Эволюция цифровой экономики и повсеместная цифровизация общественных отношений превратили персональные данные в ключевой актив и одновременно в объект повышенного правового регулирования.
В системе российского права основополагающим актом, устанавливающим баланс между необходимостью их обработки для развития бизнеса, государства и безусловным правом гражданина на неприкосновенность частной жизни, выступает Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — Закон, 152-ФЗ).
Сердцевиной этой системы является согласие субъекта персональных данных — центральное и наиболее сложное правовое основание для легитимной обработки. Его получение стало рутинной процедурой для миллионов операторов: от глобальных IT-гигантов до местных небольших компаний.
Зачастую согласие воспринимается как формальная «галочка», технический эпизод в пользовательском соглашении, а его глубинная юридическая природа и строгие требования закона остаются без должного внимания. Изменения в законодательстве, вступившие в силу с 1 сентября 2025 года, ужесточают требования к оформлению согласия, запрещая его включение в состав иных документов, что требует немедленного пересмотра устоявшихся бизнес-процессов.
Ольга Новикова, консультант по защите персональных данных компании Б-152
Актуальность глубокого научного и практического осмысления института согласия обусловлена тремя ключевыми факторами:
1. Ужесточение контроля со стороны регулятора и законодательства
Роскомнадзор (РКН) последовательно наращивает интенсивность проверок, поправки в 152-ФЗ вносят существенные коррективы в привычные процедуры. Риски для бизнеса материализуются в виде административных штрафов по ст. 13.11 КоАП РФ.
2. Усложнение обработки данных
Появление новых технологий (алгоритмическая обработка, биометрия) порождает качественно новые виды обработки ПДн. Законодатель прямо связывает легитимность использования таких технологий с получением специального квалифицированного письменного согласия, требования к которому существенно строже.
3. Рост правосознания граждан
Субъекты ПДн становятся все более осведомленными о своих правах. Некачественно полученное или оформленное согласие становится легкой мишенью для жалоб в РКН и исков в суды.
Цель статьи — провести анализ института согласия на обработку персональных данных.
В фокусе статьи — критический разбор юридической природы согласия, а также сравнительный анализ стандартного и квалифицированного согласия с учетом последних инициатив регулятора.
На основе актуальных разъяснений Роскомнадзора, в том числе данных в ходе Дня открытых дверей 27 августа 2025 года, статья дает практические ответы на ключевые вопросы операторов: о новом порядке оформления согласия, правомерности использования «чек-боксов», передаче данных обработчику, обработке биометрии и специфике трудовых отношений.
Настоящая статья призвана сформулировать практические рекомендации для операторов по минимизации правовых рисков и выстраиванию законодательно совместимой модели работы с персональными данными в свете изменений с 1 сентября 2025 года.
1. Юридическая природа согласия
Прежде чем обращаться к процедурным аспектам получения согласия, необходимо четко определить его правовую сущность. Устоявшееся в предпринимательской практике представление о согласии как о разновидности гражданско-правовой сделки является в корне ошибочным и порождает значительные правовые риски. Согласие на обработку персональных данных — это самостоятельный, публично-правовой по своей природе, юридический факт, возникновение которого строго регламентировано специальными нормами Закона 152-ФЗ.
1.1. Критика цивилистического подхода
Попытки подвести согласие под конструкцию гражданско-правовой сделки выглядят внешне убедительными: имеет место выражение воли субъекта, направленное на установление правовых последствий (легитимацию обработки его данных оператором). Однако подобная квалификация не выдерживает критики при системном анализе.
Во-первых, содержание и последствия согласия целиком и полностью определены императивными нормами Закона 152-ФЗ. Стороны не свободны в определении его условий: цели обработки, перечень данных, срок действия и порядок отзыва предписаны законом. Это противоречит основополагающему для гражданского права принципу диспозитивности.
Во-вторых, правовой режим недействительности сделок, установленный главой 9 ГК РФ, неприменим к согласию. Если согласие не соответствует требованиям ст. 9 Закона (например, не является конкретным или информированным), оно не может быть оспорено в судебном порядке по правилам о недействительности сделок.
Последствие здесь иное: такое волеизъявление изначально не обладает юридической силой и, следовательно, обработка считается незаконной с момента ее начала. Это ключевое различие, подчеркивающее публично-правовой характер института.
1.2. Согласие как императивно-властное предписание
Законодатель создал замкнутую систему регулирования, где согласие существует не в правовом вакууме, а как элемент сложного публично-правового механизма защиты фундаментального права на неприкосновенность частной жизни.
Цитируя ч. 1 ст. 9 Закона: «субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе».
Эта формулировка, хоть и отсылает к автономии воли, при этом ограничивает ее императивными требованиями: согласие должно быть конкретным, информированным, сознательным и однозначным. Эти квалифицирующие признаки не оставляют места для свободы усмотрения оператора в определении формы и содержания волеизъявления субъекта.
