инструкция 25 января 2027 По состоянию на 25 января 2027

Старые согласия после 01.09.2025: что делать

С 01.09.2025 согласие на обработку персональных данных оформляется отдельным документом — не частью договора, политики или оферты (ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025).

Согласие, совмещённое с трудовым договором, офертой или пользовательским соглашением до 01.09.2025, не имеет обратной силы — переоформлять ранее полученные документы закон не требует. Но любое новое согласие с 01.09.2025 обязано соответствовать новым требованиям. Штраф за нарушение ст. 9 — до 700 000 ₽ по ч. 2 ст. 13.11 КоАП за каждое несоответствующее согласие.

Если вы юрист и сейчас проверяете комплаенс компании — эта инструкция даёт пошаговый алгоритм: что именно проверить, что переделать и как зафиксировать работу в ОРД. →

ФЗ-156 от 24.06.2025 ввёл требование отдельного документа для согласия на обработку ПДн. Новая норма вступила в силу 01.09.2025 и затрагивает всех операторов — от интернет-магазинов до работодателей. Ниже — последовательный порядок действий юриста, который ведёт оператора к соответствию без ненужных переоформлений и с минимальным риском протокола РКН.

Что изменилось в ст. 9 ФЗ-152 с 01.09.2025?

До ФЗ-156 закон не запрещал включать согласие в тело договора или политики конфиденциальности. Практика смешанных документов была распространена: галочка «Согласен с условиями» одновременно означала и акцепт оферты, и согласие на обработку ПДн. С 01.09.2025 это невозможно для новых согласий.

«Ст. 9 ФЗ-152 (в ред. ФЗ-156 от 24.06.2025): согласие субъекта персональных данных на обработку его данных оформляется отдельным документом. Согласие не может быть объединено с иным документом — договором, офертой, политикой обработки, пользовательским соглашением.»

Закон не предусматривает обратной силы: согласия, полученные до 01.09.2025 в составе другого документа, не становятся автоматически недействительными. Оператор вправе продолжать обработку на их основании при условии, что само согласие содержало все обязательные реквизиты, перечисленные в ч. 4 ст. 9 ФЗ-152. Именно это и нужно проверить в первую очередь.

Обязательные реквизиты согласия по ч. 4 ст. 9 ФЗ-152: фамилия, имя, отчество субъекта; контактные данные субъекта; наименование и адрес оператора; цель обработки; перечень персональных данных; перечень действий с данными; срок действия согласия или условие его прекращения; способ отзыва согласия.

Согласия у вас в договорах — что с этим делать?

Если юрист только начинает разбираться в ситуации после 01.09.2025, важно не переоформлять всё подряд, а сначала определить, какие из старых согласий содержали полный набор реквизитов. Ошибочное массовое переоформление создаёт разрывы в правовых основаниях обработки — это отдельный риск по ч. 1 ст. 13.11 КоАП (150 000 — 300 000 ₽). Юристы DATUM проводят аудит текущего пакета согласий и ОРД по чек-листу из 38 пунктов, выдают отчёт с приоритизированным планом.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Шаг 1. Проведите инвентаризацию действующих согласий

Составьте реестр всех типов согласий, которые использует оператор. Типичные форматы: согласие в трудовом договоре или дополнительном соглашении к нему, согласие в оферте на сайте, галочка при регистрации, согласие в анкете клиента, согласие на получение рекламных рассылок, письменное согласие на обработку специальных категорий данных по ст. 10 ФЗ-152, отдельное согласие на распространение по ст. 10.1 ФЗ-152.

Для каждого типа зафиксируйте: дату первого применения, канал получения (бумага, форма на сайте, КЭДО), является ли документ самостоятельным или включён в состав другого. Это разграничение определяет дальнейший алгоритм.

Согласия, полученные до 01.09.2025 в составе другого документа — проверяем на полноту реквизитов (Шаг 2). Согласия, получаемые после 01.09.2025 — обязаны быть отдельными документами; если они до сих пор смешанные — это активное нарушение, которое устраняется немедленно (Шаг 3).

Шаг 2. Проверьте старые согласия на полноту реквизитов

Для каждого согласия, полученного до 01.09.2025, проверьте наличие восьми обязательных реквизитов из ч. 4 ст. 9 ФЗ-152. Используйте чек-лист ниже.

