Согласие на обработку персональных данных: новые требования с 01 сентября 2025 года
Согласие на обработку персональных данных теперь обязательно оформлять отдельно от другой информации, других документов, которые подтверждает или подписывает физлицо.
Ранее допускалось оформлять согласия на обработку и на распространение персональных данных в одном бланке и физическое лицо подтверждало обе цели одной подписью. Теперь Закон прямо запрещает смешивать разные согласия: согласие на распространение персональных данных оформляется отдельно и только после того, как лицо подписало согласие на обработку.
Новые требования касаются согласий, оформляемых с 1 сентября 2025 года включительно. Отдельный документ потребуется при приеме нового сотрудника, при сборе и использовании данных клиентов или покупателей (ст. 6 Закона N 152-ФЗ).
На практике согласие включают в пользовательские соглашения на информационных ресурсах. Такие соглашения часто считают заключенными, если гражданин просматривает размещенную информацию или ставит галочку в специальной графе. Поскольку гражданин принял условия соглашения, он автоматически предоставил оператору доступ к своим персональным данным. Изменения позволят уменьшить риск противоправного использования персональных данных граждан.
Что такое согласие на обработку персональных данных
Персональные данные - информация личного характера, которая прямо или косвенно позволяет идентифицировать конкретное лицо. Условно их можно разделить на три категории:
Общие - базовые сведения: Ф.И.О., дата рождения, место жительства и работы, номер телефона, СНИЛС, ИНН и т.д.
Специальные - информация о личности субъекта: расовая принадлежность, состояние здоровье, политические взгляды и пр.
Биометрические - физиологические или биологические приметы: отпечаток пальца, снимок радужки глаза, запись голоса.
В соответствии с Законом N 152-ФЗ согласие субъекта на обработку персональных данных обязаны получить все операторы персональных данных (п. 1 ч. 1 ст. 6 Закона от 27 июля 2006 г. N 152-ФЗ). То есть лица, которые собирают, хранят или каким-либо образом используют сведения личного характера. К ним, например, относятся все работодатели, которые имеют дело с информацией о своих сотрудниках.
Согласие на обработку персональных данных - документ, в котором субъект подтверждает свое разрешение на сбор, хранение и обработку личной информации. Если оператор планирует не только обрабатывать, но и распространять личную информацию, предоставляя ее третьим лицам, на это необходимо получить отдельное разрешение субъекта.
Запрещено объединять в одном документе несколько видов разрешений для разных целей обработки личных сведений. Ключевое правило при работе с персональными данными: одна цель - одно согласие (п. 4 ч. 4 ст. 9 Закона N 152-ФЗ).
В соответствии с положениями Закона N 152-ФЗ согласие субъекта на обработку персональных данных должно быть сознательным, предметным, конкретным, однозначным, информированным.
При этом объем собираемых сведений должен соответствовать целям их обработки (ч. 2 ст. 5 Закона N 152-ФЗ). Оператор не вправе требовать от субъекта предоставить излишние данные. Например, работодатель может запросить у сотрудника реквизиты счета для перечисления заработной платы. Но информацию обо всех открытых счетах требовать запрещено.
Как оформлять согласие на обработку персональных данных по новым правилам
Формы согласия обязательной нет - операторы сами разрабатывают бланк. Важно включить в документ все обязательные реквизиты, указанные в ч. 4 ст. 9 Закона N 152-ФЗ и в Приказе Роскомнадзора от 24.02.2021 N 18. В согласие следует внести:
- Ф.И.О. субъекта и его паспортные данные;
- наименование организации или Ф.И.О. ИП, получающего согласие;
- цель обработки персональных данных;
- перечень обрабатываемых данных и перечень действий с ними;
- способы обработки данных;
- срок действия согласия;
- подпись субъекта персональных данных.
Особый порядок и контроль
Законодатель уделил внимание защите прав граждан при таком обмене данными. Введен механизм уведомления граждан о планируемой передаче их сведений, даже в обезличенном виде, с правом возражения.
То есть человеку должны сообщить, что сведения о нем (пусть и обезличенные) могут быть переданы, и он вправе запретить это - тогда передачу отменят. Такой подход позволяет сбалансировать интересы государства в анализе больших данных и право человека контролировать информацию о себе.
Кроме того, доступ к обезличенным данным в ГИС получат только доверенные лица и организации: ни иностранные компании, ни организации с неопределенным статусом собственности, ни люди с судимостями за киберпреступления допущены не будут. Это сделано для снижения рисков утечек и злоупотреблений при дальнейшем использовании обезличенных данных.
Как подготовиться
Новые правила обезличивания данных требуют от организаций заблаговременной подготовки.
