Согласие на обработку персональных данных в 2025 году

С 2025 года изменились требования к работе с персональными данными. Согласие на обработку теперь оформляется только как отдельный документ. Точка Банк разобрал, когда нужно получать согласие на обработку данных, как правильно его оформить и сколько хранить. 

Согласие на обработку персональных данных — это письменное разрешение физического лица на использование его личных сведений. Работодатель получает такое согласие, чтобы законно хранить и применять данные документов: паспорт, СНИЛС, диплом, трудовую книжку, медкнижку и другие.

В согласии обычно указывают:

Работодатель может собирать и использовать персональные данные (ПДн) сотрудника только для законных задач. Это право автоматически делает работодателя оператором персональных данных. Согласие на обработку персональных данных защищает и работника, и работодателя.

Оператор персональных данных — это компания, организация или человек, который собирает и обрабатывает данные других людей. Например, им может быть ИП, интернет-магазин или даже салон красоты, где ведут запись клиентов.

Главная задача оператора — соблюдать закон о защите персональных данных. Нужно хранить информацию безопасно, не допускать утечек и использовать её только по назначению.

Если бизнес работает с персональными данными, он обязан уведомить об этом Роскомнадзор. Это официальная регистрация, которая показывает, что компания действует законно и ответственно.

Требование об использовании ПДн закреплено в Федеральном законе №152-ФЗ «О персональных данных». Без согласия или законных оснований любые действия с личной информацией считаются нарушением и ведут к штрафам.

В согласии фиксируют цели обработки и перечень данных. Работодатель не вправе запрашивать лишнюю информацию: если нужны реквизиты для перевода зарплаты, то достаточно одного счёта, а не всех банковских карт сотрудника. Если на предприятии вводится пропускной режим, то для удостоверения достаточно ФИО, должности и фото работника. Для каждой отдельной цели нужно получать согласие, если только закон прямо не разрешает обрабатывать данные без него.

Согласие обязательно, если:

Согласие на обработку персональных данных должно соответствовать следующим условиям:

Работодатель может оформить согласие на бумаге или в электронном формате с электронной подписью. В нём нужно указать: ФИО и паспортные данные сотрудника, сведения о работодателе как операторе, цель обработки, например кадровый учёт или расчёт зарплаты, перечень конкретных данных, срок действия согласия и порядок его отзыва. Если работодатель планирует поручить обработку другому лицу, это также нужно прописать отдельно

Такой документ позволяет использовать и хранить сведения, но не даёт право передавать их третьим лицам. Для распространения информации требуется отдельное согласие.

Особое внимание требуется при работе с биометрическими данными: фото, видео, отпечатками. Для этого оформляется отдельное согласие. Без него работодатель не вправе использовать такие сведения, даже если они нужны, например, для пропуска на территорию.

Сотрудник может запросить информацию о том, как используются его персональные данные. Работодатель должен ответить в течение 10 рабочих дней. Если нужно больше времени, он направляет сотруднику мотивированное уведомление и получает ещё дополнительно 5 дней на ответ.

Во время работы сотрудника и после её окончания работодатель обязан сохранять кадровые документы, содержащие персональные данные. Это требование закона о хранении архивов. Поэтому, в согласие на обработку данных нужно добавить информацию о хранении, чтобы сотрудник знал, что его сведения будут храниться до 50 лет.

Организация и ИП могут воспользоваться готовой формой согласия, размещённой на сайте Роскомнадзора. Иногда это проще и удобнее, чем составлять его на бумаге. Чтобы работать на сайте, нужно зайти через личный кабинет на Госуслугах.

Также доступен онлайн-сервис , где можно создать шаблон согласия на обработку и распространение данных с учётом индивидуальных особенностей деятельности компании. Чтобы избежать ошибок, готовый документ направьте на предварительную проверку в ведомство.

С 1 сентября 2025 года изменились правила оформления согласия на обработку персональных данных, согласно Федеральному закону от 24.06.2025 №156-ФЗ. Согласие необходимо оформлять как  отдельный документ, а не включать его в трудовой договор, анкету или другое заявление.

Раньше согласие могли включать в разные документы, и сотрудник подписывал их целиком, фактически разрешая обработку данных автоматически. Требование отдельного документа действовало только для передачи данных третьим лицам. Например, если работодатель передавал сведения сотрудника охранной компании для пропускного режима. С 1 сентября нужно оформить два документа: одно — на обработку данных, второе — на передачу третьим лицам.

Если сотрудник отказывается подписывать согласие на обработку ПДн, работодатель должен разъяснить причину необходимости сбора и обработки ПДн. Необходимо уточнить, какие данные собираются, с какой целью и как будет обеспечена их защита.

Отказ следует зафиксировать письменно. Если согласие не получено, можно предложить сотруднику адаптированную форму документа.

Отказ от подписания корпоративного шаблона не может быть основанием для лишения льгот, таких как ДМС или дотация на питание. Судебная практика подтверждает, что работодатель не вправе требовать согласие только по установленной форме.

Если отказ касается данных, необходимых для трудоустройства, то работодатель может отказать в приёме, так как без этих сведений он не сможет выполнять свои обязанности.

Сотрудник имеет право в любой момент отозвать согласие на обработку своих персональных данных, даже после увольнения. Для этого он подаёт работодателю заявление в свободной форме, объяснять причины не требуется.

В отзыве обычно указывают:

Срок действия согласия на обработку персональных данных определяется самим документом, так как законом он не установлен. Работодатель может указать конкретную дату окончания, определённый период или прописать, что согласие действует до его отзыва сотрудником либо до достижения целей обработки.

Чаще всего указывают такие варианты:

Бланк согласия нужно хранить весь срок его действия, а после окончания — ещё 3 года, независимо от того, закончился ли срок, были достигнуты цели или сотрудник отозвал согласие.

За ошибки при оформлении или получении согласия на обработку персональных данных предусмотрена административная ответственность (ст. 13.11 КоАП РФ). Размер штрафа зависит от статуса нарушителя.

Незаконная обработка персональных данных либо обработка данных не по целям сбора влечёт за собой штрафы:

За повторное нарушение — более высокие штрафы, пропорционально должности и типу лица: физическое, должностное, юридическое.

Обработка персональных данных без письменного согласия субъекта, когда такое согласие обязательно:

Помимо штрафов Роскомнадзор может вынести предписание об устранении нарушений. Если его не выполнить в установленный срок, возможны дополнительные санкции.

Любая компания или ИП обязаны сообщить Роскомнадзору о начале работы с персональными данными. Это правило действует даже в самых простых ситуациях, например когда нужно оформить пропуск в офис или заключить договор.

Бизнес попадает в открытый реестр Роскомнадзора. Проверить сведения об организации можно на официальном сайте государственного органа, указав её наименование или ОГРН.

Форма и порядок её заполнения утверждены приказом Роскомнадзора от 28.10.2022 №180, а список обязательных сведений приведён в ст. 22 Федерального закона №152-ФЗ.

В уведомлении указывают:

Бумажный вариант

Электронный вариант

С 30 мая 2025 года за утечку персональных данных действует более строгая ответственность. Штрафы достигают 15 млн ₽, а при повторной массовой утечке компании получают оборотные штрафы — до 3% от годовой выручки, но не менее 20 млн ₽. В отдельных случаях назначается и уголовное наказание. Также любая компания обязана сообщать об утечке в Роскомнадзор в течение 24 часов.

Основные санкции