Чек-лист: обязательные реквизиты согласия

ФИО субъекта персональных данных
Контактные данные субъекта (телефон, email или адрес)
Полное наименование и адрес оператора
Конкретная цель обработки (не обобщённая — «в целях деятельности», а специфическая)
Исчерпывающий перечень персональных данных, на обработку которых даётся согласие
Перечень действий с данными (сбор, хранение, передача и т. д.)
Срок действия согласия или условие его прекращения
Способ отзыва согласия субъектом

Результат проверки фиксируйте в реестре: «полное» (все 8 реквизитов) или «неполное» (один и более реквизитов отсутствует). Согласие с отсутствующими реквизитами фактически недействительно — обработка на его основании нарушает ч. 1 ст. 9 ФЗ-152 и квалифицируется по ч. 1 или ч. 2 ст. 13.11 КоАП.

Если старое согласие неполное — не продлевайте обработку на его основании. Перейдите к Шагу 3: либо получите новое корректное согласие, либо смените правовое основание обработки на иное из ст. 6 ФЗ-152 (исполнение договора, законная обязанность оператора и т. д.) там, где это возможно.

Шаг 3. Разработайте новые шаблоны согласий для обработки с 01.09.2025

Для каждого типа обработки, где согласие остаётся правовым основанием, разработайте отдельный документ. Документ должен существовать физически обособленно — отдельная страница сайта с чекбоксом, отдельный бумажный лист, отдельный экран в КЭДО или мобильном приложении.

Согласие на рассылку не может быть частью договора-оферты. Согласие работника на передачу данных в зарплатный проект не может быть пунктом трудового договора. Согласие клиента на обработку специальных категорий данных (ст. 10 ФЗ-152) по-прежнему требует письменной формы — теперь отдельным документом.

Для согласия на распространение ПДн по ст. 10.1 ФЗ-152 дополнительно предусмотрите возможность субъекта запретить отдельные действия с данными. Это требование существовало до ФЗ-156 и сохраняется в полном объёме.

После разработки шаблонов зафиксируйте их в ОРД: издайте приказ об утверждении форм согласий с указанием даты ввода в действие — 01.09.2025 или позднее. Приказ подписывает лицо, ответственное за обработку ПДн по ст. 22.1 ФЗ-152, либо руководитель организации.

Как выстроить ОРД под новые требования ст. 9, ст. 18.1, ст. 22 и ст. 22.1 ФЗ-152?

Новые шаблоны согласий — элемент более широкого пакета ОРД. Ст. 18.1 ФЗ-152 обязывает оператора принять локальные акты, обеспечивающие исполнение требований закона. Минимальный состав: политика обработки ПДн, приказ о назначении ответственного по ст. 22.1, регламент реагирования на обращения субъектов, регламент реагирования на инциденты, инструкции для работников, имеющих доступ к ПДн.

«Ст. 18.1 ФЗ-152: оператор обязан принять меры, обеспечивающие выполнение обязанностей, предусмотренных законом. К таким мерам относятся: назначение ответственного за организацию обработки, издание политики и локальных актов, проведение внутреннего контроля, оценка вреда субъектам, ознакомление работников с требованиями законодательства.»

Политика обработки ПДн должна быть опубликована в открытом доступе — на сайте или в точке обслуживания клиентов. Отсутствие публикации — самостоятельный состав по ч. 3 ст. 13.11 КоАП (30 000 — 60 000 ₽ для юрлица). Содержание политики определяется ч. 2 ст. 18.1 ФЗ-152: цели обработки, правовые основания, состав субъектов и данных, порядок реализации прав субъектов, сведения о трансграничной передаче при наличии.

Ответственный за обработку по ст. 22.1 ФЗ-152 назначается приказом. Требования к квалификации — ч. 4 ст. 22.1. Ответственный не несёт персональной ответственности перед РКН, но его отсутствие или отсутствие приказа о назначении — фактор риска при плановой и внеплановой проверке. Если штатный юрист не готов принять эту функцию — обоснованным решением становится DPO-аутсорсинг.

Уведомление РКН о намерении обрабатывать ПДн подаётся по форме, утверждённой Приказом РКН №180 от 28.10.2022, через pd.rkn.gov.ru. Если согласия изменились по составу обрабатываемых данных, целям или категориям субъектов — подайте уведомление об изменении сведений. Неподача — штраф по ч. 10 ст. 13.11 КоАП (100 000 — 300 000 ₽).

Если юрист проверяет ОРД и видит, что часть документов не обновлена после 01.09.2025 — каждый месяц промедления при последующей проверке РКН увеличивает число эпизодов. Юристы DATUM соберут 38-документный пакет ОРД под ключ: политика, новые формы согласий, приказы, регламенты.

