Перейти к содержанию
инструкция 16 марта 2027 По состоянию на 16 марта 2027

Согласие в составе пакета документов

Согласие на обработку персональных данных с 01.09.2025 — отдельный документ. Включить его в договор, политику или оферту нельзя.
ФЗ-156 от 24.06.2025 изменил ч. 1 ст. 9 ФЗ-152: согласие больше не может быть частью иного документа. Нарушение — штраф до 700 000 ₽ по ч. 2 ст. 13.11 КоАП (в редакции с 30.05.2025).
Если вы юрист и проверяете ОРД оператора — проверьте согласия первыми: именно они чаще всего нарушают новые требования. → Инструкция ниже.

До 01.09.2025 операторы массово включали согласие в трудовой договор, оферту, политику конфиденциальности или анкету клиента. Роскомнадзор фиксировал это как нарушение, но до ФЗ-156 формальная норма допускала широкое толкование. Теперь требование прямое: согласие — отдельный документ с обязательными реквизитами. Инструкция разбирает, как правильно встроить согласие в пакет ОРД, не смешивая его с другими документами, какие реквизиты обязательны и что делать с согласиями, оформленными до поправок.

Шаг 1. Разберитесь, какие согласия нужны в вашем пакете ОРД

Первый шаг — составить реестр оснований обработки. Согласие субъекта (п. 1 ч. 2 ст. 6 ФЗ-152) — только одно из одиннадцати оснований. Если обработка ПДн необходима для исполнения договора с субъектом или для выполнения требований закона, согласие не нужно вообще. Включать его в пакет «на всякий случай» — ошибка: суды и РКН расценивают избыточное согласие как попытку обойти принцип минимизации данных по ст. 5 ФЗ-152.

Согласие обязательно в нескольких ситуациях: обработка специальных категорий ПДн (ст. 10 ФЗ-152) — состояние здоровья, национальность, религиозные взгляды; обработка биометрических ПДн вне исключений ст. 11; распространение ПДн третьим лицам по ст. 10.1; передача данных работника в зарплатный проект или третьей стороне за пределами обязательных кадровых процедур.

Для каждого типа обработки — отдельное согласие. Объединять согласие на обработку медицинских данных с согласием на передачу данных в страховую компанию в один документ нельзя: цели разные, это нарушает ст. 5 ФЗ-152 о раздельном учёте баз с несовместимыми целями.

Шаг 2. Проверьте, соответствуют ли существующие согласия требованиям ст. 9 ФЗ-152

С 01.09.2025 согласие должно быть оформлено как самостоятельный документ — не встроено в трудовой договор, оферту, анкету или политику конфиденциальности. Это прямое требование ч. 1 ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025. Ранее полученные согласия переоформлять не требуется: закон обратной силы не имеет. Но любое новое согласие после 01.09.2025 — отдельный документ.

«Ст. 9 ФЗ-152 в ред. ФЗ-156 от 24.06.2025: согласие субъекта персональных данных оформляется в виде отдельного документа или в форме электронного документа, подписанного в соответствии с требованиями об электронной подписи. Включение в состав иного документа не допускается.»

Обязательные реквизиты согласия по ст. 9 ФЗ-152: фамилия, имя, отчество субъекта; контактные данные субъекта; наименование и адрес оператора; цель обработки; перечень персональных данных; перечень действий с ними; срок действия; порядок отзыва. Отсутствие любого реквизита — согласие считается ненадлежащим по ч. 2 ст. 9. Оператор несёт бремя доказывания его наличия.

При проверке пакета ОРД сверьте каждое имеющееся согласие с этим перечнем. Типичная ошибка в практике — отсутствие конкретного перечня действий (написано «обработка», а не «сбор, запись, хранение, передача»). Роскомнадзор при проверках считает такое согласие дефектным.

Согласия работников ещё в трудовом договоре?

