Как составить согласие на обработку персональных данных и когда оно нужно

Представьте ситуацию: к вам в клинику записывается новый пациент. Вы просите его паспорт, телефон, адрес. Или нанимаете сотрудника — берёте копию диплома, СНИЛС, ИНН. Во всех этих случаях вы получаете персональные данные — любую информацию, относящуюся к конкретному человеку и позволяющую его идентифицировать. Рассказываем, как привести документы в порядок, избежать высоких штрафов и легально работать с данными по новым правилам.

Что такое согласие на обработку персональных данных и зачем оно нужно

Согласие на обработку персональных данных — это юридически значимый документ, который разрешает вам работать с этой информацией: хранить, систематизировать, использовать для конкретных целей. Без этого разрешения вы не имеете права даже записать клиента в своей онлайн-таблице.

Защищаем персональные данные и информацию: что нужно делать

Какие сведения о человеке считаются персональными данными

Какие простые рабочие ситуации под запретом

Представьте себе обычный рабочий день.

Ситуация 1: Вы просите у нового клиента паспорт для договора. Ещё не подписано согласие на обработку персональных данных, но вам нужно срочно. Вы получаете фото документа в мессенджере, чтобы быстрее начать работу.

Ситуация 2: Вам нужно передать данные клиента коллеге из другого отдела. Вы кидаете его номер телефона и электронную почту в рабочий чат в Телеграме.

Ситуация 3: Вы ведёте базу клиентов не в специализированной системе, а в общей гугл-таблице, доступ к которой есть у половины сотрудников.

Каждое из этих привычных действий — это прямое нарушение Федерального закона № 152-ФЗ «О персональных данных», которое может обойтись вашему бизнесу в сотни тысяч рублей. Для всех этих действий нужно получить согласие на обработку персданных.

Когда согласие на обработку персональных данных обязательно

Согласие нужно:

Если вы работаете с клиентами. Собираете телефоны для записи, почту для рассылки, адрес для доставки — обязательно получайте согласие.
Вы нанимаете сотрудников. Трудовой договор — это не замена согласия на обработку ПД. Согласно ст. 86 ТК РФ, обработка ПД работника осуществляется с его письменного согласия, за исключением случаев, прямо предусмотренных законом. На практике согласие у сотрудника берут всегда.
Ведёте базу подрядчиков-физлиц или самозанятых.
Собираете данные на сайте через формы обратной связи, подписки на новости, регистрацию личных кабинетов.
Проводите маркетинговые активности: рассылки, опросы, программы лояльности.

Согласие не нужно, если обработка данных:

Связана с исполнением договора, стороной которого является субъект ПД. Пример: клиент заказывает у вас доставку еды и сам называет адрес. Цель обработки — доставить заказ, она прямо вытекает из договора купли-продажи. Но если вы потом захотите использовать этот адрес для рекламной рассылки — это уже новая цель, и на неё нужно отдельное согласие.
Нужна для исполнения полномочий государственных органов. Например, вы как работодатель передаёте данные в ПФР или ФНС.
Из публичных источников: информация из открытого профиля в соцсети, если человек явно не запрещал её использование.
Необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта, а получение согласия невозможно. Например, данные передаются врачу при вызове скорой помощи.

Если сомневаетесь — лучше получить согласие. Отсутствие согласия там, где оно не требовалось, — не нарушение. А вот обработка без согласия там, где оно необходимо, — прямое нарушение закона со всеми вытекающими.

Как составить согласие на обработку ПД: пошаговая инструкция

Закон составить согласие в письменной или электронной форме, но с чёткими условиями.

Письменная форма

Это классический вариант для офлайн-взаимодействия: при приёме на работу, в офисе компании, на мероприятиях. Распечатайте бланк согласия в двух экземплярах. Один остаётся у вас в архиве, второй отдаёте человеку. На согласии должна быть собственноручная подпись клиента или сотрудника.

Электронная форма

Используется на сайтах, в мобильных приложениях, при онлайн-заказах.

Должна быть возможность подтверждения факта получения согласия. Просто галочки в чекбоксе «Я согласен» — недостаточно.

Как организовать:

Чекбокс должен быть неактивным по умолчанию. Человек сам его отмечает.
Рядом с чекбоксом — ссылка на полный текст согласия.
Обязательно фиксировать факт согласия — логировать IP-адрес, время, уникальный идентификатор сессии, текст согласия. Это ваш доказательный аргумент в случае спора.

Для усиленной квалифицированной электронной подписи отдельное согласие не нужно. Сама подпись уже является выражением воли.

Важные изменения с 1 сентября 2025 года: согласие как отдельный документ

Раньше многие включали пункт о согласии на обработку ПД в текст договора, заявления о приёме на работу или анкеты. С 1 сентября 2025 года это незаконно.

