Согласие на обработку персональных данных — 2025: понятие, форма, образец

Смотреть Содержание

Организации и ИП получают персональные данные от сотрудников при приеме на работу. Личные данные физлиц охраняются законом, поэтому руководители должны знать, как обрабатывать персданные и когда нужно запросить согласие для их обработки.

В статье расскажем, в каких случаях нужно письменное согласие субъекта на обработку персональных данных и как его заполнить.

Согласие на обработку персданных

Зачем нужно получать согласие на обработку персональных данных

Персональные данные — это любая информация о физлице, данные, с помощью которых можно идентифицировать человека (ст. 3 Закона от 27.07.2006 № 152-ФЗ). К ним относят: ФИО, пол, возраст, семейное положение, место жительства, национальность, биометрические и другие сведения.

Любая компания при оформлении сотрудника на работу запрашивает персданные, они считаются операторами по обработке персональных данных. Организация не вправе разглашать личные сведения или передавать их посторонним без разрешения работника. Роскомнадзор контролирует несанкционный доступ к персданныму, поэтому каждая организация обязана пройти регистрацию в реестре операторов. Чтобы компания по закону могла запрашивать и обрабатывать персональные данные, от их владельца необходимо письменное согласие (п. 1 ч. 1 ст. 6 Федерального закона от 27.07.2006 № 152-ФЗ).

Согласие на обработку персональных данных — это документ, в котором физлицо подтверждает, что он добровольно передает свои личные данные оператору для использования в определенных целях.

Когда нужно согласие на обработку персональных данных

В определенных ситуациях работодателю не требуется получать согласие (п. 2-11 ст. 6 Федерального закона от 27.07.2006 № 152-ФЗ). Обработка данных допустима без согласия, если она нужна для выполнения функций, которые по закону возложены на работодателя.

Например: документ не требуется при предоставлении работником ФИО, паспортных данных, СНИЛС для оформления трудового договора.

✅ Согласие обязательно нужно получить при:

  • Публикации личных данных в открытых источниках, например, на сайте организации.
  • Обработке особых категорий данных: национальность, политические, религиозные убеждения.
  • Обработке биометрических данных.
  • Передаче персональных данных сторонним лицам.

⛔️ Согласие не требуется:

  • При заключении трудового договора.
  • Реализация и исполнение задач предусмотренных законодательством. Допустим, продавец запрашивает у клиента его электронный адрес для отправки электронного чека.
  • В рамках судебных разбирательств, например, взыскание алиментов.
  • Для получения государственных услуг. Государственные органы могут обрабатывать пресданные без согласия.
  • Для информации о медицинских противопоказаниях к работе и для защиты здоровья, жизни человека.
  • Для обеспечения прав и законных интересов (организации или третьих лиц) или достижение общественно полезных целей, при условии соблюдения прав и свобод гражданина. Например, когда охранник записывает ФИО и паспортные данные посетителей для обеспечения безопасности.

Форма согласия на обработку персональных данных

Утвержденной формы согласия на обработку персданных нет. Главное — оно должно быть конкретным, информативным, сознательным, предметным, однозначным. Сведения, которые должны включаться в документ указаны в ч. 4 ст. 9 Федерального закона от 27.07.2006 № 152-ФЗ.

Закрыть

При заключении трудового договора кандидат на должность должен предоставить паспорт, трудовую книжку, СНИЛС и другие документы. Без них работодатель не сможет трудоустроить человека. А значит сбор данных нужен по закону — получение согласия не требуется.

Что должно быть указано в согласии:

  • Информация об операторе и организации. (ФИО, наименование и юрадрес).
  • Четко прописанные цели, для которых осуществляется работа с личной информацией.
  • Перечень персональных данных, подлежащих обработке.
  • Какие действия будут производиться с персданными (сбор, хранение, использование).
  • Методы обработки информации: автоматизированные или неавтоматизированные.
  • Период действия предоставленного согласия.
  • Подпись физлица, который предоставляет данные.

Согласие должно быть дано по доброй воле, обдуманно, по собственному желанию и в собственных интересах, исключая любое принуждение. Владелец персональных данных должен знать, для чего именно необходима его личная информация. Оформлять документ можно в бумажном или электронном.

Важно!

Разрешение на обработку персданных и разрешение на их распространение – это отдельные документы, имеющие разную юридическую силу. Если оператор получает согласие только на обработку, он не имеет права распространять эти данные.

Изменения по согласию на обработку персональных данных с 30 мая 2025

Часто бывает, что пользователь, желая ознакомиться с каталогом товаров или при покупке продукции через интернет, должен предоставлять персданные, которые не требуются для этих целей. Это ведет к неоправданному сбору конфиденциальной информации и ее возможному нецелевому использованию, например, для рекламных рассылок, не связанных напрямую с первоначальным запросом клиента.

В связи с этим депутаты выступили с инициативой запретить скрытое включение согласия на обработку данных в общие условия использования сайта или договора купли-продажи. Теперь пользователю будет предложен отдельный документ, детально описывающий цели обработки персональной информации, период ее хранения и другие необходимые детали.

