О компании

пн. - пт. 9.00 - 18.00

+7 499 990-72-35

Контакты

EN | RU

Время работы: пн. - пт. 9.00 - 18.00

+7 499 990-72-35

Главная
/
Согласие на обработку персональных данных

Согласие на обработку персональных данных: составление и юридическая проверка

Нажимая кнопку «Отправить», вы даете согласие на обработку персональных данных в соответствии с политикой обработки персональных данных

Входим в ведущие рейтинги и объединения страны:

РЕЙТИНГ
ЮРИДИЧЕСКИХ
КОМПАНИЙ
РОССИИ

ЛУЧШИЕ ЮРИДИЧЕСКИЕ ПРАКТИКИ

Динамичная специализированная команда с уникальным опытом и признанием, которой доверяют клиенты по всей России

> 50 регионов

где находятся наши клиенты, мы работаем во всех одиннадцати часовых поясах с компаниями от Калининграда до Владивостока, используем современные средства связи и информационные системы, активно выезжаем в командировки

Динамичность

< 3 час.

средний срок ответа на запрос клиента по стандартной задаче. С нами Вы узнаете, что значит оперативность

Специализация

основных отраслевых и юридических специализации. Наш фокус - ИТ, E-com, цифровая медицина и интеллектуальная собственность

Команда

15 чел.

мы — действительно сплоченная команда энтузиастов, средний стаж работы в нашей компании — порядка пяти лет

Уникальность

> 90 %

законов в ИТ-сфере было принято после создания фирмы. Мы запускали телемедицинские сервисы до 2018 и токенизировали активы до 2020

Заслуживаем доверие

5 лет

подряд нашу фирму и специалистов отмечают рейтинги Право-300 и ИД Коммерсантъ в числе лучших юристов по нескольким направлениям

Признание

> 12

образовательных, научных и общественных объединений в деятельности которых мы участвуем, включая РАН, ТПП, МГЮА, Moscow Digital School

Опыт

9 лет

средний юридический стаж наших экспертов, мы молодая, но уже зрелая команда экспертов с прочной позицией на юридическом рынке

клиенты из Forbes, RAEX

> 10

крупнейших компаний доверяют нам свои проекты, в их числе компании группы Сбера, Яндекса, Технониколь, LG, 1С и Самолет

Сколько стоит разработка формы согласия на обработку ПДн?

Составление согласия на обработку персональных данных

Стоимость услуги:

от 30 000 руб.

Правовая природа документа

В большинстве случаев российские организации обрабатывают персональные данные на основании согласий на обработку таких сведений. Рассмотрим, что представляет собой такой документ с юридической точки зрения

Как правило, согласие на обработку ПДн (СоПД) считают гражданско-правовой сделкой, с учетом следующих аргументов:

Взаимодействие между оператором и субъектом ПДн – это вопрос частного права, когда одна сторона может предоставить разрешение, либо отказаться от его предоставления, а вторая – обрабатывать личные сведения с одобрения первой стороны
Можно провести аналогию между таким СоПД и другими разрешениями, предусмотренными Гражданским кодексом, а именно: на использование изображения гражданина (ст. 152.1 Гражданского кодекса РФ) и на использование информации о частной жизни (ст. 152.2 Гражданского кодекса РФ)

Является ли предоставление СоПД односторонней или двусторонней сделкой? От ответа на этот вопрос зависит объем прав и обязанностей каждой стороны такой сделки. Здесь можно по аналогии применить правила, которые предусмотрены для разрешения на использование информации о частной жизни. Такое разрешение – это односторонняя сделка, так как для ее исполнения достаточно воли только одного лица (владельца такой информации). Использовать или нет предоставленные права – это уже отдельное решение стороны, получившей информацию

Кроме этого, СоПД – это зависимая сделка, по аналогии с выдачей доверенности. Так, доверенность выдаётся для того, чтобы третье лицо могло исполнить определенное поручение. По аналогии, разрешение требуется для исполнения каких-то обязательств перед субъектом ПДн (например, когда разрешение нужно администрации веб-сервиса для того, чтобы пользователь мог полноценно использовать такой сервис)

Требования закона, предъявляемые к согласию

Основное требование к СоПД в силу закона №152-ФЗ о персональных данных – это соблюдение трех основных принципов: добровольности, информированности и однозначности

Принцип добровольности заключается в следующем:
- Субъект может полностью или частично отказаться от предоставления разрешения (он должен иметь право предоставлять только те персональные данные, которые действительно необходимы)
- Сбор СоПД не должен быть принудительным. Так, например, при сборе СоПД в электронной форме с помощью проставления отметки («галочки») в специальном чекбоксе, такая отметка не должна быть проставлена заранее автоматически
Принцип добровольности заключается в следующем:

