Согласие на обработку персональных данных - изменения с 1 сентября 2025 года — Контур.Экстерн Баннер
Экосистема продуктов для бизнеса
Электронный документооборот
Учет и отчетность
Участие в закупках
Торговля и ритейл
Автоматизация бизнеса
Управление HR‑процессами
Проверка контрагентов
Обучение
Коммуникации
Сделки с недвижимостью
Банковские услуги
Продажи и маркетинг
Информационная безопасность
Для ритейла и поставщиков
Для нового бизнеса
Крупному бизнесу
Работа с госсистемами
Импортозамещение
Маркировка товаров
Все продукты и решения
  1. Главная
  2. Журнал
  3. Бизнес
  4. Управление

Как оформить согласие на обработку персональных данных с 1 сентября 2025 года

Обновлено 21 августа 2025 30

С 1 сентября 2025 года ст. 9 Федерального закона от 27.06.2006 № 152-ФЗ дополнили новым требованием к согласию на обработку персональных данных. Его надо оформлять отдельно от других документов и информации, которые подписывает субъект персональных данных (ПД). Многие интернет-ресурсы уже поспешили сообщить, что полученные до 01.09.2025 согласия переподписывать не надо — новый закон обратной силы не имеет. Разбираем в статье, так ли это на самом деле, и что проверить в согласиях в 2025 году.

Фотография Наталья Пискарева Наталья Пискарева Эксперт по трудовому законодательству и кадровому делопроизводству

Отчитайтесь легко и без ошибок

Удобный сервис для подготовки и сдачи отчетов через интернет.

Сдать отчеты бесплатно

Когда нужно получать согласие на обработку ПД

Персональные данные (ПД) — это личная информация, которая характеризует определенного человека, и по которой его можно идентифицировать. Они относятся к охраняемой тайне.

Работать с ПД, то есть собирать их, хранить, передавать или распространять, можно только в установленных законом случаях или с согласия их владельца (ч. 1 ст. 6 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»). Чтобы не получить штраф, соблюдайте два правила:

  • запрещены любые действия с личной информацией гражданина без его согласия или законных оснований (ст. 6, 9 Федерального закона № 152-ФЗ);

  • если вы сомневаетесь, нужно ли согласие, обязательно его получите — за излишнюю предосторожность не наказывают.

Объем собираемых ПД должен соответствовать целям их обработки (ч. 2 ст. 5 Федерального закона № 152-ФЗ). Оператор не может требовать от гражданина избыточную личную информацию. Например, если вы запрашиваете у работника банковские реквизиты для перечисления зарплаты, вам не нужны сведения обо всех его открытых счетах и картах. Достаточно одного, куда вы будете отправлять ему деньги.

На каждую цель обработки ПД вам нужно по умолчанию получать согласие, если нет законных оснований его не спрашивать. Также в законе есть требование не хранить персональные данные в одной базе, если они собирались для несовместимых целей (ч. 3 ст. 5 Федерального закона № 152-ФЗ). Вы не можете использовать ПД в иных целях, кроме указанных в согласии.

Например, если вы получили адрес личной электронной почты работника для взаимодействия с ним по кадровым вопросам, вы не можете публиковать его в своем справочнике или на сайте как контакты сотрудника для неограниченного круга лиц. Такие случаи на практике есть, и работодатели даже не подозревают, что нарушают закон.

В результате для одного гражданина у вас может оформлено несколько согласий на обработку ПД для разных целей. Они могут датироваться разным числом, храниться в разных информационных базах.

Покажем на примере. Компания ищет специалиста на заполнение вакансии. На этапе подбора она берет у кандидатов согласие на обработку персданных, содержащихся в их резюме. Далее она принимает одного человека на работу. Ей надо взять у него согласие уже как у работника, например:

  • на передачу в фирму, которая по аутсорсингу ведет бухучет или кадровое делопроизводство;
  • передачу контрагентам данных сотрудника как представителя компании;
  • для оформления машиночитаемой доверенности, если работнику выдают электронную подпись;
  • размещения карточки сотрудника в корпоративной информационной базе и т.д.

