Согласие на обработку персональных данных: полное руководство по оформлению в 2025 году
В 2025 году требования к согласию на обработку персональных данных существенно ужесточились. С 30 мая 2025 года штрафы за нарушения увеличились в несколько раз и составляют от 300 тысяч до 700 тысяч рублей для организаций . Каждая компания, которая собирает информацию о клиентах или сотрудниках, обязана правильно оформить согласие субъекта персональных данных и соблюдать все процедуры их обработки.
Критически важно! До 30 мая 2025 года все операторы персональных данных должны подать уведомление в Роскомнадзор . Невыполнение этого требования повлечет штрафы от 100 до 300 тысяч рублей для организаций.
СертКонтроль помогает компаниям не только с внесением в реестр Минпромторга, но и с полным соответствием требованиям закона о персональных данных, включая регистрацию в реестре Роскомнадзора. Наши эксперты знают все тонкости оформления согласий и помогут вашей компании избежать дорогостоящих ошибок.
Что такое согласие на обработку персональных данных
Согласие субъекта персональных данных на обработку его персональных данных должно быть конкретным, предметным, информированным, сознательным и однозначным . Это официальное разрешение человека на сбор, хранение, использование и передачу его личной информации.
Персональные данные — это любая информация, которая позволяет идентифицировать конкретного человека. К ним относятся не только паспортные данные, но и телефоны, email-адреса, фотографии, геолокация и даже IP-адреса.
Кому обязательно нужно согласие на передачу персональных данных
Получать согласие обязаны все организации и ИП, которые работают с персональной информацией:
Письменная форма
Формы на сайте
Регистрация
Особые требования
Только письменно
Новые требования 2025 года
В законодательство о персональных данных внесены важные изменения:
Ключевые изменения 2025 года:
- С 1 января 2025 года действуют новые формы согласий для ЕБС и ЕСИА
- Согласие на биометрию действует только 3 года
- Штрафы за нарушения увеличены до 700 тысяч рублей
- Обязательная подача уведомлений в Роскомнадзор до 30 мая 2025
Содержание согласия: обязательные элементы
Согласие должно содержать 9 обязательных элементов согласно части 4 статьи 9 Федерального закона № 152-ФЗ :
Данные об операторе
Полное наименование организации или ФИО индивидуального предпринимателя, адрес, контактные данные. Если оператор действует через представителя — указываются его данные.
Цели обработки
Конкретные цели, для которых собираются данные: исполнение договора, маркетинг, кадровое делопроизводство. Общие формулировки недопустимы.
Перечень данных
Исчерпывающий список персональных данных: ФИО, паспортные данные, телефон, email и т.д. Нельзя указывать «любые персональные данные».
Перечень действий
Какие именно операции будут выполняться: сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, блокирование, удаление, уничтожение.
Способы обработки
Автоматизированная, неавтоматизированная или смешанная обработка. Указание на использование технических средств.
Срок действия согласия
Конкретный срок или условие его прекращения. Согласие может действовать до отзыва субъектом .
Способ отзыва
Четкое описание, как субъект может отозвать согласие: письменное заявление, электронная форма, личный кабинет на сайте.
Передача третьим лицам
Если планируется передача данных — указать кому именно: банкам, курьерским службам, государственным органам.
Подпись субъекта
Личная подпись субъекта персональных данных или его законного представителя с расшифровкой и датой.
Формы согласия: письменное vs электронное
Закон позволяет получать согласие в разных формах, но для каждой есть свои требования:
| Форма согласия | Когда применяется | Особенности |
|---|---|---|
| Письменное | Обработка биометрии, медицинских данных, трудовые отношения | Обязательная личная подпись, оригинал документа |
| Электронное | Сайты, интернет-магазины, мобильные приложения | Галочка в форме, подтверждение по email/SMS |
| Конклюдентное | Публичные мероприятия, видеонаблюдение в общественных местах | Согласие выражается действиями субъекта |
Особенности согласия субъекта на обработку персональных данных для сайтов
Владельцы сайтов должны разработать политику обработки ПД, разметить формы для сбора данных и cookie . Основные требования для сайтов:
Чек-лист для владельцев сайтов
Как правильно организовать отзыв персональных данных
Любой субъект персональных данных может в любой момент отозвать свое согласие, направив письменное заявление оператору . Это одно из основных прав граждан в сфере защиты персональных данных.
Процедура отзыва согласия
Оператор обязан прекратить обработку персональных данных и уничтожить их в течение 30 календарных дней с момента получения отзыва . Однако есть исключения, когда обработка может продолжаться без согласия субъекта.
Важно знать: Даже после отзыва согласия оператор вправе продолжить обработку персональных данных при наличии оснований, указанных в пунктах 2-11 части 1 статьи 6 Закона № 152-ФЗ . Например, для исполнения договора или соблюдения правовых обязанностей.
Образец заявления на отзыв
Заявление на отзыв персональных данных должно содержать:
- Данные оператора: полное наименование организации или ФИО ИП
- Данные заявителя: ФИО, паспортные данные, адрес регистрации
- Суть требования: просьба прекратить обработку и уничтожить данные
- Перечень данных: какие именно данные подлежат уничтожению
- Подпись и дата: личная подпись заявителя
Регистрация в реестре Роскомнадзора
Большинство операторов персональных данных обязаны уведомить Роскомнадзор о начале обработки данных и включиться в официальный реестр. После подачи уведомления Роскомнадзор включает организацию в реестр операторов в течение 30 дней.
