инструкция 12 февраля 2027 По состоянию на 12 февраля 2027

Согласие на обработку ПДн с 01.09.2025: отдельный документ по ФЗ-156

С 01.09.2025 согласие на обработку персональных данных — это отдельный документ, не совмещённый с договором, политикой или офертой.

ФЗ-156 от 24.06.2025 изменил ч. 1 ст. 9 ФЗ-152: оператор обязан оформлять согласие субъекта как самостоятельный акт с обязательными реквизитами. Нарушение — штраф до 700 000 ₽ по ч. 2 ст. 13.11 КоАП или до 1 500 000 ₽ при повторности по ч. 2.1.

Если вы юрист и проверяете комплаенс оператора — в этой инструкции пошаговый порядок переработки пакета ОРД под требования ФЗ-156.

ФЗ-156 от 24.06.2025 изменил одно из базовых правил обработки персональных данных. До 01.09.2025 согласие субъекта могло быть встроено в договор, пользовательское соглашение или политику конфиденциальности. С 01.09.2025 этот вариант исключён: согласие оформляется только как отдельный документ. Ниже — пошаговая инструкция для юриста, который приводит документацию оператора в соответствие с новыми требованиями ст. 9 ФЗ-152.

Что изменил ФЗ-156: суть поправки к ст. 9 ФЗ-152

До вступления ФЗ-156 в силу ч. 1 ст. 9 ФЗ-152 не запрещала объединять согласие с другими документами. Оператор мог включить текст о согласии в раздел договора оказания услуг или в политику конфиденциальности на сайте — субъект «соглашался» при подписании основного документа или простановке галочки. Такой подход широко использовался в HR-документах, клиентских договорах и регистрационных формах интернет-сервисов.

ФЗ-156 устанавливает новое правило: согласие на обработку ПДн является самостоятельным документом. Оно не может быть частью договора, оферты, политики обработки ПДн или любого иного документа. Обратной силы поправка не имеет: согласия, полученные до 01.09.2025 по прежним правилам, не требуют обязательного переоформления. Но любое новое согласие — только отдельным документом.

«Ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025 — согласие субъекта персональных данных оформляется в виде отдельного документа и не может быть включено в состав иных документов. Действует с 01.09.2025.»

Практическое значение для юриста: проверяйте не только новые формы, но и все шаблоны, которые используются в операционной деятельности компании после 01.09.2025. Каждое применение старого шаблона с встроенным согласием — это потенциальное нарушение ч. 2 ст. 13.11 КоАП.

Шаг 1. Инвентаризируйте действующие согласия в ОРД

Первый шаг — составить реестр всех документов, в которых оператор сейчас фиксирует согласие субъектов. Типичный список для среднего бизнеса включает:

трудовой договор или дополнительное соглашение к нему (согласие работника);
договор с клиентом или оферта (согласие покупателя, пользователя);
регистрационные формы на сайте (HTML-форма с галочкой + текстом политики);
анкеты кандидатов при приёме на работу;
согласия на передачу данных третьим лицам (банк-партнёр, зарплатный проект);
согласия на распространение ПДн по ст. 10.1 ФЗ-152 (публикация в открытых источниках).

Для каждого документа из реестра зафиксируйте: форму (бумага / электронная), дату последнего обновления, встроено ли согласие в другой документ. Те документы, где согласие встроено, подлежат переработке применительно к новым согласиям.

Шаг 2. Проверьте обязательные реквизиты согласия по ст. 9 ФЗ-152

Согласие должно содержать следующие обязательные реквизиты — их перечень установлен ч. 4 ст. 9 ФЗ-152:

ФИО субъекта — полные данные лица, дающего согласие;
контактные данные субъекта — адрес, телефон или email;
наименование и адрес оператора — полное фирменное наименование и юридический адрес;
цель обработки — конкретная, а не общая («обеспечение выполнения трудовых обязанностей» — да; «иные законные цели» — нет);
перечень персональных данных — чётко перечислить категории и конкретные данные: ФИО, дата рождения, паспортные данные, номер телефона и т. д.;
перечень действий с данными — сбор, запись, систематизация, хранение, передача и иные действия, которые реально выполняются;
срок действия согласия — конкретная дата или событие (до достижения цели / до отзыва / в течение N лет);
способ отзыва — письменное заявление по адресу, email, личный кабинет — любой работающий механизм.

