ст. 9 ФЗ-152 и зачем оно нужно?

Согласие субъекта персональных данных — одно из одиннадцати оснований для обработки ПДн по ст. 6 ФЗ-152. Оно применяется тогда, когда ни один другой пункт ст. 6 не покрывает конкретную цель: обработка не нужна для исполнения договора с субъектом, не обязательна по закону, не является жизненно необходимой. Типичные примеры — маркетинговые рассылки, передача ПДн партнёрам, обработка данных соискателей сверх нужд трудоустройства, ведение программ лояльности.

Требования к составу согласия установлены ч. 4 ст. 9 ФЗ-152. Согласие должно содержать: фамилию, имя, отчество и контактные данные субъекта; наименование и адрес оператора; цель обработки; перечень персональных данных; перечень действий с ними; срок действия согласия; способ его отзыва. Согласие на распространение ПДн по ст. 10.1 ФЗ-152 — отдельный документ даже до поправок 2025 года.

«Ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025: субъект предоставляет согласие на обработку его персональных данных в виде отдельного документа, который не может быть объединён с иными документами. Норма действует с 01.09.2025.»

До 01.09.2025 согласие могло быть включено в текст договора, трудового договора, анкеты или формы регистрации — это было допустимо при соблюдении требований к составу. Именно это сочетание — «включено в договор, но с нужными реквизитами» — создавало у операторов иллюзию полного соответствия. ФЗ-156 эту иллюзию разрушил: теперь форма важна, а не только содержание.

Ключевое понятие — «оператор персональных данных» по ст. 3 ФЗ-152. Это любое лицо, самостоятельно или совместно с другими организующее и осуществляющее обработку ПДн. Под это определение подпадает практически любая организация: работодатель (ПДн работников), интернет-магазин (ПДн покупателей), клиника (ПДн пациентов), школа (ПДн учеников и родителей). Принципы обработки по ст. 5 ФЗ-152 — законность, конкретные цели, соответствие объёма целям, достаточность и точность данных — применяются ко всем операторам без исключений.

Провели аудит согласий в компании после 01.09.2025?

Если вы юрист и проверяете комплаенс — первый вопрос: сколько форм согласий сейчас «зашито» в договоры, оферты или HR-документы. Срок замены старых форм не установлен законом, но каждое новое согласие по устаревшей форме — основание для штрафа по ч. 2 ст. 13.11 КоАП (300 000–700 000 ₽). Юристы DATUM проведут аудит обработки ПДн по чек-листу из 38 пунктов, выдадут отчёт с приоритизированным планом устранения нарушений.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Что именно изменил ФЗ-156: сравнение до и после 01.09.2025

Различие между старым и новым регулированием касается формы, а не содержания согласия. Обязательные реквизиты по ч. 4 ст. 9 ФЗ-152 не изменились. Изменилось требование к способу оформления: согласие больше не может существовать как часть другого документа.

До 01.09.2025 допускались следующие форматы:

  • Согласие как отдельный пункт или приложение к трудовому договору — при наличии всех реквизитов по ч. 4 ст. 9.
  • Согласие в форме регистрации на сайте с галочкой «принимаю условия политики» — спорный, но применявшийся подход.
  • Согласие в оферте интернет-магазина — если реквизиты были прописаны в тексте.
  • Согласие на распространение ПДн (ст. 10.1) — уже требовало отдельного документа до ФЗ-156.

С 01.09.2025 требования следующие:

  • Согласие — только отдельный документ, физически или логически независимый от договора, оферты, политики.
  • Галочка «согласен с политикой конфиденциальности» без самостоятельного текста согласия — недостаточна, если политика является основанием обработки.
  • Подписание трудового договора с «встроенным» согласием — не создаёт действительного согласия для целей, требующих отдельного документа.
  • Форма согласия на сайте (чекбокс, поп-ап, отдельная страница) — должна быть автономным документом с полным набором реквизитов.

Что ФЗ-156 не изменил: перечень обязательных реквизитов согласия; правовые основания обработки по ст. 6 ФЗ-152 (если обработка идёт по п. 5 — исполнение договора с субъектом — согласие вообще не нужно); требования к письменной форме согласия на биометрию по ст. 11; порядок отзыва согласия по ч. 2 ст. 9. Обратная сила отсутствует: ранее полученные согласия, соответствовавшие закону на дату их получения, продолжают действовать.

Что нужно переделать и что не трогать: практический разбор

Ответ на вопрос «что переделать» зависит от того, какой документ содержит согласие сейчас и для какой цели оно используется.

