Новая реальность персональных данных: как получить согласие по закону

Персональные данные давно превратились в «новую нефть», но «бурить» их без согласия владельца в 2025 году уже опаснее, чем когда‑либо. Свежие поправки к Федеральному закону № 152‑ФЗ усилили ответственность операторов, ввели специальные бланки согласия и обязали бизнес делиться обезличенной информацией с государством. Разбираемся, как теперь правильно оформлять согласие, какие риски грозят за ошибку и почему шутить c утечками больше не получится.

Ключевые изменения 2024–2025 годов

Минувший год принес сразу несколько законов, напрямую влияющих на процедуру получения согласия.

• Унифицированные формы для ЕСИА и ЕБС. С 1 января 2025 действуют формы согласия, утверждённые распоряжением Правительства № 856‑р. Документ обязательно содержит цели обработки, сведения об операторе, срок действия и подпись субъекта.
• Запрет «прятать» согласие в другие документы. Законопроект № 679980‑8 (прошёл первое чтение) исключает включение согласия в трудовые договоры, анкеты и иные формы. Оператору придётся готовить отдельный файл. :
• Передача обезличенных данных в ГИС. Федеральный закон № 233‑ФЗ от 08.08.2024 обязывает с 1 сентября 2025 передавать обезличенные наборы по требованию Минцифры в закрытую государственную систему.
• Оборотные штрафы. С 30 мая 2025 вступает в силу закон № 420‑ФЗ, повышающий штрафы за нарушения ст. 13.11 КоАП РФ до 15 млн ₽ для юридических лиц при крупной утечке.

Базовые понятия: что такое согласие

Согласие — это добровольное выражение воли субъекта, позволяющее оператору собирать, хранить и обрабатывать его персональные данные (ПД). Определение, состав и принципы обработки закреплены в ФЗ‑152.

Важно отличать:

• Согласие на обработку — даёт право использовать данные внутри компании;
• Согласие на распространение — регулируется приказом Роскомнадзора № 18 и нужно для публикации сведений в открытом доступе.

Когда согласие не требуется

Закон оставляет ряд исключений: исполнение договора с субъектом, трудовое законодательство, госстатистика и другие случаи, перечисленные в ст. 6 ФЗ‑152. Но чем дальше, тем короче становится список ситуаций «без бумажки». Оцените цель обработки дважды, прежде чем решите, что согласие лишнее.

Обязательные реквизиты согласия в 2025 году

Перечень не изменился кардинально, но стал строже проверяться инспекторами Роскомнадзора и прокурорами. В документе должны присутствовать:

1. Ф.И.О. и паспортные данные субъекта;
2. Полное наименование и адрес оператора + ИНН/ОГРН;
3. Цели обработки и категории ПД;
4. Перечень действий с данными;
5. Срок или условие прекращения обработки (в т. ч. «до отзыва»);
6. Подпись (МКЭП или квалифицированная ЭП для электронного формата);
7. Сведения о представителе, если субъект несовершеннолетний или недееспособный.

Совет: добавьте QR‑код или гиперссылку на политику конфиденциальности — так сотрудник быстрее найдёт правила обработки, а вы покажете, что заботитесь о прозрачности.

Электронная форма: нюансы подписи

Цифровой документ приравнивается к бумажному, если подписан любой электронной подписью (простой, усиленной, квалифицированной) — выбор зависит от масштаба рисков. Для массового сбора согласий от клиентов интернет-магазина часто хватает простой ЭП—галочки под формой. Но для HR‑процессов безопаснее использовать усиленную подпись в корпоративной системе документооборота.

Пошаговая инструкция для оператора

Шаг 1. Проведите инвентаризацию данных

Составьте карту потоков ПД: кто собирает, где хранит, кому передаёт, какие системы задействованы. Без этого невозможно выбрать минимальный набор данных и описать цели в согласии ясно и точно.

Шаг 2. Разработайте шаблоны

Используйте унифицированные бланки там, где они обязательны (ЕСИА/ЕБС), а для прочих целей подумайте о трёх отдельных формах: общее согласие, согласие на распространение, согласие на обработку биометрии. Это снижает риск «упаковать всё в один файл» и нарваться на штраф. :

Шаг 3. Назначьте ответственного и утвердите политику

Роскомнадзор при проверке первым делом просит приказ о назначении ответственного по ПД и внутреннюю Политику. Убедитесь, что документы опубликованы на сайте и доступны сотрудникам.

Шаг 4. Уведомите Роскомнадзор

Перед началом обработки подайте уведомление через личный кабинет Роскомнадзора. С 30 мая 2025 за неуведомление штраф для юрлиц поднимется до 300 000 ₽, а при повторном нарушении возможно до 3 млн ₽.

Шаг 5. Внедрите журнал учёта согласий

Формат свободный: Excel‑таблица, CRM или электронный архив. Главное — легко показать дату, форму, способ получения и основание для каждой записи.

Права субъектов: как не попасть под санкции

Гражданин вправе:

• Получить сведения об обработке;
• Отозвать согласие в любой момент (письменно или через портал «Госуслуги»);
• Требовать исправления, блокировки или уничтожения данных;
• Оспорить действия оператора в суде или пожаловаться в Роскомнадзор.

После отзыва оператор обязан прекратить обработку (или обеспечить обезличивание) в течение 30 дней, если иное не предписывает закон. Нарушение срока — штраф до 700 000 ₽ уже сегодня, а в 2025 году оборотный штраф может вырасти многократно.