Таким образом, согласие правильнее понимать не как договоренность между равноправными сторонами, а как легализацию со стороны субъекта строго определенных законом действий оператора. Оператор, получая согласие, не заключает сделку, а выполняет предписанную ему законом обязанность по легитимации своих действий в случаях, когда иное основание (исполнение договора, законный интерес и др.) отсутствует или неприменимо.
Отказ от попыток квалифицировать согласие по нормам гражданского права является первым и необходимым шагом для его правового понимания. Согласие — это публично-правовой юридический факт, порождающий право оператора на обработку данных лишь при условии его соответствия всем императивным требованиям Закона 152-ФЗ. Такой подход позволяет адекватно оценивать риски и выстраивать юридически корректные процедуры его получения.
2. Требования к содержанию и форме согласия
Законодатель устанавливает гибкий, но строго императивный режим регулирования в отношении того, как должно быть получено и оформлено согласие субъекта. Ключевые принципы, закрепленные в ч. 1 ст. 9 152-ФЗ, и заключаются в том, что субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе.
Согласие на обработку персональных данных должно быть конкретным, предметным, информированным, сознательным и однозначным.Согласие может быть дано субъектом персональных данных в любой форме, позволяющей подтвердить факт его получения. Данная норма формирует так называемое «общее согласие», которое является достаточным для большинства стандартных операций обработки.
2.1. Общее согласие
Формулировка «любая форма, позволяющая подтвердить факт его получения» предоставляет оператору значительную свободу выбора, одновременно возлагая на него бремя доказывания самого факта наличия надлежащим образом оформленного волеизъявления субъекта.
На практике данная норма реализуется через следующие наиболее распространенные формы:
- Конклюдентные действия (проставление «галочки»). Является отраслевым стандартом для онлайн-взаимодействия. Проставление отметки (чек-бокса) в электронной форме на сайте или в мобильном приложении признается действием, выражающим волю субъекта, при условии, что он был предварительно информирован о всех условиях обработки.
Роскомнадзор в своих разъяснениях прямо указывает на допустимость такого способа. Критически важным элементом является неразрывная связь между действием (кликом) и информацией: текст, содержащий все условия обработки, должен быть представлен субъекту в доступной форме до момента дачи согласия.
- Письменная форма на бумажном носителе. Традиционная форма, предполагающая собственноручную подпись субъекта на документе, содержащем все обязательные реквизиты.
- Электронный документ. Согласие, оформленное в виде электронного документа, подписанного простой или неквалифицированной электронной подписью, также подпадает под категорию «общей формы», так как позволяет достоверно подтвердить факт его получения.
2.2. Квалифицированное письменное согласие
Из общего правила о свободе формы существует ряд законодательно установленных изъятий. В прямо предусмотренных Законом случаях требуется получение согласия в письменной форме (ч. 4 ст. 9 152-ФЗ), которое представляет собой качественно иной, более строгий стандарт.
Случаи, требующие квалифицированной письменной формы:
- Обработка специальных категорий данных (данные о расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни), за исключением случаев, указанных в ч. 2 ст. 10 152-ФЗ.
- Обработка биометрических данных (используемых для установления личности субъекта), за исключением случаев, предусмотренных ч. 2 ст. 11 152-ФЗ.
- Принятие решений на основе исключительно автоматизированной обработки, порождающих юридические последствия для субъекта (ст. 16 152-ФЗ).
- Включение персональных данных в общедоступные источники (справочники, адресные книги) (ст. 8 152-ФЗ).
- Передача персональных данных работника третьим лицам в случаях, не предусмотренных трудовым законодательством (например, в коммерческих целях) (ст. 88 ТК РФ).
Существенные признаки квалифицированного письменного согласия:
- Собственноручная подпись субъекта на бумажном носителе.
- Электронный документ, подписанный квалифицированной электронной подписью (КЭП) субъекта (ч. 4 ст. 9 152-ФЗ). Важно отметить, что простая электронная подпись (ПЭП) для данной формы недостаточна, если только соглашение об ее использовании не приравнивается по силе к собственноручной подписи с учетом всех требований законодательства, что на практике встречается крайне редко.
- Наличие исчерпывающего перечня реквизитов, указанных в ч. 4 ст. 9 152-ФЗ, включая ФИО, адрес, реквизиты паспорта субъекта, а также наименование и адрес оператора.
- Принцип «одна цель — одно согласие». Правовая позиция Роскомнадзора и сложившаяся судебная практика (Решение АСГМ от 09.08.2017 по делу № А40-81171/17-149-793) исходят из того, что для каждой отдельной цели обработки, требующей квалифицированной формы, должно быть получено отдельное согласие.