Вариантов, когда взаимодействие с работником выходит за рамки правовых оснований «исполнение обязанностей оператора по закону» или «исполнение условий договора» — масса. И для них нужно отдельное согласие.

Требования к согласию на обработку ПД по ст. 9 Федерального закона от 27.06.2006 № 152-ФЗ:

  1. Должно быть конкретным, предметным, информированным, сознательным и однозначным.
  2. Согласие оформляют отдельно от других документов и иной информации, которую подписывает субъект ПД.

Разберем, что означают требования к согласию в законе.

Отдельно от другой информации — правильно оформлять согласие отдельным документом и также подписывать. Например, не прятать его в пачке с трудовым договором, заявлением о приеме на работу и листами ознакомления с локальными нормативными актами. На сайте — не включать согласие в один блок с другими документами, под которыми субъект ставит галочку «Согласен». Также нельзя вписывать согласие в договор.

Конкретность — в согласии нет скрытых смыслов и расширительных трактовок. Например, формулировок «иные», «и в других случаях, установленных законом», «для передачи в банки» и т.д. Оператор должен четко указать:

Что указать в согласии Пример

Для какой цели он собирает ПД (для чего нужны) 

Оформление зарплатной карты в банке «Мечта Мидаса», а не «для передачи в банк»

Какие данные он собирает

ФИО, паспортные данные, а не «другие данные по запросу банка»

Что он будет делать с этими персональными данными

Конкретный список действий

Сроки обработки ПД

Формулировки типа «до достижения целей обработки» плохие и неконкретные, потому что для разных целей в одном согласии они могут не совпадать

Наименование или ФИО того, кто будет обрабатывать ПД по поручению оператора

ООО «Счастливый бухгалтер», а не «фирмы по бухучету по договору»

Предметность — связь перечня обрабатываемых ПД и действий с ними с конкретной целью обработки. Например, для оформления карточки воинского учета по форме 10 достаточно выписать из документов сведения, указанные в ней. А не собирать и хранить у себя копии паспорта, свидетельства о рождении детей, свидетельства о браке и т.д. Кстати, на хранение копий нужно получать отдельное согласие, и здесь сложность будет с формулировкой цели «А зачем вообще это нужно?».

Информированность — субъект должен осознавать, какие данные и для чего он предоставляет. Это условие пересекается с конкретностью. Формулировки «иные», «в других случаях» — это введение субъекта в заблуждение. Можно считать, что оператор ни о чем человека не проинформировал.

Сознательность — согласие выдает и подписывает дееспособный гражданин. За недееспособных это делают законные представители — например, отец за маленького ребенка. Исключений очень мало: или субъект ПД умер до того, как успел дать согласие, или есть законные основания получать ПД субъекта от третьих лиц.

Однозначность — это отсутствие расширительного толкования, на что именно согласился или не согласился субъект. Отметки в виде галочек без подписи человека, подпись на последней странице 10-страничного документа, который не прошили, одна подпись на 10 целей обработки, впечатанное оператором заранее «согласен» — это неоднозначность.

Хороший принцип: «Одна цель — одно согласие». Его удобно реализовать, если оформлять согласие в табличной форме, где подпись субъекта и написанное им собственноручно «Согласен / Не согласен» будет стоять возле каждой цели.

Когда требуется документ в письменной форме

Вы можете получать согласие в любом виде, который может подтвердить, что гражданин согласен на обработку его ПД, и это согласие дал именно он или его уполномоченный представитель (ч. 1 ст. 9 Федерального закона № 152-ФЗ). То есть теоретически это может быть даже письмо по email кадровику от работника.

Но есть установленные законом случаи, когда согласие на обработку ПД вы как оператор обязательно оформляете в виде письменного документа:

  1. Вы включаете ФИО гражданина, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные в общедоступные источники. Например, в корпоративный справочник (ст. 8 № 152-ФЗ).

  2. Вы получаете специальные категории персональных данных: данные медосмотров, расовую и национальную принадлежность, принадлежность к политической партии и т. п. (п. 1 ч. 2 ст. 10 № 152-ФЗ).