Такой документ должен содержать минимальную информацию, с помощью которой субъект поймёт, кто, как и для каких целей собирает и обрабатывает персональные данные. СоПД в обязательном порядке должно содержать информацию об операторе, целях обработки, категориях ПДн, которая будет использоваться, способах процессинга и порядке отзыва СоПД
Принцип однозначности можно свести к следующему:
- Воля субъекта на предоставление разрешения должны быть выражена без каких-либо неясностей, витиеватостей и двусмысленности
- Волеизъявление на предоставление разрешения должно быть чётким и проверяемым действием
- Молчание или бездействие ни в какой форме не могут служить волеизъявлением на предоставление разрешения

Есть и два дополнительных принципа:

Принцип конкретности сводится к тому, что цели работы с персональными данными должны быть чётко сформулированными и понятными для субъекта. Формулировки целей не должны звучать абстрактно или иметь вариативность толкования

Принцип сознательности СоПД выражается в том, что оператор должен объяснить субъекту, что подразумевается под использованием ПДн, для каких целей и как происходит процессинг, а также права субъекта при процессинге и последствия отказа от предоставления разрешения

Кто предоставляет согласие?

По общему правилу такое одобрение может предоставить:
1] Субъект, сведения о котором будут использованы
2] Представитель субъекта по доверенности
3] Законный представитель несовершеннолетнего или недееспособного

Закон №152-ФЗ прямо не говорит о том, с какого возраста субъект может предоставлять СоПД. Для ответа на этот вопрос необходимо обратиться к статьям 21 и 26 Гражданского кодекса РФ о дееспособности физического лица

Роскомнадзор в своих разъяснениях ссылается на правило, согласно которому лицо, достигшее 14 лет, имеет право совершать сделки, указанные в п. 2 ст. 26 Гражданского кодекса РФ, и в целях их исполнения может давать разрешения на обработку ПДн. По аналогии, Роскомнадзор допускает предоставление СоПД несовершеннолетними в случае оказания им медицинских услуг и при устройстве на работу. Во всех остальных случаях одобрение дают законные представители ребёнка – родители или опекуны. Несовершеннолетние, не достигшие 14 лет, не могут самостоятельно давать СоПД

При этом, судебная практика не всегда соглашается с позицией Роскомнадзора. В некоторых решениях судьи буквально толкуют ч. 6 ст. 9 закона №152-ФЗ, согласно которой при недееспособности субъекта, за него даёт разрешение законный представитель. Суды воспринимают указанную норму как прямой запрет субъекту самостоятельно давать разрешение на обработку ПДн до достижения 18 лет

Случаи, когда необходимо получать согласие

Первое и главное, что должен проверить любой оператор ПДн перед началом работы с личной информацией – есть ли у него предусмотренные законом основания для такой деятельности. Неважно, насколько правильно у организации составлены договоры, политика обработки ПДн и другие нормативные документы по работе с ПД, если компания не собирает СоПД, а другие основания для работы с такими сведениями – отсутствуют

Согласие на обработку персональных данных – это наиболее надежное основание для работы с ними. Тем не менее, стоит учитывать и другие основания для законного использования сведений о физических лицах, указанные в ч. 1 ст. 6 Закона №152-ФЗ. Такие основания можно разделить на три основных группы:

Для государственных органов	Для иных операторов	Для любых операторов
Ведение судебного разбирательства.	Соблюдение законодательства РФ	Использование в статистических или исследовательских целях
Исполнение полномочий государственных органов	Исполнение договора, стороной или выгодоприобретателем по которому является субъект персональных данных	Работа с общедоступными персональными данными
	Мероприятия по возврату кредитов и займов	Защита жизни и здоровья человека, а получить одобрение – невозможно
	Профессиональная деятельность журналиста

Из вышеприведенного списка в большинстве случаев операторы ПДн выбирают три основания, рассмотрим их подробнее

Первое – работа с ПД для исполнения функций государственных органов. Примеры использования такого основания:

При обращении физического лица в многофункциональные центры для оказания ему различных государственных или муниципальных услуг, сотрудники МФЦ и государственных органов будут обрабатывать его персональные данные, необходимые для оказания услуг
При подаче гражданином жалобы в какой-либо орган будут использоваться его личные сведения, указанные в жалобе
Рассмотрение налоговыми органами поданных налогоплательщиками деклараций, начисление и выплата пенсий Пенсионным фондом
Воинский учет граждан сотрудниками военных комиссариатов

Второе – это процессинг ПДн для исполнения договора, стороной которого или бенефициаром (выгодоприобретателем) по которому является субъект персональных данных. Примеры использования такого основания:

Исполнитель по договору оказания услуг будет обрабатывать сведения о своем заказчике для заключения и исполнения такого договора, а также оформления первичных бухгалтерских документов
Организации, которые занимаются деятельностью по доставке товаров или корреспонденции, могут обрабатывать личную информацию адресатов, которым предназначаются такие товары или корреспонденция
Банки, иные финансовые организации и другие лица могут обрабатывать сведения о поручителях по договорам займа без их одобрения

При этом, СоПД не предоставляет возможность использовать информацию любым возможным способом. Так, например, когда собранные персональные данные будут опубликованы на сайте организации, то потребуется получить отдельное разрешение на распространение личной информации согласно ч. 1 ст. 10.1 Закона №152-ФЗ