Если в пакете ОРД компании согласия включены в кадровые документы или договор с клиентом — каждое новое согласие после 01.09.2025 нарушает ч. 1 ст. 9 ФЗ-152 в редакции ФЗ-156. Штраф по ч. 2 ст. 13.11 КоАП — до 700 000 ₽. Юристы DATUM проверят структуру вашего пакета ОРД и подготовят согласия с обязательными реквизитами.

Собрать ОРД под ключ

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Шаг 3. Определите место согласия в структуре пакета ОРД

Стандартный пакет ОРД оператора включает несколько групп документов: организационно-распорядительные (приказы, положения), политику обработки ПДн по ч. 2 ст. 18.1 ФЗ-152, операционные регламенты, согласия и формы запросов субъектов. Согласие — отдельная группа, не подчинённая политике конфиденциальности.

Структура пакета ОРД в части согласий выглядит так: политика обработки ПДн описывает общие принципы и цели; согласие закрепляет конкретное разрешение субъекта на конкретные действия с конкретными данными для конкретной цели. Политика и согласие — самостоятельные документы с разными функциями. Политика публикуется на сайте по ч. 2 ст. 18.1 ФЗ-152; отсутствие публикации — штраф 30 000–60 000 ₽ по ч. 3 ст. 13.11 КоАП.

Согласие не заменяет и не дополняет политику. Ссылка в согласии на политику как на источник описания целей и перечня данных — допустима как дополнительное пояснение, но сами обязательные реквизиты должны быть перечислены в тексте согласия.

Как составить политику обработки персональных данных с учётом требований ст. 18.1 ФЗ-152?

Политика обработки ПДн по ч. 2 ст. 18.1 ФЗ-152 обязана содержать: перечень обрабатываемых категорий ПДн; цели обработки; правовые основания по ст. 6 (и ст. 10, 10.1 — для спецкатегорий и распространения); описание мер защиты; сведения о трансграничной передаче (если есть); порядок реализации прав субъектов. Документ публикуется на сайте оператора в открытом доступе — ссылка на документ должна быть размещена на главной странице или в разделе политики конфиденциальности.

Типичные ошибки при составлении политики: не указаны правовые основания для каждой цели обработки; отсутствует описание мер технической защиты; не включён порядок обращения субъекта с запросом. Роскомнадзор проверяет политику по чек-листу из нескольких десятков пунктов — недостающие разделы фиксируются как нарушение ст. 18.1.

«Ст. 18.1 ч. 2 ФЗ-152: оператор обязан опубликовать или обеспечить неограниченный доступ к документу, определяющему политику в отношении обработки персональных данных.»

Шаг 4. Назначьте ответственного за обработку ПДн по ст. 22.1 ФЗ-152

Оператор-юридическое лицо обязан назначить лицо, ответственное за организацию обработки ПДн, — это требование ч. 1 ст. 22.1 ФЗ-152. Документ — приказ о назначении. Без него пакет ОРД неполон: отсутствие приказа фиксируется при проверке РКН как нарушение ст. 18.1.

Требования к ответственному по ч. 4 ст. 22.1 ФЗ-152: достаточная квалификация для выполнения функций, знание законодательства о ПДн. На практике — это штатный юрист, HR-директор или выделенный специалист по защите данных. Допускается передача функции на аутсорсинг (DPO-аутсорсинг), если в договоре с внешним исполнителем чётко определены полномочия и ответственность.

Функции ответственного: приём и обработка запросов субъектов по ст. 20 ФЗ-152 (срок ответа — 10 рабочих дней с возможностью продления на 5 рабочих дней); уведомление РКН об инцидентах по ч. 3.1 ст. 21 ФЗ-152 (24 часа на первичное уведомление, 72 часа на отчёт); актуализация ОРД при изменении процессов обработки.

Шаг 5. Проверьте уведомление в реестре РКН по ст. 22 ФЗ-152

Оператор обязан уведомить РКН о намерении осуществлять обработку ПДн до её начала — ст. 22 ФЗ-152. Уведомление подаётся через портал pd.rkn.gov.ru по форме, утверждённой Приказом РКН №180 от 28.10.2022. После подачи оператор включается в реестр в течение 30 дней.

