Что-то очень много вопросов про согласие и его оформление задают мне в последнее время. Поэтому решил написать много текста в виде максимально развернутого ответа на эту тему. Надеюсь кому-то поможет разобраться в теме. Так что наливаем чай или кофе, и приступаем :-)

Общий принцип и требования законодательства (основа)

Федеральный закон РФ от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон о ПДн) устанавливает, что обработка персональных данных гражданина в общем случае допустима только с его добровольного согласия. Иными словами, любое действие - сбор, хранение, использование или распространение персональных данных физического лица требует предварительного свободного волеизъявления этого лица на такую обработку. Такое согласие выступает самостоятельным правовым основанием для обработки персональных данных наряду с другими основаниями, предусмотренными законом.

В процедуре получения согласия участвуют две стороны: оператор (юридическое или физическое лицо, которое организует и осуществляет обработку данных) и субъект персональных данных (гражданин, чьи данные обрабатываются). Оператор обязан соблюдать требования закона при работе с данными, а субъект – вправе решать, предоставлять ли свои персональные данные и на каких условиях.

Закон о ПДн устанавливает принципы законности обработки данных. Согласие субъекта должно отвечать сразу нескольким критериям: быть конкретным, предметным, информированным, осознанным и однозначным. Это значит, что человек должен точно понимать, кому и для каких целей он предоставляет свои данные, какие именно сведения будут обрабатываться и какие действия с ними будут совершаться. Молчание или бездействие не признаются согласием – оно должно быть выражено явно (например, путем подписания документа или проставления отметки). Согласие также не может быть получено путем принуждения: оно действительно только если дано добровольно, без давления со стороны оператора.

Вроде с энциклопедическими понятиями разобрались. Едем дальше.

В каких случаях требуется согласие и исключения из правила

Общее правило – если у оператора нет иной законной основы для обработки персональных данных, необходимо получать явное согласие субъекта. Закон перечисляет ограниченный перечень случаев, когда обработка ПДн допускается без получения согласия (ч.1 ст.6 152-ФЗ). К таким исключениям относятся ситуации, когда обработка необходима или предусмотрена самим законом или иными обязательствами оператора. Ниже приведены основные случаи, в которых согласие не требуется:

• Если обработка ПДн необходима для исполнения требований федерального закона или международного договора, либо для реализации возложенных на оператора функций и обязанностей по закону, отдельное согласие субъекта не требуется. Например, оператор может обрабатывать данные в целях налогового учета, воинского учета, статистической отчетности, выполнения предписаний суда или правоохранительных органов на основании прямого требования закона.

• Не нужно получать согласие, если данные обрабатываются в связи с участием в судебном производстве (гражданском, административном, уголовном и т.д.), либо для исполнения судебного акта или акта госоргана. Также допускается обработка без согласия для реализации полномочий органов власти и предоставления государственных или муниципальных услуг – например, при регистрации гражданина на портале госуслуг.

• Согласие не требуется, когда обработка необходима для заключения или исполнения договора, стороной которого является субъект ПДн (либо он выступает выгодоприобретателем или поручителем по договору). Например, компания вправе без отдельного согласия обрабатывать данные клиента для выполнения условий договора оказания услуг или купли-продажи. Однако здесь есть важные ограничения, введенные поправками 2022 года: договор с гражданином не может включать условия, отменяющие или обходящие требования о согласии. В частности, запрещено включать в договор положения, по которым отсутствие действий со стороны гражданина считается согласием на обработку его данных, а также условия об обработке данных несовершеннолетних вне случаев, прямо разрешенных законом. Иными словами, оператор не вправе “подразумевать” согласие по умолчанию – например, прописав в оферте, что клиент, не возражая, автоматически соглашается на обработку ПДн. Такое «пассивное» согласие закон теперь однозначно исключает. А еще запрещено принуждать потребителя предоставлять лишние персональные данные: компания не может отказаться заключить договор, если гражданин отказывается предоставить сведения, которые не требуются по закону и не нужны для исполнения договора (за нарушение этого правила предусмотрены отдельные штрафы по законодательству о защите прав потребителей).

• Если обработка необходима для защиты жизни, здоровья или иных жизненно важных интересов гражданина, и получить своевременное согласие невозможно, оператор вправе действовать без согласия. Например, в экстренной медицинской ситуации больница может обработать личные данные пациента без его согласия, чтобы спасти ему жизнь или здоровье.

