CloudPayments
Войти

Согласие на обработку персональных данных по 152‑ФЗ: виды и требования

Получить CloudPayments бесплатно

Согласие на обработку персональных данных по 152‑ФЗ: виды и требования

Схема получения и отзыва согласия по 152‑ФЗ — сбор, фиксация, хранение, отзыв, прекращение обработки

Что такое согласие и зачем оно нужно

Согласие на обработку персональных данных по 152‑ФЗ — это волеизъявление субъекта ПДн, которым он разрешает оператору собирать, хранить, использовать, передавать и иным образом обрабатывать его данные для конкретных целей. Согласие — один из ключевых правовых оснований обработки, но не единственный. Если у оператора нет иной законной базы, корректно оформленное согласие является обязательным.

Подробнее о базовых понятиях — на странице О персональных данных и в обзоре Федерального закона 152‑ФЗ.

Правовая основа: ключевые нормы 152‑ФЗ

  • Статья 6: правовые основания и условия обработки (когда согласие требуется, а когда — нет). См. также Принципы и условия обработки.
  • Статья 9: согласие субъекта ПДн, формы и обязательные реквизиты.
  • Статьи 10 и 11: специальные категории и биометрические данные (строже требования к форме и содержанию согласия).
  • Статья 12: трансграничная передача (могут понадобиться дополнительные условия). Подробнее — Трансграничная передача ПДн.
  • Статья 14: права субъекта, включая право отозвать согласие. См. Права субъектов ПДн.
  • Статья 19: безопасность обработки. Детали — Безопасность и защита ПДн.

Краткий путеводитель по нормам смотрите в разделе Структура и статьи 152‑ФЗ.

Получить CloudPayments бесплатно

Виды согласия: письменное, электронное и иные формы

Закон допускает разные формы согласия, если оператор может доказать факт его получения и содержание.

  • Письменное согласие. Бумажный документ с собственноручной подписью субъекта (или его представителя). Обязательно для ряда случаев: обработка специальных категорий ПДн, биометрии и др.
  • Электронное согласие 152‑ФЗ. Предоставляется дистанционно — через сайт, мобильное приложение, электронную почту, сервисы идентификации. Требуется надежная идентификация субъекта и фиксация факта волеизъявления.
  • Иные формы, позволяющие подтвердить факт (например, проставление чекбокса с подробной лог‑фиксацией, загрузка скана подписанного бланка, подтверждение через код из SMS). Важно, чтобы оператор мог доказать, что согласие дал именно субъект и именно на те условия, которые задокументированы.

Сравнение форм (кратко):

Форма Когда уместна Подтверждение личности Плюсы Риски
Письменная (бумажная) Офлайн‑процессы, спец. категории, биометрия Документ + подпись Максимальная доказуемость Хранение, архив, логистика
Электронная Онлайн‑сервисы, маркетинг, дистанционные сделки EDS/ЕСИА/2FA/лог‑запись Быстро, масштабируемо Нужно обеспечить надежную аутентификацию
Смешанная Онлайн‑сбор + офлайн‑подтверждение Комбинированная Гибкость Сложнее регламенты

Форма согласия 152‑ФЗ: обязательные элементы

Независимо от канала (бумага или электронный интерфейс) форма согласия 152‑ФЗ должна содержать конкретные сведения. Оператор обязан уметь воспроизвести текст и реквизиты согласия по требованию надзорного органа и субъекта.