Распоряжением Правительства от 09.04.2024 № 856-р утверждены новые бланки согласий на обработку персональных данных, размещаемых в Единой системе идентификации и аутентификации (ЕСИА) и биометрических ПД в Единой биометрической системе (ЕБС). Они будут в бумажном и электронном виде.

Закрыть

ЕСИА — государственная информационная система, которая обеспечивает хранение и учет личных данных. Через ЕСИА граждане, предприятия и органы власти получают доступ к различным государственным онлайн-сервисам.

В обновленных формах появилась возможность указания данных лиц, не достигших совершеннолетия, а также перечислены условия, при которых действие согласия прекращается.

Согласие на обработку персональных данных: образец

Шаблон согласия на обработку персональных данных
Шаблон согласия на обработку персональных данных

Отзыв согласия на обработку персональных данных

Сотрудник может отозвать согласие на обработку персданных (ч. 2 ст. 9 Федерального закона от 27.07.2006 № 152-ФЗ). Для этого нужно написать заявление, в котором указать:

  • Полное наименование и юрадрес компании, которая обрабатывала данные.
  • Просьбу об отзыве согласия.
  • Сведение о заявители: ФИО, паспортные данные, адрес.

В этом случае компания должна прекратить обработку данных и удалить их, если их хранение больше не требуется. На это дается 30 дней с момента получения отзыва. Порядок уничтожения данных должен быть прописан в локальном акте.

Важно понимать, что даже если владелец персданных отозвал свое согласие, оператор имеет право продолжать использовать его личную информацию, если для этого есть законные основания. Это допустимо в случаях перечисленных в п. 2–11 ч. 1 ст. 6, ч. 2 ст. 10 и ч. 2 с. 11 Федерального закона от 27.07.2006 № 152-ФЗ.

Например, для ведения бухгалтерской отчетности данные об уволившемся работнике нужны, чтобы отчитываться по взносам. В этом случае даже при наличии отзыва согласия на обработку персданных работодатель должен хранить документы в течение 3-х лет. Но только те, которые нужны для бухотчетности и для трудового договора: ФИО, ИНН, СНИЛС и прочее.

Ответственность за отсутствия согласия

Законодательство РФ предусматривает различные формы ответственности за несоблюдение правил обработки персданных (ч. 1 ст. 24 Федерального закона от 27.07.2006 № 152-ФЗ, ст. 90 ТК РФ): административная, уголовная, дисциплинарная, материальная, гражданско-правовую ответственность.

❗️ Роскомнадзор увеличил штрафы за несоблюдение Федерального закона от 27.07.2006 № 152-ФЗ. Изменения в КоАП РФ вступят в силу 30 мая 2025 года.

Штрафы по ст. 13.11 КоАП РФ:

Правонарушение

Штраф

Штраф за повторное нарушение
Обработка не предусмотрена по закону или несовместима с целями сбора От 10 000 руб. до 20 000 руб. — должностным лицам
От 60 000 руб. до 100 000 руб. — организации		 От 20 000 руб. до 50 000 руб. — должностным лицам
От 100 000 руб. до 300 000 руб. — организации
С 30.05.2025 за обработку не предусмотренную по закону От 50 000 руб. 100 000 руб. — должностным лицам
От 150 000 руб. до 300 000 руб. — организации		 От 100 000 руб. до 200 000 руб. — должностным лицам
От 300 000 руб. до 500 000 руб. — организации
Обработка без письменного согласия, если оно положено От 100 000 руб. до 300 000 руб. — должностным лицам
От 300 000 руб. до 700 000 руб. — организации		 От 300 000 руб. до 500 000 руб. — должностным лицам
От 1 млн руб. до 1.5 млн руб. — организации

В новой редакции КоАП РФ расширен перечень ситуаций, влекущих за собой ответственность. Эти нововведения касаются случаев задержки уведомления или полного отсутствия уведомления Роскомнадзора (пп. "в" п. 6 ст. 1 Федерального закона от 30.11.2024 N 420-ФЗ).

Правонарушение Физлицо, ИП Должностное лицо Организация
Неуведомление Роскомнадзора 5 000 руб. — 10 000 руб. 30 000 руб. — 50 000 руб. 100 000 руб. — 300 000 руб.
Неоповещение Роскомнадзора об утечке персональных данных 50 000 руб. — 100 000 руб. 400 000 руб. — 800 000 руб. 1 млн руб. — 3 млн руб.

Увеличились и штрафы за утечку персданных. Ранее компании могли быть оштрафованы до 700 тыс. руб. С мая 2025 года за любые формы утечек, размеры штрафных санкций будут зависеть от числа пострадавших лиц и количества уникальных идентификационных данных, таких как паспортные данные, ИНН или СНИЛС. Например штраф за утечку данных от 1 000 до 10 000 человек для компании — до 5 млн руб. А если произошла утечка биометрических данных компании грозит штраф до 20 млн руб.