Согласие на обработку ПДн: как составить и можно ли обойтись без него

Понятие «Согласие на обработку ПДН»

Согласие на обработку ПДн — это документ, который служит официальным разрешением субъекта на работу с его персональными данными и прямым основанием для работы с этими ПДн. Любое действие: от сбора и систематизации до распространения и передачи третьим лицам может быть выполнено только исходя из разрешения клиента или сотрудника, передающего компании свои ПДн.

Формы согласия на обработку ПДн

Разрешение на использование ПДн может быть оформлено в нескольких формах, в зависимости от способов подписания и категории обрабатываемых ПДн.

1. Письменная форма. Эта форма подписания требуется при работе со специальными категориями ПДн, такими как национальность, расовая принадлежность, вероисповедание, а также сведения о здоровье или интимной жизни субъекта. Письменное разрешение также требуется для работы с биометрическими данными (например, отпечатками пальцев, мимикой, голосом, строением лица и т.д.) и для размещения ПДн в публичном доступе, например, при публикации телефонных номеров сотрудников на сайте в разделе «Наша команда». Письменная форма подписи обычно используется в медицинских учреждениях, нотариальных конторах и при трудоустройстве. Письменная форма предполагает, что разрешение оформляется и подписывается в виде отдельного документа на бумажном носителе или же электронного, который подписывается электронной подписью.

2. Электронная форма. В большинстве случаев, не требующих письменной формы подписания разрешения, достаточно электронной формы. Такой документ может быть подписан, например, путем проставления галочки в чек-боксе или нажатия на кнопку «согласен», «принимаю условия» и т.д.

Если вы сомневаетесь, в какой форме необходимо составить документ в вашем случае, целесообразно обратиться за юридической помощью к специалистам, чтобы исключить риски привлечения вас к административной ответственности за нарушение требований законодательства о персональных данных.

Виды согласия на использование ПДн

Разрешение на использование ПДн может иметь свои особенности в зависимости от категории субъекта этих ПДн — сотрудников, клиентов, пользователей или партнеров. Рассмотрим подробнее специфику каждой из этих категорий.

• Разрешение сотрудников
  Предоставляется в рамках трудовых отношений и регулирует использование ПДн, необходимых для исполнения трудового договора, ведения кадрового учета, начисления зарплаты и других внутренних процессов. Обычно оформляется письменно и учитывает специфику трудового законодательства.
• Разрешение соискателей
  В случае, когда соискатель отправляет свой отклик не напрямую работодателю, а через ту или иную карьерную платформу, то и разрешение на хранение и использование своих ПДн он предоставляет этой платформе. Если же на вашем сайте или в социальных сетях размещена специальная форма для заполнения, куда заинтересованное лицо может загрузить резюме и другую информацию о себе, то разрешение на использование его ПДн должны получить от него именно вы. В этом случае соискатели должны быть проинформированы о том, как будут использоваться его ПДн и как долго они будут храниться у вас.
• Разрешение пользователей сайта
  Получается от пользователя при его регистрации на вашем сайте, в приложении или при использовании онлайн-сервисов. Включает разрешение на сбор, хранение и использование ПДн, необходимых для предоставления услуг, рассылок, аналитики и персонализации. Такое разрешение зачастую оформляется через чек-бокс на сайте и считается подтвержденным, если пользователь проставил в нем соответствующую галочку. Обратите внимание: для каждого документа (согласие на использование ПДн, политика конфиденциальности, пользовательское соглашение), должен быть предусмотрен отдельный чек-бокс.
• Разрешение клиентов
  Предоставляется при заключении договоров или оказании услуг. Охватывает использование ПДн, необходимых для исполнения условий договора, выставления счетов, поддержки и маркетинговых коммуникаций. Важно, чтобы согласие было информированным и добровольным.
• Разрешение контрагентов и партнеров
  Необходимо для обмена и использования ПДн в рамках деловых отношений, включая ведение переговоров, выполнение совместных проектов и соблюдение требований законодательства.

Что должно входить в разрешение на обработку ПДн?

В соответствии с ч. 4 ст. 9 Закона 152-ФЗ, разрешение на использование ПДн должно состоять из нескольких основных разделов.

