Усиление ответственности за незаконную обработку персональных данных (далее – ПДн) является трендом. Это обусловлено динамичным развитием интернет-пространства, регулярным появлением новых сервисов и не утихающей деятельностью хакеров и мошенников.

Приоритетной задачей любого DPO является не только участие в обеспечении защиты данных, но и выстраивание корректных процессов их обработки. При анализе бизнес-процессов необходимо уметь подбирать правовые основания обработки ПДн, одним из которых является согласие субъекта.

Меня зовут Никита Козин, я – Data Protection Officer в БФТ-Холдинге. DPO в крупной ИТ-компании сталкивается с такими особенностями, как контроль обработки ПДн большого количества сотрудников (более 3000 человек), необходимость учета требований государственных заказчиков и наличие бизнес-процессов, специфичных именно для ИТ-индустрии.

Я хотел бы поделиться информацией, которая будет полезна специалистам моего профиля, а также юридического, кадрового направлений, маркетинга, СБ. Ниже вас ждет разбор ключевых нюансов, возникающих при сборе согласий на обработку ПДн (далее – СОПД).

Сущность согласия на обработку ПДн в российском законодательстве

Согласие на обработку ПДн в российском законодательстве схоже с односторонней гражданско-правовой сделкой по следующим признакам: направленность на установление, изменение или прекращение гражданских прав и обязанностей (ст. 153 ГК РФ); необходимость и достаточность выражения воли одной стороны (ст. 154 ГК РФ).

СОПД является инструментом, обеспечивающим защиту прав граждан, наряду с согласием на медицинское вмешательство (ст. 20 Федерального закона № 323-ФЗ), на получение рекламных рассылок (ст. 18 Федерального закона № 38-ФЗ), на использование изображения гражданина (ст. 152.1 ГК РФ) и т.д.

СОПД – не исключительное условие законной обработки ПДн, а лишь одно из нескольких правовых оснований (ст. 6 Федерального закона № 152-ФЗ), среди которых также: исполнение требований законодательства РФ или международного договора, осуществление прав и законных интересов оператора ПДн, заключение или исполнение договора с выгодоприобретателем в лице субъекта ПДн и т. д.

СОПД не является панацеей, но многие операторы ПДн злоупотребляют его использованием, т. к. на первый взгляд это основание наиболее понятное и практически реализуемое. Однако при реализации процессов сбора согласий необходимо учесть множество нюансов, ведь в случае ошибок при сборе согласие считается недействительным, а обработка – незаконной.

Основные требования к СОПД перечислены в ч. 1 ст. 9 Федерального закона № 152-ФЗ: субъект должен предоставить его свободно, своей волей и в своем интересе, при этом оно должно быть конкретным, предметным, информированным, сознательным и однозначным. Детализирующие требования к формам и путям сбора СОПД меняются в зависимости от вида обработки, на которую предоставляется согласие.

Варианты сбора согласий на обработку ПДн

Законодательство предусматривает пути сбора СОПД в электронном виде и на бумажном носителе.

При этом Федеральный закон № 152-ФЗ содержит формулировку «согласие в письменной форме», что включает в себя СОПД не только на бумажном носителе, но и в форме электронного документа, обязательно подписанного электронной подписью (далее – ЭП) в соответствии с Федеральным законом № 63-ФЗ.

На данный момент в РФ существует три вида ЭП: простая (ПЭП), усиленная неквалифицированная (УНЭП), усиленная квалифицированная (УКЭП). ПЭП и УНЭП могут иметь юридическую значимость, равную собственноручной подписи, только при соблюдении определенных условий (ч. 2 ст. 6 Федерального закона № 63-ФЗ). Использование УКЭП само по себе в полной мере является аналогом подписи на бумажном носителе (ч. 1 ст. 6 Федерального закона № 63-ФЗ).

СОПД необходимо получать исключительно в письменной форме, если:

– осуществляется включение ПДн в общедоступные источники (ч. 1 ст. 8 Федерального закона № 152-ФЗ);

– обрабатываются специальные категории ПДн (п. 1 ч. 2 ст. 10 Федерального закона № 152-ФЗ);

– обрабатываются биометрические данные (ч. 1 ст. 11 Федерального закона № 152-ФЗ);

– осуществляется принятие решений, затрагивающих права и законные интересы субъекта, на основании исключительно автоматизированной обработки данных без участия человека (ч. 2 ст. 16 Федерального закона № 152-ФЗ);

– оператор ПДн сообщает ПДн работника третьей стороне или в коммерческих целях (ст. 88 ТК РФ).