Неуведомление или несвоевременное уведомление — штраф 100 000–300 000 ₽ по ч. 10 ст. 13.11 КоАП (в редакции с 30.05.2025). Важно: сведения в реестре должны соответствовать реальным процессам обработки. Если компания начала обрабатывать новые категории ПДн или изменила цели — необходимо подать уведомление об изменении сведений по той же форме.

«Ст. 22 ФЗ-152: оператор до начала обработки обязан уведомить уполномоченный орган по защите прав субъектов о своём намерении осуществлять обработку персональных данных.»

Если вы юрист и проверяете ОРД компании — несоответствие реальных процессов обработки сведениям в реестре РКН создаёт риск по ч. 10 ст. 13.11 КоАП. Срок подачи уведомления об изменениях не восстанавливается. Юристы DATUM проведут аудит реестровых данных и актуализируют уведомление.

Заказать аудит 152-ФЗ

Что подготовить: минимальный пакет ОРД с согласиями

  • Политика обработки ПДн с обязательными разделами по ч. 2 ст. 18.1 ФЗ-152 — опубликована на сайте.
  • Отдельные согласия субъектов (работников, клиентов) по ст. 9 ФЗ-152 в редакции ФЗ-156: восемь обязательных реквизитов, не встроены в иные документы.
  • Приказ о назначении ответственного за организацию обработки ПДн по ст. 22.1 ФЗ-152.
  • Уведомление в реестре РКН по ст. 22 ФЗ-152, актуализированное под реальные процессы обработки.
  • Регламент реагирования на запросы субъектов и на инциденты (сроки 10 рабочих дней / 24 часа / 72 часа).

Как применяются новые требования на практике: типичные сценарии

Сценарий 1. Согласие работника в трудовом договоре. HR-директор торговой компании (Сибирский ФО, осень 2025) включил согласие на обработку биометрических данных для СКУД в текст трудового договора. При плановой проверке РКН инспектор зафиксировал нарушение ч. 1 ст. 9 ФЗ-152 в редакции ФЗ-156: согласие не является отдельным документом. Дополнительно — нарушение ч. 2: в тексте отсутствовал исчерпывающий перечень действий. Компания получила предписание и штраф по ч. 2 ст. 13.11 КоАП. Стратегия: переоформить все согласия, подписанные после 01.09.2025, как отдельные документы; для согласий до этой даты — дополнительных действий не требуется, обратной силы нет.

Сценарий 2. Политика конфиденциальности без обязательных разделов. Юрист производственного предприятия (Уральский ФО, начало 2026) при аудите ОРД обнаружил, что политика конфиденциальности на сайте скопирована из открытого шаблона и не содержит описания правовых оснований обработки по ст. 6 ФЗ-152 и порядка обращения субъектов. Роскомнадзор при внеплановой проверке по жалобе зафиксировал нарушение ч. 2 ст. 18.1. Штраф по ч. 3 ст. 13.11 — 30 000–60 000 ₽. Стратегия: актуализировать политику под реальные процессы компании; шаблоны из интернета не проходят проверку по чек-листу РКН.

Сценарий 3. Отсутствие приказа о назначении ответственного. В компании (Центральный ФО, лето 2025) функции ответственного по ст. 22.1 ФЗ-152 фактически исполнял штатный юрист, но приказ о назначении не издавался. При проверке РКН запросил приказ — его не оказалось. Нарушение зафиксировано в акте как элемент системного несоответствия ст. 18.1. Стратегия: издать приказ, определить полномочия; если штатного сотрудника нет — рассмотреть DPO-аутсорсинг.

