Новый закон: согласия на обработку персональных данных должны быть оформлены отдельно от других документов

О чем новый закон?
Как повлияет на бизнес?
Какая ответственность за нарушения?
Как операторам подготовиться?

С 1 сентября 2025 года изменяются правила получения согласия на обработку персональных данных. Условия о согласии будет запрещено включать в политики конфиденциальности, договоры с потребителями и другие документы. Компаниям-операторам персональных данных придется пересмотреть свои процессы, связанные со сбором данных.

О чем новый закон?

Часть 1 ст.9 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – «ЗоПДн») будет дополнена следующей нормой: «Согласие на обработку персональных данных должно быть оформлено отдельно от иных информации и (или) документов, которые подтверждает и (или) подписывает субъект персональных данных». Поправка вводится в действие Федеральным законом от 24.06.2025 №156-ФЗ «О создании многофункционального сервиса обмена информацией и о внесении изменений в отдельные законодательные акты Российской Федерации», но фактически она не имеет никакого отношения к этому многофункциональному сервису. Как следует из пояснительной записки к законопроекту, новое требование должно «…устранить правовую неопределенность, позволяющую недобросовестным операторам персональных данных «дезориентировать» граждан в вопросах предоставления согласия на обработку их персональных данных, определения условий и целей обработки таких данных».

Согласие может быть выражено в любой форме, позволяющей подтвердить факт его получения (например, чек-бокс на сайте). В установленных законом случаях, согласие обязательно составляется в письменной форме на бумаге либо в виде электронного документа (например, согласие работника на передачу его данных третьему лицу в соответствии со ст.88 ТК). Исходя из буквального смысла, поправка будет применяться ко всем видам согласий без исключений.

Новое требование вступает в коллизию с Положением об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации (утв. Постановлением Правительства РФ от 15.09.2008 №687). Согласно пп. «б», п.7 Положения, текст письменного согласия разрешается включать в «типовые формы документов, характер информации в которых предполагает или допускает включение в них персональных данных». Примерами таких документов выступают анкеты для присоединения к бонусным программам в магазинах, журналы пропускного режима на предприятиях, стандартизированные анкеты соискателей вакантных должностей и другие документы, в которые граждане вписывают сведения о себе. Поскольку федеральный закон имеет большую юридическую силу, чем подзаконный акт, указанная норма Постановления Правительства РФ от 15.09.2008 №687 не должна применяться после вступления в силу поправки к ЗоПДн.

Как повлияет на бизнес?

Новое требование затронет как электронную коммерцию (онлайн), так и традиционные виды предпринимательства (офлайн).

На интернет-сайтах и в мобильных приложениях будет запрещено включать условия о согласии на обработку персональных данных, среди прочего, в

• политики в отношении обработки персональных данных (политики конфиденциальности),
• пользовательские соглашения и иные договоры, заключаемые с пользователем (к примеру, оферты на покупку товаров и услуг, лицензионные соглашения),
• куки-баннеры, если одновременно с согласием на обработку персональных данных пользователю предлагается акцептовать пользовательское соглашение,
• веб-формы для регистрации личного кабинета, заказа товаров, обратной связи и решения иных задач, если пользователь выражает согласие и направляет веб-форму нажатием одной кнопки. Другими словами, пользователь должен совершить отдельное действие, чтобы дать согласие и отдельное действие, чтобы отправить веб-форму.

На практике это означает, что пользователям сайтов и мобильных приложений придется много раз ставить «галочку» о своем согласии на различные операции с персональными данными, начиная с входа на веб-ресурс и далее практически при каждом вводе персональных данных.

При работе с бумажными документами компаниям придется исключить условия о согласии на обработку персональных данных, помимо прочего, из

• договоров на продажу товаров, выполнение работ, оказание услуг и других договоров с потребителями,
• трудовых договоров и договоров с исполнителями услуг гражданско-правового характера (ГПХ),
• различных стандартизированных анкет, опросников, бланков и других типовых форм (к примеру, при опросе мнений участников деловой конференции им придется отдельно заполнить бланк опроса и бланк согласия на обработку персональных данных).

С большой вероятностью это приведет к существенному изменению деловой практики по выстраиванию коммуникации и оформлению документов с физическими лицами. Увеличится количество документов и поменяются алгоритмы действий работников, взаимодействующих с гражданами (менеджеров по работе с клиентами, продажам, подбору персонала, кадровой работе и т.п.).

Какая ответственность за нарушения?

Административная ответственность специально за нарушение нового требования пока не установлена. В дальнейшем судебная практика может пойти по пути признания недействительным согласия, полученного с нарушением указанного требования. В таком случае к компаниям-нарушителям могут быть применены штрафы до 300 000 руб. по ч.1 ст.13.11 КоАП (если оператор не был обязан получать согласие именно в письменной форме в силу закона) либо до 700 000 руб. по ч.2 ст.13.11 КоАП (если оператор должен был получить согласие в письменной форме). Субъекты персональных данных смогут подавать гражданско-правовые иски к операторам, оспаривая действительность согласий, полученных с нарушением закона. Они могут требовать уничтожения незаконно собранных данных, компенсации морального вреда и возмещения убытков (ч.2 ст.24 ЗоПДн).

Как операторам подготовиться?

• Провести срочный аудит бизнес-процессов, включающих сбор персональных данных, на предмет проверки процедуры сбора данных и оформления согласий.
• Разработать новые формы согласий на обработку персональных данных (по мере необходимости).
• Рассмотреть для некоторых бизнес-процессов возможность обработки персональных данных без получения согласия на условиях, изложенных в ч.1 ст.6 ЗоПДн. К примеру, такая обработка допустима для исполнения договора, стороной которого (либо выгодоприобретателем или поручителем) является субъект персональных данных (пп.5 ч.1 ст.6 ЗоПДн).
• Внести изменения в локальные акты компании, оформляющие обработку персональных данных (комплаенс-документы), принятые на основании пп.2 ч.1 ст.18.1 ЗоПДн, в случае использования вместо согласия других условий обработки персональных данных при реализации какого-либо бизнес-процесса. В таком случае будет необходимо направить в Роскомнадзор уведомление об изменении ранее поданных сведений (ч.7 ст.22 ЗоПДн).

* * *

Юристы «Городисский и Партнеры» обладают значительным опытом консультирования в области персональных данных и будут рады оказать услуги по обеспечению выполнения нового требования для Вашей компании. Наша электронная почта: pat@gorodissky.com

C.А.Румянцев