• Информация об операторе ПДн. Сюда входит наименование или ФИО оператора, а также адрес физического лица или организации, которой субъект предоставляет свое разрешение на использование его ПДн.
• Сведения о субъекте ПДн. В этом разделе обязательно должна быть указана информация о субъекте, подписывающим с вами согласие, а именно его ФИО, адрес, серия и номер паспорта.
• Цели использования ПДн. Цели, указанные в документе, должны отражать реальные причины взаимодействия с ПДн. Вы запрашиваете разрешение от клиента для осуществления маркетинговой рассылки или собираете информацию о сотрудниках для ведения кадрового учета? То, что действительно относится к вашим задачам, и должно быть описано в этом разделе. Уточнение целей демонстрирует прозрачность ваших процессов.
• Перечень ПДн. В этом разделе нужно перечислить конкретные категории ПДн, участвующих в процессе хранения и использования информации: ФИО, контакты, дата рождения, информация о состоянии здоровья или сведения об образовании.
• Сведения о третьих лицах или обработчиках. Если вы передаете ПДн своих клиентов другим организациям (например, CRM или облачным системам, бухгалтерии на аутсорсе, службам доставки), то необходимо указать это в согласии на обработку ПДн.
• Сроки хранения. Этот пункт должен отображать реальный срок, на который вы планируете хранить у себя ПДн субъекта.
• Условия отзыва согласия. Здесь необходимо прописать, в каком порядке субъект ПДн может отозвать свое разрешение на использование ПДн.
• Перечень действий и способов обработки. В этом разделе следует описать все операции по использованию ПДн субъекта — от сбора и хранения до передачи и уничтожения. Особое внимание стоит уделить методам сбора. Например, можно указать, что информация собирается через электронные формы, мобильные приложения или бумажные носители.
• Подпись субъекта ПДн. Документ должен быть заверен подписью субъекта ПДн. Как было сказано нами ранее, она может быть бумажной или цифровой, а также вместо нее может выступать нажатие на кнопку «Согласен».

В каких случаях разрешение на работу с ПДн получать не нужно?

Несмотря на необходимость получения согласия на использование ПДн практически в каждом случае, существуют исключения из этого правила. Работа с информацией клиента или сотрудника без согласия возможна, если на это есть законные основания. К таковым относятся:

• Требования законодательства. Если сведения необходимы для исполнения прямых требований законодательства (в рамках нормативных актов), то разрешение субъекта ПДн не требуется. Например, работодатель собирает и хранит ПДн сотрудников в рамках трудового договора и для налогового учета — имена, фамилии, ИНН, сведения о трудовой деятельности, в соответствии с Трудовым кодексом и налоговым законодательством.
• Выполнение договорных обязательств. Разрешение не нужно, когда работа с ПДн осуществляется в целях заключения, исполнения или расторжения договора, стороной которого является субъект ПДн. Например, онлайн-магазин собирает адрес и контакты покупателя для оформления заказа и доставки товара.
• Защита жизненно важных интересов. В случаях, когда получение согласия невозможно, а использование ПДн необходимо для защиты жизни, здоровья или иных жизненно важных интересов субъекта, разрешение также не требуется. Например, человек находится без сознания, и чтобы оказать ему скорую помощь, врачи собирают медицинскую информацию о нем без его согласия.
• Осуществление правосудия и исполнение судебных решений. Работа с ПДн осуществляется в рамках административных, судебных или иных процедур, связанных с осуществлением правосудия? Тогда разрешение также можно не оформлять. Пример: Суд запрашивает и обрабатывает персональные данные истца или ответчика в рамках судебного разбирательства.
• Выполнение профессиональных обязанностей журналистов, учёных, творческих работников. При условии соблюдения прав и свобод граждан, а также при необходимости для осуществления профессиональной деятельности, разрешение на использование ПДн не требуется. Пример: журналист спрашивает мнение по какой-либо теме у прохожего в целях публикации статьи, соблюдая при этом его права и свободы.
• Статистические, исследовательские и иные аналитические цели. Разрешается обрабатывать персональную информацию без согласия при условии обезличивания данных, что исключает возможность идентификации конкретного субъекта. Пример: Росстат собирает анонимную информацию о возрасте и профессии населения в целях проведения социологического исследования.
• Работа с информацией в интересах общества. Если вы действуете в общественно значимых целях, то составлять согласие на использование ПДн вы также не обязаны. Пример: Органы охраны порядка собирают видеозаписи с общественных мест для обеспечения безопасности и расследования правонарушений.
• Обработка по поручению другого лица. В ситуации, когда специалист, например, бухгалтер на аутсорсе, работает с  информацией сотрудников, он действует по поручению работодателя. В таком случае, он не обязан самостоятельно получать разрешение от каждого сотрудника, поскольку это функция работодателя. Вместо этого ему выдается официальное поручение на работу с ПДн, которое регулирует его действия и подтверждает законность данного процесса.

Критерии правильного согласия на использование ПДн

Для того чтобы разрешение на использование и распространение ПДн было признано действительным и соответствовало требованиям законодательства, оно должно отвечать ряду строгих критериев.

• Разрешение должно быть явно выраженным, ясным и информационно обоснованным. Субъект персональных данных должен быть четко ознакомлен с целью, характером и объемом использования его ПДн, а также с лицами, которым они могут быть переданы. Использование двусмысленных, расплывчатых или общих формулировок недопустимо — например, фраз наподобие «Может использоваться в любых целях» или «Для маркетинговых целей».
• Разрешение должно быть конкретным, то есть строго соответствовать заявленным целям использования. Нельзя получать разрешение на использование «всех данных» без конкретизации, для каких целей они предназначены, и затем использовать их в иных целях.
• Разрешение должно быть добровольным, то есть полученным без давления, угроз или условий, лишающих субъекта возможности его дать или отказаться. Для этого необходимо предоставить субъекту ПДн возможность свободного выбора, а также возможность отказаться от предоставления данных или же их распространения.
• Разрешение должно быть подтверждено документально или иным способом, позволяющим в случае необходимости подтвердить факт его получения. Например, подписанный документ или электронное разрешение с использованием специальных средств идентификации.
• Разрешение должно быть оформлено в виде отдельного документа. Его нельзя помещать в состав трудового договора, политики конфиденциальности, пользовательского соглашения, политики использования cookies или других файлов. Это нововведение было внесено в закон с 2025 года для того, чтобы сделать согласие более заметным и понятным для всех субъектов ПДн, таких как посетители сайтов, сотрудники и клиенты. Тем не менее, помните: политика конфиденциальности ПДН должна оставаться доступной для просмотра на вашем сайте, чтобы каждый посетитель мог в любой момент ознакомиться с порядком и условиями пользования его информацией.

