В 2025 году произошло достаточно много изменений, касающихся обработки ПДн. Какое бы из изменений вы выделили бы в первую очередь?
Одно из изменений затронуло практически всех операторов ПДн — речь идёт о согласиях на обработку ПДн. С 1 сентября 2025 года в ч.1 ст.9 Федерального закона «О персональных данных» появилось новое требование: согласие должно быть оформлено отдельно от иных документов, которые подписывает субъект, или отдельно от иной информации, с которой субъект знакомится. Это нововведение: раньше организации часто практиковали включение пункта о согласии на обработку ПДн в различные анкеты, заявки, и субъект, подписывая этот документ, автоматически соглашался на обработку (в том числе, на передачу) своих данных. При этом необходимо понимать, что отдельно оформленное согласие – это не только про документы, которые субъект подписывает разными способами, но и про согласия, которые даются, например, при регистрации на сайтах или в разных приложениях (что сейчас очень распространено).Почему законодатель решил запретить такой подход?
На наш взгляд, позиция государства здесь следующая: человек должен осознанно давать своё согласие на обработку ПДн, а нет так, что он заполнил какую-то заявку и сразу на всё согласился. Например, он должен четко понимать, на что даёт согласие, кому, куда и с какой целью будут передаваться его данные, и уже осознанно на это соглашаться.Нужно ли повторно брать согласия, вписанные в другие документы, после вступления поправок в силу?
Федеральный закон «О персональных данных» не имеет обратной силы, и если согласие было получено до 1 сентября 2025 года в рамках какой-либо заявки, то заново его получать не требуется. Но важно учитывать, что согласие дается на определенный срок, и когда он истечёт, то новое согласие точно должно соответствовать новым требованиям.Можно ли получить согласие на обработку ПДн для разных целей в одном документе?
Если мы говорим об обработке специальных и биометрических ПДн, то есть данных, обработка которых требует обязательного получения согласия в письменном виде, то ч.4 ст.9 Федерального закона «О персональных данных» устанавливает требование «одна цель – одно согласие». Роскомнадзор также подтверждает эту позицию на своих мероприятиях в рамках рубрики «вопрос - ответ».В других случаях (при обработке иных категорий ПДн) допускается собрать все цели в одном согласии. Но и здесь есть нюансы: у разных целей может быть разный срок на обработку и разный объём обрабатываемых данных. В этом случае регулятор рекомендует прописать всю информацию отдельными пунктами на каждую из целей обработки.
Изменилось ли что-то в отношении рассылок?
Если говорить о различных информационных сообщениях о скидках, акциях и предложениях, то такие сообщения могут рассылаться только тем субъектам, которые дали на это согласие. Это закреплено в ст.15 Федерального закона «О персональных данных». Количество спам-звонков и фактов мошенничества за последние годы значительно увеличилось. Это, в определённой степени, результат «скрытых» согласий, т. е. согласий, содержащихся в текстах документов, которые подписывал субъект, в т.ч. в виде электронных форм на сайтах или в приложениях. Сейчас же мы имеем право (и нам, как субъектам ПДн, такая возможность должна быть предоставлена) спокойно разрешить работать со своими данными для оказания нам той или иной услуги (например, при заключении и выполнении условий договора или для информирования о статусе доставки заказа), но при этом не соглашаться на получения рекламных материалов.Допустим, организация проводит вебинар. Какие согласия следует взять у потенциальных участников?
Если вебинар подразумевает необходимость регистрации и получения от участника его ПДн (например, ФИО, почта, контактный номер телефона), то прежде всего необходимо получить от участника согласие на обработку его ПДн, ведь никаких иных законных оснований в этом случае не предусмотрено и без согласия организатор вебинара просто не сможет выслать участнику на почту ссылку для подключения к мероприятию. Если участника мероприятия планируется включить в клиентскую базу и в дальнейшем направлять ему различные информационные и рекламные сообщения, то также требуется получить на это согласие.Важно отметить, что без согласия на обработку ПДн допустимо сделать невозможной регистрацию, обосновав это отсутствием возможности выслать приглашение и материалы по итогу мероприятия, а вот обязывать субъекта ПДн дать согласие на получение информационных рассылок и рекламных сообщений уже будет нарушением.
Таким образом, любое использование контактных данных участников требует отдельного согласия — отдельно для участия и отдельно для последующих коммуникаций и рекламной рассылки.
На что ещё стоит обратить внимание?
Многие не обращают внимания на то, что метрические данные, которые собираются на сайтах организаций, тоже являются ПДн. Как подчёркивает регулятор, к ним применимы те же правила, что и при обработке обычных ПДн. Наверняка все при первом заходе на сайт какой-либо организации или магазина видели всплывающее окно, объявляющее о том, что для улучшения работы сайта и его взаимодействия с пользователями сайт использует файлы cookie. Так вот, кнопка «Принять» – не что иное, как согласие на обработку метрических данных. И здесь стоит обратить внимание, что требования к согласию о его конкретности, предметности, однозначности применяется и в данном случае. Нам известен пример, когда Роскомнадзор добился от организации максимального расширения этого информационного сообщения. В итоге в нём содержались конкретные формулировки про то, что посетитель сайта даёт согласие на обработку метрических данных (с указанием целей такой обработки) и их передачу сервисам веб-аналитики.
Какие рекомендации вы бы ещё дали бизнесу и организациям при сборе согласий на обработку ПДн?
