Перейти к содержанию
инструкция 21 января 2027 По состоянию на 21 января 2027

Согласие на распространение по ст. 10.1: 5 особых условий

Согласие на распространение персональных данных — это отдельный документ, существующий только для публичного раскрытия ПДн третьим лицам. Без него оператор вправе обрабатывать данные, но не вправе передавать их неограниченному кругу лиц.
Ст. 10.1 ФЗ-152 устанавливает пять условий, без соблюдения которых согласие ничтожно. Нарушение одного из них — основание для штрафа по ч. 2 ст. 13.11 КоАП до 700 000 ₽ за каждый ненадлежащий документ. С 30.05.2025 за повторное нарушение — до 1 500 000 ₽.
Если вы юрист и проверяете комплаенс компании по ОРД — эта инструкция покажет, где конкретно согласия рушатся при проверке и как их собрать правильно. → Перейти к шагам

Ст. 10.1 введена в ФЗ-152 как специальная норма для случаев, когда оператор хочет сделать персональные данные субъекта общедоступными. Это не аналог стандартного согласия по ст. 9 — у двух документов разные реквизиты, разные правовые последствия и разные риски при ошибке. С 01.09.2025 согласие по ст. 9 оформляется отдельным документом по требованиям ФЗ-156 от 24.06.2025. Согласие по ст. 10.1 и до, и после этой даты было самостоятельным. Задача юриста при построении ОРД — разграничить оба документа и исключить их смешение.

Что такое распространение по ст. 10.1 и чем оно отличается от стандартной обработки?

Распространение в понятийном аппарате ст. 3 ФЗ-152 — это действия, направленные на раскрытие персональных данных неопределённому кругу лиц. Стандартная обработка по ст. 6 — это законная передача конкретному получателю или использование данных внутри организации. Разница принципиальная: при распространении оператор теряет контроль над дальнейшим использованием данных.

Ст. 10.1 ФЗ-152 требует, чтобы субъект явно и отдельно выразил согласие именно на это действие. Молчание субъекта по ст. 10.1 ч. 2 означает, что данные можно обрабатывать только в интересах оператора — без передачи третьим лицам. Это правило действует по умолчанию, даже если в тексте согласия оно не прописано.

Типичные ситуации, где требуется ст. 10.1: публикация отзывов с именем и фото, размещение резюме на карьерном сайте, публичный реестр партнёров, рейтинги сотрудников с персональными данными в открытом доступе, пресс-релизы с упоминанием конкретных физических лиц.

«Ст. 10.1 ФЗ-152 — оператор вправе осуществлять обработку ПДн, разрешённых субъектом для распространения, только на основании отдельного согласия. Молчание субъекта признаётся несогласием на распространение.»

Проверяете ОРД перед проверкой РКН?

Если вы юрист и формируете пакет ОРД — согласие по ст. 10.1 входит в число обязательных документов наравне с политикой конфиденциальности и приказом по ст. 22.1. Отсутствие любого из них при проверке РКН даёт основание для протокола. Каждый дефект реквизитов в согласии — это отдельный состав по ч. 2 ст. 13.11 КоАП.

Собрать ОРД под ключ

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Шаг 1. Убедитесь, что согласие на распространение — отдельный документ

Главная ошибка в ОРД — включение согласия на распространение в тело трудового договора, оферты, пользовательского соглашения или стандартной анкеты. Такое согласие юридически не существует: ст. 10.1 ч. 4 ФЗ-152 прямо предписывает его обособленность.

С 01.09.2025 это требование де-факто дублируется ещё раз через ФЗ-156 от 24.06.2025 применительно к согласию по ст. 9 — два разных документа в одном файле недопустимы ни в одном случае. На практике юристу следует проверить: если в компании есть форма «Согласие на обработку и распространение персональных данных» — она нарушает оба требования одновременно.

