Согласие на обработку персональных данных: виды и образцы

Каждый раз, когда предприниматель просит соискателя заполнить анкету, вносит данные сотрудника в кадровую систему или передаёт сведения о работнике в бухгалтерию — он уже работает с персональными данными. И по закону обязан иметь на это письменное согласие. Звучит просто, но на практике именно здесь малый бизнес получает штрафы, которых легко было бы избежать.

Федеральный закон № 152-ФЗ «О персональных данных» действует с 2006 года, однако требования к операторам персональных данных постоянно ужесточаются. С 2022–2024 годов санкции за нарушения выросли кратно: штраф за обработку данных без согласия субъекта может достигать 500 000 рублей для юридического лица. Для ИП суммы меньше, но тоже ощутимы — до 100 000 рублей за повторное нарушение (ст. 13.11 КоАП РФ). И это не теоретический риск: Роскомнадзор системно проверяет бизнес, в том числе малый.

В этой статье разберём, какие виды согласий существуют, чем они отличаются, что должно быть в каждом документе и как выстроить работу с персональными данными так, чтобы не бояться проверок.

---

Что такое персональные данные и кто является оператором

Персональные данные — любая информация, прямо или косвенно относящаяся к определённому физическому лицу (субъекту персональных данных). Это не только паспортные данные: сюда входят имя, телефон, адрес электронной почты, СНИЛС, ИНН, сведения о здоровье, фотографии, место работы и даже IP-адрес.

📎 Ст. 3 Федерального закона № 152-ФЗ: «Персональные данные — любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных)».

Оператором персональных данных является любое юридическое лицо или ИП, которое самостоятельно или совместно с другими лицами организует и осуществляет обработку персональных данных. Проще говоря: если вы нанимаете хотя бы одного сотрудника, принимаете заявки от клиентов или ведёте базу контрагентов — вы уже оператор. И обязаны выполнять все требования закона.

Основные обязанности оператора:

• зарегистрироваться в реестре Роскомнадзора (до начала обработки данных);
• разработать и опубликовать политику обработки персональных данных;
• получить согласие субъекта до начала обработки (за исключением строго ограниченных случаев);
• обеспечить защиту данных от несанкционированного доступа;
• по запросу субъекта предоставить информацию об обработке или уничтожить данные.

---

Общее согласие на обработку персональных данных: структура и образец

Стандартное согласие на обработку персональных данных — базовый документ, который подписывается при любом взаимодействии, требующем сбора сведений о физическом лице. Именно его чаще всего используют при трудоустройстве, заключении договоров с клиентами и работе с контрагентами-физлицами.

📎 Ст. 9 Федерального закона № 152-ФЗ: согласие должно быть конкретным, информированным и сознательным. Оно может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме.

Обязательные элементы согласия:

1. ФИО, адрес субъекта, реквизиты документа, удостоверяющего личность.
2. Наименование и адрес оператора, которому даётся согласие.
3. Цель обработки — конкретная, а не формальная. Нельзя писать «в целях деятельности компании».
4. Перечень персональных данных, на обработку которых даётся согласие.
5. Перечень действий с данными: сбор, запись, хранение, уточнение, использование, передача, обезличивание, уничтожение.
6. Срок действия согласия или условия его прекращения.
7. Способ отзыва согласия.
8. Подпись субъекта и дата.

📋 Пример: Работодатель просит соискателя заполнить анкету при приёме на работу. Вместе с анкетой сотрудник подписывает согласие на обработку персональных данных. В документе указано: цель — рассмотрение кандидатуры на должность менеджера по продажам; перечень данных — ФИО, контактный телефон, сведения об образовании и опыте работы; срок — до окончания процедуры отбора или до отзыва согласия.

⚠️ Важно: Согласие, подписанное «на всякий случай» без указания конкретной цели, юридически ничтожно. Роскомнадзор при проверке смотрит именно на содержание документа, а не на его наличие.

---

Согласие на обработку специальных категорий персональных данных

Специальные категории персональных данных — отдельный класс сведений, требующий усиленной защиты и отдельного согласия. Перечень закреплён в ст. 10 Федерального закона № 152-ФЗ.

К ним относятся:

• расовая и национальная принадлежность;
• политические взгляды;
• религиозные и философские убеждения;
• состояние здоровья и медицинский диагноз;
• интимная жизнь;
• биометрические данные (отпечатки пальцев, ДНК, рисунок сетчатки глаза).

📎 Ст. 10 Федерального закона № 152-ФЗ: обработка специальных категорий персональных данных не допускается, за исключением случаев, когда субъект дал явное согласие.

В трудовых отношениях специальные категории данных чаще всего встречаются в контексте медицинских сведений: справки о состоянии здоровья при предварительном медосмотре, документы об инвалидности, листки нетрудоспособности. Работодатель обязан хранить и обрабатывать их строго в рамках закона.

Чем отличается согласие на спецкатегории от стандартного:

• Форма согласия — только письменная, без исключений.
• Формулировка цели должна быть ещё более конкретной.
• Желательно выделить согласие на спецкатегории в отдельный документ, а не включать его в общее согласие.
• Срок хранения данных — строго ограничен целью обработки.