Вот список шагов, которые помогут:
- Разработать или обновить внутренние политики и инструкции
Если у компании еще нет отдельного локального акта, регламентирующего порядок обезличивания персональных данных, его необходимо утвердить. В документе следует прописать: какие данные подлежат обезличиванию, в каких случаях; какими методами вы их обезличиваете; как оцениваете достаточность обезличивания; как храните обезличенные данные и т.д. Также вносятся изменения в Политику обработки ПД, добавляя положения об анонимизации.
- Определить и внедрить подходящие методы обезличивания
Проанализируйте, какие из официально утвержденных методов лучше подходят под ваши наборы данных.
- Закрепить методы во внутренних актах
Если вы выбрали конкретные методы, закон требует формализовать их. Например, при методе изменения состава/семантики данных утвердите отдельный порядок, описывающий, какие атрибуты удаляются или искажаются и как именно. При методе перемешивания - утвердите алгоритм перестановки записей (на сколько позиций сдвигаются значения и т.п.). При декомпозиции - определите правила разбиения и места раздельного хранения частей данных. Все эти документы должны быть внутренними, храниться отдельно и недоступны посторонним. Назначьте ответственных за их ведение и актуализацию.
- Настроить раздельное хранение данных
Проверьте архитектуру ваших информационных систем: оригинальные персональные данные и обезличенные должны храниться раздельно. Возможно, потребуются изменения, например выделить отдельный сегмент или базу для обезличенных наборов, ограничить к ним доступ. Таблицы соответствия ID и реальных данных держите в защищенном хранилище с ограниченным кругом доступа. В идеале сразу после обезличивания - выгружать данные в отдельное место, а исходные - удалять (если они больше не нужны для текущих процессов).
- Назначить ответственных за работу с ГИС обезличенных данных
Если ваша организация подпадает под вероятные требования, целесообразно определить сотрудника или подразделение, которое будет отвечать за взаимодействие с государственной платформой ЕИП НСУД. Этот ответственный должен понимать порядок выполнения требований: как принять запрос Минцифры, в какие сроки подготовить данные, как их загрузить в систему.
- Обучить персонал и обновить договоры
Проведите обучение для сотрудников, работающих с данными: объясните новые правила обезличивания, подчеркните запрет хранить вместе ПД и анонимизированные данные, запрет делиться техникой обезличивания и т.д. Внутренние инструкции по безопасности данных должны быть дополнены пунктами об обращении с обезличенной информацией. Если вы привлекаете внешних подрядчиков для анализа данных или обезличивания, убедитесь, что в договоре с ними есть обязательство соблюдать все требования закона (например, не получать доступ к исходным данным без необходимости).
Что будет за нарушение правил обработки персональных данных
Если компания или ИП не соблюдут требования по получению согласия на обработку персональных данных, такое согласие признают неполученным. Это означает, что обработка будет считаться несогласованной и влечет ответственность по ч. 2 ст. 13.11 КоАП - штрафы для организации и для должностного лица (включая бухгалтера, если он отвечает за обработку). Размеры санкций зависят от нарушения и указаны в КоАП.
С 30 мая 2025 года введены дополнительные санкции за несообщение о начале обработки персональных данных и за непредставление сведений о факте утечки (Федеральные законы от 30.11.2024 N 420-ФЗ и N 421-ФЗ). Для организации - штраф до 300 000 руб. за непредставление уведомления о начале обработки персональных данных. Для руководителя - штраф до 50 000 руб.
Подводя итог, можно сказать, что с 1 сентября 2025 года для всех организаций, работающих с персональными данными, наступила новая эпоха в сфере аналитики. С одной стороны, законодатель четко разрешил использовать данные без согласия в обезличенном виде, что открывает массу возможностей. Компаниям будет проще запускать проекты анализа больших данных, машинного обучения, обмена данными с партнерами - если они умеют их обезличивать, бояться нечего. Государство тоже сможет собирать и обрабатывать большие сводные массивы, улучшая управление и сервисы, не вторгаясь в приватность граждан. То есть обезличенные данные становятся ценным ресурсом, законно вовлекаемым в оборот.
С другой стороны, повышается нагрузка на соблюдение требований. Обезличивание теперь не факультативная мера, а зачастую прямая обязанность, со своей бюрократией и контролем. Организациям придется внедрить дополнительные процедуры, обучить персонал, возможно, приобрести или разработать ПО для анонимизации данных. Для некоторых это непросто: у малого бизнеса может не быть экспертизы в таких технологиях. Однако игнорировать новые требования нельзя - штрафы и риски слишком велики. Таким образом, организациям придется включить обезличивание в свой стандартный цикл работы с данными, наравне с защитой, резервным копированием и т.п.