Переделать необходимо:

  • Согласие работников, включённое в текст трудового договора — для целей, не охваченных ст. 86–88 ТК РФ (например, передача ПДн в банк для зарплатного проекта, обработка данных в корпоративных сервисах).
  • Согласие на маркетинговые рассылки, встроенное в оферту или договор с клиентом.
  • Согласие в регистрационной форме на сайте, если оно сформулировано как принятие политики конфиденциальности — без самостоятельного текста с реквизитами по ч. 4 ст. 9.
  • Согласие соискателей на обработку резюме, включённое в анкету, если анкета является частью другого процессного документа.

Не нужно переделывать:

  • Согласия, полученные до 01.09.2025 и соответствовавшие закону на дату их получения — обратной силы нет.
  • Обработку, основанную на ст. 6 ч. 1 п. 5 ФЗ-152 (исполнение договора с субъектом) — согласие для этого основания не требуется вовсе.
  • Согласие на распространение по ст. 10.1 ФЗ-152 — оно и до ФЗ-156 было отдельным документом; если форма уже отвечала требованиям, менять её не нужно.
  • Письменное согласие на биометрию по ст. 11 ФЗ-152 — требовало отдельного документа и до поправок.

Что проверить юристу при аудите согласий после 01.09.2025

  • Инвентаризация: составить реестр всех форм согласий (HR, маркетинг, сайт, партнёры) — и для каждой определить, является ли она самостоятельным документом или частью другого.
  • Реквизиты: проверить наличие всех обязательных элементов по ч. 4 ст. 9 ФЗ-152 в каждой форме.
  • Основание: для каждой обработки определить, нужно ли согласие вообще, — или достаточно другого основания по ст. 6 ФЗ-152.
  • Дата: для форм, полученных после 01.09.2025, — убедиться, что согласие оформлено отдельным документом.
  • Архив: зафиксировать, что старые согласия (до 01.09.2025) хранятся и подтверждают факт их получения.

Если вы юрист и уже получили запрос РКН или готовитесь к проверке — пакет ОРД с обновлёнными формами согласий критичен. Юристы DATUM соберут 38-документный комплект ОРД: политика, согласия по новым требованиям ФЗ-156, приказы, журналы. С 01.09.2025 каждая новая форма без отдельного согласия — риск штрафа 300 000–700 000 ₽ по ч. 2 ст. 13.11 КоАП.

Собрать ОРД под ключ

Как применяется ст. 13.11 КоАП за нарушения в согласиях: практические сценарии

Сценарий 1. Согласие работника в трудовом договоре — проверка РКН в 2026 году. Компания включила согласие на передачу ПДн в банк (зарплатный проект) в текст трудового договора до 01.09.2025. После этой даты она продолжает заключать трудовые договоры с тем же текстом. При проверке инспектор РКН фиксирует, что согласия, полученные после 01.09.2025, не являются отдельными документами. Протокол составляется по ч. 2 ст. 13.11 КоАП. Штраф для юрлица — 300 000–700 000 ₽. При повторности в течение года — 1 000 000–1 500 000 ₽ по ч. 2.1. Стратегия: немедленно разделить документы для всех договоров, заключённых после 01.09.2025; для ранее полученных согласий — сохранить архив.

Сценарий 2. Галочка «согласен с политикой» на сайте — жалоба субъекта. Интернет-магазин направляет маркетинговые письма клиентам, опираясь на то, что при регистрации они поставили галочку «принимаю политику конфиденциальности». В самой политике описана рассылка. После 01.09.2025 субъект подаёт жалобу в РКН: отдельного согласия на рассылку не было. РКН квалифицирует это как обработку без согласия (ч. 2 ст. 13.11) либо как обработку в целях, не предусмотренных основанием (ч. 1 ст. 13.11). Вероятный исход — штраф 150 000–700 000 ₽ в зависимости от квалификации. Стратегия: выделить отдельный чекбокс с текстом согласия на рассылку — как самостоятельный документ с реквизитами по ч. 4 ст. 9.

Сценарий 3. Малый бизнес без уведомления в реестре РКН — комплексное нарушение. Небольшая компания не стоит в реестре операторов ПДн по ст. 22 ФЗ-152, согласия у клиентов оформлены как часть договора оказания услуг. При плановой проверке РКН фиксирует два нарушения: неуведомление о намерении обрабатывать ПДн (ч. 10 ст. 13.11, штраф 100 000–300 000 ₽) и обработку без надлежащего согласия (ч. 2, штраф 300 000–700 000 ₽). Итого — два самостоятельных состава. Стратегия: подать уведомление в РКН через pd.rkn.gov.ru и параллельно переоформить согласия. Для микропредприятий при первичном нарушении возможна замена штрафа на предупреждение по ст. 4.1.1 КоАП — но только если вред субъектам не причинён.