Записаться на консультацию по оформлению согласия на обработку ПДн

Виды согласий

В соответствии с законодательством Российской Федерации можно выделить следующие виды такого документа:

На обработку персональных данных
На обработку биометрических персональных данных
На обработку медицинских сведений
На принятие решений по результатам автоматизированной обработки ПДн

На обработку персональных данных, разрешенных субъектом для распространения
На сбор Cookie, а также применение метрических программ или рекомендательных технологий;
На получение рекламных и информационных рассылок

Согласие на обработку персональных данных

Для осуществления процессинга сведений о физических лицах необходимо одно из оснований, предусмотренных Законом №152-ФЗ. Соответственно, если у организации нет других оснований для работы с информацией (например, договора с субъектом ПДн), то потребуется оформить отдельное разрешение.Так, субъекты ПД в соответствии с законом №152-ФЗ имеют:

Такое «общее» СоПД обычно содержит в себе следующие разделы:

-!-

Вводный раздел, в котором излагается ПД субъекта, предоставляющего разрешение, и сведения об операторе ПД. Если документ оформляется в электронном виде – указываются действия, необходимые для предоставления такого разрешения
-!-

Основной раздел: в нем отражаются цели использования личной информации, категории личной информации, которые используемые оператором, а также методы и способы обработки по отношению к каждой цели обработки
-!-

Заключительный раздел, в котором указывается срок действия СоПД и порядок его отзыва

Обратите внимание, что даже при наличии иных оснований для процессинга личной информации рекомендуется получать СоПД. Это связано с тем, что основной принцип работы с ПДн – это соответствие категорий обрабатываемой личной информации целям её использования. Нарушением данного принципа будет, например, использование фотографий или сведений о воинском учёте в целях рекламной рассылки

Согласие на обработку биометрических персональных данных

Законодатель выделяет особую категорию ПДн – биометрическую информацию. Согласно ст. 10.1 Закона №152-ФЗ, биометрическая информация – это сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые фактически используются оператором для установления личности субъекта ПД

Таким образом, можно выделить следующие основные признаки биометрии:

Сведения о физиологических и биологических особенностях человека
На их основе можно определить конкретное физическое лицо
Оператор использует такую информацию для идентификации физических лиц

Последний признак – наиболее важный, так как без него фактически любую информацию о внешнем виде человека можно было бы относить к биометрии. Например, работодатели, которые в личных делах своих сотрудников размещают их фотографии, должны были бы получать одобрения на обработку биометрии. Поэтому важно учитывать, что биометрия возникает только в случае, когда полученные сведения используются для идентификации конкретного лица. Биометрические сведения можно обрабатывать только в автоматизированном виде, то есть с использованием ЭВМ. Если автоматизация не применяется, то подобные сведения будут считаться обычными ПД

Само содержание одобрения на использование биометрии не отличается от обычного СоПД, однако отличается способ его получения. Согласно требованиям закона №152-ФЗ, такое разрешение может быть получено только в письменном виде, то есть подписанное собственноручной подписью субъекта (его представителя) или с использованием усиленной квалифицированной электронной подписи

Отдельно стоит упомянуть Единую биометрическую систему, которая используется государственными органами, банками, транспортными организациями и во многих других сферах. Примером обработки ПДн в ЕБС может служить оплата проезда в метро без использования проездного билета (за счет распознавания лица пассажира при проходе через турникет) или «оплата улыбкой» продуктов в магазине

Обработка биометрических ПД возможна после получения специальной аккредитации в Министерстве цифрового развития, связи и массовых коммуникаций Российской Федерации

Для того, чтобы получить аккредитацию, организация должна соответствовать следующим требованиям:

Компания не должна находиться под полным иностранным влиянием

Активы компании должны превышать 500 млн. рублей и иметь обеспечение убытков, которые могут быть причинены другим лицам, в размере 100 млн. рублей

ЦОД компании должен находиться на территории РФ

Наличие специальной лицензии ФСБ и ФСТЭК и наличие криптографического программного обеспечения и оборудования

Подключение к государственной системе оповещения о кибератаках

Наличие не менее двух IT-специалистов, отвечающих за обработку биометрии

Сведения о компании в ЕГРЮЛ должны быть полностью достоверны

Наличие безупречной деловой репутации

Генеральный директор компании является гражданином РФ, не имеет судимости и не связан с экстремистскими организациями

Ранее компания или аффилированные с ней лица не были лишены аккредитации

Согласие на обработку специальных категорий персональных данных

Помимо биометрии закон №152-ФЗ выделяет специальные категории ПД. К ним относятся следующие сведения о физических лицах:

Национальность и раса
Религиозные убеждения, политические и философские предпочтения
Сведения о состоянии здоровья (медицинские сведения)
Информация об интимной жизни

Структура разделов разрешения на использование специальных категорий ПД – такая же, как и у «общего» СоПД. Более того, «общее» СоПД может содержать в себе разделы, посвященные специальным категориям ПД.
Отдельно стоит отметить, что независимо от того, собирается ли одобрение на использование специальных категорий отдельно или является частью «общего» документа, оно должно быть получено исключительно в письменном виде (в том числе, в форме электронного документа, подписанного электронной подписью)