  3. Вы обрабатываете биометрические ПД (ч. 1 ст. 11 № 152-ФЗ). 

Также рекомендуем оформлять письменный документ в случаях, когда в законе указано, что какое-то действие совершается только с согласия субъекта ПД. Например, это передача персональных данных третьим лицам (ч. 3 ст. 6 № 152-ФЗ). Обязательно получайте письменное согласие работника, если собираетесь отдавать сведения о нем профсоюзу или в бухгалтерию на аутсорсинге.

Отдельный случай — это распространение персональных данных, то есть раскрытие их неопределенному кругу лиц. Согласие на такое действие обязательно оформляется отдельно (ч. ст. 10.1 № 152-ФЗ). Письменная форма помогает подтвердить Роскомнадзору, что вы выполнили требования закона.

Согласие на обработку персональных данных можно оформить в виде бумажного или цифрового документа (ч. 4 ст. 9 № 152-ФЗ). В первом случае вы получаете личную подпись гражданина; во втором он использует электронную подпись, отвечающую требованиям Приказа ФСБ от 27.12.2011 № 796.

Сдавайте отчетность за сотрудников. Экстерн дарит вам 14 дней бесплатно!

Попробовать бесплатно

Что должно содержать письменное согласие на обработку ПД

Требования к набору необходимых сведений приведены в ч. 4 ст. 9 № 152-ФЗ. Согласие должно содержать:

  • ФИО и паспортные данные субъекта ПД;

  • ФИО, паспортные данные представителя субъекта ПД, если он есть; сведения о документе, подтверждающем его полномочия;

  • информацию об операторе;

  • цель обработки ПД;

  • перечень персональных данных;

  • наименование или ФИО лица, которому оператор поручает обработку ПД, если это есть;

  • перечень действий с персональными данными;

  • срок действия согласия и способы его отзыва;

  • подпись субъекта ПД.

Согласие на обработку прекращает действовать при достижении целей обработки (ч. 4 ст. 21 № 152-ФЗ). Не храните у себя избыточные ПД бывших контрагентов и работников, если вы делаете это не в архиве.

Унифицированного бланка согласия не существует. Каждый оператор использует свою форму. Не копируйте чужие бланки из интернета — они могут содержать ошибки.

Как оформить разрешение на распространение ПД

В некоторых случаях оператор раскрывает персональные данные неопределенному кругу лиц. Например, публикует на сайте отзыв клиента, содержащий ФИО, email и другую личную информацию. Или помогает заказчику получить кредит и отправляет от его имени заявку в разные банки и МФО.

Это называется распространением персональных данных, на которое нужно получать отдельное согласие субъекта ПД (ч. 1 ст. 10.1 152-ФЗ). Требования к содержанию такого разрешения определены Роскомнадзором (Приказ от 24.02.2021 № 18).

Сдавайте электронную отчетность через интернет.

14 дней бесплатно

Согласие на распространение может быть оформлено двумя способами (ч. 6 ст. 10.1 152-ФЗ):

  • передано субъектом непосредственно оператору;
  • заполнено с использованием информационной системы Роскомнадзора.

В первом случае оператор может получить шаблон документа на сайте Роскомнадзора. Для подготовки разрешения, адаптированного под конкретную деятельность, понадобится подтвержденная учетная запись на портале Госуслуг организации, ИП или физического лица.

На портале Роскомнадзора через ЕСИА формируется запрос. В результате оператор получает доступ к форме согласия на распространение ПД, которую он заполняет с учетом своей специфики. Готовый шаблон можно отправить на проверку в Роскомнадзор и получить его рекомендации.

Портал персональных данных
Форму согласия на распространение ПД можно подготовить с использованием информационного ресурса Роскомнадзора

Если оператор решит разработать свой бланк, то он должен указать в нем обязательные пункты по Приказу от 24.02.2021 № 18. По каждой категории и перечню ПД у субъекта должна быть возможность выбора одной из трех категорий:

  • разрешено;
  • запрещено;
  • разрешено с условиями — указать условия.