⚠️ Важно: Получить устное или конклюдентное согласие на обработку медицинских данных недостаточно. Это прямое нарушение закона, за которое предусмотрен штраф по ч. 2 ст. 13.11 КоАП РФ — до 100 000 рублей для должностного лица.

---

Согласие на передачу персональных данных третьим лицам

Многие предприниматели не подозревают, что, отправляя данные сотрудника в бухгалтерский аутсорс, страховую компанию, банк или кадровое агентство, они осуществляют передачу персональных данных и обязаны иметь на это отдельное согласие субъекта — либо заключить договор поручения обработки данных.

📎 Ст. 6 Федерального закона № 152-ФЗ: обработка персональных данных допускается в случае, если она необходима для исполнения договора, стороной которого является субъект, либо если субъект дал согласие.

Существует два механизма легализации передачи данных:

1. Согласие на передачу третьим лицам — субъект прямо указывает в согласии, что его данные могут быть переданы конкретным получателям или категориям получателей, с указанием цели передачи.
2. Договор поручения обработки — заключается между оператором и лицом, которому передаются данные (обработчиком). При этом обработчик не вправе использовать данные в собственных целях.

Что должно быть в согласии на передачу:

• наименование получателя данных или категория получателей;
• цель передачи;
• перечень передаваемых данных;
• обязательство получателя обеспечить конфиденциальность.

📋 Пример: ИП передаёт данные сотрудников в аутсорсинговую бухгалтерию для начисления зарплаты. В трудовом договоре или в отдельном согласии должно быть прямо прописано: «Я согласен на передачу моих персональных данных (ФИО, СНИЛС, ИНН, сведения о заработной плате) ООО «Бухгалтерия Плюс» в целях расчёта и начисления заработной платы».

---

Согласие на обработку персональных данных в трудовых отношениях

Трудовые отношения — особая сфера, где требования к работе с персональными данными регулируются одновременно Федеральным законом № 152-ФЗ и Трудовым кодексом РФ. Работодатель собирает значительный объём сведений: паспортные данные, СНИЛС, ИНН, военный билет, трудовую книжку, сведения об образовании, медицинские справки.

📎 Ст. 86 ТК РФ: обработка персональных данных работника в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе допускается без его согласия.

Это важное исключение: часть данных работодатель вправе обрабатывать без согласия работника — в той мере, в какой это необходимо для исполнения трудового договора и соблюдения законодательства. Например, передача данных в ПФР, ФСС, налоговую инспекцию согласия не требует.

Когда согласие в трудовых отношениях всё же нужно:

• размещение фотографии работника на сайте компании или в рекламных материалах;
• передача данных третьим лицам, не связанным с исполнением трудового договора;
• обработка данных в маркетинговых целях;
• использование биометрии (СКУД, системы распознавания лиц);
• передача данных за рубеж.

Типичная ошибка малого бизнеса: включать в трудовой договор пункт «Работник соглашается на обработку персональных данных» без раскрытия цели, перечня данных и порядка обработки. Такая формулировка не является законным согласием.

Платформы вроде Bejure позволяют автоматически формировать корректные согласия в составе пакета кадровых документов — все данные вносятся один раз, а документы подписываются электронной подписью без распечаток и лишних итераций с сотрудником.

---

Согласие на распространение персональных данных

С марта 2021 года в законодательство введена отдельная категория — согласие на распространение персональных данных. Это принципиально иной документ, который требуется, когда оператор намерен публично раскрыть данные субъекта: разместить их на сайте, передать для публикации, использовать в рекламе.

📎 Ст. 10.1 Федерального закона № 152-ФЗ (введена ФЗ № 519-ФЗ от 30.12.2020): согласие на обработку персональных данных, разрешённых субъектом для распространения, оформляется отдельно от иных согласий на обработку персональных данных.

Ключевые особенности этого согласия:

• Оформляется исключительно отдельным документом — нельзя включить в общее согласие.
• Субъект вправе самостоятельно установить запреты и условия распространения — например, запретить публикацию номера телефона, разрешив при этом публикацию имени и должности.
• Если запреты и условия в согласии не указаны, оператор вправе распространять данные без ограничений.
• Согласие должно содержать перечень данных, которые разрешены к распространению.

📋 Пример: Работодатель хочет разместить на корпоративном сайте раздел «Наша команда» с фотографиями и именами сотрудников. Для этого необходимо получить отдельное согласие на распространение — от каждого сотрудника, чьи данные будут опубликованы.

⚠️ Важно: Молчаливое согласие здесь не работает. Даже если сотрудник «не возражал», отсутствие письменного согласия на распространение является нарушением закона. Штраф — до 150 000 рублей для организации (ч. 1 ст. 13.11 КоАП РФ).

---

Отзыв согласия и последствия для работодателя

Субъект персональных данных имеет безусловное право отозвать своё согласие в любой момент — без объяснения причин. Это прямо закреплено в ст. 9 Федерального закона № 152-ФЗ.