Согласие на принятие решений на основании автоматизированной обработки ПДн

Многие компании осуществляют скоринг своих клиентов на основании различной информации. Цели такого скоринга – расчёт последствий и рисков при принятии решений в отношении такого клиента. Если скоринг проводится с учетом личной информации, то от субъекта потребуется специальное одобрение для такой цели обработки

Разрешение на проведение скоринга может понадобиться при соблюдении в совокупности следующих условий:
1] Осуществляется только автоматизированная обработка личной информации
2] Целью обработки является принятие решения
3] Решение порождает для субъекта юридические последствия или затрагивает его интересы

Примеры скоринга, для которого может потребоваться отдельное одобрение:

Расчет кредитных рисков и одобрение кредита
Расчёт страховой премии при оформлении страхового полиса

Разрешение на принятие решений на основании автоматизированной обработки ПДн также может быть включено в другое СоПД, и может оформляться как на бумаге, так и в форме электронного документа

Организация, которая проводит автоматизированный скоринг, несет и дополнительные обязанности:

Разъяснить субъекту порядок принятия решения и его последствия
Предоставить возможность заявить возражения против принятого решения и рассмотреть их в течение тридцати дней
Объяснить порядок защиты субъектом своих прав и интересов

Согласие на обработку персональных данных, разрешенных субъектом для распространения

Закон №152-ФЗ содержит в себе определение «распространения персональных данных» - это раскрытие личной информации неограниченному кругу лиц. Наиболее яркий пример распространения персональных данных – это публикация личных сведений сотрудников компании на корпоративном сайте

Обязанность собирать разрешения на распространение персональных данных появилась сравнительно недавно – в 2021 году, до этого распространение считалось частью такого способа обработки личной информации, как ее передача. Кроме того, стоит учитывать, что разрешение на распространение личной информации должно собираться отдельно и не может быть частью другого СоПД

В СоПД дополнительно должны указываться категории личной информации, разрешенной для распространения, а также условия и запреты по распространению в отношении таких категорий

Согласие на использование Cookies, метрических программ и рекомендательных технологий

С развитием информационных технологий, некоторые технические сведения стали личной информацией, для использования которых также необходимо получить одобрение пользователя. Так, страны Европейского союза и штаты США постепенно стали признавать Cookie-файлы сведениями о физических лицах, в результате чего веб-мастера стали уведомлять всех пользователей сайтов о применении такой технологии. В дальнейшем такая практика в том или ином виде распространилась в большинстве стран, регулирующих обработку личной информации

В законе №152-ФЗ файлы Cookie прямо не отнесены к личной информации. Тем не менее, в разъяснениях Роскомнадзора и судебной практике такие сведения приравниваются к персональным данным. Cookie-файлы опосредовано урегулированы в ст. 10.2-2 Федерального закона «Об информации, информационных технологиях и о защите информации» от 27.07.2006 № 149-ФЗ, как часть рекомендательных технологий

Согласно Закону об информации, компания должна собирать разрешение на применение рекомендательных технологий, метрических программ или файлов Cookie, которое собирается только в электронном виде. Кроме сбора разрешения для процессинга Cookie-файлов, соответствующего всем законодательным требованиям, необходимо:

Описание методов сбора сведений об интересах, содержащихся в Cookie
Порядок систематизации и анализа сведений, содержащихся в Cookie
Используемые информационные алгоритмы
Перечень обрабатываемых сведений, содержащихся в Cookie

Согласие на получение рекламных и информационных рассылок

Получение рекламных и информационных рассылок является лишь одной из многих целей работы с личной информацией, которая может быть закреплена в «общем» СоПД. При этом, потребуется и отдельное одобрение, однако уже не в рамках закона №152-ФЗ, а для соблюдения Федерального закона № 38-ФЗ от 13.03.2006 «О рекламе»

Согласно Закону о рекламе рассылка рекламных сообщений должно осуществляться с одобрения физического лица, которому направлено рекламное сообщение за исключением следующих случаев:

Рассылка рекламы осуществляется не по сетям электросвязи (телефонной, факсимильной или Интернет-связи)
Осуществляется рассылка сообщений строго информационного характера

Следует разобраться в отличиях рекламных сообщений от информационных:

Таким образом, для направления информационных сообщений получать разрешение на рассылку не нужно. При этом, информирование – это отдельная цель работы с ПД и разрешение необходимо для соблюдения требования закона №152-ФЗ. В связи с тем, что при информационных и рекламных рассылках обрабатываются одинаковые категории ПДн, на практике их указывают в едином СоПД. В случае, если компания осуществляет рекламную рассылку без разрешения лица, то она будет подвергнута административной ответственности согласно ч. 4.1 ст. 14.3 КоАП РФ в виде штрафа в размере от 300 тыс. рублей до 1 млн. рублей на юридическое лицо. Штрафы для граждан и должностных лиц – меньше, от 10 до 20 тыс. руб. и от 20 до 100 тыс. рублей соответственно

ФАС может привлечь оператора к ответственности, если:

Отсутствует разрешение на осуществление рекламных рассылок

Разрешение было собрано в принудительном порядке, например, являлось условием для заключения сделки или содержалось в тексте договора

Сбор разрешений осуществлялся с помощью чекбокса, «галочка» в котором была предустановленной

Реклама направляется не в той форме и не тем способом, на который согласен получатель

Формы согласий и правила сбора и хранения согласий

Сбор бумажных согласий и как осуществлять их хранение?