• Обработка персональных данных без согласия допускается, если она необходима для реализации законных интересов оператора или третьих лиц (например, при взыскании задолженности) при условии, что при этом не нарушаются права и свободы субъекта данных. Этот пункт носит оценочный характер – оператор должен убедиться, что его интерес (например, безопасность или защита от мошенничества) действительно оправдывает обработку данных без согласия и не ущемляет существенно права гражданина. В случае спора баланс интересов может оцениваться судом. Конечно этим пунктом лучше пользоваться с большой осторожностью.

• Без согласия разрешена обработка в целях осуществления профессиональной деятельности журналиста, законной деятельности СМИ либо научной, литературной или иной творческой деятельности, если не нарушаются права субъекта. Также не требуется согласие при обработке для статистических или научно-исследовательских целей при условии обязательной деперсонализации данных (то есть использования обезличенных сведений).

• Согласие не нужно, если обрабатываются персональные данные, подлежащие опубликованию или обязательному раскрытию в соответствии с законом. Например, закон обязывает публиковать сведения о доходах государственных служащих или о регистрационных данных юридических лиц – такие данные могут обрабатываться без отдельного согласия субъектов. Ранее закон также позволял без согласия обрабатывать общедоступные персональные данные, которые сам субъект сделал публично доступными (например, сведения из открытого профиля в соцсети). Однако с конца 2020 года этот режим был ужесточен: теперь для распространения персональных данных требуется отдельное явно выраженное согласие гражданина, в котором он разрешает их распространение определенному кругу лиц (введена ст. 10.1 152-ФЗ). Таким образом, наличие данных в открытом доступе само по себе больше не освобождает оператора от необходимости получения согласия на их дальнейшую обработку в коммерческих или иных целях (за исключением перечисленных выше случаев – например, журналистской деятельности или выполнения закона).

Следует особо отметить обработку персональных данных детей (несовершеннолетних). Закон 152-ФЗ напрямую не устанавливает минимальный возраст, с которого гражданин может самостоятельно давать согласие, но общие нормы права подразумевают, что до 14 лет за ребенка действует законный представитель (родитель, опекун). Поправками 2022 года подчеркнуто, что оператор не вправе устанавливать в договоре случаи обработки персональных данных несовершеннолетних без прямого разрешения закона. Практически это означает, что получение согласия на обработку данных ребенка напрямую от самого ребенка не будет иметь юридической силы – согласие должно даваться его родителями или другими законными представителями. Например, компания не может собрать персональные данные ребенка младше 14 лет через форму на сайте без участия родителей. Данные подростков 14–18 лет могут обрабатываться с их согласия в случаях, допускаемых их частичной дееспособностью, однако для большей юридической безопасности также рекомендуется подтверждать согласие через родителей, если речь не о самом незначительном действии.

Важно: если гражданин отозвал ранее данное согласие, оператор обязан прекратить дальнейшую обработку его персональных данных, если только у оператора не появилось иного законного основания для обработки. Например, клиент отозвал согласие на обработку данных для маркетинговых рассылок – компания должна прекратить эту обработку. Но если эти же данные нужны компании для исполнения уже заключенного с клиентом договора или хранения по бухгалтерским требованиям закона, она вправе продолжить обработку на этих других основаниях. Бремя доказывания наличия законных оснований лежит на операторе: при проверке он должен суметь предъявить либо полученное согласие, либо ссылку на конкретное исключение из ст.6, ч.2 ст.10 или ч.2 ст.11 Закона о ПДн.

Отдельно в 2025 году были введены новые специальные исключения для биометрических и некоторых чувствительных данных. С 1 сентября 2025 года разрешено обрабатывать биометрические персональные данныебез согласия субъекта, если это требуется в случаях, предусмотренных уголовно-процессуальным законодательством (например, для целей правосудия или расследования). Аналогично, для специальных категорий данных (таких как сведения о здоровье, философских взглядах и т.п.) появились дополнительные основания без согласия, если это прямо предусмотрено уголовно-процессуальным законом. Эти изменения связаны с обеспечением госбезопасности и правосудия и не касаются обычной коммерческой деятельности операторов, однако специалисты должны их учитывать.

Подводя итог: в любых ситуациях, не подпадающих под перечисленные законом исключения, оператор обязан получить у субъекта именно информированное согласие на обработку его персональных данных.