Требования к содержанию СОПД в письменной форме можно найти в ч. 4 ст. 9 Федерального закона № 152-ФЗ.

Помимо бумажного и электронного варианта, СОПД может быть предоставлено путем совершения субъектом конклюдентных действий. Это аналогично механизму, описанному в ч. 2 ст. 158 ГК РФ: сделка считается совершенной, когда из поведения лица понятно, что он совершает сделку по своей воле. Однако в случае споров оператор ПДн обязан доказать наличие СОПД (ч. 3 ст. 9 Федерального закона № 152-ФЗ), и важную роль при использовании конклюдентной формы занимает доказательство волеизъявления.

Типы обработки ПДн, на которую предоставляются согласия

Согласно п. 3 ст. 3 Федерального закона № 152-ФЗ, обработка ПДн включает в себя: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение данных.

В тексте СОПД необходимо указывать лишь те действия (операции), которые реально совершаются с данными. Особое внимание стоит обратить на передачу и обезличивание, которые в некоторых процессах де-факто могут не осуществляться.

Для некоторых типов обработки ПДн законодательством предусмотрены особые формы СОПД.

При распространении ПДн (например, при размещении сведений о сотрудниках на внутреннем корпоративном портале) необходимо оформлять отдельное СОПД (в соответствии с требованиями приказа Роскомнадзора от 24.02.2021 № 18).

Данный вид согласия был введен в правовое поле в марте 2021 г. (ст. 10.1 Федерального закона № 152-ФЗ). В то время впервые прозвучало требование об отдельном оформлении СОПД от других документов, предоставлении СОПД посредством информационной системы Роскомнадзора и необходимости свободы выбора субъектом возможных действий оператора по отношению к его ПДн.

При поручении обработки ПДн другому юридическому лицу оператор обязан указать факт поручения в тексте СОПД (ч. 3 ст. 6 Федерального закона № 152-ФЗ). Поручение обработки необходимо отделять от передачи ПДн, т. к. они имеют разную правовую сущность.

В первом случае ответственность перед субъектом ПДн остается возложена на оператора, контролирующего третье юридическое лицо, которому поручена обработка.

Во втором случае третье юридическое лицо является отдельным оператором, самостоятельно определяющим цели обработки полученных ПДн.

Поручение обработки зачастую связано с долгосрочными процессами аутсорсинга (например, бухгалтерское или кадровое сопровождение, ИТ-поддержка), передача же происходит однократно (например, в целях оформления полиса ДМС, прохождения курсов повышения квалификации).

При передаче ПДн в несколько юридических лиц необходимо указать в СОПД полный их перечень. Если такой перечень слишком велик и не статичен во времени, для удобства возможно разместить его на отдельной странице веб-сайта оператора (данная позиция озвучивалась представителями Роскомнадзора).

При обработке cookie-файлов необходимо уведомить пользователя веб-сайта или мобильного приложения с помощью специального информационного баннера (позиция Роскомнадзора заключается в признании cookie-файлов персональными данными).

На данный момент в российском законодательстве отсутствуют требования к подобным баннерам, однако лучшей практикой является присутствие внутри них кнопок для выбора субъектом типов cookie, которые он разрешает использовать. Таким образом в полной мере подтверждается волеизъявление на обработку маркетинговых cookie, не являющихся необходимыми для функционирования веб-сайтов.

При обработке ПДн посредством форм обратной связи на веб-сайтах лучшей практикой является размещение специального чек-бокса рядом с кнопкой «Отправить». Данный чек-бокс не должен быть предзаполнен по умолчанию, т. к. самостоятельное нажатие на него пользователем веб-сайта является выражением волеизъявления. При этом факт заполнения чек-бокса может быть технически необходимым условием отправки сведений через форму. Реализовать это можно, сделав кнопку «Отправить» неактивной до тех пор, пока не нажат чек-бокс. В подписи к чек-боксу необходимо разместить ссылку на текст СОПД, который может открываться всплывающим окном или на отдельной странице.

