Согласие как отдельный документ с 01.09.2025 (ФЗ-156)
ФЗ-156 от 24.06.2025 внёс точечное изменение в ч. 1 ст. 9 ФЗ-152: теперь согласие субъекта на обработку его персональных данных оформляется отдельным документом. Это требование затрагивает каждого оператора — от интернет-магазина с формой подписки до крупного работодателя с КЭДО. Для юриста, сопровождающего комплаенс по 152-ФЗ, изменение означает ревизию всей документации, где согласие было «зашито» в другой текст.
Что изменил ФЗ-156 и почему это важно для юриста?
До 01.09.2025 закон не запрещал включать согласие в тело договора, публичной оферты или пользовательского соглашения. Практика была повсеместной: галочка «согласен с условиями обработки ПДн» — в конце договора займа, трудового договора или регистрационной формы.
ФЗ-156 устранил эту возможность для всех согласий, получаемых с 01.09.2025. Согласие по ч. 1 ст. 9 ФЗ-152 теперь должно существовать как самостоятельный документ — с реквизитами, предусмотренными той же статьёй, и без примешивания иного текста.
Обратной силы у требования нет: согласия, оформленные до 01.09.2025 в составе другого документа, сохраняют юридическую силу. Переоформлять их не нужно — если только оператор не планирует расширить цели или объём обработки. В таком случае новое согласие потребует соблюдения актуальных требований.
Для юриста практический вывод: шаблоны согласий, созданные до 01.09.2025, применять к новым правоотношениям нельзя, если они встроены в другой документ. Нужна отдельная форма — или отдельный раздел с явной подписью субъекта, который суд и РКН признают самостоятельным документом.
Какие правовые основания для обработки ПДн остаются актуальными?
Согласие — лишь одно из одиннадцати оснований ст. 6 ФЗ-152. Юристу важно понимать, что ФЗ-156 не затронул иные основания обработки: исполнение договора с субъектом, исполнение обязанностей оператора по законодательству, судопроизводство, жизненно важные интересы и другие. Изменилось только оформление именно согласия.
На практике это означает: если оператор обрабатывает ПДн клиента в рамках договора купли-продажи — согласие не нужно вовсе. Если же оператор хочет направлять маркетинговые рассылки, передавать ПДн партнёрам или обрабатывать данные в иных целях, выходящих за рамки договора, — согласие необходимо. И с 01.09.2025 оно должно быть отдельным документом.
Принцип ограничения целей по ст. 5 ФЗ-152 остался неизменным: нельзя объединять базы данных с несовместимыми целями обработки. Это требование прямо связано с практикой получения согласий: одно согласие — одна цель или несколько явно перечисленных и совместимых.
Пакет ОРД ещё не обновлён под требования с 01.09.2025?
Если вы юрист и сейчас готовите или проверяете комплект документов оператора — каждая форма согласия, встроенная в другой документ, создаёт риск по ч. 2 ст. 13.11 КоАП. Штраф для юридического лица — до 700 000 ₽ за нарушение требований к составу согласия. При повторном нарушении — до 1 500 000 ₽ по ч. 2.1. Юристы DATUM проведут аудит обработки ПДн по чек-листу из 38 пунктов и выдадут отчёт с приоритизированным планом устранения нарушений.
Заказать аудит 152-ФЗОтветим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram
Как ФЗ-156 изменил требования к реквизитам согласия?
Перечень обязательных реквизитов согласия по ст. 9 ФЗ-152 ФЗ-156 не расширял — он закрепил их в рамках самостоятельного документа. Реквизиты прежние: ФИО субъекта, его контактные данные, наименование и адрес оператора, цель обработки, перечень персональных данных, перечень действий с ними, срок действия согласия или условие его прекращения, способ отзыва.
На практике значение «отдельного документа» суды и РКН трактуют так: согласие не может быть частью иного текста, к которому субъект присоединяется в целом. Недостаточно поставить птицу в конце многостраничного договора — нужна форма, текст которой посвящён исключительно обработке персональных данных. Подпись или иное явное выражение воли субъекта должно относиться именно к этому тексту.
Отдельное требование — согласие на распространение персональных данных по ст. 10.1 ФЗ-152. Оно и до ФЗ-156 требовало отдельного документа. После 01.09.2025 это правило распространилось на все согласия, включая стандартные — на обработку без распространения.