Форма и содержание согласия на обработку ПДн

Закон предъявляет чёткие требования к оформлению согласия субъекта. Принципиальное правило (особенно актуальное после изменений 2025 года): согласие должно оформляться как самостоятельный документ, отдельный от любых других документов или соглашений. Нельзя включать формулировки о согласии на обработку персональных данных в текст других документов, которые гражданин подписывает либо акцептует, – например, в договор, анкету, пользовательское соглашение, политику конфиденциальности или оферту. Ранее нередко практиковалось «спрятанное» согласие – когда, например, в тексте пользовательского соглашения на сайте прописывалось, что нажимая кнопку «Регистрация», пользователь одновременно принимает условия и дает согласие на обработку своих данных. Теперь такие способы недопустимы: с 1 сентября 2025 года согласие обязано быть выделено в отдельный документ и подтверждено отдельно от других действий. Также запрещено объединять несколько разных согласий в одном документе – каждое согласие должно даваться на свой отдельный вид обработки. Например, нельзя одним махом получить и согласие на обычную обработку персональных данных, и согласие на их распространение в открытых источниках, и на рассылку рекламы – для каждого нужна отдельная формулировка или отдельный чекбокс.

Форма согласия может быть различной, но закон выделяет случаи, когда требуется именно письменная форма согласия. В общем случае согласие допускается получать в любой форме, позволяющей подтвердить факт его получения. Это означает, что на практике используются три основных варианта:

• Письменное согласие на бумаге. Гражданин собственноручно подписывает документ (например, заявление или согласие на обработку ПДн) черной/синей ручкой. Такая форма традиционно применяется, например, при трудоустройстве (работнику предлагают подписать форму-согласие) или при заполнении анкет оффлайн.

• Электронное согласие, приравненное к письменному. Согласно закону, документ в электронной форме, подписанный усиленной квалифицированной электронной подписью (УКЭП), полностью равнозначен бумажному документу с подписью. То есть, если у субъекта есть УКЭП (например, для портала госуслуг), он может подписать согласие в цифровом виде, и такое электронное согласие будет считаться письменным. Правительство РФ устанавливает отдельный порядок получения электронных согласий в сфере государственных и муниципальных услуг (ч.5 ст.9 152-ФЗ).

• Проставление отметки (активация чекбокса, нажатие кнопки) на сайте или в приложении. Это наиболее распространенный способ получения согласия онлайн. Когда пользователь ставит галочку "Я согласен..." или нажимает кнопку "Принять", это считается выражением им волеизъявления и получением согласия в электронной форме. Однако, важно выполнить ряд условий: текст согласия должен быть четко виден пользователю до совершения действия, формулировка – однозначной, шрифт – разборчивым. Нельзя «по умолчанию» считать, что человек дал согласие просто зайдя на сайт или не сняв галочку, – он должен активно подтвердить согласие (например, нажать кнопку). Помним, что нельзя прятать согласие в глубине текста пользовательского соглашения или политики, либо делать его часть оферты – пользователь должен иметь возможность отдельно ознакомиться с условиями обработки данных и явно их принять. На практике на сайтах рекомендуют использовать отдельные всплывающие окна или отдельный checkbox именно для согласия на обработку ПДн.

В ряде ситуаций закон прямо требует письменного (именно документарного) согласия. К таким случаям, в частности, относятся:

• Специальные категории персональных данных. Это данные о расовой/этнической принадлежности, политических взглядах, религиозных убеждениях, здоровье, интимной жизни и т.п. (перечислены в ст.10 152-ФЗ). Их обработка возможна только с прямого письменного согласия субъекта, если не применяется другое исключение (например, медицинское основание) – п.1 ч.2 ст.10 Закона. То есть, например, работодатель не вправе собирать сведения о состоянии здоровья сотрудника или его религиозности, не получив от него отдельное письменное согласие, за исключением случаев, когда это необходимо по закону (например, для медосмотра по требованиям охраны труда).

• Биометрические персональные данные. Любые сведения, которые позволяют идентифицировать человека по его физиологическим или биологическим характеристикам (отпечатки пальцев, фотография лица, образец голоса, ДНК и т.п.), обрабатываются тоже только на основании письменного согласия, если иное не установлено законом (ч.1 ст.11 152-ФЗ). Исключения составляют случаи, прямо предусмотренные законом – как раз госбезопасность или правосудие, упомянутые выше (ч.2 ст.11). В общем же случае, любая компания, собирающая биометрию (например, фотографии клиентов для пропуска, голос для банковской идентификации и т.д.), обязана получить у гражданина отдельное письменное согласие до начала обработки этих данных.