Вступили в силу поправки в ст. 9 Закона 152-ФЗ. В новой редакции чётко указано: «Согласие на обработку персональных данных должно быть оформлено в виде отдельного документа».

Что это значит на практике:

Нельзя писать в договоре: «Настоящим клиент даёт согласие на обработку...»
Нельзя добавлять соответствующий раздел в заявление о приёме на работу.
Нужно создавать самостоятельный документ с заголовком «Согласие на обработку персональных данных», который подписывают отдельно.

Обязательные пункты, которые нужно включить в документ

Согласие должно содержать реквизиты, без которых оно считается недействительным (ч. 4 ст. 9 Закона 152-ФЗ).

Вот чек-лист обязательных пунктов:

ФИО, адрес субъекта ПД, номер паспорта. Для представителя — его реквизиты и документ, подтверждающий полномочия.
Цель обработки персональных данных. Будьте максимально конкретны. Нельзя писать «для маркетинга» — это слишком размыто. Пишите: «для информирования о новых коллекциях одежды и специальных предложениях посредством email-рассылки».
Перечень персональных данных, на обработку которых даётся согласие. Перечислите явно: фамилия, имя, отчество, номер мобильного телефона, адрес электронной почты, дата рождения.
Наименование или ФИО и адрес лица, который будет делать обработку. Если вы привлекаете сторонний сервис, например, сервис для отправки рассылок или CRM-систему, вы обязаны это указать. Если обрабатываете сами — пишете «не привлекаются».
Перечень действий с данными и способ обработки. Укажите: сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, удаление, уничтожение.
Срок, в течение которого действует согласие и способ его отзыва. Срок можно указать конкретной датой, событием или бессрочно.
Подпись субъекта ПД или его законного представителя.

Согласие на распространение ПД: как оформить отдельный документ

Распространение — это не просто использование, а предоставление неограниченному кругу лиц. Например, публикация ФИО и должности сотрудника на сайте компании в разделе «Наша команда», размещение отзыва клиента с его именем.

Для распространения нужно получать отдельное согласие. Его нельзя включить в общее согласие на обработку. Человек должен чётко понимать, что его данные будут обнародованы.

Должна быть формулировка о согласии именно на распространение, перечень данных и способы распространения.

Скачать образец согласия на распространение персданных можно по ссылке.

Срок действия, отзыв и хранение согласия

Срок действия вы определяете сами и указываете в документе.

Он может быть:

Привязан к цели: «До исполнения обязательств по договору».
Привязан к событию: «До отзыва субъектом персданных».
Конкретный срок: «пять лет».
Бессрочный, но с правом на отзыв.

Отзыв согласия — это право человека. Вы обязаны предусмотреть в документе простой и понятный способ отзыва. Обычно это подача письменного заявления в офисе или отправка электронного письма определённого адреса.

Получив отзыв, вы должны прекратить обработку и уничтожить данные в срок, не превышающий 30 дней (ст. 21 Закона 152-ФЗ). Исключение — если вы можете продолжить обработку на ином законном основании, например, для исполнения договора, который ещё действует.

Храните подписанные согласия или доказательства их получения в электронной форме всё время обработки данных плюс срок исковой давности три года. К ним могут возникнуть вопросы у Роскомнадзора. Организуйте безопасное хранение, исключающее утерю или несанкционированный доступ.

Ответственность за нарушения при работе с персональными данными

Контролирует работу с персданными Роскомнадзор, а штрафы по ст. 13.11 КоАП РФ серьёзные. Для компаний штрафы связаны с утечкой данных и могут достигать 15–20 миллионов рублей за утечку специальных или биометрических данных, а за вторичную утечку составлять 1–3% от годовой выручки, но не менее 20–25 и не более 500 миллионов рублей. Для должностных лиц и индивидуальных предпринимателей штрафы за утечки также достигают сотен тысяч и миллионов рублей.

Кроме штрафа, может быть:

Предписание об устранении нарушений.
Обращение прокуратуры в суд с требованием приостановить или запретить обработку.
Исковые требования от субъектов персданных о компенсации морального вреда.

Заключение

Работа с персональными данными — это не бюрократия, а обязательная процедура.

Вот краткий алгоритм действий, чтобы не получить штраф:

Определите, в каких ситуациях вы получаете ПД.
Подготовьте отдельный бланк согласия для каждой типовой ситуации, включив в него все обязательные пункты из ст. 9 Закона 152-ФЗ.
Помните, что согласие — это всегда отдельный документ.
Для публикации данных в открытом доступе готовьте отдельное согласие на распространение.
Организуйте учёт, хранение и процедуру отзыва согласий.