Молчание или бездействие гражданина ни при каких обстоятельствах не считаются согласием на обработку ПД, разрешенных для распространения (ч. 8 ст. 10.1 152-ФЗ).

Оператор обязан в течение трех рабочих дней с даты получения разрешения на распространение персональных данных опубликовать информацию об условиях обработки и о наличии запретов и условий на обработку неограниченным кругом лиц (ч. 10 ст. 10.1 152-ФЗ). Например, разместить ее на своем сайте.

Эта мера нужна для защиты права субъекта ПД на конфиденциальность. Лица, получающие доступ к его личной информации, должны соблюдать условия и запреты, перечисленные в согласии на распространение.

В какой момент надо получать согласие субъекта ПД

Оператор не может совершать никаких действий с персональными данными без законных оснований. Это значит, что согласие на обработку ПД вы получаете до начала обработки. Делайте это там, где начали собирать личную информацию или совершать другие действия с ней — передавать третьим лицам, хранить.

Например, работодатель размещает вакансию на своем сайте и просит присылать резюме соискателей. Уже в этом объявлении он должен разместить ссылку на форму согласия на сбор и хранение ПД, чтобы кандидат мог его подписать или проставить галочку в соответствующем поле. 

При трудоустройстве работника кадровик может получить от работника согласие на передачу персональных данных третьим лицам: бухгалтерии на аутсорсинге, профсоюзу, еще до подписания трудового договора или сделать это позже. Но отдавать какую-то личную информацию на сторону без добровольного решения ее владельца нельзя.

Заполнить, проверить и сдать бухгалтерскую отчетность через интернет.

Попробовать

В каких случаях согласие на обработку ПД не требуется

Работать с персональными данными можно только на законных основаниях (ст. 5 152-ФЗ). Обработка без разрешения субъекта допускается в случаях, предусмотренных международными договорами или нормативными правовыми актами (ч. 1 ст. 6, ч. 2 ст. 10, ч. 2 ст. 11 152-ФЗ). Например:

  • личная информация обрабатывается при участии физлица в судебном процессе;

  • гражданин регистрируется на портале Госуслуг;

  • сведения нужны для исполнения условий договора с субъектом ПД;

  • специальные персональные данные, например, о состоянии здоровья обрабатываются в соответствии с трудовым, социальным или пенсионным законодательством.

Гражданин имеет право отозвать выданное согласие на обработку ПД в любой момент. В этом случае действия с его личной информацией можно продолжать только при наличии указанных выше правовых оснований. Обязанность доказать законность обработки: предоставить согласие гражданина или отдельную норму права, возложена на оператора (ч. 2 ст. 9 152-ФЗ).

Работодателям стоит помнить, что обработка биометрических персональных данных работников в рамках трудовых отношений возможна только с письменного согласия сотрудника (ст. 11 152-ФЗ). Для специальных и общедоступных ПД оно не нужно. Это значит, что ФИО, сведения об образовании обрабатываются свободно. А вот видеонаблюдение за работником возможно только с его письменного разрешения.

Что проверить в согласиях на обработку ПД

Регулярно проводите аудит согласий на обработку персональных данных. Он помогает своевременно выявлять и исправлять ошибки до того, как за них оштрафует Роскомнадзор. 

Крайне полезно будет приурочить аудит к изменениям в ст. 9 Федерального закона от 27.06.2006 № 152-ФЗ с 1 сентября 2025 года (ст. 6 Федерального закона от 24.06.2025 № 156-ФЗ). Если вы выявите, что ваши согласия не соответствуют указанным в ней требованиям, о которых мы рассказали выше, то сможете объяснить работникам необходимость переподписания тем, что требования закона поменялись.

Хотя на самом деле ничего принципиально нового с 01.09.2025 в согласиях не появляется. Из логики ранее действовавших требований их и так надо было оформлять отдельно, но некоторые операторы этим не заморачивались.

Что проверяем при аудите:

Выявляем все случаи сбора и обработки ПД, особенно — передачи их третьим лицам. Оформление командировок через туроператора, бухгалтер, СОТ или кадровик по договору ГПХ, список сотрудников для оформления пропусков в арендованный офис и т.д. — на все это нужно согласие. Отдельно проверьте сайт — вдруг там размещены фото ваших работников с указанием ФИО и должности. Здесь и биометрия, и распространение ПД.

