Консультация
Консультация
Посмотр рубрик
Оглавление

Согласие на обработку персональных данных: мифы, требования и ответственность #

Автор: юрист-практик  |  Дата обновления: март 2026 г.

Коротко о главном: Согласие на обработку персональных данных — одна из самых «горячих» тем российского законодательства. Ошибки операторов стоят им сотен тысяч рублей штрафов. Разбираемся, когда согласие обязательно, когда избыточно и как оформить его правильно.

1. Правовая база: 152-ФЗ и Трудовой кодекс #

Основной нормативный акт в сфере защиты персональных данных — Федеральный закон № 152-ФЗ «О персональных данных». Он устанавливает общее правило: обработка персональных данных (далее — ПДн) производится преимущественно на основании согласия субъекта.

Помимо этого, для работодателей принципиально важна Глава 14 Трудового кодекса РФ, регулирующая обработку ПДн работников. Она содержит дополнительные требования, которые действуют параллельно с 152-ФЗ и обязательны к соблюдению.

«Обработка персональных данных субъекта производится преимущественно на основании его согласия» — однако исключений из этого правила столь много, что на практике картина выглядит иначе.

2. Когда согласие НЕ требуется: ключевые исключения #

Статья 6 закона 152-ФЗ после пункта о согласии перечисляет ещё 10 оснований, при которых оператор вправе обрабатывать ПДн без согласия субъекта. Операторы нередко требуют согласие там, где оно избыточно, и не берут его там, где оно необходимо.

2.1. Исполнение обязательств, возложенных законом #

Если обработка ПДн необходима для выполнения обязанностей оператора, установленных федеральным законодательством, согласие не нужно. Пример: бухгалтерия передаёт данные о доходах сотрудников в налоговые органы через формы 6-НДФЛ и РСВ — это прямое требование закона, и дополнительное согласие работников не требуется.

2.2. Субъект является стороной договора #

Когда физическое лицо выступает стороной, выгодоприобретателем или поручителем по договору, его ПДн можно обрабатывать в целях исполнения этого договора без отдельного согласия.

Ситуация Роль физлица Нужно согласие?
Программа ДМС для сотрудника Выгодоприобретатель Нет
Оформление машиночитаемой доверенности на представителя Представитель Да (письменное)
Передача данных аудиторам (руководство, бенефициары) Должностное лицо Как правило, нет
Передача данных аудиторам (зарплаты сотрудников) Субъект ПДн Да (письменное)
Раскрытие данных бенефициарного владельца в бухотчётности Бенефициар Нет (минимальный объём)

2.3. Специальные категории ПДн (ст. 10 152-ФЗ) #

Данные о состоянии здоровья — особая категория. Работодатель получает их в рамках обязательных медосмотров (ТК РФ), воинского учёта (53-ФЗ) или при оформлении налогового вычета за сдачу норм ГТО. В последнем случае законодательство прямо не указывает исключение, поэтому во избежание споров рекомендуется оформить согласие.

Правило минимума: Даже если согласие не требуется, оператор обязан обрабатывать только тот объём ПДн, который необходим для достижения конкретной цели. Избыточные данные — нарушение закона, даже при наличии согласия субъекта.

3. Три вида согласия по 152-ФЗ #

Закон разграничивает три типа согласий, каждый из которых имеет собственные требования к форме и содержанию:

  1. Общее согласие — конкретное, информированное, однозначное; может быть оформлено в письменной или электронной форме (в том числе путём проставления галочки).
  2. Согласие на обработку ПДн, разрешённых к распространению — оформляется обязательно отдельным документом; требования к форме закреплены в Приказе Роскомнадзора № 18.
  3. Письменное согласие — требуется в случаях, прямо предусмотренных федеральными законами; содержит обязательные реквизиты по ст. 9 152-ФЗ и должно быть подписано собственноручно либо усиленной ЭП.

Когда требуется именно письменное согласие? #

  • Включение ПДн в общедоступные источники (справочники, сайты и т. д.)
  • Обработка специальных категорий ПДн (здоровье, биометрия и др.)
  • Передача ПДн третьим лицам (аудиторам, контрагентам, страховщикам)
  • Получение данных о работнике от третьих лиц, если напрямую получить невозможно (ст. 88 ТК РФ)

4. Важное изменение с 1 сентября 2025 года #

С 1 сентября 2025 года вступило в силу требование об обязательном оформлении согласия на обработку ПДн в виде отдельного документа. Более нельзя «растворять» согласие в тексте трудового договора, должностной инструкции или иного локального акта.

Внимание! Если по состоянию на 1 сентября 2025 года согласие не было оформлено отдельным документом и не было повторно получено от субъекта, оператор фактически ведёт обработку ПДн без согласия в части действий, осуществлённых после этой даты.

5. Требования к содержанию согласия #

  • Конкретность — указаны конкретные виды ПДн и цели их обработки
  • Информированность — субъект понимает, что именно и для чего обрабатывается
  • Однозначность — воля субъекта выражена ясно, без двусмысленностей
  • Отдельность документа — с 01.09.2025 согласие не может быть частью иного документа
  • Идентифицируемость — для письменного согласия обязательна подпись (собственноручная или ЭП)

Минимальный перечень обязательных реквизитов письменного согласия установлен статьёй 9 Федерального закона № 152-ФЗ.

6. Практические риски: чего нельзя делать #

  • Пересылка копий паспортов сотрудников в мессенджерах — распространение биометрических ПДн без письменного согласия (штраф до 20 млн руб.)
  • Публикация фотографий детей в школьном чате без согласия родителей
  • Раскрытие в домовом чате информации, позволяющей идентифицировать конкретного жильца
  • Передача аудиторам сведений о зарплате сотрудников без письменного согласия каждого работника

7. Ответственность: штрафы по КоАП РФ #

Норма КоАП Нарушение Должностные лица / ИП Юридические лица
Ч. 2 ст. 13.11 Обработка ПДн без письменного согласия или согласие не содержит обязательных реквизитов до 300 000 руб. до 700 000 руб.
Ч. 1 ст. 13.11 Обработка ПДн без согласия (когда письменное не требуется) 50 000 – 100 000 руб. 150 000 – 300 000 руб.

Срок давности — 1 год. При длящихся нарушениях отсчитывается с момента их обнаружения Роскомнадзором.

8. Практические рекомендации #

  1. Проведите аудит форм согласий: выделены ли они в отдельные документы (требование с 01.09.2025)?
  2. Разграничьте ситуации, где согласие не требуется (ст. 6, 10 152-ФЗ), от тех, где оно обязательно.
  3. Для передачи ПДн третьим лицам получайте письменные согласия с указанием конкретного получателя.
  4. В любой спорной ситуации — оформляйте согласие: это дешевле штрафов.
  5. Следите за разъяснениями Роскомнадзора по обработке ПДн работников и соискателей.
  6. Запретите сотрудникам пересылать документы с ПДн через мессенджеры без согласия субъекта.
Итог: Согласие — важный, но не единственный инструмент правомерной обработки ПДн. Оно должно быть конкретным, оформленным отдельным документом и соответствовать требованиям ст. 9 152-ФЗ. Нарушения выявляются Роскомнадзором системно и влекут существенные штрафы.

Материал носит информационный характер и не является юридической консультацией по конкретному делу. Для решения индивидуальных вопросов обратитесь к специалисту.

Оцените документ