Таким образом, законодатель устанавливает два режима для формы согласия: общий (универсальный) с широкой свободой выбора формы, главным критерием которой является доказуемость, и квалифицированный (специальный), императивно требующий письменной формы с собственноручной подписью или КЭП и соблюдения строгой процедуры для отдельных, наиболее чувствительных видов обработки.
Смешение этих двух режимов или неправильная квалификация основания обработки являются одними из самых распространенных и рисковых ошибок оператора.
3. Практические аспекты получения согласия: ответы на ключевые вопросы операторов на основе актуальных разъяснений РКН
Правоприменительная практика в сфере персональных данных постоянно развивается, порождая у операторов множество вопросов. Анализ позиции Роскомнадзора, в том числе озвученной на последних мероприятиях, позволяет сформулировать четкие, практико-ориентированные рекомендации по наиболее проблемным ситуациям.
3.1. Изменения с 1 сентября 2025 года: запрет на включение согласия в иные документы
С 1 сентября 2025 года вступило в силу изменение в ч. 1 ст. 9 152-ФЗ, согласно которому, согласие должно быть оформлено отдельно от иных документов.
Практические последствия для операторов:
- Запрещено получать согласие путем подписания одним кликом/подписью комплекса документов (оферты, договора, заявки и самого согласия). Такая практика будет признана нарушением, так как не позволяет обеспечить «сознательный и информированный» характер волеизъявления.
- Запрещено включать текст согласия в состав гражданско-правового или трудового договора. Это прямое нарушение нового требования закона.
Важное уточнение: если обработка данных осуществляется исключительно для исполнения конкретного договора (например, доставки товара, оказания услуги), то отдельное согласие не требуется. Основанием является ст. 6 ч. 1 п. 5 152-ФЗ («исполнение договора»). Требование о получении согласия в такой ситуации является избыточным.
3.2. Четкое разграничение видов согласия для обработки биометрии
Обработка биометрических данных — зона повышенного риска, где часто допускаются ошибки в выборе правового основания.
| Критерий | Обработка биометрии в общих случаях (НЕ для ЕБС) | Размещение биометрии в Единой биометрической системе (ЕБС) |
| Правовое основание | Ч. 4 ст. 9 152-ФЗ | Специальный Федеральный закон от 31.12.2017 № 482-ФЗ |
| Требования к форме | Квалифицированное письменное согласие (собственноручная подпись или КЭП) со всеми реквизитами ч. 4 ст. 9 152-ФЗ | Форма согласия утверждена Постановлением Правительства РФ № 2279 от 30.12.2022 |
| Практическая рекомендация | Нельзя использовать общее согласие через «галочку». Требуется отдельный документ | Нельзя использовать согласие по 152-ФЗ. Требуется применять специальную форму, установленную для ЕБС |
3.3. Передача данных обработчику: когда согласие не нужно?
Распространенная ошибка — запрашивать согласие на поручение обработки третьему лицу (исполнителю) всегда. Согласие субъекта не требуется, если:
- Прямая норма закона разрешает такую передачу.
- Работающая схема: Включение условия о возможности поручения обработки в основной договор с субъектом (например, в публичную оферту). Это правомерно, если цели обработки при этом не меняются, а исполнитель принимает на себя все обязательства оператора. В этом случае основанием является не согласие, а исполнение договора.
3.4. Универсальное согласие
Попытки создать «универсальное» согласие на все случаи жизни являются неправомерными. Закон устанавливает разные требования для разных видов обработки.
| Ситуация | Можно ли объединить? | Практическая рекомендация |
| Несколько операторов | Да | Только если цель обработки для всех них единая. Для каждого можно указать свой перечень действий ПДн |
| Несколько целей для общего согласия (ч. 1 ст. 9) | Да | Указание нескольких целей в одном согласии допустимо |
| Несколько целей для квалифицированного согласия (ч. 4 ст. 9) | Нет | Требуется получать отдельное согласие для каждой цели |
| Согласие на распространение (ст. 10.1) | Нет | Должно оформляться строго отдельно от любого другого согласия |
| Все процессы в одном согласии | Не рекомендуется | Технически для общего согласия возможно, но создает риски при отзыве. Субъект отзовет все сразу, что может парализовать критичные процессы. Лучше использовать отдельные согласия или опираться на иные основания |
3.5. Специфика трудовых отношений: когда согласие излишне?
Частая ошибка HR-служб — требовать согласие на все подряд. Отдельное согласие работника или родственников работника не требуется для:
- Организации командировок, повышения квалификации. Обработка данных в этих целях является обязанностью работодателя по ТК РФ.
- Подключения к зарплатному проекту. Это часть исполнения обязанности по выплате заработной платы. Договор с банком заключается непосредственно с работником.
- Сведений о родственниках, предусмотренных унифицированными формами (например, карточка Т-2).