По каждому выявленному случаю смотрите правовое основание обработки из пп. 2-11 ч. 1 ст. 6 Федерального закона от 27.06.2006 № 152-ФЗ. Если их нет, надо получить согласие субъекта ПД.

В согласиях, подписанных до 01.09.2025, проверяйте соответствие требованиям закона. Если там есть неоднозначные формулировки («иные», «другие», «до достижения целей» и т.д), отсутствие подписи и воли субъекта («Согласен / Не согласен») по каждой цели, а также другие «косячки», то документы надо переподписать.

Требования о конкретности, предметности, информированности, сознательности и однозначности согласия на обработку персональных данных действовали еще до 1 сентября 2025 года.

Главное о согласии на обработку персональных данных

Личная информация о гражданине относится к охраняемой тайне. Компании и ИП не могут использовать ее без согласия владельца или других законных оснований, указанных в ч. 1 ст. 6, ч. 2 ст. 10, ч. 2 ст. 11 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных». 

При обработке ПД действует принцип: «Если вы не уверены, нужно ли получать согласие, всегда его получите». За излишнюю предосторожность вас не накажут, а вот за действия с личной информацией без согласия владельца грозит штраф по ч. 2 ст. 13.11 КоАП РФ. Он составляет:

  • от 100 000 до 300 000 рублей для должностных лиц;

  • от 300 000 до 700 000 рублей для юридических лиц.

Письменное согласие на обработку ПД — это бумажный или цифровой документ, который подтверждает добровольное решение гражданина передать оператору свою личную информацию для определенных целей. Его обязательно оформляют при передаче персональных данных в общедоступные источники или третьим лицам, а также при работе со специальными категориями персональных данных, биометрией. Требования к содержанию письменного согласия приведены в в ч. 4 ст. 9 № 152-ФЗ.

Согласие на распространение ПД оформляется отдельно. Можно разработать свой бланк по требованиям в ст. 10.1 № 152-ФЗ или воспользоваться шаблоном Роскомнадзора. Молчание или бездействие владельца ПД не является согласием на распространение (ч. 8 ст. 10.1 № 152-ФЗ).

Экстерн

С Экстерном соблюдать требования законодательства легко. Учет, отчетность, электронные документы — всё в одном месте.

Хочу попробовать
Фотография Наталья Пискарева Наталья Пискарева Эксперт по трудовому законодательству и кадровому делопроизводству
Экстерн

С Экстерном соблюдать требования законодательства легко. Учет, отчетность, электронные документы — всё в одном месте.

Хочу попробовать
#Управление #Бизнес #Проверка #Ответственность #Персональные данные
30 комментариев
Подпишитесь на рассылку и получите в подарок путеводитель по НДС на 2025 годПодпишитесь на рассылку и получите в подарок путеводитель по НДС на 2025 год
Подписаться