• Общедоступные источники персональных данных. Закон (ст.8 152-ФЗ) разрешает создавать общедоступные источники ПДн (например, справочники, адресные книги, корпоративные директории), но только с письменного согласия субъекта. Если организация планирует разместить персональные сведения о человеке в таком открытом справочнике (например, на корпоративном сайте в разделе "Наши сотрудники" с указанием имени, должности, контактов), она должна заранее получить его согласие в письменной форме. Без этого публиковать данные нельзя, даже если сам сотрудник не против – требуется именно формализованное согласие.

Обязательные реквизиты согласия. Письменное согласие субъекта персональных данных должно содержать ряд обязательных сведений, перечисленных в законе (ч.4 ст.9 152-ФЗ). Эти требования направлены на то, чтобы документ согласия был максимально информативным и конкретным. Согласно закону, в тексте согласия в письменной форме обязательно указывается как минимум следующее:

• ФИО, адрес и данные документа, удостоверяющего личность субъекта ПДн. Гражданин должен быть однозначно идентифицирован в согласии. Обычно указывают фамилию, имя, отчество полностью, адрес регистрации или проживания, серию и номер паспорта, дату выдачи и кем выдан (для удостоверения личности). Если согласие дает представитель субъекта, то приводятся данные представителя и документ, подтверждающий его полномочия (например, доверенность).

• Наименование и адрес оператора (или ФИО и адрес, если оператор – ИП или физлицо). Кто именно будет обрабатывать данные. Например: ООО «Ромашка», ОГРН такой-то, юр. адрес такой-то.

• Цель(и) обработки персональных данных. Для чего собираются и будут использоваться данные субъекта – формулировка должна быть конкретной, четкой и соответствовать деятельности оператора. Например: «для ведения кадрового учета», «для предоставления рекламной рассылки.

• Перечень персональных данных, на обработку которых дается согласие. Нужно перечислить категории или конкретные сведения, которые будут обработаны. Недопустимо расплывчатое «все персональные данные» – перечень должен быть предметным, например: фамилия, имя, отчество; номер телефона; адрес электронной почты; паспортные данные; сведения о образовании и т.д. (только то, что действительно необходимо для заявленной цели).

• Перечень действий с персональными данными и способов обработки. В согласии описывается, что именно будет делать оператор с данными: сбор, систематизация, хранение, использование, передача (кому именно – см. следующий пункт), обезличивание, блокирование, уничтожение и т.п. Также указывается форма обработки – автоматизированная (с использованием информационных систем, например CRM) или неавтоматизированная (бумажные архивы).

• Сведения о третьих лицах (операторах), которым данные могут быть переданы по поручению. Если предполагается поручить обработку другой компании (например, передать данные аутсорсинговой бухгалтерии, курьерской службе, облачному сервису), в согласии нужно перечислить этих лиц или по крайней мере указать их категории и реквизиты. Если таких нет – обычно ставится прочерк или фраза «третьим лицам не передаются».

• Срок, на который дается согласие, и порядок его отзыва. Закон требует указать период действия согласия. Срок может быть конкретным (например, «5 лет с даты подписания») или определяться по достижению цели («до исполнения всех обязательств по договору»), либо можно указать «до момента отзыва». Также обязательно прописывается, как субъект может отозвать согласие – например, направив письменное уведомление оператору по определенному адресу. По умолчанию субъект имеет право отозвать свое согласие в любой момент, и оператор должен обеспечить такой механизм.

• Подпись субъекта персональных данных. В случае бумажного документа – собственноручная подпись. В случае электронного согласия – отметка об электронной подписи или иной способ идентификации, приравненный к подписи. Подпись фиксирует волеизъявление субъекта под указанными условиями.

Такая детализация необходима для того, чтобы согласие было конкретным и информированным. Если какого-то из перечисленных элементов нет, есть риск, что контролирующий орган (Роскомнадзор) признает согласие оформленным ненадлежащим образом. Специальной унифицированной формы согласия закон не устанавливает – организации могут разрабатывать бланки самостоятельно, но в соответствии с указанными требованиями. На практике многие компании пользуются образцами или шаблонами, адаптируя их под свои нужды, однако ключевые разделы (цель, данные, действия, срок, подпись и т.д.) присутствуют во всех случаях.