После получения отзыва оператор обязан:

• прекратить обработку данных;
• уничтожить персональные данные в течение 30 дней (если иное не установлено договором или законодательством);
• уведомить субъекта об уничтожении.

Исключения: если обработка данных необходима для исполнения договора, соблюдения законодательных требований или защиты жизненно важных интересов — оператор вправе продолжать обработку даже после отзыва согласия, но только в пределах этих оснований.

В трудовых отношениях отзыв согласия имеет ограниченное действие: работник не может запретить работодателю передавать его данные в ФНС или ПФР, поскольку это обязанность работодателя по закону, а не обработка на основании согласия.

Порядок отзыва:

• Субъект подаёт письменное заявление оператору.
• Рекомендуется установить конкретную форму отзыва в согласии или политике обработки данных.
• Оператор обязан зафиксировать факт получения отзыва и дату.

⚠️ Важно: Продолжение обработки после получения отзыва — одно из наиболее часто выявляемых нарушений при проверках Роскомнадзора. Ответственность — до 500 000 рублей для организации при повторном нарушении (ч. 7 ст. 13.11 КоАП РФ).

Шаблон из интернета здесь становится реальным риском: устаревшие формы не включают актуальных требований к отзыву, не учитывают поправки 2022–2024 годов и не адаптированы под конкретный вид деятельности. Документы в Bejure обновляются автоматически при изменении законодательства, а архив подписанных согласий хранится в защищённой системе — при любой проверке нужный документ можно предъявить за 30 секунд.

---

Часто задаваемые вопросы

Нужно ли согласие на обработку персональных данных, если я веду переписку с клиентом только по email?

Да. Email-адрес является персональными данными, поскольку позволяет идентифицировать физическое лицо. Если вы собираете адреса клиентов для рассылки, ведёте базу контактов или отправляете коммерческие предложения — вы обрабатываете персональные данные и обязаны иметь согласие. Исключение: если переписка ведётся исключительно в рамках исполнения договора, уже заключённого с клиентом.

Можно ли включить согласие на обработку персональных данных в текст трудового договора?

Технически закон не запрещает включать согласие в трудовой договор, однако на практике это создаёт риски. Во-первых, суды и Роскомнадзор могут признать такое согласие «вынужденным» — работник подписывает договор под давлением необходимости трудоустройства. Во-вторых, в договор невозможно включить все обязательные элементы согласия (в частности, согласие на распространение должно быть оформлено отдельным документом). Рекомендуется оформлять согласие отдельным документом при приёме на работу.

Как долго нужно хранить подписанные согласия?

Согласие должно храниться в течение всего срока обработки персональных данных плюс 3 года после её прекращения — для возможности доказать правомерность обработки в случае претензий. Для данных работников минимальный срок хранения кадровых документов составляет 50 лет (для документов, созданных после 2003 года) согласно приказу Росархива № 236 от 20.12.2019. Согласия, связанные с трудовыми отношениями, следует хранить соответствующий срок.

Что грозит ИП за отсутствие согласия на обработку персональных данных?

Индивидуальные предприниматели несут ответственность как должностные лица. По ст. 13.11 КоАП РФ: за обработку данных без согласия — штраф от 10 000 до 20 000 рублей (первичное нарушение), за повторное — от 50 000 до 100 000 рублей. Если нарушение связано со специальными категориями данных — санкции выше. Помимо этого, Роскомнадзор вправе обязать ИП уничтожить собранные данные.

Можно ли получить согласие в электронной форме?

Да. Закон допускает электронное согласие при условии, что оно позволяет достоверно установить личность субъекта и факт выражения им воли. На практике это означает: галочка на сайте в форме «Я согласен на обработку персональных данных» — допустима для стандартного согласия, но не подходит для специальных категорий данных и согласия на распространение, которые требуют более строгого подтверждения личности субъекта.

---

Заключение

Согласие на обработку персональных данных — не формальная бумага, а юридически значимый документ, от корректности которого зависит, пройдёт ли ваш бизнес проверку Роскомнадзора без штрафов. Разные ситуации требуют разных видов согласий: стандартное — для базовой обработки, отдельное — для специальных категорий, ещё одно — для передачи третьим лицам, и принципиально иное — для публичного распространения данных.

Ключевые выводы:

• Каждый вид согласия имеет обязательные реквизиты — их отсутствие делает документ недействительным.
• Отзыв согласия — безусловное право субъекта, которое нужно обеспечить технически и организационно.
• Штрафы за нарушения выросли существенно и продолжают ужесточаться — игнорировать требования закона становится всё дороже.
• Шаблоны из интернета создают риск: они устаревают, не учитывают специфику вашей деятельности и не гарантируют соответствия актуальным требованиям.

Выстроить работу с персональными данными правильно с первого раза — разумнее и дешевле, чем исправлять нарушения под давлением проверки. Если вы только выстраиваете кадровый документооборот или хотите проверить, всё ли в порядке с уже существующими документами, — начните с аудита того, какие данные вы собираете и на каком основании.