Технически документ может быть бумажным или электронным. При электронном формате обязательно подтверждение волеизъявления: checkbox без предзаполнения, УКЭП или иной способ, позволяющий однозначно атрибутировать согласие конкретному субъекту и зафиксировать момент его предоставления.

Шаг 2. Проверьте перечень персональных данных, разрешённых для распространения

В согласии по ст. 10.1 должен быть исчерпывающий перечень категорий ПДн, которые субъект разрешает распространять. Расплывчатые формулировки «любые данные, предоставленные ранее» или «персональные данные в соответствии с политикой конфиденциальности» не соответствуют требованиям: перечень должен быть конкретным.

Ст. 10.1 ч. 9 ФЗ-152 устанавливает отдельное ограничение: оператор не вправе распространять ПДн специальных категорий (ст. 10) и биометрию (ст. 11) без специального указания субъекта. Если в компании предполагается публикация, например, фотографий сотрудников (биометрия) — для этого нужен отдельный пункт согласия, а не общая ссылка.

Практика: РКН при проверке сопоставляет реально распространяемые данные с перечнем в согласии. Если на сайте компании опубликованы ФИО, должность и телефон сотрудника, а в согласии указаны только «ФИО и должность» — это нарушение ч. 1 ст. 13.11 по основанию обработки данных, не предусмотренной согласием.

Шаг 3. Установите запреты и условия на распространение

Ст. 10.1 ч. 3 ФЗ-152 предоставляет субъекту право устанавливать запреты и условия в отношении обработки распространённых данных. Оператор обязан обеспечить техническую и организационную возможность для субъекта такие запреты выставить — это требование ст. 10.1 ч. 5.

Запреты могут касаться: передачи данных конкретным категориям получателей, использования данных в коммерческих целях, обработки данных в определённых целях. Если субъект при даче согласия добавил запрет — оператор обязан его соблюдать и донести до всех, кому данные переданы.

На практике для юриста это означает необходимость создать два технических механизма: форму предоставления согласия с полем для запретов (или опциями checkbox) и внутренний регламент обработки таких запретов. Без регламента согласие технически есть, но исполнить его нельзя — что само по себе нарушение.

«Ст. 10.1 ч. 3 ФЗ-152 — субъект при даче согласия на распространение вправе установить запреты или условия обработки данных для оператора и третьих лиц, которым оператор передаёт ПДн.»

Если у вас уже есть форма согласия на распространение — велика вероятность, что она не содержит механизм запретов. Срок на устранение нарушения при предписании РКН — 10 рабочих дней. Проверьте форму до проверки, а не после.

Проверить ОРД на соответствие

Шаг 4. Пропишите порядок отзыва и прекращения распространения

Согласие по ст. 10.1 отзывается в том же порядке, что согласие по ст. 9 ФЗ-152. После отзыва оператор обязан прекратить распространение данных. Ключевое отличие от ст. 9: оператор должен не только сам прекратить распространение, но и уведомить всех третьих лиц, которым данные были переданы, об отзыве согласия субъекта.

На практике это создаёт цепочку: субъект отзывает → оператор фиксирует дату отзыва → оператор в разумный срок уведомляет получателей → получатели прекращают использование. «Разумный срок» в ФЗ-152 не определён; ориентир — 10 рабочих дней по аналогии со ст. 20 ФЗ-152.

В ОРД должен быть отдельный регламент, описывающий эту цепочку. Если компания передаёт данные партнёрам на основании согласия по ст. 10.1 — в договоре с каждым партнёром нужен пункт об обязанности прекратить обработку по уведомлению оператора. Без такого пункта оператор формально не может исполнить требование об отзыве.

Шаг 5. Свяжите согласие по ст. 10.1 с остальной ОРД и реестром РКН

Согласие по ст. 10.1 существует не изолированно. Оно должно быть отражено в уведомлении оператора в реестре РКН по ст. 22 ФЗ-152 (форма — Приказ РКН №180 от 28.10.2022): в разделе «Правовое основание» и в описании целей обработки. Если в реестре указано «обработка ПДн работников» без упоминания распространения — при проверке это расхождение между заявленным и фактическим объёмом обработки.