Что проверить юристу при аудите согласий после 01.09.2025
- Все новые формы согласий — самостоятельные документы, не встроены в договор, оферту, политику или иной текст
- Каждое согласие содержит восемь обязательных реквизитов ст. 9 ФЗ-152: ФИО, контакты субъекта, данные оператора, цель, перечень ПДн, перечень действий, срок, способ отзыва
- Согласие на распространение ПДн по ст. 10.1 ФЗ-152 оформлено отдельно от согласия на обработку без распространения
- Для специальных категорий ПДн по ст. 10 ФЗ-152 — письменная форма и явное выражение воли субъекта
- Порядок отзыва согласия описан в форме и доступен субъекту без условий
Что грозит за нарушение требований к согласию по ст. 13.11 КоАП?
Нарушения в оформлении согласия квалифицируются по ч. 2 ст. 13.11 КоАП: обработка персональных данных без письменного согласия субъекта в случаях, когда оно обязательно, либо с нарушением требований к составу согласия. Штраф для юридического лица — от 300 000 до 700 000 ₽ за каждый выявленный факт.
При повторном нарушении — ч. 2.1 ст. 13.11 КоАП: от 1 000 000 до 1 500 000 ₽. Повторность фиксируется, если компания уже привлекалась по ч. 2 в течение года. Для юриста это означает, что единичная ошибка в форме согласия, выявленная при проверке, немедленно создаёт риск повторного нарушения при следующем аудите.
Протоколы по ч. 2 ст. 13.11 составляет Роскомнадзор. С 28.12.2025 (ФЗ-508) дела снова рассматривают мировые судьи. Срок давности — 1 год с момента нарушения (ст. 4.5 КоАП). Применение ст. 4.1.1 КоАП — замена штрафа предупреждением — возможно для микропредприятий и субъектов МСП при первичном нарушении и отсутствии вреда. К оборотным составам (ч. 15, ч. 18) это правило не применяется, но ч. 2 под него не подпадает.
Типовые ситуации: как работает требование на практике
Ситуация 1. Согласие в трудовом договоре. Работодатель до 2025 года включал согласие на обработку ПДн работника в раздел трудового договора. Трудовые договоры, подписанные до 01.09.2025, действительны. Новые трудовые договоры, оформленные после 01.09.2025, должны сопровождаться отдельной формой согласия — если работодатель обрабатывает ПДн за рамками прямых трудовых отношений (например, передаёт данные банку для зарплатного проекта или страховщику). Без отдельного согласия — нарушение ч. 2 ст. 13.11. Стратегия: разработать шаблон отдельного согласия работника, приложить его к пакету при оформлении.
Ситуация 2. Галочка в онлайн-форме сайта. Интернет-магазин использует форму регистрации, в которой чекбокс «согласен на обработку ПДн» ссылается на политику конфиденциальности. По позиции РКН это не самостоятельное согласие: субъект присоединяется к политике, а не подписывает отдельный документ с реквизитами ст. 9. После 01.09.2025 такая форма создаёт риск по ч. 2 ст. 13.11. Исход при проверке — протокол и штраф от 300 000 ₽. Стратегия: создать отдельную страницу или модальное окно с текстом согласия, содержащим все восемь реквизитов, и кнопкой явного подтверждения.
Ситуация 3. Согласие в публичной оферте SaaS-сервиса. B2B-сервис включал обработку ПДн пользователей (контактных лиц клиентов) в текст оферты. До 01.09.2025 это было допустимо. С 01.09.2025 каждый новый пользователь должен подписать или подтвердить отдельный документ — согласие на обработку именно его ПДн. Доказательства: факт акцепта оферты не заменяет согласия. Вероятный исход без исправления — при жалобе субъекта РКН составит протокол. Стратегия: разделить оферту и форму согласия; хранить записи о принятии согласия с датой и версией документа.
Если вы юрист и в документации оператора есть согласия, встроенные в договоры или оферты, оформленные после 01.09.2025, — каждое из них является основанием для протокола по ч. 2 ст. 13.11 КоАП. Юристы DATUM соберут комплект ОРД под ключ с формами согласий, соответствующими ФЗ-156.
Собрать ОРД под ключКак это применяется на практике: два кейса
Кейс 1. Розничная сеть (Центральный ФО, осень 2025) использовала единую форму регистрации в программе лояльности: согласие на обработку ПДн было включено в условия программы лояльности как один из пунктов многостраничного документа. РКН провёл плановую проверку и зафиксировал нарушение ч. 1 ст. 9 ФЗ-152 — согласие не оформлено отдельным документом. Составлен протокол по ч. 2 ст. 13.11 КоАП. Юрист компании оперативно разработал самостоятельную форму согласия, которую суд учёл как смягчающее обстоятельство. Штраф назначен в нижней части диапазона — в районе 300 000 ₽. ⚠️ Конкретный номер дела и точная дата — менеджер уточняет при публикации.