Кроме того, закон требует от оператора уметь доказать факт получения согласия. Если обработка идет на основании согласия, оператор должен хранить документ или электронный лог, подтверждающий, что гражданин это согласие действительно давал. При проверках или разбирательствах бремя доказывания лежит на операторе. Поэтому важно организовать учет и хранение согласий. Для бумажных согласий – это обычно кадровые или клиентские дела, папки с экземплярами подписанных форм. Для электронных – журналы регистрации отметок, сохраненные чекбоксы, электронные письма с подтверждением, скриншоты, логи системы и т.д. (в идеале с фиксацией даты-времени и идентификатора пользователя). Согласно ч.3 ст.9 Закона, оператор должен по требованию надзорного органа или самого субъекта ПДн подтвердить, что у него было правовое основание на обработку – будь то согласие либо один из случаев, разрешенных ст.6 без согласия.

Отзыв согласия осуществляется по простой схеме: субъект направляет оператору заявление (письмом или через электронный интерфейс, если предусмотрено). Оператор, получив такое заявление, обязан прекратить обработку(если отсутствуют другие основания, как сказано выше) и уничтожить персональные данные или обезличить их. С 2022 года в Правилах подтверждения уничтожения ПДн (приказ Роскомнадзора № 179) установлено, что уничтожение данных подтверждается актом или соответствующей записью (логом), которые хранятся не менее 3 лет. Это сделано для того, чтобы у оператора были доказательства своей добросовестности в случае отзыва согласия и требований удалить данные.

Наконец, отмечу, что при участии представителя субъекта (например, по доверенности) оператор обязан убедиться в его полномочиях. Данные представителя и документ (доверенность) фиксируются в согласии, а сама возможность дать согласие через представителя предусмотрена законом. Если же субъект признан недееспособным, согласие дает его законный опекун или попечитель. В случае смерти субъекта персональных данных право дать согласие на обработку его данных (например, для архивных или имущественных целей) переходит к его наследникам.

Изменения законодательства с 1 сентября 2022 и 1 сентября 2025 года

Уделю внимание изменениям, которые происходили в законе относительно согласия. Ключевые нововведения в 2022–2025 годах можно суммировать так:

• Уточнены требования к содержанию согласия (с 1 сентября 2022). Федеральным законом № 266-ФЗ от 14.07.2022 в ст.9 введены дополнительные критерии: теперь согласие должно быть не только «конкретным, информированным и осознанным», но еще предметным и однозначным. Это призвано исключить размытые формулировки и «двойное дно». Оператор обязан формулировать цели и перечень данных максимально понятно для субъекта, без избыточной широты. Также прямо закреплено, что согласие не может предполагаться по умолчанию – требуется активное действие гражданина. Были запрещены условия договоров, подразумевающие принятие согласия через бездействие (например, запрещена практика, когда пользователь автоматически считается согласившимся, просто перейдя на сайт или не поставив галочку “не согласен”). Эти изменения восстановили баланс в пользу граждан: теперь операторам явно запрещено злоупотреблять зависимым положением субъектов и навязывать им согласие как условие услуг, если в этом нет реальной необходимости.

• Отдельное согласие на распространение данных (с 1 марта 2021 и далее). Еще законом № 519-ФЗ от 30.12.2020 (вступил в силу весной 2021) введена новая ст.10.1, касающаяся случаев, когда гражданин разрешает распространение своих персональных данных неограниченному кругу лиц. Теперь для таких целей требуется отдельный документ согласия на распространение, который отдельно от обычного согласия подтверждает, какие именно данные можно публиковать открыто и кому их можно передавть. Субъект вправе в таком согласии прописать ограничения – например, запретить передачу своих данных третьим лицам без его дополнительного разрешения. Это изменение затрагивает, к примеру, публикацию личных фотографий, резюме, объявлений с контактами: оператор (скажем, сайт объявлений или работодатель) должен получить специализированное согласие, прежде чем сделать данные общедоступными.

• Отмена “контрактного” основания для маркетинга (с 1 сентября 2022). До сентября 2022 года некоторые операторы полагались на основание «для исполнения договора» при обработке данных в маркетинговых целях – например, отправляя клиенту рекламную рассылку, ссылаясь на то, что это часть обслуживания по договору. Теперь подобные действия требуют именно согласия. Поправки уточнили, что выполнение договора может быть основанием только для тех данных и той обработки, которые объективно нужны для этого договора. Вся обработка сверх этого – только с согласия. Прямо указано, что нельзя отказать потребителю в услуге, если он не дал согласие на дополнительные данные, не требующиеся для договора. Таким образом, компании должны тщательнее разделять, где обработка идет по закону/договору, а где нужно отдельное согласие (например, на рекламные предложения, на передачу данных партнеру и т.п.).

