Получаем согласие на обработку данных верно: что важно учесть с 1 сентября 2025 года

С 1 сентября 2025 года вступил в силу новый порядок оформления согласий на обработку персональных данных, существенно меняющий подход к этому процессу для организаций и индивидуальных предпринимателей, осуществляющих сбор и использование личной информации граждан.

Изменения законодательства

Федеральный закон №156-ФЗ от 24 июня 2025 года внес поправки в первую часть статьи 9 Федерального закона «О персональных данных», установив правила получения согласия на обработку данных физическими лицами.

По новым правилам юридические лица или индивидуальные предприниматели обязаны соблюдать следующие ключевые положения:

Правила оформления согласия

1. Отдельный документ. Теперь согласие на обработку персональных данных необходимо составлять в виде отдельного самостоятельного документа, вне зависимости от других контрактов или соглашений. Ранее допустимо было включение согласия в основной договор, однако новая редакция закона запрещает такую практику. Обязательной формы не предусмотрено, но в документе должны быть учтены сведения, указанные в ч.4 ст.9 Федерального закона от 27.07.2006 №152-ФЗ .

2. Форма согласия. Документ должен быть представлен в простой письменной или электронной форме, подписан гражданином лично или посредством аналога собственной подписи (например, цифровой подписи).
3. Содержание согласия. Формы согласия, разработанные компаниями, должны содержать следующую обязательную информацию:
• Фамилия, имя, отчество физического лица и данные основного документа, удостоверяющего личность, сведения о дате выдачи и органе, выдавшем его;
• Фамилия, имя, отчество представителя физического лица и данные основного документа, удостоверяющего личность, сведения о дате выдачи и органе, выдавшем его, реквизиты доверенности или иного документа, подтверждающего полномочия представителя;
• название компании или индивидуального предпринимателя, получающего согласие;
• цель сбора и обработки данных;
• перечень персональных данных, на которые даётся согласие;
• срок действия согласия и порядок его отзыва;
• подпись физического лица.

4. Передача данных третьим лицам. Если оператор намерен передать полученные персональные данные другим субъектам, дополнительно требуется специальное разрешение на такую передачу. Этот документ составляется отдельно и включает четкое обозначение третьих лиц и возможных операций с предоставленными данными.

Штрафы за нарушение правил

За игнорирование установленных законом процедур предусмотрены меры ответственности.

Обработка персональных данных станет квалифицироваться как несогласованная, а компании-нарушители понесут административную ответственность по ч.2 ст.13.11 КоАП РФ (обработка персональных данных без согласия в письменной форме).

Данная норма предусматривает наложение штрафов в размере:
от 10 000 до 15 000 рублей – для самозанятых;
от 100 000 до 300 000 рублей – для индивидуальных предпринимателей;
от 100 000 до 300 000 рублей – для должностных лиц организаций;
от 300 000 до 700 000 рублей – для организаций.

Повторное нарушение увеличит штрафы до следующих размеров (ч.2.1 ст.13.11 КоАП РФ .):

от 15 000 до 30 000 рублей – для самозанятых;
от 500 000 до 1 млн рублей – для индивидуальных предпринимателей;
от 300 000 до 500 000 рублей – для должностных лиц организаций;
от 1 млн до 1,5 млн рублей – для организаций. 

Новые нормы обеспечивают дополнительную защиту граждан и упорядочивание процедуры сбора и обработки персональных данных, повышая уровень юридической ясности и справедливости.

Источник: https://garant-cps.ru/