Кто обязан подавать уведомление
Уведомление не требуется только в исключительных случаях:
Исключения из обязанности уведомления:
- Обработка данных исключительно для личных и семейных нужд
- Обработка только для однократного пропуска на территорию
- Неавтоматизированная обработка без использования компьютеров
- Обработка в рамках трудовых отношений (в определенных случаях)
Штрафы и ответственность в 2025 году
Ответственность за нарушения в сфере персональных данных существенно усилена:
| Нарушение | Штраф для ИП/организаций | Штраф для должностных лиц |
|---|---|---|
| Обработка без согласия | 300 000 — 700 000 руб. | 100 000 — 300 000 руб. |
| Неподача уведомления в РКН | 100 000 — 300 000 руб. | 30 000 — 50 000 руб. |
| Утечка данных (1000-10000 чел.) | 500 000 — 1 000 000 руб. | 200 000 — 400 000 руб. |
| Нарушение сроков ответа | 30 000 — 60 000 руб. | 10 000 — 20 000 руб. |
Как СертКонтроль помогает с персональными данными
Компания СертКонтроль предоставляет полный спектр услуг по соответствию требованиям закона о персональных данных:
«Персональные данные — это не просто формальность, а серьезная ответственность перед людьми, которые доверяют нам свою информацию. Мы помогаем компаниям выстроить правильные процессы и избежать дорогостоящих ошибок.»
— Алексей Петрович Морозов, ведущий эксперт СертКонтроль по защите персональных данных
Наши услуги
- Разработка согласий: создание всех необходимых форм согласий для вашего бизнеса
- Регистрация в Роскомнадзоре: подготовка и подача уведомлений в реестр операторов
- Политика конфиденциальности: разработка документов для сайтов и организаций
- Локальные акты: положения о защите ПД, должностные инструкции
- Обучение персонала: проведение семинаров по работе с персональными данными
- Аудит соответствия: проверка текущих процессов и выявление рисков
- Сопровождение проверок: представление интересов при визитах Роскомнадзора
За время работы мы помогли более 500 компаниям привести в соответствие работу с персональными данными. Ни одна из них не получила штрафы за нарушения после внедрения наших рекомендаций.
Преимущества работы с СертКонтроль:
- Опыт работы с 2010 года в сфере защиты персональных данных
- Собственная IT-платформа для автоматизации процессов
- Штат сертифицированных экспертов по информационной безопасности
- Гарантия соответствия всем требованиям закона 152-ФЗ
- Комплексное решение: от согласий до технических мер защиты
Часто задаваемые вопросы
Нет, для сайтов допускается электронное согласие через checkbox в формах или всплывающие уведомления о cookies. Письменное согласие требуется только для особых категорий данных: биометрических, медицинских, данных о расовой принадлежности.
Да, работодатель имеет право обрабатывать данные сотрудников без согласия в рамках трудовых отношений: для начисления зарплаты, ведения кадрового учета, соблюдения требований законодательства. Согласие нужно только для дополнительных целей: публикации фото, передачи данных банкам для зарплатных проектов.
Отзыв согласия не означает автоматическое прекращение обработки. Если данные необходимы для исполнения договора или соблюдения правовых обязанностей, их можно продолжать обрабатывать. Нужно прекратить только те действия, которые не связаны с этими целями (например, маркетинговые рассылки).
Нет, уведомление подается один раз при начале деятельности по обработке персональных данных. Изменения уведомляются только при существенных изменениях: смене целей обработки, добавлении новых категорий данных, изменении способов обработки.
Срок действия определяется в самом согласии. Может быть конкретный период (например, 3 года) или до наступления события (расторжение договора, отзыв согласия). Для биометрических данных срок ограничен 3 годами с возможностью продления.
С 2025 года штрафы существенно увеличены: для организаций — от 300 до 700 тысяч рублей, для должностных лиц — от 100 до 300 тысяч рублей. При утечке данных тысяч пользователей штрафы могут достигать 1 миллиона рублей.
Отзывы наших клиентов
Заключение
Правильное оформление согласия на обработку персональных данных — это не просто формальность, а основа защиты прав граждан и безопасности вашего бизнеса. В 2025 году требования стали строже, а штрафы — значительно выше.
Каждая компания должна понимать: персональных данных без согласия обрабатывать нельзя, исключения строго ограничены законом. Даю согласие на обработку персональных данных — это не просто галочка в форме, а серьезное юридическое обязательство перед субъектом данных.
СертКонтроль поможет вашей компании полностью соответствовать требованиям закона 152-ФЗ: от разработки согласий до регистрации в реестре Роскомнадзора. Мы знаем все тонкости законодательства и поможем избежать дорогостоящих ошибок.
Не рискуйте своим бизнесом — доверьте вопросы персональных данных профессионалам. Получите консультацию экспертов СертКонтроль и обеспечьте полную защиту от штрафов и репутационных рисков.