• Сокращен срок реагирования на запросы субъектов (с 1 сентября 2022). Хотя это касается не столько согласия, сколько прав субъектов: оператор обязан теперь ответить на запрос субъекта о его персональных данных в срок не более 10 рабочих дней (ранее 30 дней), с возможностью продления еще максимум на 5 рабочих дней при мотивированном уведомлении. Это побуждает операторов быстрее реагировать, в том числе на отзывы согласий.

• Поправками 2022 года введены требования к содержанию политики обработки ПДн у оператора – теперь в ней должны раскрываться все категории данных, субъектов, цели, основания и способы обработки по каждой цели. Также на каждой странице сбора данных в интернете должна быть доступна ссылка на такую политику. Изменился порядок уведомления Роскомнадзора об обработке и трансграничной передаче данных (операторы должны подавать отдельное уведомление о планируемой трансграничной передаче, помимо общего уведомления). Хотя эти изменения не напрямую про согласие, они относятся к общей обязанности оператора быть прозрачным и ответственным.

• Отдельный документ согласия – строгое требование (с 1 сентября 2025). Как уже отмечалось, с осени 2025 года вступило в силу требование оформлять каждое согласие обособленно. Раньше закон прямо этого не указывал, и некоторые объединяли согласие с другими документами. Теперь же ч.1 ст.9 дополнена нормой, что согласие оформляется отдельно от иных информации и документов, подтверждаемых субъектом. Одновременно введен запрет «смешивать» разные согласия в одном тексте. Это серьезное изменение для практики: всем операторам пришлось проверить свою документацию. Например, если в трудовом договоре с работником раньше содержался раздел «Сотрудник дает согласие на обработку своих ПДн...», теперь такой раздел не соответствует требованиям – согласие работника должно быть оформлено отдельной бумагой (приложением, заявлением), а в договоре достаточно указать, что работник ознакомлен с политикой конфиденциальности. Роскомнадзор при проверках уделяет этому особое внимание.

• Расширены случаи обработки без согласия для биометрии (с 1 сентября 2025). Введенный Федеральный закон № 519-ФЗ от 28.12.2024 разрешил обрабатывать биометрические данные и спецкатегории данныхбез согласия также в случаях, предусмотренных уголовно-процессуальным законодательством. По сути, это изменения для силовых ведомств и судов (например, сбор отпечатков или генетических данных в уголовном процессе теперь прямо допустим без согласия). Для коммерческих же организаций эта поправка значения не имеет, но свидетельствует об общем тренде усиления роли государства в сфере ПДн.

• Увеличение штрафов за нарушения (с 30 мая 2025). Существенно возросла ответственность за нарушение законодательства о ПДн, включая отсутствие надлежащего согласия. В Кодекс об административных правонарушениях (ст.13.11 КоАП РФ) внесены изменения, кратно повышающие штрафы. Теперь, например, за обработку персональных данных без согласия предусмотрен штраф для организации в размере от 300 тыс. до 700 тыс. рублей за первое нарушение, а при повторном нарушении – от 1 млн до 1,5 млн рублей для юридического лица. Для должностных лиц (например, ответственного сотрудника) штрафы также увеличены: до 300–500 тыс. при повторном нарушении.

Практические рекомендации для операторов и ответственных лиц

Совсем коротко, чтобы минимизировать риски.

• Оформляйте согласие отдельным документом. 

• Прописывайте цели и объем данных максимально четко. 

• Указывайте срок действия согласия и способ его отзыва. 

• Выбирайте надлежащий способ подтверждения на сайте. Помните, что пользователь должен совершить явное действие для согласия.

• Храните доказательства полученных согласий. 

• Обучите сотрудников правилам работы с данными. 

• Проводите регулярный аудит и обновление документации. Законодательство то не стоит на месте :)

• Отдельно проверьте старые согласия после изменений 2025 года. 

Резюме большого текста в двух словах: согласие субъекта на обработку его персональных данных по 152-ФЗ должно быть получено во всех случаях, когда нет иной законной основы, и оформлено строго по установленным правилам. Закон требует отдельный, четко сформулированный документ согласия, добровольно подписанный гражданином. Исключения из этого правила ограничены и прямо предусмотрены законом. Нарушение требований к согласию влечет серьезные юридические риски. Поэтому каждому оператору – будь то работодатель, коммерческая фирма или государственное учреждение – необходимо уделять должное внимание правильному оформлению и учету согласий на обработку персональных данных.

Если хотите узнавать больше про 152-ФЗ и держать руку на пульсе, можно подписаться на мой телеграмм-канал