Новый подход к получению согласий на обработку персональных данных: главное

С 1 сентября меняется подход к получению согласий на обработку персональных данных: согласия нужно будет выделить в отдельный документ. Рассказываем, каких процессов касается изменение, как его реализовать и какое наказание предусмотрено за нарушение.

Эксперт:

Елизавета Тутова, ведущий консультант департамента аудита, консалтинга и оценки соответствия «Кросс технолоджис».

Зачем нужны новые требования?

Требования прописаны в Федеральном законе от 24.06.2025 № 156-ФЗ. Они призваны лучше защитить клиентов компаний. Сейчас часто встречаются случаи, когда, подписав кредитный договор, человек соглашается на передачу данных почти неограниченному кругу лиц с рекламными целями. Такое согласие нельзя назвать «конкретным и однозначным», как того требует Федеральный закон от 27.07.2006г. № 152-ФЗ «О персональных данных».

Кого касается изменение?

Абсолютно любых операторов персональных данных — юридических и физических лиц, государственных и муниципальных органов. Но далеко не всех бизнес-процессов.

Если основанием для обработки персданных является требование какого-либо закона, применять новый подход не нужно — законодательство разрешает обрабатывать такие данные без согласия. Типичные примеры: налоговая и бухгалтерская отчетности, отправка информации в военкомат.

А вот чтобы выписать человеку пропуск в офис, пригласить на собеседование, оформить ДМС или обрабатывать cookie на сайте, с 1 сентября придется получать отдельное согласие.

Что значит «отдельное»?

На отдельном носителе, в отдельном документе. Если речь о сборе согласий на обработку персданных сайте, то на отдельной странице сайта. Такой подход подтвердил на семинаре 22 августа Роскомнадзор.

Единственное исключение — стандартные формы, утвержденные законом. Например, унифицированная форма № Т-2, используемая отделом кадров. Такие документы менять не требуется: согласие допускается оставить внутри формы.

Также отмечу, что собранные до 1 сентября согласия остаются действительными, закон обратной силы не имеет.

Как указывать цели обработки данных?

Закон гласит, что в письменной форме согласия цель должна быть в единственном числе. То есть одна цель — одно согласие. Это проблема, поскольку даже самое маленькое юрлицо может обрабатывать персданные работников минимум с пятью целями: пропускной режим, оформление зарплатной карты, оформление ДМС, предоставление корпоративной сязи, печать визиток.

Раньше Роскомнадзор при проверках наших заказчиков одобрял подход, когда мы, разрабатывая форму согласия, указывали все цели на одном листе и напротив каждой просили человека поставить подпись. Условно, 10 целей — 10 подписей. Насколько подход будет применим с 1 сентября, пока сказать сложно.

С чего начать бизнесу?

В первую очередь — проверить бизнес-процессы и актуальность целей обработки персданных: разобраться, какие данные вам нужны, нужно ли вообще для их обработки получать согласие (информацию можно найти в Статье 6 152-ФЗ). И уже под актуальные цели разработать согласия по новой форме.

Пересмотреть необходимо и существующие формы согласий. Если они вшиты в оферты, соглашения, заявления и тому подобное — подумать о выделении в отдельный документ.

Какие санкции предусмотрены за нарушение?

Если согласия будут собираться по форме, не советующей новым требованиям, то Роскомнадзор может посчитать, что компания не получала согласия в принципе и нарушила Статью 13.11 КоАП РФ. Штраф по ней — до 700 000 рублей за один факт нарушения (за повторное нарушение — до 1.5 млн. рублей). Если взять 100 новых сотрудников и оформить согласия по-старому, штраф может умножиться на 100.

Наказание применимо, даже если компания не регистрировалась как оператор персональных данных в Роскомнадзоре. Согласно 152-ФЗ, практически все юрлица являются операторами персданных. Поэтому компания получит штрафы уже за два нарушения: за отсутствие уведомления об обработке персданных и некорректные формы согласий, и ее не оставят без внимания, пока нарушения не будут устранены.