Как оформлять согласие на обра­ботку персональных данных с 1 сентября 2025 года?

С 1 сентября 2025 нужно собирать согласия на обработку персональных данных, ПД, отдельно от остальных документов. Включать согласие в состав других документов, например анкет, нельзя. Также нужно собирать отдельные согласия на передачу данных третьим лицам, например курьерским службам. Если этого не сделать, могут оштрафовать  :

• ИП и руководителей компаний — на 100 000—300 000 ₽;
• малые предприятия — на 150 000—350 000 ₽;
• остальные компании — на 300 000—700 000 ₽.

При повторном нарушении размеры штрафов возрастают: для ИП — до 1 000 000 ₽, а для компаний — до 1 500 000 ₽.

Штраф 15 000 000 ₽ могут назначить ИП или компании, которые допустили утечку ПД более 100 000 субъектов  .

Вы можете собирать согласия на обработку ПД только через сайт, не оформляя бумажные документы. Но сначала утвердите политику обработки. А если есть сотрудники — положение о персональных данных работников. Также подайте уведомление в Роскомнадзор о том, что вы оператор ПД.

Когда вас внесут в реестр, можете начинать сборку и обработку данных клиентов.

Это разрешение человека на то, чтобы бизнес мог что-то сделать, используя его персональные данные, — например, прислать рекламную рассылку, для которой нужны имя и электронная почта, или разместить на сайте отзыв с именем и фото клиента. Без согласия с чужими данными ничего делать нельзя.

Человек дает согласие добровольно, документ должен быть однозначным и отдельным. Его нельзя делать частью договора и смешивать с другими согласиями — например, предлагать одной подписью одобрить передачу данных и получение маркетинговой рассылки.

В согласии как минимум должны быть указаны список данных и цель их сбора. Остальное зависит от вида и формы документа.

Согласия бывают трех видов в зависимости от того, что предполагается делать с ПД:

1. Обрабатывать.
2. Распространять.
3. Передавать.

Форма может быть письменной или любой другой.

Согласие на обработку нужно для рекламных рассылок и маркетинговых активностей. В нем указывают цель обработки и перечень собираемых данных. При этом цель должна быть не просто «рекламные рассылки», а более конкретная — например, информирование о новых продуктах или акциях со скидками.

Согласие на распространение нужно, когда компания или ИП хочет сделать данные человека доступными неограниченному кругу лиц — к примеру, разместить на сайте, опубликовать в рекламном буклете или использовать в презентации на выставке.

В таком согласии надо указать, какие данные, с какой целью и где будет размещать бизнес — например, на конкретном сайте, в соцсетях или печатных материалах.

Согласие на передачу нужно, когда компания или ИП планирует передать данные человека третьему лицу для определенных целей. Например, такое согласие понадобится группе компаний или аффилированным организациям и ИП, между которыми идет обмен данными. Это частая ситуация, когда одно ООО собирает данные у клиентов, а другое отгружает им товары.

В согласии кроме цели сбора и перечня данных надо указать, кто получит к ним доступ.

Документы могут быть в письменной или любой другой форме — закон не конкретизирует, в какой именно. Письменная подойдет, когда закон прямо на это указывает. Например, для обработки персональных данных детей всегда нужно письменное согласие от их родителей. К нему приравнивают электронные документы с электронной подписью  .

Другие формы — это, например, варианты согласий на сайте, когда надо проставить галочку или сместить бегунок, чтобы подтвердить факт согласия.

Строгой формы согласия на обработку ПД нет, но в нем должны быть  :

• реквизиты оператора — компании или ИП, которые собирают данные;
• информация о субъекте персональных данных или его представителе;
• цель обработки данных и срок их хранения;
• подписи сторон.

Нужно указать одну цель, а не перечень, и перечислить данные, которые будете собирать для этой цели, а также действия, которые планируете с ними совершать.

Если хотите в одном документе указать несколько целей, оформите их блоками, в каждом из которых будут указаны цель, данные, действия и сроки.

Согласия на передачу или распространение ПД должны быть оформлены отдельными документами. В согласии на передачу также указывают конкретное лицо, которому будут передавать данные, а на распространение — место размещения таких данных.

Не собирайте больше данных, чем нужно. Есть такое правонарушение, как «избыточность данных», за которое можно получить штраф до 300 000 ₽. Например, для оформления доставки обычно достаточно телефона и адреса, спрашивать у клиента паспортные данные не нужно  .

Сроки хранения данных каждая компания или ИП устанавливают сами. Исключение — документы, касающиеся трудовых отношений: для них сроки прописаны в законе. Если, например, клиент перестал пользоваться услугами, хранить его имя и электронную почту десятки лет не стоит. Чаще всего в таких случаях данные хранят три года — это срок исковой давности  .

Вы пишете, что клиенты приходят к вам с сайта. Значит, письменные формы согласий не подходят — вам нужны короткие версии для решения точечных вопросов.

К примеру, у вас есть форма «Оставьте свой номер — мы вам перезвоним», а в ней — поля, которые должен заполнить посетитель: «Имя» и «Номер телефона». Под такой формой должны быть:

• пустой квадратик, чтобы поставить галочку;
• фраза «Даю согласие на обработку моих данных — имя, номер телефона — с целью обратного звонка».

Пользователь ставит галочку, и только после этого кнопка «Отправить» должна стать активной. Проставку галочки приравнивают к подписи — это юридически значимый факт. При этом надо сохранять логи  ​действий пользователя на сайте — это будет доказательством, что вы обрабатываете его данные законно.

Обратите внимание, что цель — только перезвонить. Владелец сайта не вправе использовать полученные данные для других целей — например, чтобы рассылать смс с рекламой. На это нужно отдельное согласие с пустым квадратиком и фразой «Даю согласие на обработку моих данных — имя, номер телефона — для направления мне смс-сообщений с информацией о продуктах и услугах оператора».

Первая галочка должна быть обязательной, а вторая — нет. Если сделать и вторую обязательной, это будет нарушением.

Согласие не нужно, когда закон предписывает взять у человека данные и передать их. Например, в статье 65 трудового кодекса сказано, какие документы и данные надо взять у сотрудника при устройстве на работу  .

Еще один пример — договор. Если посетители сайта принимают оферту, в которой прописано взаимодействие с клиентами, бизнесу уже не нужно согласие на обработку данных: он использует их, чтобы исполнить договор  .

Важно: речь о данных, которые нужны для исполнения договора. Если компания или ИП хочет отправлять на электронную почту рекламу, согласие понадобится, потому что цель обработки будет уже другая.

Согласие на обработку ПД — это разрешение человека на то, чтобы бизнес мог что-то сделать, используя его данные.

В зависимости от основной цели согласие бывает трех видов: на обработку, передачу или распространение. Соответственно, если вы планируете выполнять с данными все три действия, вам потребуется три согласия. Они могут быть в письменной или иной форме.

В согласии должна быть конкретная цель. Нельзя собирать больше данных, чем нужно. Но без согласия можно обойтись, если закон это допускает или данные нужны, чтобы исполнить заключенный с клиентом договор.