Когда согласие в трудовых отношениях нужно:
- Для добровольного медицинского страхования (ДМС), если условия не прописаны прямо в трудовом договоре. Так как это добровольная льгота, потребуется согласие на передачу данных страховой компании.
Однако и даже здесь существует практика, когда работник может выступать как выгодоприобретатель по договору и, соответственно, для передачи его ПДн в страховую компанию нет необходимости в получении согласия (Постановление Арбитражного суда Московского округа от 30 мая 2022 по делу А40-163911/21-17-1229).
- Для передачи данных третьим лицам в случаях, не предусмотренных ТК РФ (например, в коммерческих целях по ст. 88 ТК РФ).
Современная практика требует от оператора не слепого сбора согласий, а точечного и взвешенного подхода к выбору правового основания.
Ключевые тренды — отказ от универсальных форм в пользу конкретных и информированных документов, разграничение видов обработки и активное использование иных, не согласительных оснований (договор, законный интерес), где это позволяет закон.
Новые требования с 1 сентября 2025 года делают обязательным оформление согласия в виде отдельного документа, что требует от операторов заблаговременного пересмотра их процессов и шаблонов.
4. Правовые риски и административная ответственность за нарушение порядка получения согласия
Несоблюдение императивных требований к содержанию, форме и процедуре получения согласия на обработку персональных данных является одним из наиболее частых оснований для привлечения операторов к ответственности. Правовые последствия таких нарушений носят материальный и репутационный характер и КоАП РФ.
4.1. Состав правонарушения по ст. 13.11 КоАП РФ
Специальным составом, предусматривающим санкции за нарушения в данной сфере, является ст. 13.11 КоАП РФ. Наиболее прямо к рассматриваемой проблематике относятся части 1, 2 данной статьи.
- Часть 1, 1.1. Обработка персональных данных в случаях, когда она не допускается законодательством, либо обработка с нарушением установленных законом условий. Применяется, например, при отсутствии какого-либо правового основания для обработки (в т.ч. согласия).
- Часть 2, 2.1. Обработка персональных данных без согласия в письменной форме субъекта персональных данных на обработку его персональных данных в случаях, когда такое согласие должно быть получено в соответствии с законодательством, либо обработка с нарушением установленных требований к составу сведений, включаемых в такое согласие.
Специальный состав, напрямую касающийся квалифицированного согласия. Применяется, если согласие не получено в надлежащей форме (нет подписи, отсутствуют паспортные данные) или его содержание не соответствует ч. 4 ст. 9 152-ФЗ.
4.2. Размеры административных штрафов
Значительные размеры штрафов по ст. 13.11 КоАП РФ были существенно увеличены в последние годы, что свидетельствует об ужесточении государственной политики в этой области. Санкции дифференцированы в зависимости от субъекта ответственности:
| Нарушение | Граждане | Должностные лица | Юридические лица |
| ч. 1 ст. 13.11 КоАП РФ | от 5 000 до 15 000 руб. | от 50 000 до 100 000 руб. | от 150 000 до 300 000 руб. |
| ч. 1.1 ст. 13.11 КоАП РФ | от 15 000 до 30 000 руб. | от 100 000 до 200 000 руб. | от 300 000 до 500 000 руб. |
| ч. 2 ст. 13.11 КоАП РФ | от 10 000 до 15 000 руб. | от 100 000 до 300 000 руб. | от 300 000 до 700 000 руб. |
| ч. 2.1 ст. 13.11 КоАП РФ | от 15 000 до 30 000 руб. | от 300 000 до 500 000 руб. | от 1 млн до 1,5 млн руб. |
Таким образом, нарушение требований к получению согласия — это административное правонарушение, влекущее существенные материальные издержки и операционные риски. Наиболее суровые санкции предусмотрены за игнорирование правил о квалифицированном письменном согласии.
Заключение и практические рекомендации
Согласие на обработку персональных данных — строго регламентированное основание обработки, требующее четкого соблюдения закона. Его получение должно быть осознанным, конкретным и обоснованным.
Практические рекомендации операторам:
- Используйте согласие как крайнюю меру. Всегда сначала проверяйте, можно ли обрабатывать данные на ином законном основании: исполнение договора, законный интерес или прямое предписание закона.
- С 1 сентября 2025 года оформляйте согласие строго отдельным документом. Уберите его из состава договоров, оферт и заявлений.
- Делайте согласие конкретным. Для каждой цели обработки, выходящей за рамки договора, получайте отдельное информированное волеизъявление. Избегайте размытых формулировок.
- Четко разграничивайте виды согласия:
- Общее («галочка»): Для стандартных ситуаций. Убедитесь, что текст рядом с чек-боксом содержит все обязательные сведения.
- Квалифицированное (письменное с подписью/КЭП): Для биометрии, спецкатегорий данных и иных случаев, прямо названных в законе.