Кейс 2. HR-директор производственной компании (Уральский ФО, зима 2025–2026) при оформлении новых сотрудников продолжал использовать форму согласия, встроенную в трудовой договор (шаблон разработан до 01.09.2025). После жалобы одного из работников РКН рассмотрел дело по ч. 2 ст. 13.11. Компания относилась к субъектам МСП, нарушение — первичное, вред субъекту не причинён. Мировой суд применил ст. 4.1.1 КоАП и заменил штраф предупреждением. Однако юридический департамент был вынужден переработать все шаблоны HR-документов и обучить кадровиков.
Услуги DATUM по теме
- Аудит соответствия 152-ФЗ — проверка всего пакета ОРД, включая формы согласий
- Комплект ОРД под ключ — разработка отдельных форм согласий по ст. 9 ФЗ-152
- DPO-аутсорсинг — постоянный контроль соответствия, ответы на запросы субъектов
Частые вопросы
1. Что считается обработкой ПДн по 152-ФЗ?
Обработка персональных данных по ст. 3 ФЗ-152 — это любое действие или совокупность действий с ПДн: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение. Обработкой признаётся и хранение данных без иных действий. Оператором является лицо, которое самостоятельно или совместно с другими определяет цели и состав обрабатываемых ПДн.
2. На основании чего можно обрабатывать ПДн?
Статья 6 ФЗ-152 устанавливает одиннадцать правовых оснований. Согласие субъекта — первое, но не единственное. Обработка допускается без согласия, если она необходима для исполнения договора, участником которого является субъект; для исполнения обязанностей оператора по закону; в целях судопроизводства; для защиты жизненно важных интересов субъекта; в иных прямо предусмотренных случаях. Выбор основания должен соответствовать фактической цели — подмена оснований нарушает ст. 5 ФЗ-152.
3. Что грозит за нарушение 152-ФЗ?
Административная ответственность — по ст. 13.11 КоАП (18 частей в редакции с 30.05.2025). Штрафы для юрлиц: от 30 000 ₽ за непубликацию политики (ч. 3) до 15 000 000 ₽ за крупную утечку (ч. 14). Оборотный штраф при повторной утечке (ч. 15) — 1–3% годовой выручки, не менее 20 000 000 ₽. Уголовная ответственность с 11.12.2024 — по ст. 272.1 УК РФ (ФЗ-421): незаконное использование, передача или хранение компьютерной информации с ПДн. Максимальное наказание по ч. 5 — лишение свободы до 10 лет.
4. Нужно ли уведомлять РКН малому бизнесу?
По общему правилу ст. 22 ФЗ-152 — да. Оператор обязан уведомить Роскомнадзор о намерении обрабатывать персональные данные до начала обработки. Исключения перечислены в ч. 2 ст. 22: обработка ПДн только работников оператора, разовые договорные отношения без передачи третьим лицам и ряд других. Большинство малых бизнесов, ведущих клиентские базы или сайты, под исключения не подпадают. Неуведомление — штраф по ч. 10 ст. 13.11 КоАП: 100 000 — 300 000 ₽ для юрлица.
5. С какого возраста нужно согласие на ПДн?
ФЗ-152 прямо не устанавливает возрастной ценз, но в части услуг информационного общества, обращённых к детям, применяется принцип дееспособности: лица до 14 лет не могут самостоятельно давать согласие, требуется согласие родителя или законного представителя. С 14 до 18 лет — ограниченная дееспособность; для ряда категорий согласие также должен подтвердить представитель. Оператор обязан разработать механизм проверки возраста и получения согласия представителя, если его сервис направлен на несовершеннолетних.
Итог
ФЗ-156 от 24.06.2025 ввёл одно точечное, но системное требование: согласие на обработку персональных данных с 01.09.2025 — только отдельный документ. Встраивать его в договоры, оферты или политики конфиденциальности запрещено. Ранее полученные согласия сохраняют силу, но все новые формы должны соответствовать обновлённой ч. 1 ст. 9 ФЗ-152. Нарушение — штраф по ч. 2 ст. 13.11 КоАП до 700 000 ₽; при повторном — до 1 500 000 ₽.
Практика DATUM по сопровождению операторов ПДн охватывает разработку форм согласий, аудит комплектности ОРД и защиту в производстве по ст. 13.11 КоАП. Команда работает с операторами в сфере ритейла, финтеха, HR и IT с 2014 года.
21 декабря 2027 года