Отдельный разговор — биометрия

С 2024 года действует Единая биометрическая система (ЕБС). Для сбора или передачи отпечатков, распознавания лица, голоса обязательно отдельное согласие, подписанное квалифицированной ЭП. Отсутствие такого согласия относится к серьёзным нарушениям и может обойтись в штраф до 500 млн ₽ при массовой базе.

Госзапрос обезличенных данных: готовимся заранее

Минцифры вправе прислать оператору требование выгрузить обезличенные наборы в государственную информационную систему (ГИС). На практике это означает:

1. Нужно научиться обезличивать (masking, k‑анонимность, агрегация);
2. Держать документацию о методах обезличивания;
3. Фиксировать передачу в журнале учёта;
4. Готовить пояснения проверяющим, что из статьи 10 (специальные данные) и 11 (биометрия) исключено.

Распространённые ошибки и как их избежать

• Комбо‑согласие. Перемешивают обработку, распространение и биометрию. Делите на три отдельных документа.
• Вечный срок. Формулировка «бессрочно» противоречит принципу минимизации. Пропишите разумный предел («до достижения цели», «пять лет после увольнения»).
• Забыли про отзыв. В шаблоне нет инструкции, куда писать заявление. Добавьте адрес и e‑mail.
• Единый перечень целей. Чем конкретнее цель, тем меньше вопросов у регулятора.
• Нет журнала согласий. Без него сложно доказать, что документ был, а данные обрабатывались правомерно.

FAQ — коротко о главном

Можно ли хранить скан паспорта в личном деле сотрудника?

Да, если это предусмотрено трудовым законодательством и цель чётко указана в политике обработки персональных данных. Однако скан необходим только на этапе проверки и заверения личности, например, при подаче документов в ЕСИА. После завершения этих процедур рекомендуется уничтожить копию и оставить только реквизиты документа — серию, номер, дату выдачи и орган.

Нужно ли обновлять согласия, выданные до 2025 года?

Нет, если согласие соответствует требованиям статьи 9 ФЗ‑152, включает цели, сроки, перечень обрабатываемых данных и другие обязательные элементы. Однако если вы планируете начать обработку новых категорий данных, использовать их для иных целей или передавать за границу, необходимо получить новое согласие с учётом актуальных норм.

Можно ли включать согласие на обработку данных в анкету или договор?

Нет. Согласно новому подходу, согласие должно быть оформлено отдельным документом. Включение его в анкету, оферту, договор или иные «общие» формы теперь считается нарушением, особенно если субъект не может отказаться от подписания без потери услуги или права. Это считается нарушением добровольности.

Достаточно ли поставить галочку на сайте — это считается согласием?

В некоторых случаях — да. Для онлайн-сервисов и интернет-магазинов допустимо использовать простую электронную подпись в виде отметки в чекбоксе при наличии поясняющего текста. Но для более чувствительных данных (например, биометрии или передачи третьим лицам) потребуется усиленная подпись и подробное информирование.

Какой срок действия у согласия?

Он должен быть ограничен и прописан в документе. Формулировка «бессрочно» больше не допускается. Закон требует указывать либо конкретный период (например, 5 лет после окончания трудовых отношений), либо событие («до достижения цели обработки»). После истечения срока данные подлежат удалению или обезличиванию.

Что делать, если субъект отозвал согласие?

Оператор обязан прекратить обработку в течение 30 дней со дня получения отзыва, если отсутствуют иные правовые основания для продолжения. Это касается как хранения, так и передачи данных. Отзыв возможен в письменной форме или через «Госуслуги», если согласие было дано через ЕСИА.

Нужно ли уведомлять Роскомнадзор о начале обработки персональных данных?

Да. Исключение — если данные используются исключительно в рамках трудовых отношений и не передаются третьим лицам. В остальных случаях оператор обязан направить уведомление в электронной форме через сайт Роскомнадзора до начала обработки. С мая 2025 штраф за отсутствие уведомления составит до 300 000 ₽.

Кто должен подписывать согласие, если данные принадлежат ребёнку?

Если субъекту персональных данных нет 14 лет — согласие подписывает его законный представитель (обычно родитель или опекун). От 14 до 18 лет — требуется согласие самого подростка, но в ряде случаев оно подтверждается родителями. В случае сомнений лучше собрать согласие и от несовершеннолетнего, и от его представителя.

Что считается биометрическими персональными данными?

Это сведения, которые можно использовать для установления личности: фото лица, отпечатки пальцев, голос, радужка глаза, ДНК и т.п. Обработка таких данных требует отдельного согласия, подписанного квалифицированной электронной подписью. Нарушения в этой сфере строго контролируются, особенно после создания Единой биометрической системы.

Можно ли передавать данные за границу?

Да, но при соблюдении условий: страна должна обеспечивать адекватный уровень защиты, или с получателем должен быть заключён специальный договор. Передача в недружественные юрисдикции (например, США, Украина) строго ограничена и чаще всего невозможна. Передача данных за границу требует отдельного согласия.

Заключение

В 2025 году согласие перестаёт быть формальностью. Закон жёстко отделяет «добровольное информированное» от «галочка ради галочки», а цифровая повестка добавляет новые обязанности: передача обезличенных данных, поддержка электронных подписей, мгновенное уведомление об утечке. Операторам пора обновить внутренние регламенты, переучить сотрудников и заложить бюджет на технологии защиты. Гражданам же стоит внимательнее читать, что именно они подписывают: теперь за каждую лишнюю строку отвечают рублём — и бизнес, и госструктуры.

Будущее данных — в прозрачности. А прозрачность начинается с правильного согласия.