Обязательные элементы согласия:

  • Данные субъекта ПДн (ФИО; для письменной формы — реквизиты документа, удостоверяющего личность; для электронной — идентификатор учетной записи и способы подтверждения личности).
  • Данные оператора (наименование/ФИО, адрес, контактные данные).
  • Цели обработки — конкретные, явные и законные (например: заключение и исполнение договора, ведение бухгалтерского учета, направление маркетинговых предложений по email и SMS).
  • Перечень персональных данных, на обработку которых дается согласие (персональные, контактные, платежные и т. п.).
  • Перечень действий с ПДн (сбор, запись, систематизация, хранение, уточнение, передача, обезличивание, блокирование, уничтожение — указывать релевантные операции).
  • Срок действия согласия и/или событие окончания (например: «до достижения целей обработки» или конкретная дата/период).
  • Порядок отзыва согласия (каналы, адрес, последствия).
  • Сведения о трансграничной передаче и получателях, если предполагается.
  • Подпись субъекта (для бумажной формы) либо цифровые доказательства выражения воли (для электронной: отметка времени, IP, идентификатор, способ аутентификации и т. п.).

Совет: отделяйте согласие для выполнения договора от согласия на маркетинговые коммуникации — так субъект сможет свободно отказаться от рекламы без ущерба для базовых услуг.

Пример структуры формы согласия: блок субъекта, цели, перечень ПДн, действия, срок, отзыв, подпись

Специальные случаи: чувствительные данные, дети, трансграничная передача

  • Специальные категории (о здоровье, убеждениях и т. д., ст. 10) и биометрические ПДн (ст. 11). Как правило, требуется письменная форма и дополнительные гарантии. Минимизируйте объем данных и уточняйте цель максимально точно.
  • Несовершеннолетние. Согласие за ребенка дает законный представитель; оператору важно проверять полномочия (документы, доверенности).
  • Трансграничная передача. Убедитесь в надлежащем уровне защиты в стране получателя; пропишите в согласии перечень получателей и цели. Подробно — на странице Трансграничная передача ПДн.

Электронное согласие 152‑ФЗ: доказуемость и практики

Электронное согласие 152‑ФЗ позволяет законно собирать разрешения в цифровых каналах при условии надежной аутентификации и фиксации событий. Рекомендуемые меры:

  • Аутентификация: ЕСИА/Госуслуги (для B2G), усиленная или простая электронная подпись, одноразовые коды (OTP), двухфакторная проверка через email/SMS.
  • Логирование: запись даты/времени (timestamp), IP‑адреса, user‑agent, версии экрана согласия, чекбоксов, текста политики, идентификатора профиля.
  • Версионирование: хранить точную «снимок‑версию» текста согласия, действовавшего на момент акцепта.
  • Доступность отзыва: видимая ссылка «Отозвать согласие» в личном кабинете, рабочий email/форма обратной связи.
  • Разделение согласий: отдельные галочки для разных целей (маркетинг, аналитика, партнерские рассылки), запрет «завязанных» согласий.

Подробнее об обязанностях оператора — в разделе Обязанности оператора и о техмерах защиты — в материале Безопасность и защита ПДн.

Отзыв согласия 152‑ФЗ: порядок и последствия

Отзыв согласия 152‑ФЗ — безусловное право субъекта. Оператор обязан предоставить простой механизм отзыва и разместить информацию о нем в тексте согласия и политике.

Как организовать процесс:

  1. Принять отзыв по любому указанному каналу: почта, электронная форма, ЛК, почтовое письмо.
  2. Идентифицировать заявителя и сопоставить с записью согласия.
  3. Зафиксировать отзыв в реестре (дата/время, канал, оператор, что именно отозвано).
  4. При отсутствии иных правовых оснований прекратить соответствующую обработку и уничтожить/обезличить данные в разумный срок; уведомить субъекта.
  5. Обновить рассылочные листы и системы, исключив дальнейшую обработку по отозванным целям.

Важно: отзыв не влияет на законность обработки, которая происходила до момента отзыва, и не запрещает дальнейшую обработку на иных законных основаниях (например, для исполнения договора или для исполнения требований закона).

Подробнее о правах субъектов и сроках ответов — в разделе Права субъектов ПДн.