Отсутствие хотя бы одного из этих реквизитов означает, что согласие не соответствует требованиям ч. 4 ст. 9 ФЗ-152. РКН при проверке оценивает содержание документа, а не только его форму.

«Ст. 9 ч. 4 ФЗ-152 — перечень обязательных реквизитов согласия субъекта персональных данных. Согласие, не содержащее установленных сведений, не является надлежащим.»

Проверяете комплаенс ОРД после 01.09.2025?

Если вы юрист и готовите пакет ОРД под ФЗ-156, важно не только переработать форму согласия, но и синхронизировать её с политикой конфиденциальности, уведомлением в реестре РКН и приказом по ст. 22.1. Любая рассинхронизация — это основание для штрафа по ч. 3 или ч. 4 ст. 13.11 КоАП. Срок: с 01.09.2025 каждое новое согласие обязано быть отдельным документом.

Собрать ОРД под ключ

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Шаг 3. Разработайте отдельные формы согласий под каждую цель

Одно согласие не может покрывать несколько несвязанных целей. Ст. 5 ФЗ-152 устанавливает принцип несовместимости целей: если оператор обрабатывает данные для исполнения договора и одновременно для маркетинговых рассылок — это две разные цели, требующие двух документов. Практически это означает:

согласие на обработку в рамках трудовых отношений (работник) — отдельно;
согласие на передачу данных в банк для зарплатного проекта — отдельно;
согласие на обработку биометрических данных (СКУД) — отдельно, только письменная форма по ст. 11 ФЗ-152;
согласие на распространение ПДн (размещение фото на сайте компании) — отдельно, с дефолтом «не распространять» по ст. 10.1 ФЗ-152.

При разработке форм используйте принцип минимизации данных из ст. 5 ФЗ-152: перечисляйте только те данные и действия, которые реально необходимы для указанной цели. Избыточный перечень — самостоятельное нарушение.

Шаг 4. Обновите уведомление в реестре РКН и политику конфиденциальности

Переработка форм согласий затрагивает смежные документы. Юрист обязан проверить их синхронность после внесения изменений.

Уведомление в реестре РКН (ст. 22 ФЗ-152). Уведомление подаётся через pd.rkn.gov.ru по форме Приказа РКН №180 от 28.10.2022. Если в ходе переработки согласий вы зафиксировали расширение целей или категорий обрабатываемых данных — подайте уведомление об изменении сведений. Несоответствие фактической обработки сведениям в реестре — нарушение ст. 22 ФЗ-152, штраф по ч. 10 ст. 13.11 КоАП от 100 000 до 300 000 ₽.

Политика обработки ПДн (ст. 18.1 ФЗ-152). Политика должна содержать цели, правовые основания, категории субъектов, сроки хранения и меры защиты. После ФЗ-156 убедитесь, что политика не содержит текста согласия — она отражает порядок обработки, а не волеизъявление субъекта. Непубликация политики — штраф по ч. 3 ст. 13.11 от 30 000 до 60 000 ₽.

«Ст. 18.1 ФЗ-152 — оператор обязан опубликовать политику обработки персональных данных в открытом доступе. Содержание политики определено ч. 2 ст. 18.1; текст согласия не является её элементом.»

Приказ о назначении ответственного (ст. 22.1 ФЗ-152). Оператор-юрлицо обязан назначить лицо, ответственное за организацию обработки ПДн. Квалификационные требования к этому лицу установлены ч. 4 ст. 22.1. Проверьте актуальность приказа: изменение структуры обработки (новые цели, новые категории) — повод пересмотреть и закреплённые за ответственным полномочия.

Если вы юрист и обновляете ОРД после 01.09.2025 — проверьте, синхронизированы ли новые формы согласий с уведомлением в реестре РКН. Расхождение обнаруживается при первой же плановой проверке. Юристы DATUM проведут аудит комплекта ОРД по чек-листу из 38 пунктов и выдадут отчёт с приоритизированным планом устранения.