Услуги DATUM по теме

  • Комплект ОРД под ключ — 38 документов: согласия по ст. 9, политика по ст. 18.1, приказы, регламенты.
  • Аудит соответствия 152-ФЗ — проверка пакета ОРД по чек-листу из 38 пунктов с приоритизированным планом устранения.
  • DPO-аутсорсинг — функция ответственного по ст. 22.1 на абонентском обслуживании, включая ответы субъектам и уведомления РКН.

Частые вопросы

1. Какие документы должны быть у оператора ПДн?

Минимальный пакет включает: политику обработки ПДн по ч. 2 ст. 18.1 ФЗ-152 (опубликована на сайте), приказ о назначении ответственного по ст. 22.1, уведомление в реестре РКН по ст. 22, отдельные согласия субъектов по ст. 9 ФЗ-152 (с 01.09.2025 — строго отдельный документ), регламент реагирования на запросы субъектов и на инциденты. Полный пакет ОРД для среднего оператора — около 38 документов: приказы, положения, журналы, инструктажи работников.

2. Как составить политику обработки ПДн по требованиям РКН?

Политика должна содержать разделы по ч. 2 ст. 18.1 ФЗ-152: перечень обрабатываемых категорий ПДн, цели обработки, правовые основания по ст. 6 для каждой цели, описание мер технической и организационной защиты, сведения о трансграничной передаче (если есть), порядок реализации прав субъектов со сроками. Использовать готовый шаблон из интернета без адаптации под реальные процессы компании нельзя — РКН проверяет соответствие политики фактической обработке.

3. Кого назначить ответственным по ст. 22.1 ФЗ-152?

Ответственным может быть штатный юрист, HR-директор или специально выделенный сотрудник — требование ч. 4 ст. 22.1 ФЗ-152 предполагает достаточную квалификацию для исполнения функций. Назначение оформляется приказом. Допустима передача функции внешнему исполнителю (DPO-аутсорсинг) — в договоре должны быть чётко определены полномочия и порядок взаимодействия с РКН и субъектами.

4. Можно ли использовать шаблон политики конфиденциальности из интернета?

Нет. Шаблоны не адаптированы под конкретные процессы обработки компании: в них отсутствуют реальные категории данных, правовые основания под каждую цель, описание фактических мер защиты. РКН при проверке сверяет содержание политики с реестровыми данными и фактическими процессами — несоответствие фиксируется как нарушение ст. 18.1. Штраф по ч. 3 ст. 13.11 — 30 000–60 000 ₽.

5. Какие согласия нужно оформить или переоформить после 01.09.2025?

Переоформлять согласия, полученные до 01.09.2025, не требуется — ФЗ-156 от 24.06.2025 обратной силы не имеет. Переоформление нужно только для согласий, которые были оформлены как часть иного документа (договора, анкеты, политики) и подписаны после 01.09.2025: они недействительны по ч. 1 ст. 9 ФЗ-152 в новой редакции. Также следует проверить, есть ли все восемь обязательных реквизитов в каждом согласии.

Итог

Согласие в составе пакета документов — самостоятельный документ с восемью обязательными реквизитами. Включение его в трудовой договор, оферту или политику конфиденциальности после 01.09.2025 нарушает ч. 1 ст. 9 ФЗ-152 в редакции ФЗ-156 и создаёт основание для штрафа до 700 000 ₽. Политика обработки ПДн, приказ о назначении ответственного и актуализированное уведомление в реестре РКН — три обязательных документа, без которых пакет ОРД неполон.

Практика DATUM по сопровождению операторов ПДн с 2014 года включает аудит ОРД, подготовку пакетов документов и DPO-аутсорсинг. Юристы практики консультируют юридических специалистов компаний по полному составу обязательной документации с учётом отраслевой специфики.

Смотрите также

АС
Анна Соколова
Партнёр · ПДн в HR
Партнёр практики DATUM. Специализация — согласия работников по ст. 9 ФЗ-152 в ред. ФЗ-156, КЭДО, биометрия в СКУД, проверки РКН в HR-департаментах.

16 марта 2027 года