Политика конфиденциальности по ст. 18.1 ФЗ-152 обязана содержать информацию о порядке распространения ПДн, включая категории распространяемых данных и круг получателей. Если согласие на распространение в компании есть, а в политике этот раздел отсутствует — нарушение ч. 3 ст. 13.11 КоАП (штраф до 60 000 ₽ за политику и дополнительно по ч. 1 за несоответствие реальной обработки заявленной).

Ответственный за обработку ПДн по ст. 22.1 ФЗ-152 должен быть знаком с процедурой получения и хранения согласий по ст. 10.1. Если в компании функция ответственного не выделена или совмещена с другими — это отдельный риск при проверке. Назначение по ст. 22.1 оформляется приказом с указанием конкретных полномочий.

«Ст. 22 ФЗ-152 — оператор уведомляет РКН о намерении обрабатывать ПДн до начала обработки. Уведомление подаётся по форме Приказа РКН №180 через pd.rkn.gov.ru. Срок включения в реестр — 30 дней.»

Что подготовить юристу для комплаенса по ст. 10.1

  • Отдельный документ согласия на распространение с реквизитами: ФИО субъекта, цель распространения, исчерпывающий перечень ПДн, перечень действий оператора, механизм запретов субъекта, способ отзыва.
  • Раздел в политике конфиденциальности по ст. 18.1 о распространении ПДн: категории данных, круг получателей, порядок прекращения распространения при отзыве.
  • Актуальное уведомление в реестре РКН по ст. 22 с указанием распространения как действия с ПДн и соответствующего правового основания.
  • Регламент обработки запретов субъекта и уведомления третьих лиц при отзыве согласия.
  • Приказ о назначении ответственного по ст. 22.1 с включением в его функции контроля за согласиями на распространение.

Как ошибки в согласии по ст. 10.1 выглядят на практике

Кейс 1. Компания в Сибирском федеральном округе (лето 2025) публиковала на корпоративном сайте фотографии сотрудников с ФИО и должностями. При плановой проверке РКН установил: согласие было получено при трудоустройстве включением в трудовой договор пункта «работник соглашается на обработку и публикацию персональных данных». По ст. 10.1 такое согласие не имеет юридической силы — оно не является отдельным документом и не содержит перечень конкретных действий по распространению. Протокол составлен по ч. 2 ст. 13.11 КоАП; штраф для юрлица составил сумму в нижней части диапазона 300 000–700 000 ₽. Устранение нарушения потребовало переоформления согласий со всеми действующими сотрудниками и удаления фотографий до завершения переоформления.

Кейс 2 (case_S5). При внеплановой проверке микропредприятия (менее 15 человек) РКН выявил отсутствие механизма запретов в форме согласия на распространение и несоответствие раздела политики конфиденциальности требованиям ст. 18.1. Дело рассматривалось по ч. 1 ст. 13.11 КоАП. Поскольку компания является микропредприятием и нарушение совершено впервые, суд применил ст. 4.1.1 КоАП и заменил штраф предупреждением. При повторном нарушении эта возможность исключена — применяются ч. 1.1 или ч. 2.1 ст. 13.11 с существенно более высокими санкциями.

Услуги DATUM по теме

  • Комплект ОРД под ключ — 38 документов, включая согласие на распространение по ст. 10.1 и политику конфиденциальности
  • Аудит соответствия 152-ФЗ — проверка всего пакета ОРД, включая согласия и уведомление в реестре РКН
  • DPO-аутсорсинг — ответственный по ст. 22.1 на абонентском обслуживании, включая контроль за согласиями

Частые вопросы

1. Какие документы должны быть у оператора ПДн по минимуму?

Обязательный минимум по ФЗ-152: уведомление в реестре РКН (ст. 22), политика обработки ПДн (ст. 18.1), приказ о назначении ответственного (ст. 22.1), согласия субъектов (ст. 9 в ред. ФЗ-156 с 01.09.2025), поручения обработки при наличии подрядчиков (ч. 3 ст. 6), локальные акты по техническим мерам защиты (ст. 19). Согласие по ст. 10.1 добавляется только если оператор фактически распространяет данные.

2. Как составить политику обработки ПДн по требованиям ст. 18.1?

Политика по ст. 18.1 ФЗ-152 должна содержать: наименование и контакты оператора, цели обработки, правовые основания, состав ПДн по каждой цели, категории субъектов, действия с ПДн, порядок обеспечения прав субъектов, меры защиты. Если оператор распространяет данные — раздел о порядке распространения и прекращения при отзыве согласия по ст. 10.1 обязателен. Политика публикуется в открытом доступе; ссылка на неё должна быть в форме сбора данных.

3. Кого назначить ответственным по ст. 22.1 ФЗ-152?

Ст. 22.1 ФЗ-152 не предъявляет требований к конкретной должности: это может быть штатный юрист, HR-менеджер, специалист по ИБ или внешний DPO-аутсорсер. Требование одно — лицо должно быть реально уполномочено организовывать обработку ПДн и иметь доступ ко всем документам. Назначение оформляется приказом с указанием конкретных полномочий. Функцию можно передать на аутсорсинг по договору.

4. Можно ли использовать шаблон политики конфиденциальности из интернета?

Шаблон из открытых источников — отправная точка, но не готовый документ. Политика должна отражать фактическую обработку конкретной компании: цели, категории ПДн, правовые основания, подрядчиков, трансграничные передачи, если они есть. Типовой шаблон не содержит этих данных. РКН при проверке сопоставляет текст политики с реальной практикой: несоответствие — основание для протокола по ч. 1 ст. 13.11 КоАП.

5. Какие согласия нужно переоформить после 01.09.2025?

ФЗ-156 от 24.06.2025 изменил ч. 1 ст. 9 ФЗ-152: с 01.09.2025 согласие на обработку ПДн оформляется отдельным документом. Обратной силы норма не имеет — ранее полученные согласия переоформлять не требуется. Переоформление необходимо при сборе новых согласий после 01.09.2025 и при обновлении существующих форм. Согласие по ст. 10.1 этого требования не касается — оно было самостоятельным документом и до поправок.

6. Что делать, если субъект установил запрет на передачу данных конкретному получателю?

Оператор обязан соблюдать запрет, установленный субъектом при даче согласия по ст. 10.1 ч. 3 ФЗ-152. Технически это означает: внести запрет в реестр согласий, не передавать данные указанному получателю и уведомить получателя, если данные уже были переданы. Игнорирование запрета субъекта — нарушение принципов обработки по ст. 5 ФЗ-152 и основание для обращения в РКН с жалобой.

Итог

Согласие на распространение по ст. 10.1 ФЗ-152 — не упрощённый вариант стандартного согласия, а самостоятельный документ с пятью обязательными условиями: отдельный документ, исчерпывающий перечень ПДн, механизм запретов субъекта, порядок отзыва с уведомлением получателей, отражение в уведомлении РКН и политике конфиденциальности. Нарушение любого из них при проверке РКН приводит к протоколу по ч. 2 ст. 13.11 КоАП — до 700 000 ₽ за каждое ненадлежащее согласие.

Практика DATUM по построению ОРД включает согласие на распространение как стандартный элемент комплекта из 38 документов. Типичные ошибки в корпоративных ОРД — смешение согласий по ст. 9 и ст. 10.1, отсутствие механизма запретов и несоответствие между реальным распространением и заявленным в реестре РКН.

Смотрите также

АС
Анна Соколова
Партнёр · ПДн в HR
Партнёр практики DATUM. Согласия работников по ст. 9 ФЗ-152 в ред. ФЗ-156, КЭДО, биометрия в СКУД, сопровождение проверок РКН в HR-департаментах.

21 января 2027 года