Как это применяется на практике

Кейс 1. В деле об аудите HR-документации производственной компании (Сибирский ФО, зима 2025–2026) юрист при проверке выявил, что согласия работников на передачу ПДн в страховую организацию (ДМС) были включены в текст трудового договора. Все договоры заключались после 01.09.2025. РКН при плановой проверке составил протокол по ч. 2 ст. 13.11 КоАП. Штраф находился в диапазоне 300 000–700 000 ₽. Компания успела до вынесения постановления переоформить согласия как отдельные документы и представила доказательства. Суд учёл устранение нарушения и назначил штраф в нижней части диапазона.

Кейс 2. В споре о маркетинговой рассылке (case_S5, практика DATUM, 2026) компания — микропредприятие из сферы EdTech — направляла рассылки на основании «галочки в договоре». РКН возбудил дело по ч. 1 ст. 13.11 при отсутствии отдельного согласия. Компания документально подтвердила первичность нарушения и отсутствие вреда субъектам. Суд применил ст. 4.1.1 КоАП и заменил штраф предупреждением. ⚠️ Конкретный номер дела и точная дата — менеджер уточняет при публикации.

Услуги DATUM по теме

  • Аудит соответствия 152-ФЗ — проверка всех форм согласий, оснований обработки, соответствия ФЗ-156
  • Комплект ОРД под ключ — разработка новых форм согласий, политики, приказов в соответствии с требованиями с 01.09.2025
  • DPO-аутсорсинг — абонентское сопровождение ответственного по ст. 22.1, ответы на запросы субъектов

Частые вопросы

1. Что считается обработкой ПДн по 152-ФЗ?

По ст. 3 ФЗ-152 обработка персональных данных — это любое действие или совокупность действий с ПДн: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение. Под это определение подпадает большинство операций с данными клиентов, работников, контрагентов — в том числе простое хранение в базе данных.

2. На основании чего можно обрабатывать ПДн?

Ст. 6 ФЗ-152 устанавливает одиннадцать правовых оснований. Наиболее распространённые для бизнеса: согласие субъекта (п. 1), исполнение договора с субъектом (п. 5), исполнение возложенных на оператора обязанностей по закону (п. 2). Согласие необходимо только тогда, когда ни одно другое основание не подходит. Если договор с клиентом уже заключён и обработка нужна для его исполнения — согласие не требуется.

3. Что грозит за нарушение 152-ФЗ?

Административная ответственность по ст. 13.11 КоАП РФ в редакции с 30.05.2025 — до 18 составов с максимальным штрафом для юрлица до 15 000 000 ₽ за крупную утечку (ч. 14) и оборотным штрафом 1–3% годовой выручки (не менее 20 млн ₽, не более 500 млн ₽) при повторности (ч. 15). С 11.12.2024 действует ст. 272.1 УК РФ — незаконные сбор, хранение, передача компьютерной информации с ПДн, до 10 лет лишения свободы по ч. 5.

4. Нужно ли уведомлять РКН малому бизнесу?

По общему правилу ст. 22 ФЗ-152 — да, уведомление обязательно для любого оператора до начала обработки. Исключения перечислены в ч. 2 ст. 22 (обработка только для трудовых отношений, общедоступные данные, данные членов организации и ряд других). Если ни одно исключение не применимо — подать уведомление через pd.rkn.gov.ru. Неуведомление — штраф 100 000–300 000 ₽ по ч. 10 ст. 13.11 КоАП.

5. С какого возраста нужно согласие на ПДн?

ФЗ-152 не устанавливает возрастного порога напрямую. По общему правилу гражданской дееспособности (ст. 21, 26, 28 ГК РФ) лица до 14 лет не могут самостоятельно давать согласие — его дают законные представители (родители, опекуны). С 14 до 18 лет — вопрос спорный; на практике операторы берут согласие у самого несовершеннолетнего и у его родителя. Для образовательных и медицинских организаций — дополнительные требования по профильному законодательству.

Итог

ФЗ-156 от 24.06.2025 изменил форму согласия, а не его содержание. С 01.09.2025 согласие — отдельный документ. Все ранее полученные согласия, соответствовавшие закону на дату их получения, действительны. Новые согласия, оформленные как часть договора или оферты после 01.09.2025, — основание для штрафа по ч. 2 ст. 13.11 КоАП (300 000–700 000 ₽). Приоритетная задача для юриста — инвентаризация всех форм и разделение согласий для документов, заключаемых после точки отсчёта.

Юристы DATUM сопровождают операторов персональных данных в части согласий, оснований обработки и комплекта ОРД с 2014 года. Формы согласий разрабатываются под конкретные цели обработки с учётом всех оснований по ст. 6 ФЗ-152 — без избыточного сбора согласий там, где закон позволяет обойтись без них.

Смотрите также

ИБ
Игорь Беляев
Партнёр · РКН и арбитраж
Специализация — уведомления и проверки РКН, обжалование протоколов по ст. 13.11 КоАП (ред. ФЗ-420 от 30.11.2024), защита от оборотных штрафов с 30.05.2025, подсудность после ФЗ-508 от 28.12.2025.