Другие статьи

Все статьи
<
30 комментариев
Л
Лейсян 18 июля
Добрый день! Как должно быть оформлено письмо, содержащее персональные данные?
Галина, эксперт 21 июля
Лейсян, добрый день! Унифицированного бланка согласия не существует, каждый оператор должен использовать свою форму. В статье выше мы описали основные моменты и информацию, какие данные должно включать в себя письмо.
Если нужна помощь с составлением, рекомендуем обратиться за консультацией к юристу.
АД
Александр Душный 26 марта
Здравствуйте! Подскажите, пожалуйста, по ФЗ 152 в письменных согласиях должны быть данные документа, удостоверяющего личность субъекта. А РКН в своих требованиях к согласию на распространение не пишет об этом, хотя оно 100% письменное. Это ли не противоречие с законом? Правильно я думаю, что все равно стоит паспортные данные такое согласие указывать?
А
Ангелина 24 декабря 2024
Если в магазине установлен терминал для оплаты банковскими картами (эквайринг), современные терминалы все включают возможность оплаты по биометрии. Как это расценивать, считается ли это сбором биометрических персональных данных самим магазином.
Н
Надежда 29 ноября 2024
Добрый день! нужно ли брать согласие на обработку персональных данных в связи с повышением квалификации?
Эрика, эксперт 29 ноября 2024
Надежда, добрый день! Если для организации мероприятия по повышению квалификации собираются персональные данные сотрудников, то согласие лучше получить. Так же в согласии укажите будете ли вы хранить эти данные или, например, передавать их третьим лицам — например, учебному центру, который будет проводить занятия.
Р
Рина 29 августа 2024
Добрый день. Работаю с детьми и часто оформляю посты в соц.сетях. До этого года было достаточно оформить согласие о ПД разовое в начале учебного года, а сейчас сказали что нужно на каждый пост отдельное согласие либо не выставлять фото с лицами детей. Есть ли форма согласия с длительным действием?
Галина, эксперт 29 августа 2024
Рина, добрый день! Унифицированной формы согласия нет, но вы можете разработать свой бланк и указать в нем максимальный срок. Еще можно воспользоваться шаблоном Роскомнадзора, но по сроку действия такого документа надо уточнять на сайте органа.
Н
Наталья 15 июля 2024
Здравствуйте на меня незаконно завели заранее мед карту ф25/у в больнице где я никогда не была , за месяц до этого некие люди собирали подписи под ложным доносом соседки у которой знакомые в органах , на следующий день после оформления мед карты меня незаконно отправляют в психушку , пишу в прокуратуру, Роскомнадзор о нарушении ФЗ 152 , требую удалить ПД , бесполезно, они считают, что нарушения со стороны гл врача нет т.к она действует по приказу прокуратуры , т.е все схвачено , я же с 1980 года приписана к поликлинике в соседнем городе , никогда не была в той больнице где заведена карта без моего присутствия , что делать? Я пенсионер, денег на адвоката нет.
Н
Наталья 20 июня 2024
Добрый день! Согласие на обработку для пользователей в библиотеке оформляется обязательно на отдельном бланке ?
Артём, эксперт 21 июня 2024
Наталья, здравствуйте.

Если идёт речь про распространение персональных данных, тогда да, как описано в статье, оно оформляется отдельно.
Н
Наталья 29 июня 2024
Артём, а если про обработку и хранение. Если пер. данные в договоре на библиотечное обслуживание, а не на отдельном листке? Это нарушение?
Арина, эксперт 1 июля 2024
Наталья, если в договоре присутствуют обязательные данные, то считаю, что отдельно согласие можно не оформлять. Но если каких-то данных не хватает, то рекомендую получить согласие, чтобы не получить штраф.

О случаях, когда обязательно получить согласие в виде отдельного документа мы также рассказали выше, в статье.
Е
Елена 21 мая 2024
Добрый день. Подскажите, нужно ли брать с работников солгасие на передачу персональных данных в страховую компанию, чтобы застраховать работников. Подойдет ли форма согласия на обработку персональных данных, разрешенных субъектом персональных данных для распостранения? И нужно ли предупреждать страховую компанию о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены и потребовать от данной компании подтверждение того, что это правило соблюдено?
А
Анастасия 13 мая 2024
Добрый день! Какое согласие работника на передачу обработки персональных данных необходимо получить, если кадровый учет ведет аутсорсинговая компания.? Буду благодарна за образец такого согласия. Или это должно быть согласие на распространение перс данных?
НП
Наталья Пискарева 21 мая 2024
Анастасия, здравствуйте! Вам нужно получить согласие от работников на передачу их данных аутсорсинговой компании и обработку их данных аутсорсинговой компанией. Форму вы разрабатываете сами. Необходимый состав сведений указан в ч. 4 ст. 9 152-ФЗ «О персональных данных». Это обычное согласие, а не согласие о распространении. О нем мы рассказывали в статье.
Обязательно укажите наименование, адрес оператора, осуществляющего обработку персональных данных. Основание: письмо Роскомнадзора №08-20152 от 21.03.2022.
Т
Татьяна 7 марта 2024
Спасибо за полезную информацию, всё понятно и доступно написано.