Когда согласие не требуется

Согласно ст. 6 152‑ФЗ согласие не требуется, если обработка:

  • необходима для исполнения договора (или заключения договора по инициативе субъекта);
  • предусмотрена федеральным законом (например, бухгалтерский и налоговый учет);
  • необходима для осуществления правосудия, исполнения судебных актов, актов иных органов;
  • осуществляется для статистических или научных целей при обязательном обезличивании;
  • необходима для защиты жизни, здоровья, иных жизненно важных интересов субъекта, если получение согласия невозможно;
  • осуществляется журналистом, в целях научной, литературной или иной творческой деятельности при соблюдении прав и законных интересов субъекта.

Уточняющие условия и примеры — на странице Принципы и условия обработки.

Практические рекомендации оператору

  • Мэппинг целей: свяжите каждую цель обработки с конкретным правовым основанием (с согласиями — отдельно).
  • Минимизация: запрашивайте только те данные, что действительно нужны для заявленной цели.
  • Раздельные согласия: на маркетинг, профилирование, передачу партнерам — отдельные галочки.
  • Реестр согласий: ведите централизованно с полями «кто/когда/на что/как отозвал».
  • Доказательная база: храните лог‑снимки, тексты версий, технические журналы.
  • UX‑прозрачность: текст на понятном языке, рядом — ссылка на Политику и на механизм отзыва.
  • Обучение персонала: фронт‑офис и поддержка должны уметь принимать и обрабатывать отзывы.
  • Регулярный аудит: сверяйте процессы с актуальной редакцией закона (см. История и изменения 152‑ФЗ).

Частые ошибки и ответственность

Типичные нарушения:

  • «Общее» согласие без конкретных целей и перечня данных.
  • Скрытые или обязательные чекбоксы для маркетинга («без согласия не оформить заказ»).
  • Отсутствует способ отозвать согласие или он непропорционально сложен.
  • Нет доказательств: не хранится текст версии, логи, идентификаторы.
  • Передача третьим лицам, не указанным в согласии, без отдельного основания.

За нарушения предусмотрена административная ответственность (ст. 13.11 КоАП РФ), а также предписания Роскомнадзора. Подробно о рисках и размерах санкций — в материале Ответственность и штрафы. О надзоре и проверках — Роскомнадзор: контроль и реестры.

Чеклист и примерные формулировки

Чек‑лист оператора:

  • Определены цели и перечень ПДн для каждой цели.
  • Подготовлены отдельные тексты согласий для разных целей.
  • Реализованы механизмы аутентификации и логирования для электронных согласий.
  • Описан порядок отзыва в каждом согласии и в Политике.
  • Настроен реестр согласий и отзывов; назначены ответственные.
  • Актуализированы договоры с третьими лицами (поручение/передача).
  • Проведено обучение сотрудников; настроены регулярные проверки.

Примерные фрагменты формулировок (адаптируйте под свои цели):

  • «Я, ФИО, даю согласие ООО "Оператор" (адрес: …) на обработку моих персональных данных в целях …, включая: сбор, запись, систематизацию, хранение, уточнение, передачу (в т. ч. поручение) …, обезличивание, блокирование, уничтожение».
  • «Согласие действует до достижения целей обработки либо до его отзыва. Я ознакомлен(а) с порядком отзыва по адресу … / в личном кабинете …».
  • «Я согласен(на) на получение маркетинговых сообщений по email/SMS. Я могу в любой момент отозвать согласие по ссылке в письме или в личном кабинете».

Чтобы глубже разобраться в контексте, начните с обзора Федерального закона 152‑ФЗ и его структуры и статей.

Вывод: корректно оформленное согласие на обработку персональных данных 152‑ФЗ — это не формальность, а ключевой элемент законной и прозрачной обработки. Разделяйте цели, обеспечивайте доказуемость электронного согласия, поддерживайте простой отзыв и минимизируйте сбор данных. Готовы навести порядок? Изучите обязанности оператора и проверьте свои процессы по нашему чек‑листу — начните уже сегодня.

Получить CloudPayments бесплатно