Новые правила согласия на обработку персональных данных с 1 сентября 2025 года

С 1 сентября 2025 года в России вступает в силу Федеральный закон № 156-ФЗ от 24 июня 2025 г. Он дополнил ст. 9 Закона 152-ФЗ «О персональных данных» и сделал отдельный письменный (или электронный) документ согласия обязательным во всех случаях, когда основанием обработки служит именно согласие субъекта данных.

Что именно меняется

• Отдельный документ. Формулировку согласия больше нельзя «прятать» внутри договоров, оферт, пользовательских соглашений или анкет. Любое новое согласие, оформленное после 01.09.2025, должно существовать отдельно от других бумаг.
  
• Осознанность и однозначность. Согласие признаётся действительным только если субъект ясно видел его текст и подтвердил волеизъявление отдельным действием (подписью или нажатием отдельной кнопки/чекбокса).
  
• Ретроактивности нет. «Старые» согласия, полученные до 1 сентября 2025 г., сохраняют силу, даже если они были частью договора или выражались галочкой.
  

Зачем понадобилось ужесточение

Практика показала, что «встроенные» или «молчаливые» согласия дезориентируют граждан: человек подписывает многостраничный документ и фактически не читает раздел о персональных данных, либо автоматически ставит галочку под длинным пользовательским соглашением, которое не открывал. Законодатель устранил эту правовую неопределённость, поставив во главу угла принцип информированного и добровольного согласия.

Допустимые формы согласия

В веб- или мобильных интерфейсах требуется отдельный визуальный элемент для согласия, а текст должен быть виден (или открываться во всплывающем окне) до того, как пользователь поставит отметку. Простая ссылка «я согласен с политикой…» без показа самого текста больше не подходит.

Обязательные реквизиты письменного согласия (ч. 4 ст. 9 Закона 152-ФЗ)

1. Данные субъекта: Ф. И. О., адрес, паспортные реквизиты.
   
2. Данные оператора: полное наименование/Ф. И. О. и адрес.
   
3. Цель обработки – конкретная и измеримая.
   
4. Перечень персональных данных, на которые даётся согласие.
   
5. Перечень действий и способы обработки (сбор, хранение, передача, уничтожение и т.д.).
   
6. Третьи лица-обработчики (если привлекаются).
   
7. Срок действия и порядок отзыва.
   
8. Подпись субъекта (или его представителя) и дата.
   

⚠️ Если оператор хочет не только обрабатывать, но и распространять данные (передавать третьим лицам, публиковать), придётся получить ещё одно – отдельное! – письменное согласие по ст. 10.1 Закона 152-ФЗ.

Что теперь считается нарушением

• Включение формулы согласия в договор, оферту или форму заказа.
  
• Единая галочка «я принимаю условия и даю согласие…».
  
• «Автоматическое» согласие при передаче клиентом своих контактов.
  
• Устное или подразумеваемое согласие без документального следа.
  

С 1 сентября такое согласие юридически ничтожно. Все операции с данными на его основании классифицируются как обработка без надлежащего основания.

 Санкции за несоблюдение

Размеры увеличены с 30 мая 2025 г.  

Помимо штрафов возможны: предписания Роскомнадзора о приостановке обработки, судебные иски о компенсации морального вреда, репутационные потери.

 Чем это грозит e-commerce и онлайн-сервисам

• Две независимые галочки: (1) принятие оферты/политики, (2) согласие на ПДн.
  
• Cookie-баннер: согласие на cookies теперь отдельное; его нельзя объединять с другим согласием или условиями пользования.
  
• Маркетинговые рассылки: отдельный документ (или отдельная галочка) на email/SMS-рассылку, персонализированную рекламу, аналитику.
  
• Маркетплейсы: продавцы, получающие данные покупателей для собственной CRM или бонусных программ, обязаны иметь собственные отдельные согласия; нельзя полагаться на согласие, оформленное платформой.
  

 Чек-лист для бизнеса до 1 сентября 2025 г.

1. Инвентаризируйте все места сбора ПДн (договоры, HR-формы, сайты).
   
2. Выделите согласие в отдельный файл/веб-экран; обновите UI.
   
3. Пропишите конкретные цели для каждой категории данных.
   
4. Создайте шаблоны согласий: для клиентов, работников, партнёров.
   
5. Проведите обучение менеджеров, HR, маркетологов.
   
6. Проверьте базы: после 01.09.2025 все новые записи должны быть привязаны к правильному отдельному согласию или другому основанию по ст. 6 152-ФЗ.
   
7. Настройте процедуру отзыва: выделенный e-mail или форма, срок ответа не более 30 дней.
   

 Альтернативные основания обработки

Закон позволяет обрабатывать данные без согласия, если:

• это необходимо для исполнения договора с субъектом;
  
• требуется по закону (Налоговый кодекс, Трудовой кодекс и др.);
  
• преследуется жизненно важная цель (например, защита жизни/здоровья).
  

Однако маркетинг, передача третьим лицам, публичное размещение и дополнительная аналитика почти всегда требуют именно отдельного согласия, поэтому исключения использовать осторожно. 

Хорошая практика оформления электронного согласия

1. На форме регистрации пользователь видит два чекбокса:
   
   • «Я принимаю условия Пользовательского соглашения» (ссылка на PDF/HTML).
     
   • «Я даю отдельное согласие на обработку моих персональных данных» (кнопка «Читать согласие», открывающая модальное окно с полным текстом).
     
2. После нажатия «Согласен» система сохраняет хеш-сумму текста согласия, время и IP пользователя.
   
3. Пользователю направляется копия согласия на e-mail.
   
4. В личном кабинете есть кнопка «Отозвать согласие» с автоматическим созданием обращения в CRM.
   

Такой UX одновременно выполняет требования закона и повышает доверие клиентов.

Отделение согласия от других документов делает правила игры прозрачнее: гражданин точно знает, на что соглашается, а бизнес получает юридически устойчивое основание для работы с персональными данными. До 1 сентября 2025 года компаниям стоит пересмотреть интерфейсы, договоры и процессы. Это потребует определённых усилий, но позволит избежать миллионных штрафов и защитить репутацию.