Собрать ОРД под ключ

Шаг 4. Обновите уведомление в реестре РКН и проверьте политику конфиденциальности

После изменения форм согласий проверьте, соответствуют ли сведения в реестре операторов ПДн (pd.rkn.gov.ru) фактической обработке. Если в новых согласиях добавились цели, категории субъектов или новые получатели данных — подайте уведомление об изменении сведений через личный кабинет на pd.rkn.gov.ru с использованием УКЭП или через ЕСИА.

Политику конфиденциальности (или политику обработки ПДн) приведите в соответствие с новыми формами согласий. Убедитесь, что политика описывает все правовые основания обработки, включая согласие, и указывает порядок его отзыва — конкретный канал и срок реагирования оператора. Срок реагирования на отзыв согласия по ч. 5 ст. 21 ФЗ-152 — прекращение обработки и уничтожение данных в течение 30 дней с момента отзыва, если иное основание для обработки отсутствует.

Разместите актуальную политику по адресу, указанному в уведомлении РКН. Обычно это страница /privacy-policy/ или /politika-konfidentsialnosti/. Убедитесь, что ссылка на неё присутствует в каждом из новых бланков согласий.

Шаг 5. Зафиксируйте результаты в журнале и проинструктируйте работников

Переход на новые формы согласий требует документального следа. Внесите в журнал учёта изменений ОРД: дату разработки новых форм, дату утверждения приказом, дату начала применения (не ранее 01.09.2025), дату обновления политики, дату подачи изменения в уведомление РКН.

Проведите инструктаж работников, которые получают согласия от субъектов: HR-специалистов, сотрудников ресепшн, call-центра, разработчиков форм на сайте. Ст. 18.1 ФЗ-152 прямо называет ознакомление работников с требованиями закона как одну из обязательных мер. Факт инструктажа фиксируется подписью работника в листе ознакомления.

Параллельно убедитесь, что в системах, где хранятся согласия (CRM, 1С:Зарплата и управление персоналом, архив договоров), есть возможность различать согласия до 01.09.2025 и после. При запросе субъекта или требовании РКН вы должны за разумное время (не более 10 рабочих дней по ст. 20 ФЗ-152) предоставить информацию о правовом основании обработки конкретных данных конкретного субъекта.

Типичные ситуации: как это работает на практике

Ситуация 1. Работодатель: согласие работника в трудовом договоре до 01.09.2025. Трудовой договор заключён в феврале 2025 года. Согласие на передачу данных в банк (зарплатный проект) включено в п. 7.3 договора. Реквизиты согласия полные — все восемь пунктов ч. 4 ст. 9 ФЗ-152 присутствуют. Стратегия: продолжать обработку на основании этого согласия законно — обратной силы нет. При приёме новых работников после 01.09.2025 использовать отдельный бланк согласия. Составить приказ о введении нового бланка в действие с 01.09.2025. Обновить политику обработки ПДн работников.

Ситуация 2. Интернет-магазин: галочка «Согласен с условиями» при регистрации, совмещённая с акцептом оферты. Форма работает с 2023 года. Текст при галочке: «Я принимаю условия оферты и соглашаюсь на обработку персональных данных». Реквизиты согласия в составе оферты неполные: нет перечня конкретных действий с данными, нет срока согласия. Стратегия: согласие неполное, значит до 01.09.2025 обработка на его основании уже несла риск по ч. 1 ст. 13.11 КоАП. После 01.09.2025 — двойное нарушение: неполные реквизиты и несамостоятельность документа. Необходимо: разделить акцепт оферты и согласие на обработку ПДн на два отдельных чекбокса; ссылку на политику конфиденциальности разместить рядом с чекбоксом согласия; для пользователей, зарегистрированных до 01.09.2025 с неполным согласием, — либо дополучить корректное согласие, либо перейти на иное правовое основание (исполнение договора по п. 5 ч. 1 ст. 6 ФЗ-152) для тех данных, которые обрабатываются в рамках исполнения заказа.

Ситуация 3. Медицинская организация: согласие пациента на обработку специальных категорий данных. Согласие по ст. 10 ФЗ-152 требует письменной формы и по новым правилам — отдельного документа. Если до 01.09.2025 согласие на обработку медицинских данных включалось в состав согласия на медицинское вмешательство (форма 003-у или аналогичная), — проверить полноту реквизитов. После 01.09.2025 для новых пациентов: отдельный бланк согласия на обработку специальных категорий ПДн, отдельный бланк добровольного информированного согласия на вмешательство. Штраф за нарушение режима обработки специальных категорий — по ч. 1 ст. 13.11 КоАП (150 000 — 300 000 ₽), при отсутствии письменного согласия — по ч. 2 (300 000 — 700 000 ₽).