Для организаций, которые оказывают услуги непосредственно физическим лицам, основным способом сбора СоПД является их получение в бумажном виде непосредственно от субъектов

-!-

СоПД, которое оформляется на бумаге, должно быть:
- Оформлено в виде отдельного документа
- Содержать ФИО и реквизиты паспорта физического лица - субъекта, а в случае предоставления СоПД представителем - дополнительно ФИО и реквизиты паспорта представителя, а также реквизиты доверенности
- Подписываться и включать расшифровку подписи
Эти правила необходимы для того, чтобы организация в любой момент имела возможность подтвердить предоставление СоПД конкретным физическим лицом или его представителем
-!-

Минимальные требования к хранению
Хранение СоПД должно осуществляться с соблюдением всех требований, изложенных в политике:
- СоПД должны храниться отдельно от других бумажных носителей персональных данных
- Документы должны храниться в запираемых на ключ шкафах или сейфах
- Помещение, в котором осуществляется хранение, должно запираться на ключ
- Доступ в помещение должны иметь только работники, которые в соответствии со своими служебными обязанностями должны обрабатывать сведения о физических лицах

Электронные формы согласий. Как подтвердить факт сбора в электронной форме и где хранить сведения, подтверждающие сбор?

Владельцы мобильными приложениями и Интернет-сервисов, а также компании, оказывающие услуги в дистанционной форме, не имеют возможности собирать «бумажные» СоПД. В этом случае сбор СоПД ведется в электронной форме

При сборе СоПД в электронной форме стоит учитывать, что в обязательном порядке необходимо подтвердить факт добровольного, однозначного и информированного волеизъявления субъекта.
Это можно сделать следующими способами:

Проставление галочки в специальном чекбоксе
Требования:

Чекбокс на предоставление разрешения должен быть отдельным от чекбокса, относящегося к принятию других документов
Галочка не должна быть заранее проставлена
При сборе нескольких разрешений – для каждого должен быть отдельный чекбокс

Пример: [чекбокс] Даю согласие на обработку персональных данных в соответствии с Политикой обработки персональных данных

Подтверждение путём введения кода, отправленного на электронную почту или номер телефона субъекта
Требования: В направляемом письме или смс должно быть прямо указано, что такой код предназначен для предоставления разрешения
Пример: [поле ввода кода] Вводя код, отправленный вам на электронную почту/смс, вы даёте согласие на обработку персональных данных в соответствии с Политикой обработки персональных данных

Подтверждение путём входа в сервис через стороннюю службу авторизации, например, Госуслуги или Сбер ID
Требования: Сторонняя служба авторизации должна позволять определить конкретное физическое лицо, в противном случае разрешение не будет считаться полученным
Пример: [кнопка для входа через стороннюю службу авторизации] Осуществляя вход, через сторонний сервис, вы подтверждаете, что предоставляете согласие на обработку персональных данных в соответствии с Политикой обработки персональных данных

Использование электронной подписи
Требования:

Согласие, подписанное с помощью электронной подписи, должно в обязательном порядке проверяться на действительность электронной подписи
В таком разрешении в обязательном порядке должны указываться ФИО и реквизиты паспорта физического лица, предоставившего разрешение

Основная проблема сбора СоПД в электронной форме – это подтверждение факта предоставления СоПД конкретным физическим лицом (такой риск отсутствует при сборе одобрений на бумаге с подписью субъекта).
Для того, чтобы нивелировать возможные риски необходимо:

✓ Фиксировать в системном журнале IP-адрес, с которого было предоставлено подтверждение, дату и время доступа к сервису

✓ Присваивать каждому электронному подтверждению уникальный идентификатор и связывать с ним все обрабатываемы сведения

✓ При изменении текста разрешения сохранять его изначальную редакцию, действующую в момент его предоставления

Хранить электронные согласия (с подтверждением их сбора) правильнее всего в цифровом виде на сервере с несколькими резервными копиями, а также резервной копией на материальном электронном носителе, который может хранить сведения без потери в течение длительного времени. Указанные меры позволят избежать возможных проблем в случае нештатных ситуаций и последующих проверок Роскомнадзора

Срок действия и отзыв согласия

Срок действия

В каждом согласии в обязательном порядке должен быть указан срок его действия. Если такое условие не соблюдено, то такой документ будет недействительным. «Бессрочные» одобрения нарушают требования закона №152-ФЗ

Срок действия может быть указан одним из следующих способов:

До конкретной даты, например, в виде формулировки «… действует до 01 января 2028 года». Такая формулировка используется достаточно редко, так как требует периодического обновления текста этого документа

Указывается определенный период времени, например: «… действует в течение 3 (трёх) лет с момента его предоставления». В этом случае оператору придется отслеживать срок действия и обращаться к субъекту за его продлением

Устанавливается срок до наступления определенного события. Такой способ чаще всего используют наличии договора между сторонами. Формулировка может быть следующей: «… действует до исполнения субъектом всех своих обязательств по договору»

Комбинированный способ: указывается одновременно определенное событие и период времени после его наступления. Такое условие, как правило, используют банки и другие финансовые организации. Формулировка может звучать следующим образом: «… действует в течение всего срока действия договора займа и 5 (пяти) лет с момента его расторжения или истечения срока действия»

Обновляемый способ – в этом случае в качестве события, от которого осуществляется отсчёт срока действия, выбирается повторяемое действие субъекта, например, вход субъекта в мобильное приложение. Такой способ лучше всего подходит для мобильных приложений и Интернет-сервисов. Используют следующую формулировку: «… действует в течение 1 (одного) года с момента последней авторизации пользователя в личном кабинете Сервиса»

Порядок отзыва согласия

Досконально порядок отзыва в законодательстве РФ не прописан. В законе №152-ФЗ указано только, что субъект имеет право отозвать свое одобрение в любой момент, и условия, при котором оператор имеет право продолжить использовать личную информацию

Способы отзыва согласия устанавливаются в самом тексте этого документа. При этом, условия отзыва не могут ограничивать права субъекта. Так, могут предусматриваться следующие способы отзыва:

Отправка заявления почтовой или курьерской службой (факт отзыва подтверждается почтовой квитанцией об отправке и описью вложений в письмо)
Передача оператору заявления нарочно (подтверждение отзыва – отметка оператора на втором экземпляре заявления о его получении)
Отправка заявления об отзыве по электронной почте оператора
Обращение к оператору через специально предусмотренную форму на сайте или в мобильном приложении
Удаление профиля в мобильном приложении или Интернет-сервисе

Заявление об отзыве согласия не имеет установленной формы, но в обязательном порядке должно содержать информацию, способствующую идентифицировать физическое лицо и его подпись.
Организация после отзыва согласия должна уничтожить бумажные носители с ПДн и удалить на электронных носителях всю личную информацию о физическом лице в течение тридцати дней с момента отзыва. Об удалении информации должен был проинформирован сам субъект – инициатор отзыва. Компания может продолжить работу с персональными данными при наличии других оснований их использования, например, для исполнения договора с клиентом

Согласия на обработку ПДн сотрудников и клиентов

По общему правилу согласия от сотрудников и клиентов не требуются так, как основные процессы использования личной информации подпадают под особые условия, перечисленные в законе №152-ФЗ, при соблюдении которых такой документ не требуется. В случае с сотрудниками – это исполнение обязанностей оператора в соответствии с трудовым, пенсионным и налоговым законодательством. В случае с клиентами – это исполнение обязательств оператора перед клиентом на основании заключенного между ними договора

Для понимания того, когда может понадобиться согласия от сотрудников или клиентов, рассмотрим два примера:

Согласие на использование ПД может понадобиться работодателю при осуществлении видеосъемки офисных помещений, так как при видеонаблюдении обрабатывается изображение физического лица. Согласие для этой цели необходимо получать в письменном виде

Одобрение от клиентов может вам понадобиться для публикации отзывов о товарах или услугах компании, которые содержат ФИО и фотографии или другие персональные данные. В этом случае в документе нужно будет указать на распространение личных сведений, а также добавить разделы для указания субъектом условий и запретов работы с такими ПД

Почему выбирают нас для подготовки согласий

Разрабатываем формы согласий под конкретные виды данных и целей обработки
Опыт с компаниями из разных сфер: медицина, образование, e-commerce, IT
NDA и защита информации — стандарт нашей работы
Составляем документы в соответствии с 152-ФЗ и GDPR
Готовим отдельные формы для сотрудников, клиентов и партнёров
Снижаем риск претензий со стороны Роскомнадзора и пользователей
Учитываем специфику онлайн- и офлайн-сборов данных
Более 90% клиентов получают документы дистанционно
Обеспечиваем простоту использования и юридическую корректность
Проверяем согласие на соответствие реальной практике компании

Никита Морозов

старший юрист и руководитель блока регистрации товарных знаков и промышленных образцов

Специалист, проверивший статью:

Опубликовано:
09.09.2025

Основные ошибки при составлении согласия и ответственность

На практике операторы ПДн допускают следующие ошибки:

Собирают согласия на использование личных сведений «по умолчанию». Компании, владеющие мобильными приложениями или Интернет-сервисами, требующими регистрации, осуществляют сбор с помощью чекбоксов с предустановленной «галочкой», что являются прямым нарушением закона №152-ФЗ. Риски административной ответственности (хоть и меньшие) создает также сбор согласий в форме «присоединения к условиям политики обработки персональных данных»
Сбор согласий с 1 сентября 2025 с помощью включения их в текст договоров, пользовательских соглашений или оферт также является нарушением закона №152-ФЗ
Содержание согласия не соответствует требованием, установленным законодательством, например, в документе содержатся расплывчатые формулировки целей, способов, методов процессинга или категорий личных сведений или не содержит обязательные реквизиты
В документе не предусмотрен порядок отзыва согласия или действия, которые необходимо совершить для отзыва, излишне затруднительны
На документах, собираемых в бумажном виде, отсутствует подпись или из идентификаторов, содержащихся в согласии, невозможно установить лицо, которое его предоставило
Компания использует полученные сведения для целей, которые не указаны в разрешении

Долгое время надзорные ведомства смотрели «сквозь пальцы» на соблюдение законодательства о персональных данных, в связи с чем компании легкомысленности относились к требованиям закона. Такой подход усугублялся несущественными суммами штрафов и мораторием на плановые проверки бизнеса. Тем не менее, с 2021 года ответственность постепенно стала ужесточаться, а в мае 2025 были введены новые штрафы и кратно увеличены существующие

Так, при нарушении порядка работы с персональными данными у российских операторов возникают следующие риски:

Кроме того, в конце 2024 года в Уголовный кодекс РФ была введена статья 271.2 с новыми составами преступлений:

Использование компьютерной информации (баз данных), содержащей ПД, полученной незаконным путём

Штраф в размере от 300 тыс. руб.
Принудительные работы или лишение свободы на срок до 4 лет

Незаконное использование компьютерной информации, содержащей специальные категории ПДн или биометрию, полученной незаконным путём

Штраф в размере от 700 тыс. руб.
Лишением права занимать определенные должности и осуществлять определённую деятельность на срок до 2 лет
Принудительные работы или лишение свободы на срок до 5 лет

Указанные действия, совершенные:
а) из корыстной заинтересованности (например, в целях получения финансовой выгоды)
б) с причинением крупного ущерба (ущерб превышает 1 млн. руб.)
в) группой лиц по предварительному сговору (преступление совершенно двумя и более лицами)
г) с использованием служебного положения (например, преступление совершено администратором базы данных, содержащей ПДн)

Штраф в размере от 1 млн. руб.
Лишением права занимать определенные должности и осуществлять определённую деятельность на срок до 3 лет
Принудительные работы на срок до 5 лет
Лишение свободы на срок до 6 лет

Указанные действия, сопряженные с трансграничной передачей ПДн

Штраф в размере от 3 млн. руб.
Лишением права занимать определенные должности и осуществлять определённую деятельность на срок до 5 лет
Лишение свободы на срок до 8 лет

Указанные действия,повлекли тяжкие последствия или были совершены организованной группой

Штраф в размере от 3 млн. руб.
Лишением права занимать определенные должности и осуществлять определённую деятельность на срок до 5 лет
Лишение свободы на срок до 10 лет

Управление информационным ресурсом, предназначенным для распространения ПДн, полученных незаконным путём

Штраф в размере от 700 тыс. руб.
Лишением права занимать определенные должности и осуществлять определённую деятельность на срок до 2 лет
Принудительные работы или лишение свободы на срок до 5 лет

Кроме того, при нарушении порядка работы с ПД может быть заблокирован сайт, где были допущены такие нарушения. Порядок такой блокировки, предусмотренный Законом об информации, состоит в следующем:

Необходимо решение суда, установившее нарушение на сайте
Субъект чьи права были нарушены, подает соответствующее заявление в Роскомнадзор
Роскомнадзор в течение трёх дней уведомляет провайдера хостинга, на котором размещается сайт о нарушении тот, в свою очередь, уведомляет владельца сайта
Если владелец в течение трёх дней не удаляет информацию, Роскомнадзор вносит сайт в реестр нарушителей прав субъектов персданных, а операторы связи – блокируют доступ к сайту

Проверки Роскомнадзора

На текущий момент Роскомнадзор не осуществляет плановые проверки операторов в связи с действием до конца 2025 года моратория на осуществление проверок, однако возможны и внеплановые проверки. Основанием для такой проверки может послужить жалоба физического лица или, например, несоответствие между сведениями в уведомлении об обработке ПДн, поданном компанией, и фактическим порядком работы с ПДн в компании

Порядок проведения проверки сотрудниками Роскомнадзора:

На первом этапе Роскомнадзор осуществляет проверку фактов, изложенных в жалобе или опубликованной в СМИ информации о нарушениях

Если такие факты не подтверждаются, Роскомнадзор осуществляет проверку сайта на предмет наличия политики обработки ПДн, её содержания и доступности (возможности с ней ознакомиться для любого заинтересованного лица), форм сбора персональных данных, а также наличия и содержания СоПД

В некоторых случаях, Роскомнадзор направляет в адрес администратора сайта запрос о предоставлении информации и документов. После получения ответа специалисты ведомства проверяют полученные документы и сведения, изложенные в ответе