Заказать аудит 152-ФЗ

Шаг 5. Внедрите порядок получения и хранения согласий

Наличие корректной формы — необходимое, но не достаточное условие. Оператор обязан доказать, что субъект дал согласие: бремя доказывания лежит на операторе по ч. 3 ст. 9 ФЗ-152. Для этого нужен порядок фиксации и хранения полученных согласий.

Для бумажных согласий: подпись субъекта с датой, хранение в личном деле или архиве в течение срока обработки + не менее 3 лет после его истечения. Организационные меры — в соответствии с ч. 6 ст. 13.11 КоАП (неправомерный доступ к носителям).

Для электронных согласий: фиксация технического события (клик, timestamp, IP, версия формы), хранение логов в защищённой системе. Подтверждение согласия через УКЭП или УНЭП — наиболее юридически стойкий вариант для высоко рискованных категорий данных.

Отдельный механизм — отзыв согласия. Субъект вправе отозвать согласие в любой момент по ч. 2 ст. 9 ФЗ-152. Оператор обязан прекратить обработку и уничтожить данные в установленный срок (если нет иных правовых оснований для хранения). Пропишите в регламенте: кто принимает заявление об отзыве, в какой срок реагирует, как фиксирует факт прекращения обработки.

Типичные ошибки при переходе на новые требования

Разбор трёх ситуаций, с которыми сталкиваются юристы при аудите ОРД после 01.09.2025.

Ситуация 1. Компания обновила форму согласия как отдельный документ, но в старом трудовом договоре по-прежнему есть раздел «Согласие на обработку персональных данных». Новые работники подписывают и договор, и отдельное согласие. Формально это двойное согласие с разными реквизитами. Риск: при проверке РКН встроенный раздел договора будет квалифицирован как нарушение ч. 1 ст. 9 ФЗ-152 в редакции ФЗ-156, штраф по ч. 2 ст. 13.11 КоАП — 300 000–700 000 ₽. Стратегия: убрать из трудового договора любое упоминание о согласии на обработку ПДн; оставить только ссылку на отдельный документ.

Ситуация 2. Интернет-магазин использует одну HTML-форму регистрации: галочка «Согласен с политикой конфиденциальности» охватывает и условия пользования, и согласие на обработку ПДн. После 01.09.2025 это нарушение: политика конфиденциальности — не согласие, смешение недопустимо. Штраф по ч. 2 ст. 13.11 — до 700 000 ₽. Стратегия: отдельная галочка и отдельный документ о согласии на обработку со всеми реквизитами ч. 4 ст. 9 ФЗ-152; политика конфиденциальности — отдельная ссылка, отдельный документ.

Ситуация 3. Медицинская организация (Приволжский ФО, осень 2025) проводила обработку специальных категорий ПДн пациентов по согласиям, встроенным в информированное добровольное согласие на медицинское вмешательство. При внеплановой проверке РКН зафиксировал нарушение ч. 1 ст. 9 в редакции ФЗ-156. Поскольку речь шла о специальных категориях ПДн по ст. 10 ФЗ-152, дело передано в суд по ч. 2 ст. 13.11 КоАП. Штраф составил несколько сотен тысяч рублей. Стратегия: разграничить медицинское согласие и согласие на обработку ПДн — два самостоятельных документа с разными реквизитами.

Что подготовить для перехода на требования ФЗ-156

Реестр всех действующих форм согласий с указанием, где они встроены в другие документы.
Отдельные формы согласий под каждую цель обработки с полным комплектом реквизитов по ч. 4 ст. 9 ФЗ-152.
Актуальная политика обработки ПДн без текста согласия, опубликованная на сайте по ст. 18.1 ФЗ-152.
Обновлённое уведомление в реестре РКН, если изменились цели или категории данных (Приказ РКН №180).
Регламент получения и хранения согласий с механизмом фиксации отзыва по ч. 2 ст. 9 ФЗ-152.

Частые вопросы

1. Какие документы должны быть у оператора ПДн?