Сложности при сборе согласий на обработку ПДн

Если СОПД предоставляется не в письменной форме, могут возникать сложности с реализацией механизма сбора таким образом, чтобы при возникновении спорных ситуаций оператор ПДн мог доказать наличие такого согласия. Например, недостаточно просто разместить чек-боксы на веб-сайте. Совместно с ИТ-специалистами необходимо определить последовательность действий по выгрузке лог-файлов из СУБД или консоли администрирования сайтом. Лог-файлы и являются доказательством нажатия субъекта на чек-бокс. При получении СОПД посредством осуществления конклюдентных действий субъекта важно не столько корректно собрать доказательства, сколько изначально предусмотреть соответствие процесса всем обязательным требованиям ч. 1 ст. 9 Федерального закона № 152-ФЗ.

При необходимости взятия СОПД сразу для нескольких операторов ПДн подход отличается в зависимости от формы согласия. СОПД в письменной форме и на распространение не могут содержать более одного оператора ПДн. В остальных случаях – могут, но лишь при условии одинаковой для всех операторов цели обработки ПДн и указанием параметров обработки отдельно для каждого оператора.

При осуществлении поручения обработки обязанность сбора СОПД имеется лишь у оператора ПДн. Для третьего юридического лица, осуществляющего обработку по поручению, правовым основанием такой обработки будут не СОПД субъектов, а договор с оператором.

Изменения законодательных требований к сбору согласий на обработку ПДн

С 1 сентября 2025 г. начало действовать требование, изложенное в Федеральном законе № 156-ФЗ, который внес изменения в Федеральный закон № 152-ФЗ. Оно звучит так:

«Согласие на обработку ПДн должно быть оформлено отдельно от иных информации и (или) документов, которые подтверждает и (или) подписывает субъект ПДн».

Для соответствия новому требованию необходимо как минимум:

– в случае, если обработка ПДн не является необходимым условием договора, заключаемого оператором ПДн с субъектом, оформлять СОПД отдельно от основного текста такого договора;

– при использовании на веб-сайтах форм обратной связи размещать чек-боксы для сбора СОПД отдельно от других чек-боксов;

– при использовании чек-боксов размещать ссылку на текст СОПД, открываемый во всплывающем окне или на отдельной странице.

В конце августа Минцифры представило для общественного обсуждения законопроект «О внесении изменений в отдельные законодательные акты РФ (в части противодействия правонарушениям, совершаемым с использованием информационно-коммуникационных технологий)», в котором предлагается внести изменения в Федеральный закон № 152-ФЗ.

Согласно законопроекту, субъекты смогут предоставлять СОПД не только напрямую операторам ПДн, но и посредством единой системы идентификации и аутентификации (далее – ЕСИА). При этом будет расширен функционал Госуслуг: с помощью них субъекты смогут запрашивать у операторов сведения об обработке их ПДн, отзывать СОПД и направлять жалобы при выявлении незаконной обработки.

Заключение

В настоящее время многие специалисты в области ПДн высказывают мнение, что необходимо чаще делать выбор в пользу других правовых оснований обработки, в том числе законного интереса оператора ПДн (п. 7 ч. 1 ст. 6 Федерального закона № 152-ФЗ). Однако, доказать легитимность его использования для оператора зачастую бывает сложнее, чем просто иметь на руках СОПД субъекта. Возможно, ситуация могла бы стать лучше с введением в законодательство РФ норм, подробно регулирующих процедуру выбора законного интереса как правового основания обработки ПДн по аналогии с нормами европейского права.

На мой взгляд, СОПД, форма которого корректно разработана оператором, позволяет субъекту четко видеть все параметры обработки его ПДн перед ее началом, что является безусловно плюсом. После планируемого расширения функционала Госуслуг механизмы управления СОПД станут для граждан более удобными. Да, поначалу возникнет определенная нагрузка на бизнес, вынужденный наладить внутренние процессы для начала автоматизированного взаимодействия с ЕСИА в части СОПД, но в конечном итоге это станет серьезным шагом к развитию технологических аспектов регулирования оборота данных в РФ.

Нормативные правовые акты, упомянутые в статье

Гражданский кодекс Российской Федерации (часть первая) от 30.11.94 N 51-ФЗ

Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных"

Федеральный закон от 24.06.2025 N 156-ФЗ "О создании многофункционального сервиса обмена информацией и о внесении изменений в отдельные законодательные акты Российской Федерации"

Федеральный закон от 06.04.2011 N 63-ФЗ "Об электронной подписи"

Федеральный закон от 13.03.2006 N 38-ФЗ "О рекламе"

Федеральный закон от 21.11.2011 N 323-ФЗ "Об основах охраны здоровья граждан в Российской Федерации"

Приказ Роскомнадзора от 24.02.2021 N 18 "Об утверждении требований к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения"