Перейти к содержанию
инструкция 10 ноября 2026 По состоянию на 10 ноября 2026

Согласие на спецкатегории ПДн по ст. 10

Спецкатегории персональных данных — здоровье, религиозные убеждения, судимость, политические взгляды — обрабатываются только при наличии отдельного письменного согласия субъекта по ст. 10 ФЗ-152.
С 01.09.2025 это согласие оформляется исключительно как самостоятельный документ — не в теле договора, не в политике конфиденциальности. Нарушение состава согласия при обработке спецкатегорий — ч. 2 ст. 13.11 КоАП, штраф для юрлица до 700 000 руб.
Если вы юрист и сейчас проверяете пакет ОРД клиента — ниже пошаговый порядок формирования согласия, обязательные реквизиты и типичные ошибки, которые выявляет РКН при проверке.

Ст. 10 ФЗ-152 устанавливает общий запрет на обработку специальных категорий персональных данных и перечень исключений. Одно из ключевых — явное, отдельно выраженное согласие самого субъекта. После вступления в силу ФЗ-156 от 24.06.2025 юрист, составляющий ОРД, обязан учитывать новые требования к форме согласия: документ должен быть отдельным, содержать обязательные реквизиты по ст. 9 ФЗ-152 и не объединяться с каким-либо иным волеизъявлением субъекта. В этой инструкции — последовательность действий от идентификации спецкатегорий до хранения подписанного согласия.

Шаг 1. Установите, обрабатываете ли вы спецкатегории ПДн

Ст. 10 ФЗ-152 содержит закрытый перечень специальных категорий: расовая и национальная принадлежность, политические взгляды, религиозные и философские убеждения, состояние здоровья и интимная жизнь, сведения о судимости. Эти данные встречаются значительно чаще, чем кажется. Медицинская организация обрабатывает их при каждом приёме пациента. Работодатель — при оформлении листка нетрудоспособности, справки об инвалидности или при СКУД с биометрией. Образовательное учреждение — при учёте льгот, основанных на состоянии здоровья ребёнка.

Первое действие юриста при аудите ОРД — пройтись по всем точкам сбора данных и проверить, нет ли там хотя бы одной категории из ст. 10. Если данные из перечня присутствуют, применяется повышенный режим: для их обработки нужно одно из оснований п. 2 ст. 10 ФЗ-152. Самое распространённое в коммерческой практике — согласие субъекта.

«Ст. 10 ФЗ-152 — обработка специальных категорий персональных данных, к которым относятся сведения о расовой и национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни и судимостях, по общему правилу запрещена. Исключение — наличие одного из оснований, перечисленных в п. 2 этой же статьи, в том числе согласия субъекта.»

Результат шага: список категорий ПДн с разметкой — «общие» или «специальные». Этот список станет основой для следующего шага.

Уже идёт проверка РКН или получен запрос?

При проверке инспектор в первую очередь запрашивает согласия субъектов и политику обработки ПДн. Если пакет ОРД не собран — протокол по ч. 2 ст. 13.11 КоАП составляется прямо на месте. Штраф для юрлица — до 700 000 руб., при повторном нарушении по ч. 2.1 — до 1 500 000 руб. Срок на представление документов по требованию РКН не восстанавливается.

Собрать ОРД под ключ

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Шаг 2. Определите правовое основание — нужно ли именно согласие?

Прежде чем составлять согласие, убедитесь, что вы не можете опереться на иное основание из п. 2 ст. 10 ФЗ-152. Например, медицинская организация при оказании помощи вправе обрабатывать данные о здоровье без согласия пациента — при наличии лицензии на медицинскую деятельность и в целях лечения (п. 4 ч. 2 ст. 10 ФЗ-152). Работодатель при обработке сведений о здоровье в рамках трудового законодательства также может действовать без согласия в объёме, прямо предусмотренном Трудовым кодексом.

Если же ни одно из исключений не подходит, основанием становится только согласие субъекта. Это типичная ситуация для: коммерческих медицинских сервисов без прямого договора с пациентом; HR-платформ, собирающих сведения о здоровье соискателей; страховщиков при оценке рисков; программ корпоративного благополучия с данными о физическом состоянии сотрудников.

Фиксируйте выбранное основание в политике обработки ПДн по ст. 18.1 ФЗ-152: регулятор проверяет соответствие заявленных оснований фактической обработке.

Шаг 3. Составьте согласие с обязательными реквизитами по ст. 9 ФЗ-152

С 01.09.2025 согласие на обработку ПДн, включая спецкатегории, обязано быть оформлено отдельным документом. ФЗ-156 от 24.06.2025 прямо запретил объединять его с договором, офертой, правилами сервиса или любым иным документом. Это требование не имеет обратной силы: согласия, полученные до 01.09.2025, переоформлять не нужно, однако при обновлении документооборота прежние формы следует заменить.

«Ст. 9 ФЗ-152 (в редакции ФЗ-156 от 24.06.2025, действует с 01.09.2025) — согласие субъекта персональных данных оформляется в виде отдельного документа и не может быть включено в состав иного документа, подписываемого субъектом.»

Обязательные реквизиты согласия на обработку спецкатегорий по ст. 9 ФЗ-152:

  • фамилия, имя, отчество субъекта персональных данных;
  • контактные данные субъекта (адрес, телефон, email — достаточно одного идентификатора);
  • наименование и адрес оператора;
  • цель или цели обработки — конкретно, не «обработка в целях деятельности компании»;
  • перечень персональных данных, на обработку которых даётся согласие (с явным указанием спецкатегорий: «сведения о состоянии здоровья», «сведения о религиозных убеждениях» и т. д.);
  • перечень действий с ПДн и описание используемых способов обработки;
  • срок, на который даётся согласие, либо условие его прекращения;
  • порядок отзыва согласия — конкретный адрес или способ направления заявления.

Дополнительно: если оператор планирует передавать спецкатегории третьим лицам (подрядчикам, обработчикам), это должно быть отражено в согласии с указанием наименования получателя или их категорий. Общая фраза «третьим лицам» без конкретизации не соответствует требованиям РКН.

Что подготовить юристу при формировании ОРД по спецкатегориям

  • Реестр категорий ПДн с разметкой «специальные / общие» по всем точкам сбора.
  • Отдельная форма согласия для каждой цели обработки спецкатегорий — объединять разные цели в одном бланке допустимо только если они логически связаны.
  • Политика обработки ПДн со ст. 18.1-разделами: правовые основания, категории субъектов, цели, меры защиты, сроки хранения.
  • Приказ о назначении ответственного за организацию обработки ПДн по ст. 22.1 ФЗ-152 с должностной инструкцией.
  • Уведомление РКН по Приказу РКН № 180 — с указанием спецкатегорий в разделе «Категории ПДн» и их правового основания.

Шаг 4. Убедитесь в надлежащем хранении и учёте согласий

Согласие на обработку спецкатегорий должно храниться весь срок обработки данных и три года после его истечения — этот период охватывает стандартный срок исковой давности и возможную проверку РКН. Бумажные согласия хранятся в папках с ограниченным доступом, электронные — в защищённой системе с логированием доступа.

Журнал учёта согласий — обязательный элемент ОРД. Он должен содержать: дату получения согласия, идентификатор субъекта (ФИО или номер), цель обработки, срок действия, дату отзыва (если был). При проверке РКН инспектор вправе запросить любое конкретное согласие и историю обращений субъекта.

Отдельного внимания требует ситуация, когда субъект отзывает согласие. Оператор обязан прекратить обработку спецкатегорий в течение 30 дней с момента получения заявления об отзыве (если иной срок не установлен договором или законом). Данные уничтожаются или обезличиваются, если иное основание для их хранения отсутствует.

Шаг 5. Отразите обработку спецкатегорий в уведомлении РКН

Обработка специальных категорий ПДн подлежит обязательному отражению в уведомлении об обработке, которое оператор подаёт в РКН по ст. 22 ФЗ-152 через портал pd.rkn.gov.ru. Форма уведомления утверждена Приказом РКН № 180 от 28.10.2022. В разделе «Категории персональных данных» необходимо прямо указать спецкатегории, в разделе «Правовое основание» — ссылку на п. 2 ст. 10 ФЗ-152 и конкретный подпункт.

Если компания уже состоит в реестре операторов, но не отразила спецкатегории в уведомлении, необходимо подать изменение сведений. Непредоставление актуальных сведений в реестр — самостоятельное основание для штрафа по ч. 10 ст. 13.11 КоАП: 100 000 — 300 000 руб. для юрлица.

«Ст. 22 ФЗ-152 — оператор обязан уведомить РКН о намерении осуществлять обработку персональных данных до её начала. При изменении сведений, ранее поданных в уведомлении, оператор направляет обновление в течение 10 рабочих дней с момента изменений. Приказ РКН № 180 определяет формы уведомлений.»

После подачи уведомления оператор включается в реестр в течение 30 дней. До включения обработка спецкатегорий формально ведётся без регистрации — это риск при плановой проверке.

Если вы юрист и видите, что уведомление в реестре РКН не отражает спецкатегории — это основание для штрафа до 300 000 руб. по ч. 10 ст. 13.11 КоАП. На исправление уведомления — 10 рабочих дней с момента изменения обработки. Юристы DATUM проведут аудит реестровых сведений и приведут уведомление в соответствие.

Заказать аудит 152-ФЗ

Как это работает на практике: типичные ситуации

Ситуация 1. Кадровая служба хранит справки об инвалидности без согласия. Работодатель запросил справки об инвалидности у сотрудников для оформления дополнительных льгот. Справки сохранили в личных делах без оформления отдельного согласия, ссылаясь на трудовой договор. РКН при плановой проверке установил: в уведомлении спецкатегории не указаны, согласие на обработку сведений о здоровье отсутствует. Протокол составлен по ч. 2 ст. 13.11 КоАП. Стратегия: сформировать отдельные согласия с реквизитами по ст. 9, актуализировать уведомление в реестре, добавить в политику обработки раздел о спецкатегориях.

Ситуация 2. SaaS-платформа здоровья без уведомления и согласия. Региональная компания (Уральский ФО, 2025) запустила корпоративный велнес-сервис: сотрудники клиентов вносили данные о своём состоянии здоровья, показатели давления, тревожности. Платформа не подала уведомление в РКН и не получила согласий на обработку спецкатегорий. После жалобы одного из субъектов РКН возбудил дело. Юристы, привлечённые к защите, добились минимального штрафа: компания оперативно оформила согласия, подала уведомление и устранила нарушение до вынесения постановления.

Ситуация 3. Медицинский агрегатор и передача данных третьим клиникам. Агрегатор записи к врачам передавал данные пациентов, включая сведения о диагнозе, в клиники-партнёры. В согласии передача третьим лицам была указана общей фразой «партнёры сервиса» без поимённого или категориального перечня. РКН квалифицировал это как несоответствие состава согласия требованиям ст. 9 ФЗ-152. Стратегия: переработать форму согласия с перечнем категорий получателей или конкретных организаций, заключить договоры поручения обработки по ст. 6 ФЗ-152.

Услуги DATUM по теме

  • Комплект ОРД под ключ — политика, согласия по ст. 9 и 10, приказы, журналы, регламенты
  • Аудит соответствия 152-ФЗ — проверка пакета документов по чек-листу из 38 пунктов с приоритизированным планом устранения
  • DPO-аутсорсинг — функция ответственного по ст. 22.1, ответы на запросы субъектов, мониторинг изменений закона

Частые вопросы

1. Какие документы должны быть у оператора, обрабатывающего спецкатегории ПДн?

Минимальный пакет ОРД: политика обработки ПДн по ст. 18.1 ФЗ-152 с отдельным разделом по спецкатегориям; отдельное согласие субъекта на обработку каждой категории (с реквизитами ст. 9 ФЗ-152); уведомление РКН по Приказу № 180 с указанием спецкатегорий и правового основания; приказ о назначении ответственного по ст. 22.1 ФЗ-152; журнал учёта согласий; договоры поручения обработки с подрядчиками, имеющими доступ к таким данным. При проверке отсутствие любого из этих документов — самостоятельное основание для протокола.