Как составить разрешение на обработку ПДн для сайта

Для корректного сбора разрешений на использование ПДн на коммерческих сайтах, созданных на платформе CMS Bitrix, WordPress или другой, необходимо соблюдать следующие требования:

1. Размещение чек-бокса
   Чек-бокс должен располагаться непосредственно под формой обратной связи, быть обязательным к отметке для отправки данных и не должен быть автоматически заполненным. Это гарантирует осознанное согласие пользователя.
2. Наличие ссылки на согласие
   Рядом с чекбоксом следует разместить четкий и понятный текст, объясняющий пользователю цели хранения его ПДн и ссылающийся на конкретный документ, который он подписывает. Например, формулировка может быть следующей:
   «Я даю согласие на обработку моих персональных данных». При нажатии на кнопку согласия во всплывающем окне должен открываться полный текст согласия. Отдельный чекбокс стоит оформить и для политики конфиденциальности, в который также необходимо поместить кликабельную ссылку на этот документ. О том, как составить политику конфиденциальности, мы писали ранее в этой статье.
3. Кнопка отправки
   Кнопка «Отправить» должна оставаться недоступной для пользователя до тех пор, пока он не отметит чекбокс. Это предотвращает отправку ПДн без согласия и повышает уровень юридической защищенности обеих сторон.
4. Хранение и доступность
   Информация о полученном согласии должна храниться в базе данных сайта и быть доступной для предоставления по запросу контролирующих органов.

Соблюдение этих правил поможет избежать штрафов и обеспечит правовую защиту при использовании ПДн на сайте.

Порядок отзыва согласия на обработку ПДн

Каждый субъект ПДн имеет право в любое время отозвать свое разрешение на использование ПДн без необходимости объяснять причины.

Процедура отзыва согласия должна быть четко прописана в документе. Это может быть сделано через письменное заявление на указанный вами адрес, в цифровой форме или по электронной почте. Закон не устанавливает ограничений на способы отзыва, однако в документе обязательно должен быть указан один из них.

Сроки действия разрешения на использование ПДн

Давая свое разрешение на использование ПДн, ваш сотрудник, клиент, пользователь или соискатель должен понимать, как долго оно будет действовать. Для этого в документе необходимо обязательно прописывать срок его действия. Как правило, он определяется целью использования и действует до момента достижения этой цели. Однако есть некоторые исключения. Подробнее о них и о том, как правильно определить срок действия согласия на использование ПДн, можно прочитать в отдельной статье на нашем сайте.

Пример формулировки: Я предоставляю указанное согласие на весь срок действия заключенных Договорных отношений с Оператором, а также на срок 3 года с даты окончания указанных отношений.

Образец согласия на обработку персональных данных

Как было сказано нами ранее, помимо текста согласия на обработку персональных данных, субъект ПДн должен также иметь прямой доступ к вашей политике конфиденциальности. Кроме того, цели использования ПДн в этих документах должны соответствовать друг другу. Поэтому перед их подготовкой важно провести тщательный аудит ваших бизнес-процессов. Юристы из нашей компании обладают большим опытом в разработке комплексного пакета документов и готовы помочь вашему бизнесу.

Однако, если вы решили действовать самостоятельно, то можете воспользоваться образцом согласия на обработку ПДн в качестве основы для вашего документа. Следует понимать, что каждый бизнес уникален, и универсального решения, подходящего для всех ситуаций, не существует. Образец может служить лишь примером структуры и формулировок, но требует адаптации с учетом специфики вашей деятельности, видов обрабатываемых ПДн, целей и правовых оснований использования.

Образец согласия на обработку ПДн

Штрафы: чем чревато отсутствие разрешения на использование ПДн

С 30 мая 2025 года меры санкций за использование персональных данных без получения согласия были существенно ужесточены. Теперь юридическим лицам за отсутствие разрешения на использование ПДн или обнаруженные в нем ошибки грозят штрафы в диапазоне от 300 тысяч до 700 тысяч рублей. За повторные нарушения штраф может достигать 1,5 миллиона рублей. Ответственность за такие правонарушения устанавливается частями 2 и 2.1 статьи 13.11 КоАП РФ.

Поделиться в социальных сетях:

Наталия Рагулина

Руководитель юридического отдела

8 лет опыта

более 300 выигранных дел

Автор статьи

108 публикаций на сайте

Подробнее о специалисте