Минимальный пакет ОРД включает: политику обработки ПДн по ст. 18.1 ФЗ-152, отдельные формы согласий по ст. 9 ФЗ-152 (в редакции ФЗ-156 с 01.09.2025), приказ о назначении ответственного по ст. 22.1 ФЗ-152, уведомление в реестре РКН по ст. 22 ФЗ-152 (форма Приказа РКН №180), инструкции для работников, журнал обращений субъектов и регламент реагирования на утечку. Всего типовой комплект — около 38 позиций, в зависимости от структуры обработки.

2. Как составить политику обработки ПДн?

Политика должна содержать разделы, перечисленные в ч. 2 ст. 18.1 ФЗ-152: цели и правовые основания обработки, категории субъектов и перечень ПДн, условия передачи третьим лицам, сроки обработки и хранения, перечень мер защиты. После ФЗ-156 политика не должна содержать текст согласия — это разные документы. Политику публикуют в открытом доступе на сайте оператора; использовать шаблон из интернета без адаптации под реальные процессы обработки нельзя — несоответствие выявляется при первой проверке РКН.

3. Кого назначить ответственным по ст. 22.1 ФЗ-152?

Оператор-юрлицо обязан назначить лицо, ответственное за организацию обработки ПДн. Требования к квалификации установлены ч. 4 ст. 22.1 ФЗ-152: необходимы знания в области защиты персональных данных. Ответственным может быть штатный юрист, руководитель службы ИБ или внешний DPO-аутсорсер. Ключевое требование: лицо должно иметь доступ к документации об обработке и полномочия давать обязательные указания. Назначение оформляется приказом по организации.

4. Можно ли использовать шаблон политики из интернета?

Готовый шаблон — только отправная точка. Политика обработки ПДн должна отражать реальные процессы конкретного оператора: фактические цели, категории данных, сроки, конкретных третьих лиц, которым передаются данные. Универсальный шаблон не содержит этой информации. При проверке РКН инспектор сопоставляет текст политики с фактической обработкой; расхождение — основание для протокола по ч. 3 или ч. 1 ст. 13.11 КоАП.

5. Какие согласия нужны после 01.09.2025?

После 01.09.2025 любое согласие, получаемое впервые или обновляемое, должно быть оформлено как отдельный документ по ч. 1 ст. 9 ФЗ-152 в редакции ФЗ-156. Ранее полученные согласия обратной силы поправка не имеет — их переоформлять не обязательно. Отдельные согласия обязательны: на передачу данных третьим лицам, на распространение по ст. 10.1, на биометрическую обработку по ст. 11, на обработку специальных категорий по ст. 10 ФЗ-152. Каждая из этих категорий — отдельный документ, не объединяемый с другими.

Итог

ФЗ-156 от 24.06.2025 превратил согласие субъекта из раздела договора в самостоятельный правовой документ. Для юриста, сопровождающего оператора ПДн, это означает ревизию всего массива ОРД: инвентаризацию форм, разработку отдельных документов под каждую цель, синхронизацию с уведомлением в РКН и политикой по ст. 18.1. Нарушение — штраф от 300 000 до 1 500 000 ₽ по ч. 2 и ч. 2.1 ст. 13.11 КоАП.

Юристы DATUM сопровождают переработку ОРД под ФЗ-156: разрабатывают формы согласий под конкретные цели обработки, проверяют соответствие политики конфиденциальности требованиям ст. 18.1, обновляют уведомление в реестре РКН, оформляют приказ по ст. 22.1.

Услуги DATUM по теме

Комплект ОРД под ключ — 38 документов для оператора ПДн
Аудит соответствия 152-ФЗ — проверка по чек-листу, отчёт с приоритетами
DPO-аутсорсинг — функция ответственного по ст. 22.1 на абонементе

АС

Анна Соколова

Партнёр · ПДн в HR

Партнёр практики DATUM по защите персональных данных в HR. Специализация — согласия работников по ст. 9 152-ФЗ в редакции с 01.09.2025 (ФЗ-156), обработка через КЭДО, биометрия в СКУД, передача в зарплатных проектах.

12 февраля 2027 года