2. Как составить политику обработки ПДн, если компания работает со спецкатегориями?

Политика по ст. 18.1 ФЗ-152 должна включать: перечень категорий ПДн с прямым указанием спецкатегорий; цели обработки для каждой категории; правовые основания (со ссылкой на конкретный подпункт п. 2 ст. 10 ФЗ-152); срок хранения; меры защиты; порядок ответа на запросы субъектов. Нельзя использовать шаблон из интернета без адаптации — РКН проверяет соответствие политики фактической обработке. Несоответствие фиксируется как нарушение ст. 18.1 и влечёт штраф по ч. 3 ст. 13.11 КоАП (30 000 — 60 000 руб. для юрлица).

3. Кого назначить ответственным за обработку ПДн по ст. 22.1 ФЗ-152?

Ст. 22.1 ФЗ-152 обязывает каждого оператора-юрлицо назначить лицо, ответственное за организацию обработки ПДн. Требований к специальному образованию закон не устанавливает, однако ч. 4 ст. 22.1 перечисляет обязанности: знание закона, организация внутреннего контроля, взаимодействие с РКН, ответы на запросы субъектов. На практике назначают юриста, сотрудника ИБ или HR-руководителя. При назначении внешнего специалиста (аутсорсинг DPO) заключается договор с разграничением зон ответственности.

4. Можно ли использовать шаблон политики конфиденциальности из интернета?

Нет — если в компании обрабатываются спецкатегории. Типовые шаблоны не содержат разделов по ст. 10 ФЗ-152, не отражают конкретные цели и правовые основания именно вашей организации. РКН при проверке сравнивает политику с уведомлением в реестре и фактической обработкой: расхождение фиксируется как нарушение ст. 18.1 ФЗ-152. Допустимо использовать шаблон как структурный каркас с последующей полной адаптацией под реальную деятельность оператора.

5. Какие согласия нужно переоформить после 01.09.2025?

Согласия, полученные до 01.09.2025, юридически действительны — ФЗ-156 обратной силы не имеет. Переоформление обязательно для новых субъектов с 01.09.2025 и при любом обновлении существующих форм. Если компания переходит на новую форму договора или политики и предлагает субъектам её подписать — в этот момент нужно получить и новое согласие по актуальным требованиям: отдельный документ с реквизитами ст. 9 ФЗ-152. При обработке спецкатегорий рекомендуется провести плановый аудит форм и при выявлении несоответствий перейти на новые бланки.

6. Что делать, если субъект отозвал согласие на обработку спецкатегорий?

При получении заявления об отзыве оператор обязан прекратить обработку спецкатегорий в течение 30 дней, если иное не предусмотрено договором или прямой нормой закона. Данные, обработка которых велась исключительно на основании этого согласия, должны быть уничтожены или обезличены. Факт отзыва и дату прекращения обработки необходимо зафиксировать в журнале учёта согласий. Если обработка части данных продолжается на ином основании (например, договора), это основание следует письменно подтвердить субъекту при ответе на его заявление.

Итог

Согласие на обработку спецкатегорий ПДн по ст. 10 ФЗ-152 — отдельный документ с обязательными реквизитами ст. 9, не совмещаемый с договором или политикой начиная с 01.09.2025. Нарушение состава согласия влечёт штраф до 700 000 руб. по ч. 2 ст. 13.11 КоАП, а при повторном нарушении — до 1 500 000 руб. по ч. 2.1. Обработка без согласия при его обязательности — то же основание, но с более тяжёлыми последствиями при повторности.

Юристы DATUM сопровождают операторов на всех этапах: от формирования пакета ОРД под спецкатегории до защиты позиции компании при проверке РКН. Практика по 152-ФЗ в сети «Ветров и партнёры» с 2014 года.

Смотрите также

АС
Анна Соколова
Партнёр · ПДн в HR
Партнёр практики DATUM по защите персональных данных в HR. Согласия работников по ст. 9 ФЗ-152 в редакции ФЗ-156, обработка через КЭДО, биометрия в СКУД, сопровождение проверок РКН.

10 ноября 2026 года