В первую очередь необходимо провести внутренний аудит в своей организации и определить, на основании чего проводится обработка ПДн для каждой выявленной цели и есть ли на это законное основание. Все основания приведены в Федеральном законе «О персональных данных». Возможно, организации в принципе не надо брать согласие? Если же вы не нашли в законе основания для обработки ПДн в рамках какой-либо цели, значит, вам надо брать согласие. Следующий вопрос: «Какая форма согласия требуется?» Если речь про специальные и биометрические ПДн, то только письменная форма, удовлетворяющая требованиям ч.4 ст.9 Федерального закона «О персональных данных». Если говорить про все остальные ПДн, то подойдёт любая форма согласия, главное — всегда иметь доказательство, что вы взяли это согласие.Почему это важно знать: с 30 мая 2025 года увеличились штрафы за правонарушения, предусмотренные ст.13.11 КоАП РФ. За обработку ПДн в случаях, не предусмотренных законодательством, либо обработку, несовместимую с целями сбора ПДн, можно получить штраф до 300 тыс. руб. для юрлиц. Для должностных и физических лиц штрафы тоже предусмотрены: до 100 тыс. руб. и до 15 тыс. руб. соответственно.
Как следует хранить согласия и в течение какого времени?
Если мы говорим про электронные согласия (т. е. про проставление галочки на сайте), то такие действия пользователей обязательно должны логироваться, и оператор всегда должен иметь возможность доказать, что условный Иван Иванов дал своё согласие при регистрации на сайте.Если речь идёт о письменном согласии, то в постановлении Правительства РФ от 15 сентября 2008 г. № 687 прописано, что при хранении материальных носителей ПДн должны соблюдаться условия, обеспечивающие сохранность ПДн и исключающие несанкционированный к ним доступ. Сам перечень мер, необходимых для соблюдения этих условий, устанавливается оператором самостоятельно. Если говорить о работниках организации, то чаще всего согласие хранится в личном деле соответствующего работника.
Если же говорить о сроках хранения полученных согласий, то согласие (как документ) должно храниться в течение 3 лет с момента истечения срока действия согласия или до его отзыва, а доказательства его получения (логи) — в течение срока, установленного оператором для обработки ПДн, но не менее 3 лет (согласно Приказа Росархива от 20 декабря 2019 г. № 236).
Многие организации, в частности, государственные учреждения, учреждения здравоохранения и образования публикуют у себя на сайтах имена и фото, иногда и биографии своих сотрудников. Это тоже требует согласия?
Да, в общем понимании публикация ПДн на сайтах организаций считается распространением ПДн, что с недавнего времени также возможно только после получения предварительного согласия от субъекта. Причём это согласие в обязательном порядке должно быть оформлено отдельно от иных согласий, которые подписывает субъект. Об этом чётко говорится в ст.10.1 Федерального закона «О персональных данных». Но есть исключения. Если размещение информации о сотрудниках является обязанностью организации, закреплённой законодательно, то согласие на распространение брать не требуется. Например, в соответствии с приказом Минздрава России от 13 марта 2025 г. № 118н на сайтах медорганизаций обязательно должна быть опубликована информация о медработниках данной организации. Т. е., можно публиковать без согласия такие данные работника, как его ФИО, должность, сведения об образовании, квалификации и т. д. А вот на публикацию фотографии этого работника (т. е. на размещение тех данных, которые организация не обязана размещать) обязательно требуется получение согласия. Требования к содержанию такого согласия предъявляются приказом Роскомнадзора от 24 февраля 2021 г. N 18.По-вашему, какие изменения в области сбора согласий ожидают нас в будущем?
Наблюдается двойственная ситуация. С одной стороны, Роскомнадзор против того, чтобы собирать согласия для перестраховки там, где не надо, но в то же время будет усиливаться контроль за правомерностью работы с ПДн. Отследить данные ими согласия смогут и субъекты ПДн: например, на «Госуслугах» планируется создать реестр согласий на обработку ПДн, где пользователь будет видеть все выданные им согласия и при необходимости сможет их отозвать. Данная инициатива входит в пакет мер по противодействию кибермошенничеству.Насколько реалистично организациям самостоятельно выполнять все прежние и новые требования в отношении согласий?
На практике сделать это вручную, конечно же, возможно, но крайне сложно. Процесс работы с согласиями требует вести их учёт, своевременное обновление, соблюдение требований при оформлении согласий (разные формы под разные случаи), а без автоматизации этот процесс быстро становится неуправляемым. Поэтому цифровизация документооборота в части согласий сегодня фактически превращается в необходимый элемент системы защиты персональных данных. В том числе и эту задачу давно и успешно решает АльфаДок.Можете привести пример, как АльфаДок помогает при работе с согласиями?
АльфаДок формирует различные формы согласий с учётом требований ч.4 ст.9 Федерального закона «О персональных данных» и приказа Роскомнадзора №18. Приложение позволяет создать как отдельное согласие под каждую цель, так и скомпоновать несколько целей по блокам в одном документе.Также, как уже было сказано ранее, у разных согласий – могут быть разные сроки действия, что затрудняет работу специалиста кадровой службы в организации. АльфаДок не только сформирует для сотрудников организации готовые для подписи согласия, но и позволит сотруднику кадровой службы отслеживать сроки полученных согласий. Т. е. подскажет, что данные необходимо или уничтожить, или взять новое согласие на их обработку.
Бесплатно протестировать АльфаДок и другие приложения экосистемы Альфа можно оставив заявку на нашем сайте или одному из наших партнёров.