По результатам проведенной проверки у Роскомнадзора существует три варианта действий:
Первый вариант: в случае если все требования закона №152-ФЗ соблюдены, Роскомнадзор прекращает проверку
Второй вариант: возбуждается дело об административном правонарушении, Роскомнадзор передает материалы проверки в суд, где и назначается наказание в форме штрафа
Третий вариант: на практике Роскомнадзор до возбуждения дела часто направляет в адрес оператора предписание с полным перечнем выявленных нарушений и действий, которые необходимо предпринять для их устранения. Если такое предписание проигнорировано, то Роскомнадзор пытается привлечь оператора к ответственности в рамках второго варианта

В случаях, если вы получили от Роскомнадзора запрос или предписание, первое, что нужно сделать – это передать полученные документы работнику, ответственному за работу с ПДн, и юристу компании. После изучения документов штатными специалистами целесообразно обратиться к юристам, специализирующимся на персональных данных. Юристы нашей компании, помогут вам устранить все выявленные Роскомнадзором нарушения и ответить на его запрос так, чтобы компанию не привлекли к административной ответственности

Для того чтобы избежать взаимодействия с Роскомнадзором, необходимо периодически проверять корректность и актуальность текстов СоПД, а также порядок их получения организацией. Проверка может быть проедена как самостоятельно с учетом разделов выше, так и с привлечением внешних экспертов

Каждая компания, как оператор ПДн должна назначить лицо, ответственное за обработку персональных данных. Такой сотрудник должен иметь представление о порядке работы с ПДн и необходимых документах. Если сотрудник не обладает такими познаниями, то желательно получить аудит имеющейся системы обработки персданных и подготовку недостающей документации внешним профильным экспертам

Жалобы и судебная практика

Судебная практика, связанная с рассмотрением нарушений законодательства о персональных данных, пока окончательно не сложилась. На практике в спорах о защите ПДн истцом чаще всего выступает физическое лицо, чьи права были нарушены. В случаях, если физическое лицо, по каким-либо причинам не может защитить свои права, истцом может быть Роскомнадзор в соответствии с п. 5 ч. 3 ст. 23 закона №152-ФЗ. Роскомнадзор имеет право предъявлять исковые заявления в защиту интересов неопределённого круга лиц, если обнаружит масштабные нарушения в работе оператора

При рассмотрении исков судьи проверяют:
1] Наличие одобрения
2] Порядок его получения и соблюдение принципов конкретности, предметности, информированности, сознательности и однозначности СоПД
3] Соответствие содержания СоПД предъявляемым требованиям
4] Соответствие целей использования ПДн, указанных в СоПД фактическим целям работы с ними
5] Соответствие фактически обрабатываемых категорий сведений о физических лицах указанным в СоПД
6] Соответствие формы СоПД требованиям закона

Стоит отметить, отсутствие СоПД не приведёт к автоматическому удовлетворению иска, если у оператора были другие основания для обработки ПДн. Соответственно, в этом случае можно будет предъявить в суд договор с субъектом, на основании которого использовалась его ПДн, или другие доказательства соблюдения закона оператором.
Помимо требований о признании нарушения правил работы с ПДн, истец – физическое лицо может дополнительно заявить требование о взыскании с оператора морального вреда. Моральный вред не предполагает возможности его точной оценки, и размер его компенсация только отражает понесенные страдания физического лица. Как следствие, в судебной практике нет единого подхода к размеру взыскиваемых сумм, но используется общий принцип разумности с учетом реальных душевных страданий истца

На практике суды в большинстве случаев независимо от первоначального размера запрашиваемой компенсации морального вреда взыскивают не более 50 000 тысяч рублей. В качестве примеров можно привести несколько судебных решений:

“

В Правобережном районном суде города Магнитогорска в деле № 2-1185/2024 к взысканию был заявлен моральный вред в размере 5 000 000 рублей, но иск был удовлетворен всего на 30 000 рублей

“

Измайловский районный суд г. Москвы в деле № 2-2733/2020 отказал в удовлетворении исковых требований, но Московский городской суд в рамках рассмотрения дела в апелляционной инстанции изменил решение и взыскал компенсацию морального вреда в размере 10 000 рублей при требуемой компенсации в размере 50 000 рублей

“

Василеостровский районный суд города Санкт-Петербурга в деле № 2-780/2023 взыскал моральный вред в размере, требуемом в исковом заявлении, а именно – 25 000 рублей

Как оформлять согласие с 1 сентября 2025 года

Согласие на работу с ПДн должно оформляться в виде отдельного документа и не может включаться в состав соглашений, договоров или иных документов, регулирующих взаимоотношения оператора и субъекта

С указанной даты вступают в силу изменения Закона о персональных данных, которые вводят новые правила работы с ПДн, а именно:

Операторы ПДн, которые осуществляют обезличивание персональных данных и получили специальное требование, должны передать результаты обезличивания сведений о физических лицах в специализированную информационную систему для целей проведения эксперимента по развитию технологий искусственного интеллекта, проводимого на территории города Москвы