Услуги DATUM по теме

Комплект ОРД под ключ — 38 документов: политика, согласия, приказы, регламенты, журналы
Аудит соответствия 152-ФЗ — проверка текущего пакета согласий и ОРД по чек-листу
DPO-аутсорсинг — функция ответственного по ст. 22.1 на абонентском обслуживании

Частые вопросы

1. Какие документы должны быть у оператора ПДн?

Минимальный состав ОРД по ст. 18.1 ФЗ-152: политика обработки ПДн (опубликованная), приказ о назначении ответственного по ст. 22.1, формы согласий субъектов, регламент реагирования на обращения субъектов, инструкции для работников, журнал учёта обращений субъектов. Для операторов, обрабатывающих данные в ИСПДн, дополнительно требуется модель угроз и акт классификации по УЗ в соответствии с ПП РФ №1119. Полный пакет насчитывает 38 позиций.

2. Как составить политику обработки ПДн?

Содержание политики регулирует ч. 2 ст. 18.1 ФЗ-152. Обязательные разделы: цели и правовые основания обработки, состав обрабатываемых категорий данных, категории субъектов, перечень действий с данными, порядок реализации прав субъектов (в том числе порядок отзыва согласия), сведения о передаче третьим лицам и трансграничной передаче при наличии. Использовать шаблон из интернета без адаптации под фактическую обработку — рискованно: РКН при проверке сопоставляет политику с реальными процессами и уведомлением в реестре.

3. Кого назначить ответственным по ст. 22.1?

Ст. 22.1 ФЗ-152 не устанавливает требования к должности — ответственным может быть юрист, HR-директор, IT-специалист или иное лицо. Ч. 4 ст. 22.1 требует, чтобы назначенный имел необходимые знания в области персональных данных. Назначение оформляется приказом. Если подходящего специалиста в штате нет — функцию можно передать на DPO-аутсорсинг по договору поручения, что прямо допускается законом.

4. Можно ли использовать шаблон политики из интернета?

Шаблон — только отправная точка. Политика должна отражать фактическую обработку конкретного оператора: реальные цели, реальный состав данных, реальных получателей, реальные сроки. Несоответствие политики фактической обработке — основание для предписания РКН и штрафа по ч. 3 ст. 13.11 КоАП. Типовой шаблон, не адаптированный под компанию, при проверке выявляется в первые 15 минут.

5. Какие согласия нужны после 01.09.2025?

После 01.09.2025 каждое согласие оформляется отдельным документом (ст. 9 ФЗ-152, ред. ФЗ-156). Для обработки общих категорий данных достаточно письменного или электронного согласия с полным набором реквизитов. Для специальных категорий данных (ст. 10 ФЗ-152) — обязательна письменная форма отдельным документом. Для распространения данных (ст. 10.1 ФЗ-152) — отдельное согласие с возможностью запрета конкретных действий. Для биометрических данных (ст. 11 ФЗ-152) — письменное согласие отдельным документом.

6. Нужно ли переоформлять согласия, полученные до 01.09.2025?

Нет, если они содержали все обязательные реквизиты по ч. 4 ст. 9 ФЗ-152 на момент получения. ФЗ-156 от 24.06.2025 не имеет обратной силы. Переоформлять нужно только те старые согласия, в которых один или несколько обязательных реквизитов отсутствовали: такое согласие было дефектным уже в момент получения и сейчас является неполноценным основанием для обработки.

Итог

С 01.09.2025 требование отдельного документа для согласия распространяется на все новые согласия. Для старых согласий ключевой вопрос — полнота реквизитов по ч. 4 ст. 9 ФЗ-152, а не форма документа. Алгоритм действий: инвентаризация, проверка реквизитов, разработка новых шаблонов, обновление ОРД и уведомления РКН, инструктаж работников.

Практика DATUM по сопровождению операторов ПДн охватывает разработку форм согласий под конкретную отрасль и тип обработки, сборку полного пакета ОРД, подготовку уведомлений РКН и функцию DPO-аутсорсинга по ст. 22.1 ФЗ-152.

Нужна помощь с согласиями и ОРД после 01.09.2025?